SBÍRKA ZÁKONŮ - nbu.cz · škození aktiva, g) hodnocením rizik proces, při němžje určována významnost rizik a jejich přijatelná úroveň,

Ročník 2014

SBÍRKA ZÁKONŮČESKÁ REPUBLIKA

Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109,–

O B S A H :

314. Nař ízení vlády o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke službě vzniklé služeb-ním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých a na zřízení pomníku nebodesky

315. Nař ízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

316. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stano-vení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

317. Vyhláška o významných informačních systémech a jejich určujících kritériích

314

NAŘÍZENÍ VLÁDY

ze dne 8. prosince 2014

o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnostike službě vzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů

na výživu pozůstalých a na zřízení pomníku nebo desky

Vláda nařizuje k provedení zákona č. 361/2003Sb., o služebním poměru příslušníků bezpečnostníchsborů, ve znění zákona č. 186/2004 Sb., zákonač. 436/2004 Sb., zákona č. 586/2004 Sb., zákonač. 626/2004 Sb., zákona č. 169/2005 Sb., zákonač. 253/2005 Sb., zákona č. 413/2005 Sb., zákonač. 530/2005 Sb., zákona č. 189/2006 Sb., zákonač. 531/2006 Sb., zákona č. 261/2007 Sb., zákonač. 305/2008 Sb., zákona č. 306/2008 Sb., zákonač. 326/2009 Sb., zákona č. 341/2011 Sb., zákonač. 375/2011 Sb., zákona č. 428/2011 Sb., zákonač. 458/2011 Sb., zákona č. 470/2011 Sb., zákonač. 167/2012 Sb., zákona č. 399/2012 Sb. a zákonač. 303/2013 Sb.:

§ 1

Náhrada za ztrátu na služebním příjmu poskončení neschopnosti ke službě vzniklé služebnímúrazem nebo nemocí z povolání (dále jen „náhradaza ztrátu na služebním příjmu“) a náhrada nákladů

na výživu pozůstalých náležející příslušníkům nebopozůstalým podle zákona č. 361/2003 Sb., o služeb-ním poměru příslušníků bezpečnostních sborů, veznění pozdějších předpisů, popřípadě podle dřívěj-ších právních předpisů1), se upravuje tak, že prů-měrný služební příjem rozhodný pro výpočet ná-hrady za ztrátu na služebním příjmu a pro výpočetnáhrady nákladů na výživu pozůstalých, popřípadězvýšený podle dřívějších právních předpisů2), sezvyšuje o 1,6 %.

§ 2

Vznikne-li nárok na náhradu za ztrátu na slu-žebním příjmu a na náhradu nákladů na výživu po-zůstalých po 31. prosinci 2014, průměrný služebnípříjem rozhodný pro výpočet náhrad se podle § 1nezvyšuje.

§ 3

Úprava podle § 1 přísluší od 1. ledna 2015 a pro-

Sbírka zákonů č. 314 / 2014Strana 3962 Částka 127

1) Zákon č. 100/1970 Sb., o služebním poměru příslušníků Sboru národní bezpečnosti, ve znění pozdějších předpisů.Zákon č. 334/1991 Sb., o služebním poměru policistů zařazených ve Federálním policejním sboru a Sboru hradnípolicie, ve znění pozdějších předpisů.Zákon č. 186/1992 Sb., o služebním poměru příslušníků Policie České republiky, ve znění pozdějších předpisů.Zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.Zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů.

2) Nařízení vlády č. 368/2007 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání.Nařízení vlády č. 347/2008 Sb., o úpravě náhrady nákladů na výživu pozůstalých po příslušnících bezpečnostníchsborů.Nařízení vlády č. 466/2008 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých.Nařízení vlády č. 412/2010 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých.Nařízení vlády č. 377/2011 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých.Nařízení vlády č. 484/2012 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých.Nařízení vlády č. 454/2013 Sb., o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti ke služběvzniklé služebním úrazem nebo nemocí z povolání a o úpravě náhrady nákladů na výživu pozůstalých.

vede se bez žádosti příslušníka nebo pozůstalýcha na žádost příslušníka jen v případě, že mu náhradaza ztrátu na služebním příjmu nenáležela z důvoduzvýšení invalidního důchodu podle právních před-pisů o sociálním zabezpečení nebo o důchodovémpojištění.

§ 4

Zemře-li příslušník následkem služebního úrazu

nebo nemoci z povolání, poskytuje se náhrada ná-kladů na zřízení pomníku nebo desky až do výše40 000 Kč osobě, která tyto náklady vynaložila.

§ 5

Účinnost

Toto nařízení nabývá účinnosti dnem jeho vy-hlášení.

Předseda vlády:

Mgr. Sobotka v. r.

Ministr vnitra:

Chovanec v. r.

Sbírka zákonů č. 314 / 2014Částka 127 Strana 3963

315

NAŘÍZENÍ VLÁDY

ze dne 8. prosince 2014,

kterým se mění nařízení vlády č. 432/2010 Sb.,o kritériích pro určení prvku kritické infrastruktury

Vláda nařizuje podle § 40 odst. 1 zákona č. 240//2000 Sb., o krizovém řízení a o změně některýchzákonů (krizový zákon), ve znění zákona č. 320//2002 Sb. a zákona č. 430/2010 Sb., k provedení§ 4 odst. 1 písm. d):

Čl. I

Příloha k nařízení vlády č. 432/2010 Sb., o kri-tériích pro určení prvku kritické infrastruktury, zní:

„Příloha k nařízení vlády č. 432/2010 Sb.








Čl. II

Účinnost

Toto nařízení nabývá účinnosti dnem 1. ledna2015.

Předseda vlády:

Mgr. Sobotka v. r.

Ministr vnitra:

Chovanec v. r.


316

VYHLÁŠKA


o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech,reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti

(vyhláška o kybernetické bezpečnosti)

Národní bezpečnostní úřad stanoví podle § 28odst. 2 zákona č. 181/2014 Sb., o kybernetické bez-pečnosti a o změně souvisejících zákonů (zákono kybernetické bezpečnosti), (dále jen „zákon“)k provedení § 6 písm. a) až c), § 8 odst. 4, § 13odst. 4 a § 16 odst. 6 zákona.

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Touto vyhláškou se stanoví obsah a strukturabezpečnostní dokumentace pro informační systémkritické informační infrastruktury, komunikační sy-stém kritické informační infrastruktury nebo vý-znamný informační systém, obsah bezpečnostníchopatření, rozsah jejich zavedení, typy a kategorie ky-bernetických bezpečnostních incidentů, náležitostia způsob hlášení kybernetického bezpečnostního in-cidentu, náležitosti oznámení o provedení reaktiv-ního opatření a jeho výsledku a vzor oznámení kon-taktních údajů a jeho formu.

§ 2

Vymezení pojmů

V této vyhlášce se rozumí

a) systémem řízení bezpečnosti informací část sy-stému řízení orgánu a osoby uvedené v § 3písm. c) až e) zákona založená na přístupu k ri-zikům informačního systému kritické infor-mační infrastruktury, komunikačního systémukritické informační infrastruktury nebo vý-znamného informačního systému, která stanovízpůsob ustavení, zavádění, provoz, monitoro-vání, přezkoumání, udržování a zlepšování bez-pečnosti informací,

b) aktivem primární aktivum a podpůrné aktivum,

c) primárním aktivem informace nebo služba, kte-rou zpracovává nebo poskytuje informační sy-stém kritické informační infrastruktury, komu-nikační systém kritické informační infrastruk-tury nebo významný informační systém,

d) podpůrným aktivem technické aktivum, za-městnanci a dodavatelé podílející se na provozu,rozvoji, správě nebo bezpečnosti informačníhosystému kritické informační infrastruktury, ko-munikačního systému kritické informační infra-struktury nebo významného informačního sy-stému,

e) technickým aktivem technické vybavení, komu-nikační prostředky a programové vybavení in-formačního systému kritické informační infra-struktury, komunikačního systému kritické in-formační infrastruktury nebo významného in-formačního systému a objekty, ve kterých jsoutyto systémy umístěny,

f) rizikem možnost, že určitá hrozba využije zra-nitelnosti informačního systému kritické infor-mační infrastruktury, komunikačního systémukritické informační infrastruktury nebo vý-znamného informačního systému a způsobí po-škození aktiva,

g) hodnocením rizik proces, při němž je určovánavýznamnost rizik a jejich přijatelná úroveň,

h) řízením rizik činnost zahrnující hodnocení ri-zik, výběr a zavedení opatření ke zvládání rizik,sdílení informací o riziku a sledování a přezkou-mání rizik,

i) hrozbou potencionální příčina kybernetickébezpečnostní události nebo kybernetickéhobezpečnostního incidentu, jejímž výsledkemmůže být poškození aktiva,

j) zranitelností slabé místo aktiva nebo bezpeč-


nostního opatření, které může být zneužito jed-nou nebo více hrozbami,

k) přijatelným rizikem riziko zbývající po uplat-nění bezpečnostních opatření, jehož úroveň od-povídá kritériím pro přijatelnost rizik,

l) bezpečnostní politikou soubor zásad a pravidel,které určují způsob zajištění ochrany aktivorgánem a osobou uvedenou v § 3 písm. c)až e) zákona,

m) garantem aktiva fyzická osoba pověřená orgá-nem nebo osobou uvedenou v § 3 písm. c)až e) zákona k zajištění rozvoje, použití a bez-pečnosti aktiva,

n) uživatelem fyzická nebo právnická osoba aneboorgán veřejné moci, která využívá primárníaktiva,

o) administrátorem fyzická osoba pověřená garan-tem aktiva zajišťující správu, provoz, použití,údržbu a bezpečnost technického aktiva.

