Указ No 411 / 2025 Coll.
Указ про рівні безпеки інформаційних систем державного управління
Чинний
Замовити
Чинний від 01.11.2025
Версії тексту:
01.11.2025
14.10.2025
411 р.
ВИЗНАЧЕННЯ
від 26 вересня 2025
на рівні безпеки інформаційних систем державного управління
Національний офіс кібербезпеки та інформаційної безпеки забезпечує, відповідно до § 12 (2) (г) Акту No 365 / 2000 Coll., про інформаційні системи державного управління та про внесення змін до деяких інших законів, як змінено Актом No 265 / 2025 Coll., далі названий « Актом»:
Тема питання
Цей Указ встановлює рівні безпеки інформаційних систем державного управління відповідно до розділу 6l (3) Акту та визначає порядок включення до рівня безпеки.
Визначення умов
Для цілей цієї постанови:
(а) область впливу, як визначена в додатку до цього Регламенту, в межах якого інцидент з кібербезпеки може вплинути на інформаційні системи державного управління для забезпечення функціонування яких повинні застосовуватися хмарні обчислення, вплив на безпеку людини або здоров'я, захист персональних даних, кримінальних проваджень, публічної політики, міжнародних відносин, довіру державного управління, фінансові втрати або надання послуг; і
(b) рівень впливу низької, середньої, високої або критичної цінності, що призводить до тяжкості впливу інциденту з кібербезпеки на інформаційні системи державного управління для забезпечення функціонування яких хмарні обчислення повинні бути використані в кожній області впливу.
Рівень безпеки
Рівень безпеки
(a) низька;
(б) середній,
(c) високий; або
(d) критичний.
Класифікація інформаційної системи державного управління для забезпечення функціонування яких хмарні обчислення будуть використані в рівень безпеки
(1) Включення інформаційної системи публічного адміністрування для забезпечення функціонування якої здійснюється використання хмарних обчислень, вказаних у Додатку. Громадська влада оцінить виконання рівня впливу, що інформаційна система державного управління, яка повинна бути використана для хмарних обчислень, здатне досягати в межах кожної області впливу. Рівень впливу в кожній області впливу обумовлений найбільш серйозним можливим впливом інциденту з кібербезпеки.
(2) При виявленні найбільш серйозного можливого впливу інциденту з кібербезпеки громадський орган враховує потенційне порушення конфіденційності, цілісності та наявності інформаційної системи державного управління для забезпечення використання хмарних обчислень та характеру системи в цілому. У випадку, якщо хмарні обчислення є забезпечення того, що тільки частина інформаційної системи державного управління, здійснюється взаємозв'язок цієї частини до рівня безпеки інформаційної системи державного управління в цілому, також буде враховано при оцінці рівня впливу і в тому числі, що частина в рівні безпеки.
(3) Отриманий рівень безпеки інформаційної системи державного управління для забезпечення функціонування яких повинні бути використані хмарні обчислення, як і найвищий рівень впливу, досягнутих в оцінці окремих зон впливу.
(4) Найвищий рівень безпеки інформаційної системи державного управління в цілому повинен бути створений принаймні для однієї частини інформаційної системи державного управління для забезпечення роботи якої повинні використовуватися хмарні обчислення.
(5) Письмовий запис складається з процесу визначення рівня безпеки інформаційної системи публічного адміністрування для забезпечення функціонування якої повинні використовуватися хмарні обчислення, як зазначені в передових пунктах.
Еффіфікація
Цей Указ діє з 1 листопада 2025 р.
Директор:
Інг. Кінтр в. р.
Додаток
Рівні та області впливу на включення інформаційної системи державного управління для забезпечення функціонування яких хмарні обчислення будуть використані в рівні безпеки
| Oblasti dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|
| A. | B. | C. | D. | E. | F. | G. | H. | |
| Úroveň dopadu | Bezpečnost nebo zdraví lidí | Ochrana osobních údajů | Trestní řízení a páchání trestné činnosti | Veřejný pořádek | Mezinárodní vztahy | Důvěryhodnost orgánu veřejné správy | Finanční ztráty | Zajišťování služeb |
| 1. Nízká | Nemůže vést k poruše zdraví jednotlivce ani skupiny lidí. | Nemůže ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, nebo může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje nejvýše dvě kritéria z první skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Nemůže vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny ani nemůže ztížit jejich vyšetřování. | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné správy. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést k poruše zdraví jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje tři a více kritérií z první skupiny kritérií nebo jedno kritérium z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny nebo může ztížit jejich vyšetřování. | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se úroveň dopadu nízká. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést k poruše zdraví skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje dvě a více kritérií z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vést k narušení vyšetřování trestné činnosti nebo k narušení soudního řízení trestního. | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobé s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 5 % a dosahujícím maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se úroveň dopadu střední. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést k poruše zdraví skupiny více než 2 500 lidí nebo k přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo ke zpochybnění zákonnosti soudního řízení trestního. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s celostátními dopady. | Může vést k přímému poškození nebo přerušení diplomatických vztahů České republiky se zahraničními partnery. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností a negativní následky mohou být dlouhodobé a s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se úroveň dopadu vysoká. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125 000 lidí. |
Групи критеріїв впливу Б. Захист персональних даних
1) Перша група критеріїв складається з наступних критеріїв:
(а) персональні дані обробляються, щоб увімкнути суб’єкт даних для виконання або дії без подальшої затримки від імені суб’єкта даних, в умовах, пов’язаних з пошкодженням відзнаки, репутації або характеру або дозволити дані, що підлягають вилученню послуг, товарів або, де це доречно, збирати гроші або інші активи від імені суб’єкта даних;
(b) персональні дані обробляються, відповідно до якого суб’єкт даних класифікований як учасник групи з обмеженням часу або ситуацією, яка відповідає вразливості;
(c) обробка персональних даних здійснюється, що впливає або може бути нараховано на вплив від 5 000 та 10 000 суб’єктів даних;
(d) персональні дані публічно доступні для необмеженої кількості органів або осіб;
(e) обробка персональних даних системою, пов’язаної з іншими процесами обробки даних, здійсненими самими контролерами даних або іншими контролерами персональних даних.
(2) Друга група критеріїв складається з наступних критеріїв:
(а) обробка окремих категорій персональних даних або даних високоособистісної природи, зокрема фінансових даних про статус майна, суми коштів, боргів або кредитів або оплати моральності, записів історії приватних дзвінків суб’єктів даних, даних з електронної пошти суб’єктів даних і таких як;
(b) обробка персональних даних здійснюється, що впливає або, відповідно, очікувано, впливає на більш ніж 10 000 суб'єктів даних; і
(c) автоматизоване прийняття рішень, що впливає на суб’єкт даних.
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 411 / 2025 Coll, на рівні безпеки інформаційних систем державного управління |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 14.10.2025 |
|---|---|
| Чинний від | 01.11.2025 |
| Чинний до | - |
| Стан | Чинний |
Публічні договори 1
Dodávka HW, SW a služeb - Zvýšení kybernetické bezpečnosti Městské části Praha 2
Městská část Praha 2
Open Apps Development, a.s.
54 887 294 крон
03.11.2025
Джерело:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акту має інформаційний характер.
Коментарі 0