Váš nákupní košík:  prázdný Přihlášení obchod@sagit.cz

Navigace:  Úvod  »  Zákony  »  Sbírka zákonů

Sbírka zákonů


316

VYHLÁŠKA

ze dne 24. srpna 2021

o některých požadavcích pro zápis do katalogu cloud computingu

Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 12 odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 261/2021 Sb., (dále jen „zákon“):

§ 1
Předmět úpravy

Tato vyhláška stanoví

a)   požadavky na způsobilost poskytovatele cloud computingu (dále jen „poskytovatel“) zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona,
b)   požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informa- cí orgánu veřejné správy nabízeným cloud computingem podle § 6n písm. b) zákona,
c)   seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona,
d)   požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání,
e)   požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f) zákona,
f)   požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona a
g)   požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h) zákona.

§ 2
Základní pojmy

Pro účely této vyhlášky se rozumí

a)   zákazníkem orgán veřejné správy využívající službu cloud computingu,
b)   uživatelem ten, kdo službu cloud computingu prostřednictvím systému orgánu veřejné správy využívá nebo ji nastavuje,
c)   zákaznickými daty všechna data, která jsou uživatelem poskytnuta poskytovateli v průběhu užívání služby cloud computingu,
d)   zákaznickým obsahem textová, zvuková, audiovizuální, obrazová nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,
e)   provozními údaji data vygenerovaná nebo odvozená poskytovatelem v souvislosti s poskytováním služby cloud computingu,
f)   specifickými provozními údaji takové provozní údaje, které obsahují informace o identifikovaném nebo identifikovatelném uživateli,
g)   zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty a provozními údaji v elektronické podobě, prováděné pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,
h)   bezpečnostní úrovní nabízeného cloud computingu je taková bezpečnostní úroveň, do které nabízený cloud computing řadí poskytovatel.

§ 3
Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy

Poskytovatelem způsobilým zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona je ten, který splňuje požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy uvedené v příloze č. 1 k této vyhlášce odpovídající bezpečnostní úrovni nabízeného cloud computingu, v jaké žádá poskytovatel zapsat službu cloud computingu do katalogu cloud computingu, a třídě cloud computingu1), do které se služba cloud computingu řadí.

§ 4
Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem

Cloud computingem, který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6n zákona, je cloud computing splňující požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem uvedené v příloze č. 2 k této vyhlášce odpovídající bezpečnostní úrovni nabízeného cloud computingu, v jaké žádá poskytovatel zapsat službu cloud computingu do katalogu cloud computingu, a třídě cloud computingu, do které se služba cloud computingu řadí.

§ 5
Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, doklady o jejich splnění a intervaly pro předkládání těchto dokladů

Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona jsou stanoveny v příloze č. 3 k této vyhlášce.

§ 6
Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu a intervaly pro její předkládání

Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání jsou stanoveny v příloze č. 4 k této vyhlášce.

§ 7
Požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii

(1) Auditní zprávou osvědčující existenci plánu zajištění kontinuity provozu nabízené služby cloud computingu a plánu na obnovu poskytování nabízené služby cloud computingu po havárii se rozumí auditní zpráva vyhotovená subjektem nezávislým na poskytovateli, která potvrzuje existenci plánu zajištění kontinuity provozu nabízené služby cloud computingu a plánu na obnovu poskytování nabízené služby cloud computingu po havárii a dokládá ověření jeho aplikace.

(2) Má se za to, že znaky auditní zprávy podle odstavce 1 naplňuje auditní zpráva vydaná pro účel certifikace ČSN ISO/IEC 20000, ISO/IEC 20000, ČSN EN ISO 22301, ISO 22301, SOC 2® Type 2 nebo atestace podle CSA STAR Level 2. V rozsahu dané auditní zprávy musí být zahrnuta nabízená služba cloud computingu.

§ 8
Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik

Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona jsou stanoveny v příloze č. 5 k této vyhlášce.

§ 9
Požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací

(1) Struktura podkladů k ověření splnění požadavků podle § 3 a 4 musí být přehledná a srozumitelná. Za účelem dosažení přehlednosti a srozumi-telnosti poskytovatel popíše a doloží pro každou jednotlivou službu cloud computingu, kterou žádá zapsat do katalogu cloud computingu, splnění požadavků podle § 4. V případě, že více služeb spadajících do stejné bezpečnostní úrovně nabízeného cloud computingu a stejné třídy cloud computingu splňuje požadavek podle § 4 stejně, je možné doložit splnění takového požadavku pouze jednou a jednoznačně uvést všechny služby cloud computingu, na které se toto doložení vztahuje.

(2) Podklady pro ověření splnění požadavků podle § 3 a 4 obsahují

a)   identifikaci poskytovatele podle § 37 odst. 2 správního řádu,
b)   popis splnění každého požadavku pro každou službu cloud computingu, kterou poskytovatel žádá zapsat do katalogu cloud computingu, popřípadě popis skutečnosti, kterou poskytovatel dokládá splnění požadavku v přílohách č. 1 a 2 k této vyhlášce ve sloupci „Podklad, kterým poskytovatel doloží splnění požadavku“, a
c)   podklady, kterými poskytovatel doloží splnění požadavku podle příloh č. 1 a 2 k této vyhlášce.