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I

ORGANIZAČNÍ OPATŘENÍ

§ 3

Systém řízení bezpečnosti informací

(1) Orgán a osoba uvedená v § 3 písm. c) a d)zákona v rámci systému řízení bezpečnosti informací

a) stanoví s ohledem na aktiva a organizační bez-pečnost rozsah a hranice systému řízení bezpeč-nosti informací, ve kterém určí, kterých organi-začních částí a technických prvků se systém ří-zení bezpečnosti informací týká,

b) řídí rizika podle § 4 odst. 1,

c) vytvoří a schválí bezpečnostní politiku v oblastisystému řízení bezpečnosti informací, která ob-sahuje hlavní zásady, cíle, bezpečnostní po-třeby, práva a povinnosti ve vztahu k řízeníbezpečnosti informací a na základě bezpečnost-ních potřeb a výsledků hodnocení rizik stanovíbezpečnostní politiku v dalších oblastech podle§ 5 a zavede příslušná bezpečnostní opatření,

d) monitoruje účinnost bezpečnostních opatření,

e) vyhodnocuje vhodnost a účinnost bezpečnostnípolitiky podle § 5,

f) zajistí provedení auditu kybernetické bezpeč-nosti podle § 15, a to nejméně jednou ročně,

g) zajistí vyhodnocení účinnosti systému řízeníbezpečnosti informací, které obsahuje hodno-cení stavu systému řízení bezpečnosti informacívčetně revize hodnocení rizik, posouzení vý-sledků provedených kontrol a auditů kyberne-tické bezpečnosti a dopadů kybernetickýchbezpečnostních incidentů na systém řízení bez-pečnosti informací, a to nejméně jednou ročně,

h) aktualizuje systém řízení bezpečnosti informacía příslušnou dokumentaci na základě zjištěníauditů kybernetické bezpečnosti, výsledků vy-hodnocení účinnosti systému řízení bezpečnostiinformací a v souvislosti s prováděnými neboplánovanými změnami a

i) řídí provoz a zdroje systému řízení bezpečnostiinformací, zaznamenává činnosti spojené se sy-stémem řízení bezpečnosti informací a řízenímrizik.

(2) Orgán a osoba uvedená v § 3 písm. e) zá-kona v rámci systému řízení bezpečnosti informací

a) řídí rizika podle § 4 odst. 2,

b) vytvoří a schválí bezpečnostní politiku v oblastisystému řízení bezpečnosti informací, která ob-sahuje hlavní zásady, cíle, bezpečnostní po-třeby, práva a povinnosti ve vztahu k řízeníbezpečnosti informací a na základě bezpečnost-ních potřeb a výsledků hodnocení rizik stanovíbezpečnostní politiku v dalších oblastech podle§ 5, a zavede příslušná bezpečnostní opatření a

c) provádí aktualizaci zprávy o hodnocení aktiva rizik, bezpečnostní politiky, plánu zvládánírizik a plánu rozvoje bezpečnostního pově-domí, a to nejméně jednou za tři roky nebov souvislosti s prováděnými nebo plánovanýmizměnami.

§ 4

Řízení rizik

(1) Orgán a osoba uvedená v § 3 písm. c) a d)zákona v rámci řízení rizik

a) stanoví metodiku pro identifikaci a hodnocení


aktiv a pro identifikaci a hodnocení rizik včetněstanovení kritérií pro přijatelnost rizik,

b) identifikuje a hodnotí důležitost aktiv, kterápatří do rozsahu systému řízení bezpečnostiinformací, podle § 8 v rozsahu přílohy č. 1 k tétovyhlášce a výstupy zapracuje do zprávy o hod-nocení aktiv a rizik,

c) identifikuje rizika, při kterých zohlední hrozbya zranitelnosti, posoudí možné dopady na ak-tiva, hodnotí tato rizika minimálně v rozsahupodle přílohy č. 2 k této vyhlášce, určí a schválípřijatelná rizika a zpracuje zprávu o hodnoceníaktiv a rizik,

d) zpracuje na základě bezpečnostních potřeb a vý-sledků hodnocení rizik prohlášení o aplikovatel-nosti, které obsahuje přehled vybraných a zave-dených bezpečnostních opatření,

e) zpracuje a zavede plán zvládání rizik, který ob-sahuje cíle a přínosy bezpečnostních opatřenípro zvládání rizik, určení osoby zajišťující pro-sazování bezpečnostních opatření pro zvládánírizik, potřebné finanční, technické, lidské a in-formační zdroje, termín jejich zavedení a popisvazeb mezi riziky a příslušnými bezpečnostnímiopatřeními a

f) zohlední bez zbytečného odkladu reaktivnía ochranná opatření vydaná Národním bezpeč-nostním úřadem (dále jen „Úřad“) v hodnocenírizik a v případě, že hodnocení rizik aktualizo-vané o nové zranitelnosti spojené s realizacíreaktivního nebo ochranného opatření překročístanovená kritéria pro přijatelnost rizik, doplníplán zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. e) zá-kona v rámci řízení rizik

a) stanoví metodiku pro identifikaci a hodnoceníaktiv a pro identifikaci a hodnocení rizik včetněstanovení kritérií pro přijatelnost rizik,

b) identifikuje a hodnotí důležitost primárních ak-tiv, která patří do rozsahu systému řízení bez-pečnosti informací, podle § 8 minimálně v roz-sahu přílohy č. 1 k této vyhlášce a výstupy za-pracuje do zprávy o hodnocení aktiv a rizik,

c) identifikuje rizika, při kterých zohlední hrozbya zranitelnosti, posoudí možné dopady na pri-mární aktiva, hodnotí tato rizika minimálněv rozsahu podle přílohy č. 2 k této vyhlášcea zpracuje zprávu o hodnocení aktiv a rizik,

d) zpracuje na základě bezpečnostních potřeb a vý-sledků hodnocení rizik prohlášení o aplikovatel-nosti, které obsahuje přehled vybraných a zave-dených bezpečnostních opatření,

e) zpracuje a zavede plán zvládání rizik, který ob-sahuje cíle a přínosy bezpečnostních opatřenípro zvládání rizik, určení osoby zajišťující pro-sazování bezpečnostních opatření pro zvládánírizik, potřebné finanční, technické, lidské a in-formační zdroje, termíny jejich zavedení a popisvazeb mezi identifikovanými riziky a přísluš-nými bezpečnostními opatřeními a

f) zohlední bez zbytečného odkladu reaktivnía ochranná opatření vydaná Úřadem v hodno-cení rizik a v případě, že hodnocení rizik aktua-lizované o nové zranitelnosti spojené s realizacíreaktivního nebo ochranného opatření překročístanovená kritéria pro přijatelnost rizik, doplníplán zvládání rizik.

(3) Řízení rizik může být zajištěno i jinýmizpůsoby, než jak je stanoveno v odstavcích 1 a 2,pokud orgán a osoba uvedená v § 3 písm. c) až e)zákona zabezpečí, že používá opatření zajišťujícístejnou nebo vyšší úroveň řízení rizik.

(4) Orgán a osoba uvedená v § 3 písm. c) až e)zákona při hodnocení rizik zvažuje zejména tytohrozby

a) porušení bezpečnostní politiky, provedení ne-oprávněných činností, zneužití oprávnění zestrany uživatelů a administrátorů,

b) poškození nebo selhání technického anebo pro-gramového vybavení,

c) zneužití identity fyzické osoby,

d) užívání programového vybavení v rozporu s li-cenčními podmínkami,

e) kybernetický útok z komunikační sítě,

f) škodlivý kód (například viry, spyware, trojskékoně),

g) nedostatky při poskytování služeb informač-ního systému kritické informační infrastruk-tury, komunikačního systému kritické infor-mační infrastruktury nebo významného infor-mačního systému,

h) narušení fyzické bezpečnosti,

i) přerušení poskytování služeb elektronickýchkomunikací nebo dodávek elektrické energie,


j) zneužití nebo neoprávněná modifikace údajů,

k) trvale působící hrozby a

l) odcizení nebo poškození aktiva.

