Указ No 409 / 2025 Coll.
Ординанс на заходи безпеки регульованого постачальника послуг за вищими зобов'язаннями
Чинний
Замовити
Чинний від 01.11.2025
Версії тексту:
01.11.2025
14.10.2025
Zobrazeno prvních 200 z celkem 678 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
409 р.
ВИЗНАЧЕННЯ
від 26 вересня 2025
про заходи безпеки регульованого постачальника послуг за вищими зобов’язаннями
Національне Бюро кібербезпеки та інформаційної безпеки забезпечує, відповідно до § 13 (3) Акту No 264 / 2025 Coll., з питань кібербезпеки, надалі – « Акт»:
ІНТРОДУКТОРИ ПРОВІЗІЇ
Тема питання
Цей Указ реалізовує відповідну Європейську спілку1) та, для регульованих постачальників послуг за більшими зобов’язаннями («обов’язкова особа», регламентує зміст заходів безпеки та спосіб, в якому вони реалізовані та реалізуються.
Визначення умов
Для цілей цієї постанови:
(а) користувачем, фізичної або юридичної особи або державного органу з використанням активів;
(b) привілейованого користувача або іншої особи, діяльність якого може мати значний вплив на безпеку регульованого сервісу;
(c) адміністратором, привілейованим користувачем або іншим особам, що надає управління, роботу, використання, обслуговування та безпеку технічного активу;
(d) політика безпеки, сукупність принципів та правил, які визначають, як забезпечується захист активів;
(e) оцінка ризику процесу виявлення, аналізу та оцінки ризиків;
(f) процес управління ризиками за участю оцінки ризику, впровадження заходів з управління ризиками та ризиками;
(g) на основі доступу до ризиків, в тому числі спосіб, в якому встановлено надання, здійснення, операції, моніторинг, огляд, обслуговування та вдосконалення інформаційної безпеки;
(h) важливим постачальником, який забезпечує обов'язкову особу з виставою, яка має право забезпечити кібербезпеку регульованого сервісу.
БЕЗПЕКИ БЕЗПЕКИ
Організаційні заходи
Система управління інформаційною безпекою
Консультаційна особа при системі управління інформаційної безпеки
(а) наведено завдання системи управління інформаційної безпеки, спрямованої на забезпечення кібербезпеки регульованого сервісу;
(b) управляти ризиками, зазначеними у статті 8;
(c) впроваджувати та впроваджувати належні заходи безпеки для забезпечення кібербезпеки регульованого сервісу на основі цілей системи управління інформаційної безпеки, забезпечення безпеки та управління ризиками;
(d) встановити охоронну документацію щодо управління кібербезпекою, яка містить принципи, завдання системи управління інформаційної безпеки, потреби безпеки, права та обов’язки щодо управління інформаційною безпекою, а також на основі потреб безпеки та результатів оцінки ризиків, встановлення політики безпеки та документації безпеки в інших сферах, як зазначено у статті 6;
(e) забезпечити проведення аудиту кібербезпеки відповідно до статті 16;
(f) забезпечити принаймні один раз на рік оцінку ефективності системи управління безпекою інформації, яка містить
1. оцінка цілей системи управління інформаційної безпеки, спрямованих на забезпечення кібербезпеки регульованого сервісу;
2. оцінка реалізації плану управління ризиками, підготовленого відповідно до статті 8 (1) (г);
3. оцінка стану системи управління інформаційної безпеки, в тому числі здійснення оцінки ризику;
4. оцінка результатів проведення кібербезпеки та контрольних перевірок, здійснених в галузі кібербезпеки,
5. результати попередньої оцінки ефективності системи управління інформаційною безпекою, що здійснюється за цією точкою;
6. оцінка впливу кібербезпеки на кібербезпеку та послуги, що надаються відповідно до § 15; та
7. оцінка значних змін згідно § 11;
(g) підготувати звіт про огляд системи управління інформаційної безпеки на основі оцінки ефективності системи управління інформаційної безпеки, зазначеної в точці (f);
(h) оновити систему управління інформаційної безпеки та відповідну документацію на основі:
1. з’ясування перевірок кібербезпеки та контролінгу в галузі кібербезпеки,
2. результати оцінки ефективності системи управління інформаційної безпеки;
3. Вплив випадків кібербезпеки на надання послуг;
4. внесені істотні зміни;
(i) керувати діяльністю та ресурсами системи управління інформаційною безпекою та записувати діяльність, пов’язані з системою управління інформаційної безпеки та управління ризиками; та
(j) встановити процес управління звільненнями від правил, викладених у політиці безпеки, зазначених у пункті (d).
