315/2021 Sb. Vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci

315/2021 Sb.VYHLÁŠKANárodního úřadu pro kybernetickou a informační bezpečnostze dne 24. srpna 2021o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci

Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 205/2017 Sb., (dále jen "zákon"):

§ 1

Předmět úpravy

Tato vyhláška stanoví bezpečnostní úrovně pro využívání cloud computingu orgány veřejné moci podle § 6 písm. e) zákona.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

a) poptávaným cloud computingem informační nebo komunikační systém jako celek nebo jeho část, které mohou být provozovány pomocí cloud computingu a které je orgán veřejné moci povinen zařadit do bezpečnostní úrovně,

b) částí informačního nebo komunikačního systému taková část tohoto systému, která je jednoznačně oddělitelná, zabezpečuje cílevědomou a systematickou informační činnost 1), může být provozována pomocí cloud computingu a je definována z hlediska funkčních kategorií, architektury, provozního modelu a bezpečnosti,

c) oblastí dopadu vymezená oblast, v rámci které může mít dopad kybernetického bezpečnostního incidentu na poptávaný cloud computing vliv na bezpečnost a zdraví lidí, ochranu osobních údajů, trestněprávní řízení, veřejný pořádek, mezinárodní vztahy, řízení a provoz, důvěryhodnost, finanční model nebo zajišťování služeb,

d) úrovní dopadu nízká, střední, vysoká nebo kritická hodnota, která odpovídá dopadu kybernetického bezpečnostního incidentu na poptávaný cloud computing v každé oblasti dopadu.

------------------------------------------------------------------

1) § 2 písm. a) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů.

§ 3

Bezpečnostní úrovně

Bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci vyjadřuje možné dopady kybernetického bezpečnostního incidentu na poptávaný cloud computing. Bezpečnostní úrovně jsou nízká, střední, vysoká nebo kritická.

§ 4

Zařazení poptávaného cloud computingu do bezpečnostní úrovně

(1) Zařazení poptávaného cloud computingu do bezpečnostní úrovně provede orgán veřejné moci podle přílohy k této vyhlášce. Orgán veřejné moci zhodnotí naplnění úrovně dopadu, které je poptávaný cloud computing schopen dosáhnout v rámci každé oblasti dopadu. Úroveň dopadu je v rámci každé oblasti dopadu dána nejhorším možným dopadem kybernetického bezpečnostního incidentu.

(2) Při zjišťování nejhoršího možného dopadu kybernetického bezpečnostního incidentu zohlední orgán veřejné moci možné narušení důvěrnosti, integrity a dostupnosti poptávaného cloud computingu a povahu informačního nebo komunikačního systému, který je poptávaným cloud computingem, jako celku. V případě, že je poptávaným cloud computingem pouze určitá část informačního nebo komunikačního systému, zohlední také vztah této části k bezpečnostní úrovni informačního nebo komunikačního systému jako celku.

(3) Bezpečnostní úroveň pro využívání poptávaného cloud computingu orgánem veřejné moci je shodná s nejvyšší úrovní dopadu, které poptávaný cloud computing dosáhne při hodnocení jednotlivých oblastí dopadu.

(4) Informační nebo komunikační systém, který je významným informačním systémem podle zákona, odpovídá vysoké bezpečnostní úrovni, pokud je poptávaným cloud computingem tento informační nebo komunikační systém jako celek, a pokud nebude orgánem veřejné moci postupem podle předchozích odstavců zařazen do kritické bezpečnostní úrovně.

(5) Informační nebo komunikační systém, který je kritickou informační infrastrukturou podle zákona, odpovídá kritické bezpečnostní úrovni, pokud je poptávaným cloud computingem tento informační nebo komunikační systém jako celek.

(6) Nejvyšší stanovená bezpečnostní úroveň informačního nebo komunikačního systému jako celku musí být stanovena alespoň pro jednu část informačního nebo komunikačního systému, který je poptávaným cloud computingem.