(5) Orgán a osoba uvedená v § 3 písm. c) až e)zákona při hodnocení rizik zvažuje zejména tytozranitelnosti

a) nedostatečná ochrana vnějšího perimetru,

b) nedostatečné bezpečnostní povědomí uživatelůa administrátorů,

c) nedostatečná údržba informačního systému kri-tické informační infrastruktury, komunikačníhosystému kritické informační infrastrukturynebo významného informačního systému,

d) nevhodné nastavení přístupových oprávnění,

e) nedostatečné postupy při identifikování a odha-lení negativních bezpečnostních jevů, kyberne-tických bezpečnostních událostí a kybernetic-kých bezpečnostních incidentů,

f) nedostatečné monitorování činnosti uživatelůa administrátorů a neschopnost odhalit jejichnevhodné nebo závadné způsoby chování a

g) nedostatečné stanovení bezpečnostních pravi-del, nepřesné nebo nejednoznačné vymezenípráv a povinností uživatelů, administrátorůa bezpečnostních rolí.

(6) Orgán a osoba uvedená v § 3 písm. c) a d)zákona při hodnocení rizik dále zvažuje tyto hrozby

a) porušení bezpečnostní politiky, provedení ne-oprávněných činností, zneužití oprávnění zestrany administrátorů kritické informační infra-struktury,

b) pochybení ze strany zaměstnanců,

c) zneužití vnitřních prostředků, sabotáž,

d) dlouhodobé přerušení poskytování služeb elek-tronických komunikací, dodávky elektrickéenergie nebo jiných důležitých služeb,

e) nedostatek zaměstnanců s potřebnou odbornouúrovní,

f) cílený kybernetický útok pomocí sociálního in-ženýrství, použití špionážních technik a

g) zneužití vyměnitelných technických nosičů dat.

(7) Orgán a osoba uvedená v § 3 písm. c) a d)zákona při hodnocení rizik dále zvažuje tyto zrani-telnosti

a) nedostatečná ochrana prostředků kritické infor-mační infrastruktury,

b) nevhodná bezpečnostní architektura,

c) nedostatečná míra nezávislé kontroly a

d) neschopnost včasného odhalení pochybení zestrany zaměstnanců.

§ 5

Bezpečnostní politika

(1) Orgán a osoba uvedená v § 3 písm. c) a d)zákona stanoví bezpečnostní politiku v oblastech

a) systém řízení bezpečnosti informací,

b) organizační bezpečnost,

c) řízení vztahů s dodavateli,

d) klasifikace aktiv,

e) bezpečnost lidských zdrojů,

f) řízení provozu a komunikací,

g) řízení přístupu,

h) bezpečné chování uživatelů,

i) zálohování a obnova,

j) bezpečné předávání a výměna informací,

k) řízení technických zranitelností,

l) bezpečné používání mobilních zařízení,

m) poskytování a nabývání licencí programovéhovybavení a informací,

n) dlouhodobé ukládání a archivace informací,

o) ochrana osobních údajů,

p) fyzická bezpečnost,

q) bezpečnost komunikační sítě,r) ochrana před škodlivým kódem,

s) nasazení a používání nástroje pro detekci ky-bernetických bezpečnostních událostí,

t) využití a údržba nástroje pro sběr a vyhodno-cení kybernetických bezpečnostních událostí a

u) používání kryptografické ochrany.

(2) Orgán a osoba uvedená v § 3 písm. e) zákonastanoví bezpečnostní politiku v oblastech

a) systém řízení bezpečnosti informací,

b) organizační bezpečnost,

c) řízení dodavatelů,

d) klasifikace aktiv,

e) bezpečnost lidských zdrojů,


f) řízení provozu a komunikací,

g) řízení přístupu,

h) bezpečné chování uživatelů,

i) zálohování a obnova,

j) poskytování a nabývání licencí programovéhovybavení a informací,

k) ochrana osobních údajů,

l) používání kryptografické ochrany,

m) ochrana před škodlivým kódem a

n) nasazení a používání nástroje pro detekci ky-bernetických bezpečnostních událostí.

(3) Orgán a osoba uvedená v § 3 písm. c) až e)zákona pravidelně hodnotí účinnost bezpečnostnípolitiky a aktualizuje ji.

§ 6

Organizační bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona zavede organizaci řízení bezpečnosti infor-mací, v rámci které určí výbor pro řízení kyberne-tické bezpečnosti a bezpečnostní role a jejich právaa povinnosti související s informačním systémem kri-tické informační infrastruktury, komunikačním sy-stémem kritické informační infrastruktury nebo vý-znamným informačním systémem.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona určí bezpečnostní role

a) manažer kybernetické bezpečnosti,

b) architekt kybernetické bezpečnosti,

c) auditor kybernetické bezpečnosti a

d) garant aktiva podle § 2 písm. m).

(3) Orgán a osoba uvedená v § 3 písm. e) určíbezpečnostní role přiměřeně podle odstavce 2.

(4) Manažer kybernetické bezpečnosti je osoba,odpovědná za systém řízení bezpečnosti informací,která je pro tuto činnost vyškolena a prokáže od-bornou způsobilost praxí s řízením bezpečnosti in-formací po dobu nejméně tří let.

(5) Architekt kybernetické bezpečnosti jeosoba zajišťující návrh a implementaci bezpečnost-ních opatření, která je pro tuto činnost vyškolenaa prokáže odbornou způsobilost praxí s navrhovánímbezpečnostní architektury po dobu nejméně tří let.

(6) Auditor kybernetické bezpečnosti je osoba

provádějící audit kybernetické bezpečnosti, která jepro tuto činnost vyškolena a prokáže odbornou způ-sobilost praxí s prováděním auditů kybernetickébezpečnosti po dobu nejméně tří let. Auditor kyber-netické bezpečnosti vykonává svoji roli nestranněa výkon jeho role je oddělen od výkonu rolí uvede-ných v odstavci 2 písm. a), b) nebo d).

(7) Výbor pro řízení kybernetické bezpečnostije organizovaná skupina tvořená osobami, které jsoupověřeny celkovým řízením a rozvojem informač-ního systému kritické informační infrastruktury, ko-munikačního systému kritické informační infra-struktury nebo významného informačního systému,anebo se významně podílejí na řízení a koordinacičinností spojených s kybernetickou bezpečnostítěchto systémů.

(8) Orgán a osoba uvedená v § 3 písm. c) až e)zákona zajistí odborné školení osob, které zastávajíbezpečnostní role v souladu s plánem rozvoje bez-pečnostního povědomí podle § 9 odst. 1 písm. b).

§ 7

Stanovení bezpečnostních požadavkůpro dodavatele

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona zavede pravidla pro dodavatele, která zo-hledňují potřeby řízení bezpečnosti informací, a zo-hlední je u dodavatelů nebo jiných osob, které sepodílejí na rozvoji, provozu nebo zajištění bezpeč-nosti informačního systému kritické informační in-frastruktury, komunikačního systému kritické infor-mační infrastruktury nebo významného informač-ního systému. Rozsah zapojení dodavatelů na roz-voji, provozu nebo zajištění bezpečnostiinformačního systému kritické informační infra-struktury, komunikačního systému kritické infor-mační infrastruktury nebo významného informač-ního systému prokazatelně dokumentuje orgána osoba uvedená v § 3 písm. c) až e) zákona smlou-vou, jejíž součástí je ustanovení o bezpečnosti infor-mací.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona u dodavatelů uvedených v odstavci 1 dále

a) před uzavřením smlouvy provádí hodnocení ri-zik podle přílohy č. 2 k této vyhlášce, která jsouspojena s podstatnými dodávkami,

b) uzavírá smlouvu o úrovni služeb, která stanoví


způsoby a úrovně realizace bezpečnostníchopatření a určí vztah vzájemné smluvní odpo-vědnosti za zavedení a kontrolu bezpečnostníchopatření, a

c) provádí pravidelné hodnocení rizik a pravidel-nou kontrolu zavedených bezpečnostních opa-tření u poskytovaných služeb a zjištěné ne-dostatky odstraňuje nebo po dohodě s dodava-telem zajistí jejich odstranění.

§ 8

Řízení aktiv

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci řízení aktiv

a) identifikuje a eviduje primární aktiva,

b) určí garanty aktiv, kteří jsou odpovědní za pri-mární aktiva, a

c) hodnotí důležitost primárních aktiv z hlediskadůvěrnosti, integrity a dostupnosti a zařadí jedo jednotlivých úrovní minimálně v rozsahupodle přílohy č. 1 k této vyhlášce.

(2) Při hodnocení důležitosti primárních aktiv jetřeba především posoudit

a) rozsah a důležitost osobních údajů nebo ob-chodního tajemství,

b) rozsah dotčených právních povinností nebo ji-ných závazků,

c) rozsah narušení vnitřních řídících a kontrolníchčinností,

d) poškození veřejných, obchodních nebo ekono-mických zájmů,

e) možné finanční ztráty,

f) rozsah narušení běžných činností orgánu a oso-by uvedené v § 3 písm. c) až e) zákona,

g) dopady spojené s narušením důvěrnosti, inte-grity a dostupnosti a

h) dopady na zachování dobrého jména neboochranu dobré pověsti.