Вимоги до управління
(1) Статутний орган зобов’язаної особи або іншої особи або групи осіб в аналогічному положенні з зобов’язаною особою (далі – «сеніор управління») щодо системи управління інформаційної безпеки
(а) демонстровано навчання відповідно до розділу 10 (3) (а);
(b) забезпечення політики безпеки та цілей системи управління інформаційною безпекою, зазначених у статті 3, сумісні з стратегічним напрямком зобов’язань;
(c) забезпечення інтеграції системи управління інформаційною безпекою в процеси суб’єкта господарювання;
(d) забезпечення наявності ресурсів, необхідних для системи управління інформаційної безпеки;
(e) інформування працівників та всіх зацікавлених осіб про важливість системи управління інформаційною безпекою та важливість досягнення відповідності її вимогам;
(f) забезпечити підтримку досягнення цілей системи управління інформаційної безпеки;
(г) веде та підтримує співробітників для розробки ефективності системи управління інформаційної безпеки;
(h) участь у розробці аналізу впливу відповідно до статті 15;
(i) забезпечення тестування планів безперервності діяльності, відновлення та процесів, пов’язаних з управлінням інцидентів з кібербезпеки;
(j) сприяти безперервному покращенню системи управління інформаційної безпеки;
(k) підтримка акторів безпеки для просування кібербезпеки у своїх сферах відповідальності;
(l) запевняють, що правила закладаються для ідентифікації адміністраторів та осіб, які будуть утримувати роль безпеки;
(m) забезпечити збереження конфіденційності всіх відповідних осіб, зокрема адміністраторів, акторів безпеки та постачальників;
(n) забезпечити, для осіб, які здійснюють роль безпеки, повноваження, необхідні для виконання своїх ролей і ресурсів, включаючи бюджетні засоби для виконання своїх ролей і пов'язаних завдань.
(2) Старший менеджмент показує, щоб бути знайомим
(а) звіт про огляд системи управління інформаційної безпеки;
(b) звіт про оцінку ризику;
(c) план управління ризиками;
(d) результати аналізу впливу;
(e) з результатами перевірок контролю кібербезпеки та кібербезпеки.
(3) Старший менеджмент встановлює Комітет з управління кібербезпекою та позначення його членів,
(а) забезпечити, що членом Комітету з питань управління кібербезпекою є членом старшого управління або особи, делегованої ним та менеджером з питань кібербезпеки;
(b) визначення прав та обов’язків Комітету з управління кібербезпекою та її членів, пов’язаних з системою управління інформаційної безпеки;
(c) забезпечити проведення регулярних зустрічей Комітету з управління кібербезпекою не менше одного року;
(d) забезпечити те, що оповіщення здійснюється на проведення девізацій Комітету з питань кібербезпеки;
(e) забезпечити, що Комітет з управління кібербезпекою складається з осіб з компетентністю та компетентністю для загального управління та розвитку системи управління інформаційної безпеки та осіб, які значно залучені до управління та координації діяльності з кібербезпеки.
(4) Старший менеджмент визначає осіб, в тому числі визначення їх прав та обов’язків, пов’язаних з системою управління інформаційної безпеки, які будуть утримувати роль безпеки.
(a) Менеджер з кібербезпеки,
(b) архітектор кібербезпеки
(c) гарантія активів;
(d) аудитор кібербезпеки.
(5) Старший менеджмент гарантує, що ролі безпеки, що зазначені в пункті 4 (а) та (b) є підпунктом.
Визначення ролі безпеки
(1) Менеджер з кібербезпеки
(а) покладено управління системою управління інформаційною безпекою, виконання якого може бути довірена особою, яка пройшла навчання за цією діяльністю і яка продемонструвала компетенцію досвіду управління кібербезпекою або інформаційної безпеки протягом принаймні 3 років;
(b) обов’язкові для регулярного інформування старшого управління:
1. діяльність, що призводить до її відповідальності;
2. стан системи управління інформаційної безпеки;
(c) не може бути довірений з виконанням ролей, відповідальних за роботу технічних засобів регульованого сервісу.