(7) O procesu stanovení bezpečnostní úrovně poptávaného cloud computingu podle předchozích odstavců provede orgán veřejné moci písemný záznam. Vzor písemného záznamu zveřejní Národní úřad pro kybernetickou a informační bezpečnost na svých internetových stránkách.

§ 5

Účinnost

Tato vyhláška nabývá účinnosti dnem následujícím po dni jejího vyhlášení. +)

Ředitel:

Ing. Řehka v. r.

--------------------

+) 1. 9. 2021

------------------------------------------------------------------

Příloha

Úrovně a oblasti dopadu pro zařazení poptávaného cloud computingu do bezpečnostní úrovně

+----------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+| Úroveň | Oblast dopadu || +----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+| dopadu | A. | B. | C. | D. | E. | F. | G. | H. | I. || | Bezpečnost a zdraví | Ochrana osobních | Trestněprávní řízení | Veřejný pořádek | Mezinárodní | Řízení a provoz | Důvěryhodnost | Finanční model | Zajišťování služeb || | lidí | údajů | | | vztahy | | | | |+----------+----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+| 1. | Nemůže vést ke | Nemůže ovlivnit | Nemůže vytvořit | Nemůže zapříčinit | Nemůže negativně| Nemůže narušit řádné | Nemůže negativně | Nemůže ani nepřímo | Nemůže způsobit || Nízká | zranění jednotlivce | poptávaný cloud | podmínky pro páchání | hromadné nepokoje | ovlivnit obraz | fungování nebo řízení | ovlivnit vztahy | vést k finančním | omezení, narušení || | ani skupiny lidí. | computing, nebo | trestných činů | nebo jinak narušit | České republiky | ani části orgánu | s jinými částmi orgánu | ztrátám, nebo může | nebo nedostupnost || | | může negativně | přisvojení pravomoci | veřejný pořádek. | v zahraničí. | veřejné moci, nebo | veřejné moci, jinými | vést k finančním | žádných || | | ovlivnit poptávaný | úřadu, zneužití | | | může narušit řádné | organizacemi nebo | ztrátám menším než | poskytovaných || | | cloud computing, | pravomoci úřední | | | fungování části nebo | vztahy s veřejností, | 1 % běžných výdajů | služeb, nebo může || | | který naplňuje nejvýše | osoby nebo padělání | | | celého orgánu veřejné | nebo může vztahy | ročního rozpočtu | způsobit omezení, || | | dvě kritéria z první | a pozměnění veřejné | | | moci, avšak nemůže | s nimi negativně | orgánu veřejné moci. | narušení nebo || | | skupiny kritérií pro | listiny ani nemůže | | | závažně omezit nebo | ovlivnit, avšak | | nedostupnost || | | oblast dopadu B. | ztížit jejich | | | zastavit provádění | negativní následky | | poskytovaných || | | Ochrana osobních údajů. | vyšetřování. | | | důležitých činností | mohou být nejvýše | | služeb pro 5 000 || | | | | | | orgánu veřejné moci. | lokální. | | a méně osob. |+----------+----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+| 2. | Může vést ke zranění | Může negativně | Může vytvořit | Může zapříčinit | Může negativně | Může narušit řádné | Může negativně | Může vést k | Může způsobit || Střední | jednotlivce nebo | ovlivnit poptávaný | podmínky pro páchání | hromadné nepokoje | ovlivnit obraz | fungování části nebo | ovlivnit vztahy | finančním ztrátám ve | omezení, || | skupiny nejvíce 100 | cloud computing, | trestných činů | nebo jinak narušit | České republiky | celého orgánu veřejné | s jinými částmi orgánu | výši mezi 1 % a 5 % | narušení nebo || | lidí. | který naplňuje tři | přisvojení pravomoci | veřejný pořádek | v sousedních | moci, přičemž může | veřejné moci, jinými | běžných výdajů | nedostupnost služeb || | | a více kritérií z první | úřadu, zneužití | s lokálními dopady. | státech. | závažně omezit nebo | organizacemi nebo | ročního rozpočtu | pro více než 5 000, || | | skupiny kritérií nebo | pravomoci úřední | | | zastavit provádění | vztahy s veřejností, | orgánu veřejné moci | nejvíce však 50 000 || | | jedno kritérium | osoby nebo padělání | | | důležitých činností | avšak negativní | a tyto ztráty | osob. || | | z druhé skupiny | a pozměnění veřejné | | | orgánu veřejné moci. | následky mohou být | odpovídají částce | || | | kritérií pro oblast | listiny nebo může | | | | nejvýše regionální. | 100 000 Kč a vyšší. | || | | dopadu B. Ochrana | ztížit jejich | | | | | V případě, že výše | || | | osobních údajů. | vyšetřování. | | | | | finanční ztráty | || | | | | | | | | odpovídá částce nižší | || | | | | | | | | než 100 000 Kč, | || | | | | | | | | použije se úroveň | || | | | | | | | | dopadu nízká. | |+----------+----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+| 3. | Může vést ke zranění | Může negativně | Může vést k narušení | Může zapříčinit | Může negativně | Může narušit řádné | Může negativně | Může vést k | Může způsobit || Vysoká | skupiny více než 100 | ovlivnit poptávaný | vyšetřování trestné | hromadné nepokoje | ovlivnit obraz | fungování části nebo | ovlivnit vztahy s | finančním ztrátám ve | omezení, || | lidí a nejvíce 2 500 | cloud computing, | činnosti nebo | nebo jinak závažně | České republiky | celého orgánu veřejné | jinými částmi orgánu | výši přesahující 5 % | narušení nebo || | lidí nebo přímému | který naplňuje dvě | soudního řízení | narušit veřejný | ve světě. | moci, přičemž může | veřejné moci, jinými | a maximálně 10 % | nedostupnost služeb || | ohrožení nebo ztrátě | a více kritérií z druhé | v rámci orgánů | pořádek | | závažně omezit nebo | organizacemi nebo | běžných výdajů | pro více než 50 000 || | života jednotlivce | skupiny kritérií pro | činných v trestním | s regionálními | | zastavit provádění | vztahy s veřejností, | ročního rozpočtu | osob. || | nebo skupiny nejvíce | oblast dopadu B. | řízení. | dopady. | | důležitých činností | avšak negativní | orgánu veřejné moci | || | 250 lidí. | Ochrana osobních | | | | orgánu veřejné moci | následky mohou být | a tyto ztráty | || | | údajů. | | | | a narušit řízení, | nejvýše celostátní | odpovídají částce | || | | | | | | poškodit rozvoj nebo | nebo krátkodobě | 1 000 000 Kč | || | | | | | | poškodit prosazování | mezinárodní. | a vyšší, nebo může | || | | | | | | cílů a zájmů orgánu | | způsobit | || | | | | | | veřejné moci. | | hospodářské ztráty | || | | | | | | | | státu ve výši mezi | || | | | | | | | | 0,1 % a 0,5 % | || | | | | | | | | hrubého domácího | || | | | | | | | | produktu. V případě, | || | | | | | | | | že výše finanční | || | | | | | | | | ztráty odpovídá | || | | | | | | | | částce nižší než | || | | | | | | | | 1 000 000 Kč, | || | | | | | | | | použije se úroveň | || | | | | | | | | dopadu střední. | |+----------+----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+| 4. | Může vést ke zranění | Může vést k omezení | Může vést | Může být dotčen | Může negativně | Může být dotčen | Může být dotčen | Může vést k | Může být dotčen || Kritická | skupiny více než | nebo narušení | k závažnému | prvek kritické | ovlivnit nebo | prvek kritické | prvek kritické | finančním ztrátám | prvek kritické || | 2 500 lidí nebo | zpracování osobních | a dlouhodobému | infrastruktury | poškodit | infrastruktury | infrastruktury | přesahujícím 10 % | infrastruktury || | přímému ohrožení | údajů, které je | narušení schopnosti | provozovaný orgánem | diplomatické | provozovaný orgánem | provozovaný orgánem | běžných výdajů | provozovaný || | nebo ztrátě | nezbytné pro | vyšetřovat trestnou | veřejné moci, který | vztahy | veřejné moci, který | veřejné moci, který | ročního rozpočtu | orgánem veřejné || | života skupiny více | zajišťování obranných | činnost nebo | poptávaný cloud | České republiky.| poptávaný cloud | poptávaný cloud | orgánu veřejné moci | moci, který || | než 250 lidí. | a bezpečnostních | zpochybnění soudního | computing zařazuje | | computing zařazuje do | computing zařazuje do | a tyto ztráty | poptávaný cloud || | | zájmů České | řízení v rámci orgánů | do bezpečnostní | | bezpečnostní úrovně, | bezpečnostní úrovně, | odpovídají částce | computing zařazuje || | | republiky. | činných v trestním | úrovně, a může | | a může narušit řádné | a může negativně | 10 000 000 Kč a | do bezpečnostní || | | | řízení. | zapříčinit hromadné | | fungování části nebo | ovlivnit vztahy | vyšší, nebo může | úrovně, a může || | | | | nepokoje nebo jinak | | celého orgánu veřejné | s jinými částmi orgánu | způsobit | dojít k rozsáhlému || | | | | závažně narušit | | moci, přičemž může | veřejné moci, jinými | hospodářské ztráty | omezení poskytování || | | | | veřejný pořádek | | závažně omezit nebo | organizacemi nebo | státu vyšší než 0,5 % | nezbytných služeb || | | | | s celostátními | | zastavit provádění | vztahy s veřejností | hrubého domácího | nebo jinému || | | | | dopady. | | důležitých činností | a negativní následky | produktu. V případě, | závažnému zásahu || | | | | | | orgánu veřejné moci | mohou být dlouhodobě | že výše finanční | do každodenního || | | | | | | a narušit řízení, | mezinárodní. | ztráty odpovídá | života postihujícího || | | | | | | poškodit rozvoj nebo | | částce nižší než | více než 125 000 || | | | | | | poškodit prosazování | | 10 000 000 Kč, | osob. || | | | | | | cílů a zájmů orgánu | | použije se úroveň | || | | | | | | veřejné moci. | | dopadu vysoká. | |+----------+----------------------+-------------------------+-----------------------+----------------------+-----------------+-----------------------+-------------------------+-----------------------+----------------------+

Skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů

(1) První skupinu kritérií tvoří tato kritéria:

a) zpracovávají se osobní údaje umožňující bez dalšího vystupovat nebo jednat jménem subjektu údajů v souvislostech znamenajících poškození cti, pověsti nebo charakteru nebo umožňující na účet subjektu údajů odebírat služby, zboží, popřípadě vybírat peníze nebo jiné majetkové hodnoty,

b) zpracovávají se osobní údaje, podle kterých je subjekt údajů zařaditelný jako člen skupiny s časově omezenou nebo situačně danou zranitelností,

c) dochází ke zpracování osobních údajů, kterým je dotčeno nebo lze důvodně předpokládat, že bude dotčeno 5 000 až 10 000 subjektů údajů,

d) osobní údaje jsou veřejně přístupné neomezenému počtu orgánů nebo osob a

e) jedná se o zpracování osobních údajů systémem s propojením na jiná zpracování prováděná stejným správcem osobních údajů nebo se jedná o osobní údaje získané od jiných správců osobních údajů.

(2) Druhou skupinu kritérií tvoří tato kritéria:

a) zpracovávají se zvláštní kategorie osobních údajů nebo údaje vysoce osobní povahy, zejména finanční údaje o stavu majetku, výši finančních prostředků, dluzích nebo půjčkách nebo platební morálce, záznamy o historii soukromých volání subjektů údajů, údaje z elektronické pošty subjektů údajů a podobně,

b) dochází ke zpracování osobních údajů, kterým je dotčeno nebo lze důvodně předpokládat, že bude dotčeno více než 10 000 subjektů údajů ac) dochází k automatizovanému rozhodování, které se dotýká subjektu údajů.

******************************************************************