(3) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále

a) identifikuje a eviduje podpůrná aktiva,

b) určí garanty aktiv, kteří jsou odpovědní za pod-půrná aktiva, a

c) určí vazby mezi primárními a podpůrnými ak-

tivy a hodnotí důsledky závislostí mezi primár-ními a podpůrnými aktivy.

(4) Orgán a osoba uvedená v § 3 písm. c) až e)zákona dále

a) stanoví pravidla ochrany, nutná pro zabezpeče-ní jednotlivých úrovní aktiv tím, že1. určí způsoby rozlišování jednotlivých úrovní

aktiv,

2. stanoví pravidla pro manipulaci a evidencis aktivy podle úrovní aktiv, včetně pravidelpro bezpečné elektronické sdílení a fyzicképřenášení aktiv a

3. stanoví přípustné způsoby používání aktiv,

b) zavede pravidla ochrany odpovídající úrovniaktiv a

c) určí způsoby pro spolehlivé smazání nebo ni-čení technických nosičů dat s ohledem na úro-veň aktiv.

§ 9

Bezpečnost lidských zdrojů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci řízení bezpečnosti lidských zdrojů

a) stanoví plán rozvoje bezpečnostního povědomí,který obsahuje formu, obsah a rozsah potřeb-ných školení a určí osoby provádějící realizacijednotlivých činností, které jsou v plánu uve-deny,

b) v souladu s plánem rozvoje bezpečnostního po-vědomí zajistí poučení uživatelů, administrátorůa osob zastávajících bezpečnostní role o jejichpovinnostech a o bezpečnostní politice formouvstupních a pravidelných školení,

c) zajistí kontrolu dodržování bezpečnostní poli-tiky ze strany uživatelů, administrátorů a osobzastávajících bezpečnostní role a

d) zajistí vrácení svěřených aktiv a odebrání pří-stupových oprávnění při ukončení smluvníhovztahu s uživateli, administrátory nebo osobamizastávajícími bezpečnostní role.

(2) Orgán a osoba uvedená v § 3 písm. c) až e)zákona vede o školení podle odstavce 1 přehledy,které obsahují předmět školení a seznam osob, kteréškolení absolvovaly.



a) stanoví pravidla pro určení osob, které budouzastávat bezpečnostní role, role administrátorůnebo uživatelů,

b) hodnotí účinnost plánu rozvoje bezpečnostníhopovědomí, provedených školení a dalších čin-ností spojených s prohlubováním bezpečnost-ního povědomí,

c) určí pravidla a postupy pro řešení případů po-rušení stanovených bezpečnostních pravidel zestrany uživatelů, administrátorů a osob zastáva-jících bezpečnostní role a

d) zajistí změnu přístupových oprávnění přizměně postavení uživatelů, administrátorů neboosob zastávajících bezpečnostní role.

§ 10

Řízení provozu a komunikací

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci řízení provozu a komunikací pomocítechnických nástrojů uvedených v § 21 až 23 dete-kuje kybernetické bezpečnostní události, pravidelněvyhodnocuje získané informace a na zjištěné nedos-tatky reaguje v souladu s § 13.

(2) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci řízení provozu a komunikací dálezajišťuje bezpečný provoz informačního systémukritické informační infrastruktury, komunikačníhosystému kritické informační infrastruktury a vý-znamného informačního systému. Za tímto účelemstanoví provozní pravidla a postupy.

(3) Provozní pravidla a postupy orgánu a osobyuvedené v § 3 písm. c) a d) zákona obsahují

a) práva a povinnosti osob zastávajících bezpeč-nostní role, administrátorů a uživatelů,

b) postupy pro spuštění a ukončení chodu systé-mu, pro restart nebo obnovení chodu systémupo selhání a pro ošetření chybových stavů nebomimořádných jevů,

c) postupy pro sledování kybernetických bezpeč-nostních událostí a pro ochranu přístupu k zá-znamům o těchto činnostech,

d) spojení na kontaktní osoby, které jsou určenyjako podpora při řešení neočekávaných systé-mových nebo technických potíží,

e) postupy řízení a schvalování provozních změn a

f) postupy pro sledování, plánování a řízení kapa-city lidských a technických zdrojů.

(4) Řízení provozu orgánu a osoby uvedenév § 3 písm. c) až e) zákona spočívá v provádění pra-videlného zálohování a prověřování použitelnostiprovedených záloh.

(5) Řízení provozu orgánu a osoby uvedenév § 3 písm. c) a d) zákona spočívá v

a) zajištění oddělení vývojového, testovacíhoa produkčního prostředí,

b) řešení reaktivních opatření vydaných Úřademtím, že orgán a osoba uvedená v § 3 písm. c)a d) zákona

1. posoudí očekávané dopady reaktivního opa-tření na informační systém kritické infor-mační infrastruktury nebo komunikační sy-stém kritické informační infrastruktury a nazavedená bezpečnostní opatření, vyhodnotímožné negativní účinky a bez zbytečnéhoodkladu je oznámí Úřadu a

2. stanoví způsob rychlého provedení reaktiv-ního opatření, který minimalizuje možné ne-gativní účinky, a určí časový plán jeho pro-vedení.

(6) Orgán a osoba uvedená v § 3 písm. c) a d)zákona v rámci řízení komunikací

a) zajišťuje bezpečnost a integritu komunikačníchsítí a bezpečnost komunikačních služeb podle§ 17,

b) určí pravidla a postupy pro ochranu informací,které jsou přenášeny komunikačními sítěmi,

c) provádí výměnu a předávání informací na zá-kladě pravidel stanovených právními předpisyza současného zajištění bezpečnosti informacía tato pravidla dokumentuje a

d) s ohledem na klasifikaci aktiv provádí výměnua předávání informací na základě písemnýchsmluv, jejíchž součástí je ustanovení o bezpeč-nosti informací.

§ 11

Řízení přístupu a bezpečné chování uživatelů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona na základě provozních a bezpečnostních po-třeb řídí přístup k informačnímu systému kritickéinformační infrastruktury, komunikačnímu systému


kritické informační infrastruktury a významnémuinformačnímu systému a přidělí každému uživatelijednoznačný identifikátor.

(2) Orgán a osoba uvedená v § 3 písm. c) až e)zákona přijme opatření, která slouží k zajištěníochrany údajů, které jsou používány pro přihlášeníuživatelů a administrátorů informačního systémukritické informační infrastruktury, komunikačníhosystému kritické informační infrastruktury a vý-znamného informačního systému podle § 18 a 19,a která brání ve zneužití těchto údajů neoprávněnouosobou.

(3) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále v rámci řízení přístupu

a) přidělí přistupujícím aplikacím samostatnýidentifikátor,

b) omezí přidělování administrátorských opráv-nění,

c) přiděluje a odebírá přístupová oprávnění v sou-ladu s politikou řízení přístupu,

d) provádí pravidelné přezkoumání nastavení pří-stupových oprávnění včetně rozdělení jednotli-vých uživatelů v přístupových skupinách neborolích,

e) využívá nástroj pro ověřování identity uživatelůpodle § 18 a nástroj pro řízení přístupovýchoprávnění podle § 19 a

f) zavede bezpečnostní opatření potřebná pro bez-pečné používání mobilních zařízení, případněi bezpečnostní opatření spojená s využitím tech-nických zařízení, kterými orgán a osoba uve-dená v § 3 písm. c) a d) zákona nedisponuje.

§ 12

Akvizice, vývoj a údržba

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona stanoví bezpečnostní požadavky na změnyinformačního systému kritické informační infra-struktury, komunikačního systému kritické infor-mační infrastruktury nebo významného informač-ního systému spojené s jejich akvizicí, vývojema údržbou a zahrne je do projektu akvizice, vývojea údržby systému.


a) identifikuje, hodnotí a řídí rizika související s ak-

vizicí, vývojem a údržbou informačního systé-mu kritické informační infrastruktury nebo ko-munikačního systému kritické informační infra-struktury; pro postupy hodnocení a řízení rizikse metodiky podle § 4 odst. 1 písm. a) použijíobdobně,

b) zajistí bezpečnost vývojového prostředí a zajistíochranu používaných testovacích dat a

c) provádí bezpečnostní testování změn informač-ního systému kritické informační infrastrukturynebo komunikačního systému kritické infor-mační infrastruktury před jejich zavedením doprovozu.

