Vyhláška č. 409/2025 Sb.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Platný
Vyhláška
Účinnost od 01.11.2025
Verze znění:
01.11.2025
14.10.2025
Zobrazeno prvních 200 z celkem 678 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
409
VYHLÁŠKA
ze dne 26. září 2025
o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 13 odst. 3 zákona č. 264/2025 Sb., o kybernetické bezpečnosti, (dále jen „zákon“):
ÚVODNÍ USTANOVENÍ
Předmět právní úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a pro poskytovatele regulované služby v režimu vyšších povinností (dále jen „povinná osoba“) upravuje obsah bezpečnostních opatření a způsob jejich zavádění a provádění.
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, který využívá aktiva,
b) privilegovaným uživatelem uživatel nebo jiná osoba, jejíž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
c) administrátorem privilegovaný uživatel nebo jiná osoba zajišťující správu, provoz, užívání, údržbu a bezpečnost technického aktiva,
d) bezpečnostní politikou soubor zásad a pravidel, která určují způsob zajištění ochrany aktiv,
e) hodnocením rizik proces určování, analýzy a vyhodnocení rizik,
f) řízením rizik proces zahrnující hodnocení rizik, zavádění bezpečnostních opatření ke zvládání rizik a komunikaci rizik,
g) systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům, zahrnující způsob ustanovení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací a
h) významným dodavatelem ten, kdo povinné osobě poskytuje plnění, které je významné z hlediska zajištění kybernetické bezpečnosti regulované služby.
BEZPEČNOSTNÍ OPATŘENÍ
Organizační opatření
Systém řízení bezpečnosti informací
Povinná osoba v rámci systému řízení bezpečnosti informací
a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,
b) řídí rizika podle § 8,
c) zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik,
d) stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6,
e) zajistí provedení auditu kybernetické bezpečnosti podle § 16,
f) zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje
1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,
2. posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g),
3. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,
4. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
5. výsledky předchozího hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmene,
6. posouzení dopadů kybernetických bezpečnostních incidentů na oblast kybernetické bezpečnosti a na poskytované služby podle § 15 a
7. posouzení významných změn podle § 11,
g) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmene f),
h) aktualizuje systém řízení bezpečnosti informací a relevantní dokumentaci na základě
1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
2. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací,
3. dopadů kybernetických bezpečnostních incidentů na poskytované služby a
4. prováděných významných změn,
i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a
j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).
Požadavky na vrcholné vedení
(1) Statutární orgán povinné osoby nebo jiná osoba anebo skupina osob v obdobném řídícím postavení u povinné osoby (dále jen „vrcholné vedení“) s ohledem na systém řízení bezpečnosti informací
a) prokazatelně absolvuje školení podle § 10 odst. 3 písm. a),
b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3, slučitelných se strategickým směřováním povinné osoby,
c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,
d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,
e) informuje zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky,
f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací,
g) vede a podporuje zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací,
h) se podílí na vypracování analýzy dopadů podle § 15,
i) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů,
j) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,
k) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,
l) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,
m) zajistí, aby byla zachována mlčenlivost všech relevantních osob zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů, a
n) zajistí pro osoby zastávající bezpečnostní role pravomoci potřebné pro naplňování jejich rolí a zdroje, včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.
(2) Vrcholné vedení se prokazatelně seznamuje
a) se zprávou o přezkoumání systému řízení bezpečnosti informací,
b) se zprávou o hodnocení rizik,
c) s plánem zvládání rizik,
d) s výsledky analýzy dopadů a
e) s výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.
(3) Vrcholné vedení zřídí výbor pro řízení kybernetické bezpečnosti a určí jeho členy, přičemž
a) zajistí, že členem výboru pro řízení kybernetické bezpečnosti bude alespoň 1 člen vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti,
b) určí práva a povinnosti výboru pro řízení kybernetické bezpečnosti a jeho členů, související se systémem řízení bezpečnosti informací,
c) zajistí konání pravidelných jednání výboru pro řízení kybernetické bezpečnosti alespoň jednou ročně,
d) zajistí vyhotovení záznamu o průběhu jednání výboru pro řízení kybernetické bezpečnosti a
e) zajistí, že výbor pro řízení kybernetické bezpečnosti je složen z osob s pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osob významně se podílejících na řízení a koordinaci činností spojených s kybernetickou bezpečností.
