Указ No 411/2025 Сб.
Указ об уровнях безопасности информационных систем государственного управления
Действующий
Приказ
Действует с 01.11.2025
Версии текста:
01.11.2025
14.10.2025
411
Декларация
26 сентября 2025 года
по уровням безопасности информационных систем государственного управления
Национальное ведомство по кибербезопасности и информационной безопасности в соответствии с § 12 (2) (g) Закона No 365 / 2000 Сб., об информационных системах государственного управления и о внесении изменений в некоторые другие законы, с поправками Закона No 265 / 2025 Сб., далее именуемые «Закон»:
Тема вопроса
Настоящий Указ устанавливает уровни безопасности информационных систем государственного управления в соответствии с разделом 6l (3) Закона и определяет порядок включения в уровень безопасности.
Определение терминов
Для целей настоящего Указа:
(a) область воздействия, как определено в Приложении к настоящему Регламенту, в рамках которой инцидент, связанный с кибербезопасностью, может оказать влияние на информационную систему государственного управления, для обеспечения функционирования которой должны использоваться облачные вычисления, влияние на безопасность или здоровье человека, защиту персональных данных, уголовное судопроизводство, государственную политику, международные отношения, доверие к государственному управлению, финансовые потери или предоставление услуг; и
(b) уровень воздействия низкой, средней, высокой или критической величины в результате серьезности воздействия инцидента кибербезопасности на информационную систему государственного управления, для обеспечения работы которой облачные вычисления должны использоваться в каждой области воздействия.
Уровень безопасности
Уровень безопасности является
низкий;
b) средний,
высокий; или
d) критический.
Классификация информационной системы государственного управления для обеспечения работы облачных вычислений на уровне безопасности
(1) Включение информационной системы государственного управления, для обеспечения функционирования которой должны использоваться облачные вычисления, осуществляется государственным органом, указанным в Приложении к настоящему Указу. Орган государственной власти должен оценить степень воздействия, которое информационная система государственного управления, предназначенная для использования в облачных вычислениях, способна оказывать на каждую область воздействия. Уровень воздействия в каждой зоне воздействия обусловлен наиболее серьезным возможным воздействием инцидента кибербезопасности.
(2) При выявлении наиболее серьезных последствий инцидента с кибербезопасностью государственный орган принимает во внимание потенциальное нарушение конфиденциальности, целостности и доступности информационной системы государственного управления для обеспечения использования облачных вычислений и характера системы в целом. В случае, если облачные вычисления направлены на обеспечение функционирования только части информационной системы государственного управления, при оценке уровня воздействия и включения этой части в уровень безопасности также учитывается связь этой части с уровнем безопасности информационной системы государственного управления в целом.
(3) Полученный уровень безопасности информационной системы государственного управления, обеспечивающий работу облачных вычислений, равен самому высокому уровню воздействия, достигнутому при оценке отдельных областей воздействия.
(4) Высочайший уровень безопасности информационной системы государственного управления в целом должен быть установлен как минимум для одной части информационной системы государственного управления, для обеспечения функционирования которой должны использоваться облачные вычисления.
(5) В письменном виде фиксируется процесс определения уровня безопасности информационной системы государственного управления, для обеспечения функционирования которой должны использоваться облачные вычисления, как указано в предыдущих пунктах.
эффективность
Настоящий Указ вступает в силу 1 ноября 2025 года.
Директор:
Ing. Kintr v. r.
Приложение
Уровни и области воздействия для включения информационной системы государственного управления, для обеспечения функционирования которой облачные вычисления должны использоваться на уровне безопасности
| Oblasti dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|
| A. | B. | C. | D. | E. | F. | G. | H. | |
| Úroveň dopadu | Bezpečnost nebo zdraví lidí | Ochrana osobních údajů | Trestní řízení a páchání trestné činnosti | Veřejný pořádek | Mezinárodní vztahy | Důvěryhodnost orgánu veřejné správy | Finanční ztráty | Zajišťování služeb |
| 1. Nízká | Nemůže vést k poruše zdraví jednotlivce ani skupiny lidí. | Nemůže ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, nebo může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje nejvýše dvě kritéria z první skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Nemůže vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny ani nemůže ztížit jejich vyšetřování. | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné správy. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést k poruše zdraví jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje tři a více kritérií z první skupiny kritérií nebo jedno kritérium z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny nebo může ztížit jejich vyšetřování. | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se úroveň dopadu nízká. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést k poruše zdraví skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje dvě a více kritérií z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vést k narušení vyšetřování trestné činnosti nebo k narušení soudního řízení trestního. | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobé s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 5 % a dosahujícím maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se úroveň dopadu střední. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést k poruše zdraví skupiny více než 2 500 lidí nebo k přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo ke zpochybnění zákonnosti soudního řízení trestního. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s celostátními dopady. | Může vést k přímému poškození nebo přerušení diplomatických vztahů České republiky se zahraničními partnery. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností a negativní následky mohou být dlouhodobé a s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se úroveň dopadu vysoká. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125 000 lidí. |
Группы критериев воздействия B. Защита персональных данных
1) Первая группа критериев должна состоять из следующих критериев:
(a) персональные данные обрабатываются для того, чтобы субъект данных мог без дальнейших задержек выполнять или действовать от имени субъекта данных в условиях, связанных с ущербом чести, репутации или характеру, или позволять субъекту данных отзывать услуги, товары или, при необходимости, собирать деньги или другие активы от имени субъекта данных;
(b) персональные данные обрабатываются в соответствии с тем, что субъект данных классифицируется как член группы с ограниченной по времени или конкретной ситуацией уязвимости;
(c) осуществляется обработка персональных данных, которая затрагивает или может обоснованно повлиять на от 5 000 до 10 000 субъектов данных;
(d) персональные данные являются общедоступными для неограниченного числа органов или лиц; и
(e) обработка персональных данных системой, связанной с другой обработкой, осуществляемой тем же контроллером данных или другими контроллерами персональных данных.
(2) Вторая группа критериев состоит из следующих критериев:
(a) обработка конкретных категорий персональных данных или данных исключительно личного характера, в частности финансовых данных о состоянии имущества, сумме средств, задолженности или кредитах или платежной морали, записей истории частных звонков субъектов данных, данных электронной почты субъектов данных и т.п.;
(b) осуществляется обработка персональных данных, которая затрагивает или, как ожидается, затрагивает более 10 000 субъектов данных; и
c происходит автоматизированное принятие решений, затрагивающих субъекта данных.
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Указ No 411/2025 Сб. об уровнях безопасности информационных систем государственного управления |
|---|---|
| Тип акта | Приказ |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 14.10.2025 |
|---|---|
| Действует с | 01.11.2025 |
| Действует до | - |
| Статус | Действующий |
Публичные контракты 1
Dodávka HW, SW a služeb - Zvýšení kybernetické bezpečnosti Městské části Praha 2
Městská část Praha 2
Open Apps Development, a.s.
54 887 294 крон
03.11.2025
Источник:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акта носит информационный характер.
Комментарии 0