§ 13

Zvládání kybernetických bezpečnostníchudálostí a incidentů

Orgán a osoba uvedená v § 3 písm. c) až e) zá-kona při zvládání kybernetických událostí a inci-dentů

a) přijme nezbytná opatření, která zajistí oznamo-vání kybernetických bezpečnostních událostíu informačního systému kritické informační in-frastruktury, komunikačního systému kritickéinformační infrastruktury a významného infor-mačního systému ze strany uživatelů, adminis-trátorů a osob zastávajících bezpečnostní rolea o oznámeních vede záznamy,

b) připraví prostředí pro vyhodnocení oznáme-ných kybernetických bezpečnostních událostía kybernetických bezpečnostních událostí dete-kovaných technickými nástroji podle § 21 až 23,provádí jejich vyhodnocení a identifikuje ky-bernetické bezpečnostní incidenty,

c) provádí klasifikaci kybernetických bezpečnost-ních incidentů, přijímá opatření pro odvrácenía zmírnění dopadu kybernetického bezpečnost-ního incidentu, provádí hlášení kybernetickéhobezpečnostního incidentu podle § 32 a zajistísběr věrohodných podkladů potřebných proanalýzu kybernetického bezpečnostního inci-dentu,

d) prošetří a určí příčiny kybernetického bezpeč-nostního incidentu, vyhodnotí účinnost řešeníkybernetického bezpečnostního incidentu a nazákladě vyhodnocení stanoví nutná bezpeč-nostní opatření k zamezení opakování řešenéhokybernetického bezpečnostního incidentu a


e) dokumentuje zvládání kybernetických bezpeč-nostních incidentů.

§ 14

Řízení kontinuity činností

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci řízení kontinuity činností stanoví

a) práva a povinnosti garantů aktiv, administrátorůa osob zastávajících bezpečnostní role,

b) cíle řízení kontinuity činností formou určení

1. minimální úrovně poskytovaných služeb,která je přijatelná pro užívání, provoza správu informačního systému kritické in-formační infrastruktury, komunikačníhosystému kritické informační infrastrukturynebo významného informačního systému,

2. doby obnovení chodu, během které bude pokybernetickém bezpečnostním incidentu ob-novena minimální úroveň poskytovanýchslužeb informačního systému kritické infor-mační infrastruktury, komunikačního systé-mu kritické informační infrastruktury nebovýznamného informačního systému, a

3. dobu obnovení dat jako termínu, ke kterémubudou obnovena data po kybernetickémbezpečnostním incidentu, a

c) strategii řízení kontinuity činností, která obsa-huje naplnění cílů podle písmene b).


a) vyhodnotí a dokumentuje možné dopady ky-bernetických bezpečnostních incidentů a po-soudí možná rizika související s ohroženímkontinuity činností,

b) stanoví, aktualizuje a pravidelně testuje plánykontinuity činností informačního systému kri-tické informační infrastruktury a komunikač-ního systému kritické informační infrastruk-tury,

c) realizuje opatření pro zvýšení odolnosti infor-mačního systému kritické informační infra-struktury a komunikačního systému kritické in-formační infrastruktury vůči kybernetickémubezpečnostnímu incidentu a využívá nástrojpro zajišťování úrovně dostupnosti podle § 26 a

d) stanoví a aktualizuje postupy pro provedení

opatření vydaných Úřadem podle § 13 a 14 zá-kona, ve kterých zohlední

1. výsledky hodnocení rizik provedení opa-tření,

2. stav dotčených bezpečnostních opatření a

3. vyhodnocení případných negativních do-padů na provoz a bezpečnost informačníhosystému kritické informační infrastrukturynebo komunikačního systému kritické infor-mační infrastruktury.

§ 15

Kontrola a audit kritické informačníinfrastruktury a významných informačních

systémů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci kontroly a auditu kritické informačníinfrastruktury a významných informačních systémů(dále jen „audit kybernetické bezpečnosti“)

a) posuzuje soulad bezpečnostních opatření s práv-ními předpisy, vnitřními předpisy, jinými před-pisy a smluvními závazky vztahujícími se k in-formačnímu systému kritické informační infra-struktury, komunikačnímu systému kritické in-formační infrastruktury a významnémuinformačnímu systému a určí opatření pro jehoprosazování a

b) provádí a dokumentuje pravidelné kontroly do-držování bezpečnostní politiky a výsledkytěchto kontrol zohlední v plánu rozvoje bez-pečnostního povědomí a plánu zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona zajišťuje provedení auditu kybernetické bez-pečnosti osobou s odbornou kvalifikací podle § 6odst. 6, která hodnotí správnost a účinnost zavede-ných bezpečnostních opatření.

(3) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále pro informační systém kritické infor-mační infrastruktury a komunikační systém kritickéinformační infrastruktury provádí kontrolu zranitel-nosti technických prostředků pomocí automatizova-ných nástrojů a jejich odborné vyhodnocení a reagujena zjištěné zranitelnosti.


HLAVA II

TECHNICKÁ OPATŘENÍ

§ 16

Fyzická bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v rámci fyzické bezpečnosti

a) přijme nezbytná opatření k zamezení neopráv-něnému vstupu do vymezených prostor, kdejsou zpracovávány informace a umístěna tech-nická aktiva informačního systému kritické in-formační infrastruktury, komunikačního systé-mu kritické informační infrastruktury nebo vý-znamného informačního systému,

b) přijme nezbytná opatření k zamezení poškozenía zásahům do vymezených prostor, kde jsouuchovány informace a umístěna technická aktivainformačního systému kritické informační in-frastruktury, komunikačního systému kritickéinformační infrastruktury nebo významnéhoinformačního systému, a

c) předchází poškození, krádeži nebo zneužití ak-tiv nebo přerušení poskytování služeb infor-mačního systému kritické informační infra-struktury, komunikačního systému kritické in-formační infrastruktury nebo významného in-formačního systému.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále uplatňuje prostředky fyzické bezpeč-nosti

a) pro zajištění ochrany na úrovni objektů a

b) pro zajištění ochrany v rámci objektů zajištěnímzvýšené bezpečnosti vymezených prostor, vekterých jsou umístěna technická aktiva infor-mačního systému kritické informační infra-struktury nebo komunikačního systému kri-tické informační infrastruktury.

(3) Prostředky fyzické bezpečnosti jsou ze-jména

a) mechanické zábranné prostředky,

b) zařízení elektrické zabezpečovací signalizace,

c) prostředky omezující působení požárů,

d) prostředky omezující působení projevů živel-ních událostí,

e) systémy pro kontrolu vstupu,

f) kamerové systémy,

g) zařízení pro zajištění ochrany před selhánímdodávky elektrického napájení a

h) zařízení pro zajištění optimálních provozníchpodmínek.

§ 17

Nástroj pro ochranu integrity komunikačních sítí

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona pro ochranu integrity rozhraní vnější komu-nikační sítě, která není pod správou orgánu neboosoby, a vnitřní komunikační sítě, která je pod sprá-vou orgánu nebo osoby, zavede

a) řízení bezpečného přístupu mezi vnější a vnitřnísítí,

b) segmentaci zejména použitím demilitarizova-ných zón jako speciálního typu sítě používa-ného ke zvýšení bezpečnosti aplikací dostup-ných z vnější sítě a k zamezení přímé komuni-kace vnitřní sítě s vnější sítí,

c) kryptografické prostředky (§ 25) pro vzdálenýpřístup, vzdálenou správu nebo pro přístup po-mocí bezdrátových technologií a

d) opatření pro odstranění nebo blokování přená-šených dat, které neodpovídají požadavkům naochranu integrity komunikační sítě.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále využívá nástroje pro ochranu integrityvnitřní komunikační sítě, které zajistí její segmentaci.

§ 18

Nástroj pro ověřování identity uživatelů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona používá nástroje pro ověření identity uživa-telů a administrátorů informačního systému kritickéinformační infrastruktury, komunikačního systémukritické informační infrastruktury a významného in-formačního systému.

(2) Nástroj pro ověřování identity uživatelůa administrátorů zajišťuje ověření identity uživatelůa administrátorů před zahájením jejich aktivit v infor-mačním systému kritické informační infrastruktury,komunikačním systému kritické informační infra-struktury a významném informačním systému.

(3) Nástroj pro ověřování identity uživatelů,který používá autentizaci pouze heslem, zajišťuje


a) minimální délku hesla osm znaků,

b) minimální složitost hesla tak, že heslo bude ob-sahovat alespoň 3 z následujících čtyř poža-davků

1. nejméně jedno velké písmeno,

2. nejméně jedno malé písmeno,

3. nejméně jednu číslici, nebo

4. nejméně jeden speciální znak odlišný od po-žadavků uvedených v bodech 1 až 3,

c) maximální dobu pro povinnou výměnu heslanepřesahující sto dnů; tento požadavek není vy-žadován pro samostatné identifikátory aplikací.


a) používá nástroj pro ověření identity, který

1. zamezí opětovnému používání dříve použí-vaných hesel a neumožní více změn heslajednoho uživatele během stanoveného ob-dobí, které musí být nejméně 24 hodin, a

2. provádí opětovné ověření identity po určenédobě nečinnosti a

b) využívá nástroj pro ověřování identity adminis-trátorů. V případě, že tento nástroj využívá au-tentizaci heslem, zajistí prosazení minimálnídélky hesla patnáct znaků při dodržení poža-davků podle odstavce 3 písm. b) a c).

(5) Nástroj pro ověřování identity uživatelůmůže být zajištěn i jinými způsoby, než jaké jsoustanoveny v odstavcích 3 až 5, pokud orgán a osobauvedená v § 3 písm. c) až e) zákona zabezpečí, žepoužívá opatření zajišťující stejnou nebo vyšší úro-veň odolnosti hesla.