(2) Архітектор з кібербезпеки несе відповідальність за забезпечення, що заходи безпеки реалізовані таким чином, щоб забезпечити безпечну архітектуру регульованого сервісу, виконання якого може бути довірена особою, яка навчена для цієї діяльності і продемонструвати компетенцію практики проектування виконання заходів безпеки і забезпечення безпечної архітектури принаймні 3 років.
(3) Охорона майна несе відповідальність за забезпечення розвитку, використання та безпеки майна.
(4) Аудит кібербезпеки
(а) несе відповідальність за проведення аудиту кібербезпеки, виконання якого може бути довірена особою, яка навчається за цю діяльність і демонструє компетентність практики проведення перевірок кібербезпеки або перевірок системи управління інформаційної безпеки на строк не менше 3 років;
(b) забезпечує проведення аудиту кібербезпеки;
(c) не несе відповідальності за виконання інших ролей безпеки.
Управління політикою безпеки та охоронна документація
(1) Обов'язкова особа встановлює політику безпеки щодо управління кібербезпекою та призведе до політики безпеки та безпечної документації до відповідних заходів безпеки, зазначених у пунктах 3 до 27.
(2) Обов'язкова особа, яка відповідає правилам та процедурам, викладеними в Політиці безпеки та документацією про безпеку, зазначених у пункті 1.
(3) Обов'язкова особа регулярно переглядає політику безпеки та документацію про безпеку, забезпечує, що вони актуальні та включають в себе відповідні напрямки в оперативній документації, правила та процедури.
(4) Обов'язкова особа зобов'язується оформлювати особу, відповідальну за регулярний перегляд та оновлення політики безпеки та документації про безпеку, зазначених у пункті 3.
(5) Політика безпеки та охоронна документація повинні керуватися таким чином:
(а) в електронній або паперовій формі;
(b) осіб, які мають відношення до зобов’язання бути повідомленими про права, обов’язки та процедури, що містяться в ньому;
(c) обґрунтовано доступ до осіб, які цікавляться;
(d) захищена від конфіденційності, цілісності та наявності;
(e) інформація, що міститься в ньому, є повним, легшим, легко ідентифікованим і простежливим.
Управління активами
Консультаційна особа за визначенням сфери управління кібербезпекою в розділі 12 Закону
(а) встановити методологію визначення активів;
(b) встановити методологію оцінки активів, в тому числі визначення рівнів активів, принаймні до визначеної в додатку 1 до цього Указу;
(c) облік гарантій активів відповідно до статті 4 (4) (c);
(d) оцінювати первинні активи з точки зору конфіденційності, цілісності та доступності та включення їх до різних рівнів, зазначених у (b);
(e) оцінка, оцінка основних активів, принаймні, областей, що вказані в додатку 1 до цієї Указу;
(f) визначення та реєстр посилань між активами, які впливають на безпеку регульованого сервісу;
(г) оцінити активи та спиратися на визначені посилання на основні активи;
(h) для різних рівнів активів, зазначених в точці (b), встановлення та впровадження правил захисту, необхідних для забезпечення їх конфіденційності, цілісності та наявності, які повинні включати принаймні:
1. дозволені засоби використання активів;
2. правила обробки активів, включаючи правила забезпечення електронного розподілу та фізичного перенесення активів;
3. Правила класифікації інформації,
4. Правила маркування активів;
5. Правила управління біржовими ЗМІ;
6. Правила визначення того, як інформація та дані повинні бути вміщені та копії, а також для утилізації технічних засобів, які є носіями інформації та даних з урахуванням рівня активів відповідно до Додаток 2 до цієї Указу.