(4) Vrcholné vedení určí osoby, včetně vymezení jejich práv a povinností souvisejících se systémem řízení bezpečnosti informací, které budou zastávat bezpečnostní role
a) manažera kybernetické bezpečnosti,
b) architekta kybernetické bezpečnosti,
c) garanta aktiva a
d) auditora kybernetické bezpečnosti.
(5) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 4 písm. a) a b).
Stanovení bezpečnostních rolí
(1) Manažer kybernetické bezpečnosti
a) je pověřen řízením systému řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let,
b) odpovídá za pravidelné informování vrcholného vedení o
1. činnostech vyplývajících z rozsahu jeho odpovědnosti a
2. stavu systému řízení bezpečnosti informací,
c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby.
(2) Architekt kybernetické bezpečnosti je pověřen k zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury v délce alespoň 3 let.
(3) Garant aktiva je pověřen k zajištění rozvoje, použití a bezpečnost aktiva.
(4) Auditor kybernetické bezpečnosti
a) je pověřen prováděním auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací v délce alespoň 3 let,
b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a
c) nesmí být pověřen výkonem jiných bezpečnostních rolí.
Řízení bezpečnostní politiky a bezpečnostní dokumentace
(1) Povinná osoba stanoví bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti a vede bezpečnostní politiku a bezpečnostní dokumentaci k relevantním bezpečnostním opatřením uvedeným v § 3 až 27.
(2) Povinná osoba dodržuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci podle odstavce 1.
(3) Povinná osoba pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci, zajišťuje jejich aktuálnost a jejich relevantní oblasti zahrnuje do provozní dokumentace, pravidel a postupů.
(4) Povinná osoba určí osobu odpovědnou za pravidelný přezkum a aktualizaci bezpečnostní politiky a bezpečnostní dokumentace podle odstavce 3.
(5) Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly
a) dostupné v elektronické nebo listinné podobě,
b) dotčené osoby v rámci povinné osoby informovány o právech, povinnostech a postupech v nich obsažených,
c) přiměřeně dostupné dotčeným osobám,
d) chráněny z pohledu důvěrnosti, integrity a dostupnosti a
e) informace v nich obsažené úplné, čitelné, snadno identifikovatelné a vyhledatelné.
Řízení aktiv
Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti podle § 12 zákona
a) stanoví metodiku pro určování aktiv,
b) stanoví metodiku pro hodnocení aktiv včetně stanovení úrovní aktiv, alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,
c) eviduje garanty aktiv podle § 4 odst. 4 písm. c),
d) hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),
e) posuzuje při hodnocení primárních aktiv alespoň oblasti uvedené v příloze č. 1 k této vyhlášce,
f) určuje a eviduje vazby mezi aktivy, která mají vliv na bezpečnost regulované služby,
g) hodnotí podpůrná aktiva a vychází přitom zejména z určených vazeb na primární aktiva a
h) pro jednotlivé úrovně aktiv podle písmene b) stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují alespoň
1. přípustné způsoby používání aktiv,
2. pravidla pro manipulaci s aktivy, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,
3. pravidla pro klasifikaci informací,
4. pravidla pro označování aktiv,
5. pravidla správy výměnných médií a
6. pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv v souladu s přílohou č. 2 k této vyhlášce.
Řízení rizik
(1) Povinná osoba při řízení rizik v návaznosti na § 7
a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,
b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,
c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední
1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7,
2. významné změny,
3. změny stanoveného rozsahu podle § 12 zákona,
4. protiopatření podle § 20 zákona,
5. kybernetické bezpečnostní incidenty, včetně dříve řešených,
6. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
7. výsledky penetračního testování a skenování zranitelností a
8. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací,
d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce,
e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik,
f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která
1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a
2. byla aplikována, včetně způsobu plnění,
g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje
1. popis bezpečnostních opatření pro zvládání rizik,
2. cíle a přínosy bezpečnostních opatření pro zvládání rizik,
3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,
4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,
5. požadovaný termín zavedení bezpečnostních opatření,
6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
7. konkrétní způsob realizace bezpečnostních opatření.