§ 19

Nástroj pro řízení přístupových oprávnění

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona používá nástroj pro řízení přístupovýchoprávnění, kterým zajistí řízení oprávnění

a) pro přístup k jednotlivým aplikacím a datům a

b) pro čtení dat, pro zápis dat a pro změnu opráv-nění.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále používá nástroj pro řízení přístupovýchoprávnění, který zaznamenává použití přístupových

oprávnění v souladu s bezpečnostními potřebamia výsledky hodnocení rizik.

§ 20

Nástroj pro ochranu před škodlivým kódem

Orgán a osoba uvedená v § 3 písm. c) až e) zá-kona pro řízení rizik spojených s působením škodli-vého kódu používá nástroj pro ochranu informač-ního systému kritické informační infrastruktury, ko-munikačního systému kritické informační infra-struktury a významného informačního systémupřed škodlivým kódem, který zajistí ověření a stáloukontrolu

a) komunikace mezi vnitřní sítí a vnější sítí,

b) serverů a sdílených datových úložišť a

c) pracovních stanic,

přičemž provádí pravidelnou a účinnou aktualizacinástroje pro ochranu před škodlivým kódem, jehodefinic a signatur.

§ 21

Nástroj pro zaznamenávání činností kritickéinformační infrastruktury a významných

informačních systémů, jejich uživatelůa administrátorů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona používá nástroj pro zaznamenávání činnostíinformačního systému kritické informační infra-struktury, komunikačního systému kritické infor-mační infrastruktury a významného informačníhosystému, který zajistí

a) sběr informací o provozních a bezpečnostníchčinnostech, zejména typ činnosti, datum a čas,identifikaci technického aktiva, které činnostzaznamenalo, identifikaci původce a místa čin-nosti a úspěšnost nebo neúspěšnost činnosti a

b) ochranu získaných informací před neoprávně-ným čtením nebo změnou.

(2) Orgán a osoba uvedená v § 3 písm. c) až e)zákona dále pomocí nástroje pro zaznamenávání čin-nosti informačního systému kritické informační in-frastruktury, komunikačního systému kritické infor-mační infrastruktury a významného informačníhosystému zaznamenává

a) přihlášení a odhlášení uživatelů a administrá-torů,


b) činnosti provedené administrátory,

c) činnosti vedoucí ke změně přístupových opráv-nění,

d) neprovedení činností v důsledku nedostatkupřístupových oprávnění a další neúspěšné čin-nosti uživatelů,

e) zahájení a ukončení činností technických aktivinformačního systému kritické informační in-frastruktury, komunikačního systému kritickéinformační infrastruktury a významného infor-mačního systému,

f) automatická varovná nebo chybová hlášenítechnických aktiv,

g) přístupy k záznamům o činnostech, pokusyo manipulaci se záznamy o činnostech a změnynastavení nástroje pro zaznamenávání činností a

h) použití mechanismů identifikace a autentizacevčetně změny údajů, které slouží k přihlášení.

(3) Orgán a osoba uvedená v § 3 písm. c) a d)zákona záznamy činností zaznamenané podle od-stavce 2 uchovává nejméně po dobu 3 měsíců.

(4) Orgán a osoba uvedená v § 3 písm. c) až e)zákona zajišťuje nejméně jednou za 24 hodin syn-chronizaci jednotného systémového času technic-kých aktiv patřících do informačního systému kri-tické informační infrastruktury, komunikačníhosystému kritické informační infrastruktury nebo vý-znamného informačního systému.

§ 22

Nástroj pro detekci kybernetickýchbezpečnostních událostí

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona používá nástroj pro detekci kybernetickýchbezpečnostních událostí, který vychází ze stanove-ných bezpečnostních potřeb a výsledků hodnocenírizik a který zajistí ověření, kontrolu a případně za-blokování komunikace mezi vnitřní komunikační sítía vnější sítí.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále používá nástroj pro detekci kybernetic-kých bezpečnostních událostí, které zajistí ověření,kontrolu a případně zablokování komunikace

a) v rámci vnitřní komunikační sítě a

b) serverů patřících do informačního systému kri-

tické informační infrastruktury a komunikač-ního systému kritické informační infrastruk-tury.

§ 23

Nástroj pro sběr a vyhodnocení kybernetickýchbezpečnostních událostí

(1) Orgán a osoba uvedená v § 3 písm. c) a d)zákona používá nástroj pro sběr a průběžné vyhod-nocení kybernetických bezpečnostních událostí,který v souladu s bezpečnostními potřebami a vý-sledky hodnocení rizik zajistí

a) integrovaný sběr a vyhodnocení kybernetic-kých bezpečnostních událostí z informačníhosystému kritické informační infrastruktury a ko-munikačního systému kritické informační infra-struktury,

b) poskytování informací pro určené bezpečnostnírole o detekovaných kybernetických bezpeč-nostních událostech v informačním systémukritické informační infrastruktury nebo komu-nikačním systému kritické informační infra-struktury a

c) nepřetržité vyhodnocování kybernetickýchbezpečnostních událostí s cílem identifikace ky-bernetických bezpečnostních incidentů, včetněvčasného varování určených bezpečnostníchrolí.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále zajistí

a) pravidelnou aktualizaci nastavení pravidel provyhodnocování kybernetických bezpečnostníchudálostí a včasné varování, aby byly omezoványpřípady nesprávného vyhodnocení událostínebo případy falešných varování, a

b) využívání informací, které jsou připraveny ná-strojem pro sběr a vyhodnocení kybernetickýchbezpečnostních událostí, pro optimální nasta-vení bezpečnostních opatření informačního sy-stému kritické informační infrastruktury a ko-munikačního systému kritické informační infra-struktury.

§ 24

Aplikační bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona provádí bezpečnostní testy zranitelnosti apli-


kací, které jsou přístupné z vnější sítě, a to před jejichuvedením do provozu a po každé zásadní změněbezpečnostních mechanismů.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona dále v rámci aplikační bezpečnosti zajistítrvalou ochranu

a) aplikací a informací dostupných z vnější sítěpřed neoprávněnou činností, popřením prove-dených činností, kompromitací nebo neautori-zovanou změnou a

b) transakcí před jejich nedokončením, nespráv-ným směrováním, neautorizovanou změnoupředávaného datového obsahu, kompromitací,neautorizovaným duplikováním nebo opaková-ním.

§ 25

Kryptografické prostředky

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona

a) pro používání kryptografické ochrany stanoví

1. úroveň ochrany s ohledem na typ a sílukryptografického algoritmu a

2. pravidla kryptografické ochrany informacípři přenosu po komunikačních sítích nebopři uložení na mobilní zařízení nebo vymě-nitelné technické nosiče dat a

b) v souladu s bezpečnostními potřebami a vý-sledky hodnocení rizik používá kryptograficképrostředky, které zajistí ochranu důvěrnostia integrity předávaných nebo ukládaných data průkaznou identifikaci osoby za provedenéčinnosti.


a) stanoví pro používání kryptografických pro-středků systém správy klíčů, který zajistí gene-rování, distribuci, ukládání, archivaci, změny,ničení, kontrolu a audit klíčů, a

b) používá odolné kryptografické algoritmya kryptografické klíče; v případě nesouladu s mi-nimálními požadavky na kryptografické algo-ritmy uvedenými v příloze č. 3 k této vyhlášceřídí rizika spojená s tímto nesouladem.

§ 26

Nástroj pro zajišťování úrovně dostupnosti

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona v souladu s bezpečnostními potřebami a vý-sledky hodnocení rizik používá nástroj pro zajišťo-vání úrovně dostupnosti informací.

(2) Orgán a osoba uvedená v § 3 písm. c) a d)zákona používá nástroj pro zajišťování úrovně do-stupnosti informací, který zajistí

a) dostupnost informačního systému kritické in-formační infrastruktury a komunikačního sy-stému kritické informační infrastruktury prosplnění cílů řízení kontinuity činností,

b) odolnost informačního systému kritické infor-mační infrastruktury a komunikačního systémukritické informační infrastruktury vůči kyber-netickým bezpečnostním incidentům, které bymohly snížit dostupnost, a

c) zálohování důležitých technických aktiv infor-mačního systému kritické informační infra-struktury a komunikačního systému kritické in-formační infrastruktury

1. využitím redundance v návrhu řešení a

2. zajištěním náhradních technických aktivv určeném čase.

§ 27

Bezpečnost průmyslových a řídicích systémů

Orgán a osoba uvedená v § 3 písm. c) a d) zá-kona pro bezpečnost průmyslových a řídicích systé-mů, které jsou informačním systémem kritické infor-mační infrastruktury nebo komunikačním systémemkritické informační infrastruktury anebo jsou jejichsoučástí, používá nástroje, které zajistí

a) omezení fyzického přístupu k síti a zařízenímprůmyslových a řídicích systémů,

b) omezení propojení a vzdáleného přístupu k sítiprůmyslových a řídicích systémů,

c) ochranu jednotlivých technických aktiv prů-myslových a řídicích systémů před využitímznámých zranitelností a

d) obnovení chodu průmyslových a řídicích systé-mů po kybernetickém bezpečnostním inci-dentu.