Управління ризиками
(1) Обов’язкове управління ризиками § 7
(а) встановити методологію ідентифікації та оцінки ризиків, зокрема встановлення критеріїв прийнятності ризиків;
(b) визначити відповідні загрози та вразливість при визначенні ризиків щодо активів; розглянути принаймні категорії загроз та вразливостей, що вказані в додатку 3 до цієї Укази,
(c) здійснювати оцінку ризиків при регулярних інтервалах принаймні один раз на рік і в разі значних змін, визначених відповідно до статті 11 (1) (c), з урахуванням:
1. відповідні загрози та вразливості, які зазначені в точці (б) та оцінюють потенційні наслідки на активах, на основі оцінки активів, зазначених у статті 7;
2. суттєві зміни,
3. зміни до визначеного обсягу відповідно до розділу 12 Закону,
4. протипоказання до розділу 20 Закону;
5. інциденти з кібербезпеки, в тому числі раніше адресовані;
6. результати перевірок кібербезпеки та контролю на кібербезпекі,
7. результати тестування проникнення та сканування вразливостей;
8. результати оцінки ефективності системи управління інформаційної безпеки;
(d) оцінка ризику здійснюється принаймні в межах переліку Додаток 4 до цього Указу;
(e) підготувати звіт про оцінку ризику на основі оцінки ризику, здійсненого як в (c);
(f) він повинен, на підставі потреб безпеки і результатів оцінки ризику, складання декларації про аплікацію, що містить огляд всіх заходів безпеки, передбачених цим Указом, які:
1. не було застосовано, в тому числі обґрунтування та показання будь-яких заходів з безпеки;
2. застосовується, в тому числі спосіб, в якому здійснюється;
(g) на підставі оцінки ризику, здійсненої відповідно до пункту (c) і відповідно до критеріїв, викладених за прийнятністю ризиків, він повинен підготувати план управління ризиками, що містить:
1. опис заходів безпеки ризику;
2. цілі та переваги заходів з управління ризиками;
3. визначення особи, що забезпечує введення заходів з управління ризиками;
4. передбачені людські, фінансові та технічні ресурси для реалізації заходів безпеки;
5. необхідна дата введення заходів безпеки;
6. опис посилань між ризиками та відповідними заходами безпеки;
7. бетонний спосіб реалізації заходів безпеки.
(2) Обов'язкова особа, відповідно до плану управління ризиками, вводить заходи безпеки.
(3) Оцінка ризику може бути забезпечена способами, крім випадків, передбачених пунктом 1 (c), за умови, що зобов'язаний забезпечити той самий або вищий рівень процесу оцінки ризику та відповідає пункту 5 Додаток 4 до цієї Указу.
(4) Обов'язкова особа не повинна застосовувати певні заходи безпеки, передбачені в цьому Указі тільки на підставі управління ризиками.
Управління постачальниками
(1) Конкурорна особа при управлінні постачальниками
(а) укладають правила для постачальників, які враховують вимоги системи управління інформаційної безпеки;
(b) він чітко визначає постачальників з правилами, зазначеними в (a) і вимагає дотримання цих правил;
(c) управляти ризиками, пов'язані з постачальниками;
(d) ідентифікувати і реєструвати свої суттєві постачальники в розумінні статті 2 (h);
(e) верифіковано інформувати своїх суттєвих постачальників у письмовій формі своїх записів (d);
(f) забезпечити, щодо управління ризиками, пов’язаними з значними постачальниками, що договори, укладені з значними постачальниками, включають відповідні положення, викладені в Додаток 5 до цієї Указу; і
(g) регулярно переглядають виконання контрактів з значними постачальниками в умовах системи управління інформаційної безпеки.
(2) Компульсиорна особа для значних постачальників
(а) здійснювати, в рамках процедури відбору за Актом публічних закупівель (2) або, перед укладенням договору, оцінка ризиків, пов’язаних з виконанням, зазначеними в додатку 4;
(b) встановити, в рамках укладених договірних відносин, методи та рівні реалізації заходів безпеки та, за договором, зміст взаємодійної відповідальності за встановлення та контроль заходів безпеки;
(c) здійснювати регулярні оцінки ризиків та періодичні перевірки на заходи безпеки, передбачені власними ресурсами або третіми особами;
(d) забезпечити, у відповідь на ризики та визначені недоліки, рішення, які приймаються без затримки.