(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce.
(4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.
Řízení dodavatelů
(1) Povinná osoba při řízení dodavatelů
a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,
b) prokazatelně seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,
c) řídí rizika spojená s dodavateli,
d) identifikuje a eviduje své významné dodavatele ve smyslu § 2 písm. h),
e) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene d),
f) zajistí v souvislosti s řízením rizik spojených s významnými dodavateli, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení uvedená v příloze č. 5 k této vyhlášce, a
g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.
(2) Povinná osoba u významných dodavatelů dále
a) provádí v rámci výběrového řízení podle zákona o zadávání veřejných zakázek2) nebo před uzavřením smlouvy hodnocení rizik souvisejících s plněním podle přílohy č. 4 k této vyhlášce,
b) stanoví v rámci uzavíraných smluvních vztahů způsoby a úrovně realizace bezpečnostních opatření a smluvně určí obsah vzájemné odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a
d) zajistí v reakci na rizika a zjištěné nedostatky jejich řešení, která budou přijata bez zbytečného odkladu.
(3) Náležitosti prokazatelného informování podle odstavce 1 písm. e) jsou
a) identifikační údaje povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností,
b) název regulované služby povinné osoby,
c) identifikační údaje významného dodavatele a
d) prohlášení, že dodavatel je pro povinnou osobu významným dodavatelem.
Bezpečnost lidských zdrojů
(1) Povinná osoba v rámci bezpečnosti lidských zdrojů s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení a školení podle odstavce 2.
(2) Povinná osoba zahrne do plánu rozvoje bezpečnostního povědomí
a) poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice, zejména v oblastech systému řízení bezpečnosti informací a řízení rizik,
b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice,
c) potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
d) pravidla tvorby bezpečných hesel v souladu s § 19 a
e) relevantní témata uvedená v příloze č. 6 k této vyhlášce.
(3) Povinná osoba v rámci bezpečnostního povědomí zajistí
a) poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblasti systému řízení bezpečnosti informací, řízení rizik a řízení kontinuity činností formou vstupních a pravidelných školení k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu,
b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
c) pravidelná odborná školení osobám zastávajícím bezpečnostní role, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti, a
d) pravidelná školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní nebo služebním zařazením.
(4) Povinná osoba v rámci bezpečnosti lidských zdrojů
a) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu rozvoje bezpečnostního povědomí uvedeny,
b) zajistí v souladu s plánem rozvoje bezpečnostního povědomí provedení poučení a školení podle odstavce 3,
c) pravidelně hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,
d) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,
e) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
Přihlaste se pro poznámky, oblíbené a upozornění
Informace o předpisu
| Citace | Vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností |
|---|---|
| Typ předpisu | Vyhláška |
| Autor | - |
| Sbírka | Sbírka zákonů |
| Datum vyhlášení | 14.10.2025 |
|---|---|
| Účinnost od | 01.11.2025 |
| Účinnost do | - |
| Stav | Platný |
Veřejné smlouvy 5
SLU - audit kybernetické bezpečnosti dle vyhlášky č. 409/2025 Sb.
Jihomoravský kraj
Sotrit s.r.o.
193 600 Kč
20.03.2026
Obecná objednávka
Ústav experimentální medicíny AV ČR, v. v. i.
Blue Partners s.r.o.
169 158 Kč
15.01.2026
Dodatek č. 1 ke Smlouvě o poskytování služeb
Dopravní společnost Ústeckého kraje, příspěvková o...
Next Generation Security Solutions s.r.o.
1 350 965 Kč
11.12.2025
Podpora a rozvoj Srovnávacího nástroje ČTÚ
Český telekomunikační úřad
CHAPS spol. s r.o.
7 245 480 Kč
26.11.2025
Dodatek č. 1 ke Smlouvě o provedení auditu kybernetické bezpečnosti informačních a komunikačních sys...
Město Telč
ELAT s.r.o.
12.11.2025
Upozornění
Zdroj:
Hlídač státu
(CC BY 3.0 CZ)
Znění předpisu má informativní charakter.
Komentáře 0