HLAVA III

BEZPEČNOSTNÍ DOKUMENTACE

§ 28

Bezpečnostní dokumentace

(1) Orgán a osoba uvedená v § 3 písm. c) a d)zákona vede a aktualizuje bezpečnostní dokumen-taci, která obsahuje

a) bezpečnostní politiku podle § 5 odst. 1,

b) zprávy z auditu kybernetické bezpečnosti podle§ 3 odst. 1 písm. f),

c) zprávy z přezkoumání systému řízení bezpeč-nosti informací podle § 3 odst. 1 písm. g),

d) metodiku pro identifikaci a hodnocení aktiva pro identifikaci a hodnocení rizik,

e) zprávu o hodnocení aktiv a rizik,

f) prohlášení o aplikovatelnosti,

g) plán zvládání rizik,

h) plán rozvoje bezpečnostního povědomí podle§ 9 odst. 1 písm. a),

i) zvládání kybernetických bezpečnostních inci-dentů podle § 13 písm. e),

j) strategii řízení kontinuity činností podle § 14odst. 1 písm. c) a

k) přehled právních předpisů, vnitřních předpisůa jiných předpisů a smluvních závazků podle§ 15 odst. 1 písm. a).

(2) Orgán a osoba uvedená v § 3 písm. e) zákonavede a aktualizuje bezpečnostní dokumentaci, kteráobsahuje

a) bezpečnostní politiku podle § 5 odst. 2,

b) metodiku pro identifikaci a hodnocení aktiva pro identifikaci a hodnocení rizik podle § 4odst. 2 písm. a),

c) zprávu o hodnocení aktiv a rizik podle § 4odst. 2 písm. b) a c),

d) prohlášení o aplikovatelnosti podle § 4 odst. 2písm. d),

e) plán zvládání rizik podle § 4 odst. 2 písm. e),

f) plán rozvoje bezpečnostního povědomí podle§ 9 odst. 1 písm. a),

g) zvládání kybernetických bezpečnostních inci-dentů podle § 13 písm. e),

h) strategii řízení kontinuity činností podle § 14odst. 1 písm. c) a

i) přehled právních předpisů, vnitřních předpisůa jiných předpisů a smluvních závazků podle§ 15 odst. 1 písm. a).

(3) Orgán a osoba uvedená v § 3 písm. c) až e)zákona vede bezpečnostní dokumentaci tak, aby zá-znamy o provedených činnostech byly úplné, či-telné, snadno identifikovatelné a aby se daly snadnovyhledat. Opatření potřebná k identifikaci, uložení,ochraně, vyhledání, době platnosti a uspořádání zá-znamů o provedených činnostech dokumentuje.

(4) Doporučená struktura bezpečnostní doku-mentace je stanovena v příloze č. 4 k této vyhlášce.

§ 29

Prokázání certifikace

Orgán a osoba uvedená v § 3 písm. c) až e) zá-kona, jejíž informační systém kritické informační in-frastruktury, komunikační systém kritické infor-mační infrastruktury nebo významný informační sy-stém je zcela zahrnut do rozsahu systému řízení bez-pečnosti informací, který byl certifikován podlepříslušné technické normy1) akreditovaným certifi-kačním orgánem, a která vede dokumenty obsahující

a) popis rozsahu systému řízení bezpečnosti infor-mací,

b) prohlášení politiky a cílů systému řízení bez-pečnosti informací,

c) popis použité metody hodnocení rizik a zprávuo hodnocení rizik,

d) prohlášení o aplikovatelnosti,

e) certifikát systému řízení bezpečnosti informacísplňující požadavky příslušné technické normyzabývající se bezpečností informací1),

f) záznam o přezkoumání systému řízení bezpeč-nosti informací včetně souvisejících vstupů a vý-stupů přezkoumání a

g) zprávu z auditů provedených certifikačnímorgánem včetně příslušných záznamů o nápravězjištěných neshod s příslušnou normou,


1) ISO/IEC 27001:2013, případně ČSN ISO/IEC 27001:2014

splňuje požadavky na zavedení bezpečnostních opa-tření podle zákona a této vyhlášky.

ČÁST TŘETÍ

KYBERNETICKÝ BEZPEČNOSTNÍINCIDENT

§ 30

Typy kybernetických bezpečnostních incidentů

(1) Podle příčiny jsou kybernetické bezpeč-nostní incidenty rozděleny do následujících typů

a) kybernetický bezpečnostní incident způsobenýkybernetickým útokem nebo jinou událostí ve-doucí k průniku do systému nebo k omezenídostupnosti služeb,

b) kybernetický bezpečnostní incident způsobenýškodlivým kódem,

c) kybernetický bezpečnostní incident způsobenýpřekonáním technických opatření,

d) kybernetický bezpečnostní incident způsobenýporušením organizačních opatření,

e) kybernetický bezpečnostní incident spojenýs projevem trvale působících hrozeb a

f) ostatní kybernetické bezpečnostní incidentyzpůsobené kybernetickým útokem.

(2) Podle dopadu jsou kybernetické bezpeč-nostní incidenty rozděleny do následujících typů

a) kybernetický bezpečnostní incident způsobujícínarušení důvěrnosti aktiv,

b) kybernetický bezpečnostní incident způsobujícínarušení integrity aktiv,

c) kybernetický bezpečnostní incident způsobujícínarušení dostupnosti aktiv, nebo

d) kybernetický bezpečnostní incident způsobujícíkombinaci dopadů uvedených v písmenech a)až c).

§ 31

Kategorie kybernetických bezpečnostníchincidentů

(1) Pro potřeby zvládání kybernetických bez-pečnostních incidentů se podle následků a negativ-

ních projevů kybernetické bezpečnostní incidentydělí do následujících kategorií

a) Kategorie III – velmi závažný kybernetickýbezpečnostní incident, při kterém je přímo a vý-znamně narušena bezpečnost poskytovanýchslužeb nebo aktiv. Jeho řešení vyžaduje nepro-dlené zásahy obsluhy s tím, že musí být všemidostupnými prostředky zabráněno dalšímu ší-ření kybernetického bezpečnostního incidentuvčetně minimalizace vzniklých i potenciálníchškod.

b) Kategorie II – závažný kybernetický bezpeč-nostní incident, při kterém je narušena bezpeč-nost poskytovaných služeb nebo aktiv. Jeho ře-šení vyžaduje neprodlené zásahy obsluhy s tím,že musí být vhodnými prostředky zabráněnodalšímu šíření kybernetického incidentu včetněminimalizace vzniklých škod.

c) Kategorie I – méně závažný kybernetický bez-pečnostní incident, při kterém dochází k méněvýznamnému narušení bezpečnosti poskytova-ných služeb nebo aktiv. Jeho řešení vyžadujezásahy obsluhy s tím, že musí být vhodnýmiprostředky omezeno další šíření kybernetic-kého bezpečnostního incidentu včetně minima-lizace vzniklých škod.

(2) Orgán a osoba uvedená v § 3 písm. c) až e)zákona při kategorizaci jednotlivých kybernetickýchbezpečnostních incidentů podle odstavce 1 zohlední

a) důležitost dotčených aktiv informačního systé-mu kritické informační infrastruktury, komuni-kačního systému kritické informační infrastruk-tury nebo významného informačního systému,

b) dopady na poskytované služby informačníhosystému kritické informační infrastruktury, ko-munikačního systému kritické informační infra-struktury, nebo významného informačního sy-stému,

c) dopady na služby poskytované jinými infor-mačními systémy kritické informační infra-struktury, komunikačními systémy kritické in-formační infrastruktury, nebo významnými in-formačními systémy a

d) předpokládané škody a další dopady.


§ 32

Forma a náležitosti hlášení kybernetickýchbezpečnostních incidentů

(1) Orgán a osoba uvedená v § 3 písm. c) až e)zákona hlásí kybernetický bezpečnostní incident

a) v elektronické podobě prostřednictvím

1. elektronického formuláře zveřejněného nainternetových stránkách Úřadu,

2. emailu na adresu elektronické pošty Úřaduurčené pro příjem hlášení kybernetickýchbezpečnostních incidentů, zveřejněné na in-ternetových stránkách Úřadu,

3. datové zprávy do datové schránky Úřadu,nebo

4. prostřednictvím určeného datového roz-hraní, jehož popis je zveřejněn na interneto-vých stránkách Úřadu, anebo

b) v listinné podobě na adresu Národního centrakybernetické bezpečnosti, zveřejněné na inter-netových stránkách Úřadu.

(2) Hlášení v listinné podobě se zasílá pouzev případech, kdy nelze využít žádný ze způsobůuvedených v odstavci 1 písm. a).

(3) Náležitosti hlášení kybernetického bezpeč-nostního incidentu jsou uvedeny v příloze č. 5 k tétovyhlášce.