(3) Елементи верифікованої інформації, що зазначені в пункті 1 (e) є:
(а) ідентифікаційні реквізити зобов’язаної особи, в тому числі вказівки, що зобов’язана особа є постачальником регульованого сервісу за більшими зобов’язаннями;
(б) найменування регульованого обслуговування суб’єкта господарювання;
(c) визначення відповідного постачальника;
(d) заява, що постачальник є важливим постачальником до зобов'язання.
Безпека людських ресурсів
(1) План підвищення обізнаності про безпеку встановлюється обов’язковою особою в рамках охорони людських ресурсів, з урахуванням стану та потреб системи управління інформаційної безпеки, забезпечення належної освіти та підвищення обізнаності про безпеку, включаючи форму, зміст та ступінь навчання, які навчаються та навчаються в пункті 2.
(2) Обов’язкова особа зобов’язана включати в тарифний план обізнаності про безпеку:
(а) уроки, які навчаються з питань старшого управління на своїх обов’язках та політиці безпеки, зокрема у сферах системи управління інформацією та ризиками;
(b) уроки користувачів, адміністраторів та осіб, які здійснюють ролі безпеки на своїх обов’язках та політиці безпеки;
(c) необхідна теоретична та практична підготовка користувачів, адміністраторів та акторів безпеки;
(d) правила створення захищених паролів відповідно до § 19; та
(e) відповідні суб'єкти, що вказані в додатку 6 до цієї Укази.
(3) Відповідальна особа в рамках обізнаності про безпеку:
(а) керівництво по підвищенню відповідальності за її обов’язки, щодо політики безпеки, зокрема в області системи управління інформаційної безпеки, управління ризиками та управління безперервністю діяльності у вигляді введення та періодичного навчання на здобуття знань та навичок, що призводять до виявлення ризику та оцінки придатності обраних процедур управління ризиками та їх вплив на регульоване обслуговування;
(b) уроки для користувачів, адміністраторів та осіб, які здійснюють ролі безпеки на своїх обов’язках та політиці безпеки у вигляді вступу та регулярного навчання;
(c) регулярне навчання осіб, які здійснюють роль безпеки, на основі поточних потреб обов’язкової особи в галузі кібербезпеки;
(d) регулярне навчання та перевірка обізнаності персоналу відповідно до їхньої працездатності або надання послуг.
(4) Консультативна особа в рамках охорони людських ресурсів
(а) позначення осіб, відповідальних за проведення індивідуальних заходів, зазначених у Плані розвитку безпеки;
(b) забезпечити, відповідно до Плану розвитку безпеки, виконання уроків та тренінгів, зазначених у пункті 3;
(c) регулярно оцінювати ефективність плану розвитку обізнаності про безпеку, навчання та інші заходи, пов’язані з підвищенням обізнаності про безпеку;
(d) забезпечити дотримання політики безпеки користувачами, адміністраторами та особами, що представляють роль безпеки;
(e) визначити правила та процедури боротьби з порушеннями користувачами, адміністраторами та особами, що представляють роль безпеки; та
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 409 / 2025 Coll., про заходи безпеки регульованого постачальника послуг у вищому режимі |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 14.10.2025 |
|---|---|
| Чинний від | 01.11.2025 |
| Чинний до | - |
| Стан | Чинний |
Публічні договори 5
SLU - audit kybernetické bezpečnosti dle vyhlášky č. 409/2025 Sb.
Jihomoravský kraj
Sotrit s.r.o.
193 600 крон
20.03.2026
Obecná objednávka
Ústav experimentální medicíny AV ČR, v. v. i.
Blue Partners s.r.o.
169 158 крон
15.01.2026
Dodatek č. 1 ke Smlouvě o poskytování služeb
Dopravní společnost Ústeckého kraje, příspěvková o...
Next Generation Security Solutions s.r.o.
1 350 965 крон
11.12.2025
Podpora a rozvoj Srovnávacího nástroje ČTÚ
Český telekomunikační úřad
CHAPS spol. s r.o.
7 245 480 крон
26.11.2025
Dodatek č. 1 ke Smlouvě o provedení auditu kybernetické bezpečnosti informačních a komunikačních sys...
Město Telč
ELAT s.r.o.
12.11.2025
Сповіщення
Джерело:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акту має інформаційний характер.
Коментарі 0