(3) Náležitosti podle odstavce 2 písm. a) a b) dokládá poskytovatel na elektronickém formuláři, který se zveřejňuje na internetových stránkách Národního úřadu pro kybernetickou a informační bezpečnost.

(4) V případě, že je pro doložení splnění požadavků podle § 3 a 4 nezbytné odkázat do jiného dokumentu, který je k formuláři připojen, provede se tak ve formuláři uvedením kapitoly, strany, odstavce a případně i konkrétní věty.

(5) Formulář i veškeré přílohy se předkládají v elektronické podobě, ve strojově čitelném formátu zaručujícím neměnnost obsahu jednotlivých dokumentů.

(6) V případě, že je splnění některého z požadavků podle § 3 a 4 dokládáno čestným prohlášením, musí z něho být patrné, kdo a kdy jej činí a co se jím dokládá. V případě, že čestné prohlášení činí osoba odlišná od poskytovatele, je přílohou žádosti o zápis nabídky cloud computingu do katalogu cloud computingu i doklad o zmocnění opravňující tuto osobu k tomuto čestnému prohlášení.

§ 10
Přechodné ustanovení

Splnění požadavků uvedených v řádcích 7.8, 7.9 a 8.7 přílohy č. 2 k této vyhlášce se vyžaduje ode dne 1. ledna 2024.

§ 11
Účinnost

Tato vyhláška nabývá účinnosti dnem následujícím po dni jejího vyhlášení.

Ředitel:
Ing. Řehka v. r.

Příloha č. 1 k vyhlášce č. 316/2021 Sb.

Příloha č. 2 k vyhlášce č. 316/2021 Sb.

Příloha č. 3 k vyhlášce č. 316/2021 Sb.

Příloha č. 4 k vyhlášce č. 316/2021 Sb.

Příloha č. 5 k vyhlášce č. 316/2021 Sb.

(Příloha je dostupná na adrese: https://aplikace.mvcr.cz/sbirka-zakonu)

1) § 2 písm. a) vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu.

E-shop

DPH u intrakomunitárních dodávek a dovozu a vývozu zboží, 8. vydání

DPH u intrakomunitárních dodávek a dovozu a vývozu zboží, 8. vydání

Václav Benda, Milan Tomíček - BOVA POLYGON

Jedná se o další doplněné a aktualizované vydání velmi žádané publikace, která zachycuje praktické postupy při uplatňování DPH v oblasti jak pořízení zboží z jiného členského státu a dovozu zboží ze třetích ...

Cena: 678 KčKOUPIT

Manuál k daňovému řádu, 2. rozšířené a aktualizované vydání, 2013

Manuál k daňovému řádu, 2. rozšířené a aktualizované vydání, 2013

Ing. Miloslav Kopřiva, Mgr. Jaroslav Novotný - Sagit, a. s.

Manuál k daňovému řádu vyšel poprvé před dvěma roky. Kniha byla velmi dobře přijata odbornou veřejností, která oceňuje zejména její praktické pojetí, srozumitelnost a provázanost komentářů k daňovému řádu na ...

Cena: 681 KčKOUPIT

Zákon o vyšších soudních úřednících a vyšších úřednících státního zastupitelství. Komentář

Zákon o vyšších soudních úřednících a vyšších úřednících státního zastupitelství. Komentář

JUDr. Jiří Grygar, Ph.D. - Wolters Kluwer, a. s.

Zákon o vyšších soudních úřednících a vyšších úřednících státního zastupitelství je dlouhodobě opomíjeným právním předpisem v oblasti organizace soudů a státních zastupitelství. Tento komentář se snaží tuto ...

Cena: 209 KčKOUPIT

Právní předpisy

Sbírka zákonů ČR

 /
Číslo  /
Částka  /

Sbírka mezinárodních smluv

 /
Číslo  /
Částka  /

Finanční zpravodaj

 /
Číslo  /

Provozovatel

Nakladatelství Sagit, a. s.
Horní 457/1, 700 30 Ostrava-Hrabůvka
Společnost je zapsaná v obchodním
rejstříku vedeném KS v Ostravě,
oddíl B, vložka 3086.
IČ: 277 76 981
DIČ: CZ27776981

Telefony


Zásilkový obchod: 558 944 614
Předplatné ÚZ: 558 944 615
Software: 558 944 629
Knihkupci: 558 944 621
Inzerce: 558 944 634

E-maily


Zásilkový obchod: obchod@sagit.cz
Předplatné ÚZ: predplatne@sagit.cz
Software: software@sagit.cz
Knihkupci: knihkupci@sagit.cz
Inzerce: inzerce@sagit.cz

© 1996–2021 Nakladatelství Sagit, a. s. Všechna práva vyhrazena.