ČÁST ČTVRTÁ

REAKTIVNÍ OPATŘENÍ A KONTAKTNÍÚDAJE

§ 33

Reaktivní opatření

Orgán a osoba uvedená v § 3 písm. c) až e) zá-kona oznámí provedení reaktivního opatření a jehovýsledek na formuláři, jehož vzor je uveden v přílozeč. 6 k této vyhlášce.

§ 34

Kontaktní údaje

Orgán a osoba uvedená v § 3 zákona oznamujekontaktní údaje na formuláři, jehož vzor je uvedenv příloze č. 7 k této vyhlášce. Orgán a osoba uvedenáv § 3 písm. c) až e) zákona oznamuje kontaktní údajeformou uvedenou v § 32 odst. 1 písm. a).

ČÁST PÁTÁ

ÚČINNOST

§ 35

Tato vyhláška nabývá účinnosti dnem 1. ledna2015.

Ředitel:

Ing. Navrátil v. r.


Příloha č. 1 k vyhlášce č. 316/2014 Sb.


























317

VYHLÁŠKA


o významných informačních systémech a jejich určujících kritériích

Národní bezpečnostní úřad a Ministerstvo vni-tra stanoví podle § 28 odst. 1 zákona č. 181/2014 Sb.,o kybernetické bezpečnosti a o změně souvisejícíchzákonů (zákon o kybernetické bezpečnosti), (dálejen „zákon“):

§ 1

Předmět úpravy

Touto vyhláškou se stanoví významné infor-mační systémy a jejich určující kritéria podle § 6písm. d) zákona.

§ 2

Významné informační systémy

Významný informační systém naplňující urču-jící kritéria uvedená v § 3 je uveden v příloze č. 1k této vyhlášce.

§ 3

Určující kritéria

(1) Určující kritéria významného informačníhosystému se člení na

a) dopadová určující kritéria a

b) oblastní určující kritéria.

(2) Významným informačním systémem neníinformační systém, jehož správcem je obec1) a přivýkonu působnosti obce hlavní město Praha.

(3) Naplnění určujících kritérií významného in-formačního systému, který není uveden v příloze č. 1k této vyhlášce, posuzuje správce informačního sy-stému.

§ 4

Dopadová určující kritéria

Dopadovým určujícím kritériem je skutečnost,že

a) úplná nebo částečná nefunkčnost informačníhosystému způsobená narušením bezpečnosti in-formací by mohla mít negativní vliv na

1. fungování orgánu veřejné moci,

2. poskytování služeb nebo informací orgánemveřejné moci veřejnosti,

3. hospodaření orgánu veřejné moci nebo hos-podaření orgánu veřejné moci, který jesprávcem významného informačního systé-mu, anebo hospodaření orgánu nebo osoby,která je správcem informačního nebo komu-nikačního systému kritické informační infra-struktury, nebo

4. provoz jiného významného informačníhosystému využívajícího služeb hodnocenéhoinformačního systému, který je nefunkční,

přičemž omezení činnosti takového systému bymohlo mít za následek omezení výkonu působ-nosti orgánu veřejné moci po dobu delší než3 pracovní dny, nebo výrazné ohrožení výkonupůsobnosti orgánu veřejné moci, které lze od-vrátit za vynaložení nepřiměřených nákladů naprovoz nebo obnovu informačního systému,nebo

b) úplná nebo částečná nefunkčnost informačníhosystému způsobená narušením bezpečnosti in-formací by mohla způsobit

1. ohrožení nebo narušení prvku kritické infra-struktury2),

2. oběti na životech s mezní hodnotou více než10 mrtvých nebo 100 zraněných osob vyža-


1) Zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů.2) Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších před-

pisů.

dujících lékařské ošetření, s případnou hospi-talizací s dobou delší než 24 hodin,

3. finanční nebo materiální ztráty s mezní hod-notou více než 5 % stanoveného rozpočtuorgánu veřejné moci,

4. zásah do osobního života nebo do práv fy-zických nebo právnických osob postihujícínejméně 50 000 osob, nebo

5. výrazné ohrožení nebo narušení veřejnéhozájmu,

přičemž následky podle bodů 1 až 4 nedosáh-nou hodnot pro určení prvku kritické infra-struktury podle průřezových kritérií stanove-ných krizovým zákonem.

§ 5

Oblastní určující kritéria

Oblastní určující kritéria jsou uvedena v přílozeč. 2 k této vyhlášce.

§ 6

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. ledna2015.

Ředitel:

Ing. Navrátil v. r.

Ministr vnitra:

Chovanec v. r.









Sbírka zákonů 2014Strana 4014 Částka 127

Sbírka zákonů 2014Částka 127 Strana 4015

Sbírka zákonů 2014

Vydává a tiskne: Tiskárna Ministerstva vnitra, p. o., Bartůňkova 4, pošt. schr. 10, 149 01 Praha 415, telefon: 272 927 011, fax: 974 887 395 – Redakce:Ministerstvo vnitra, nám. Hrdinů 1634/3, pošt. schr. 155/SB, 140 21 Praha 4, telefon: 974 817 289, fax: 974 816 871 – Administrace: písemnéobjednávky předplatného, změny adres a počtu odebíraných výtisků – MORAVIAPRESS, a. s., U Póny 3061, 690 02 Břeclav, tel.: 516 205 175,e-mail: [email protected]. Roční předplatné se stanovuje za dodávku kompletního ročníku včetně rejstříku z předcházejícího roku a je odpředplatitelů vybíráno formou záloh ve výši oznámené ve Sbírce zákonů. Závěrečné vyúčtování se provádí po dodání kompletního ročníku na základěpočtu skutečně vydaných částek (první záloha na rok 2014 činí 6 000,– Kč) – Vychází podle potřeby – Distribuce: MORAVIAPRESS, a. s., U Pó-ny 3061, 690 02 Břeclav, celoroční předplatné a objednávky jednotlivých částek (dobírky) – 516 205 175, objednávky – knihkupci – 516 205 175,e-mail – [email protected], zelená linka – 800 100 314. Internetová prodejna: www.sbirkyzakonu.cz – Drobný prodej – Brno: Ing. Jiří Hrazdil,Vranovská 16, SEVT, a. s., Česká 14; České Budějovice: SEVT, a. s., Česká 3, tel.: 387 319 045; Cheb: EFREX, s. r. o., Karlova 31; Chomutov:DDD Knihkupectví – Antikvariát, Ruská 85; Kadaň: Knihařství – Přibíková, J. Švermy 14; Liberec: Podještědské knihkupectví, Moskevská 28;Olomouc: Zdeněk Chumchal – Knihkupectví Tycho, Ostružnická 3; Ostrava: LIBREX, Nádražní 14; Otrokovice: Ing. Kučeřík, Jungmannova 1165;Pardubice: ABONO s. r. o., Sportovců 1121, LEJHANEC, s. r. o., třída Míru 65; Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, nám. Čes-kých bratří 8; Praha 3: Vydavatelství a nakladatelství Aleš Čeněk, K Červenému dvoru 24; Praha 4: Tiskárna Ministerstva vnitra, Bartůňkova 4;Praha 6: PERIODIKA, Komornická 6; Praha 9: Abonentní tiskový servis-Ing. Urban, Jablonecká 362, po –pá 7 – 12 hod., tel.: 286 888 382,e-mail: [email protected], DOVOZ TISKU SUWECO CZ, Klečákova 347; Praha 10: BMSS START, s. r. o., Vinohradská 190,MONITOR CZ, s. r. o., Třebohostická 5, tel.: 283 872 605; Přerov: Jana Honková-YAHO-i-centrum, Komenského 38; Ústí nad Labem: PNSGrosso s. r. o., Havířská 327, tel.: 475 259 032, fax: 475 259 029, KARTOON, s. r. o., Klíšská 3392/37 – vazby sbírek tel. a fax: 475 501 773,e-mail: [email protected]; Zábřeh: Mgr. Ivana Patková, Žižkova 45; Žatec: Jindřich Procházka, Bezděkov 89 – Vazby Sbírek, tel.: 415 712 904.Distribuční podmínky předplatného: jednotlivé částky jsou expedovány neprodleně po dodání z tiskárny. Objednávky nového předplatného jsouvyřizovány do 15 dnů a pravidelné dodávky jsou zahajovány od nejbližší částky po ověření úhrady předplatného nebo jeho zálohy. Částky vyšlév době od zaevidování předplatného do jeho úhrady jsou doposílány jednorázově. Změny adres a počtu odebíraných výtisků jsou prováděny do15 dnů. Reklamace: informace na tel. čísle 516 205 175. V písemném styku vždy uvádějte IČO (právnická osoba), rodné číslo (fyzická osoba).Podávání novinových zásilek povoleno Českou poštou, s. p., Odštěpný závod Jižní Morava Ředitelství v Brně č. j. P/2-4463/95 ze dne 8. 11. 1995.

Strana 4016 Částka 127

8591449 127011

14

ISSN 1211-1244

Documents

SBÍRKA ZÁKONŮ - nbu.cz · škození aktiva, g) hodnocením rizik proces, při němžje určována významnost rizik a jejich přijatelná úroveň,