Od 1. listopadu 2025 je účinný nový Zákon o kybernetické bezpečnosti a s ním i nové vyhlášky. Na změnu legislativy samozřejmě reagujeme a první vlna harmonizace se v MoyaKybeon objeví 15. listopadu spolu s nasazením umělé inteligence.
Co se tedy 15. listopadu změní?
Změny v číselníku „Skupiny zranitelností“
Bude odstraněna položka:
Nedostatečná údržba informačního a komunikačního systému
Pokud byla u nějaké konkrétní zranitelnosti tato hodnota vybrána, bude po aktualizaci tato položka prázdná. Jedná se o nepovinnou položku, nehrozí tedy další související důsledky.
Budou změněny tyto položky:
| Původní znění | Nové znění |
| Nedostatečné monitorování činnosti lidských zdrojů, neschopnost odhalit jejich pochybení, nevhodné nebo závadné způsoby chování | Nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit činnost, která může mít vliv na bezpečnost regulované služby |
| Nedostatek zaměstnanců s potřebnou odbornou úrovní | Nedostatek zaměstnanců s potřebnou odbornou úrovní znalostí |
| Neschopnost včasného odhalení pochybení ze strany lidských zdrojů | Neschopnost včasného odhalení pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení |
| Nevhodná bezpečnostní architektura | Nevhodně navržená bezpečná architektura |
| Nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů | Nedostatečné postupy a procesy pro detekování kybernetických bezpečnostních událostí a identifikování kybernetických bezpečnostních incidentů |
| Nedostatečné bezpečnostní povědomí lidských zdrojů | Nedostatečné bezpečnostní povědomí uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení |
| Nedostatečné stanovení bezpečnostních pravidel a postupů, nepřesné nebo nejednoznačné vymezení práv a povinností lidských zdrojů | Nedostatečné stanovení bezpečnostních pravidel a postupů, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení |
Přibudou položky:
- Nedostatečné zálohování
- Umístění aktiva mimo fyzickou kontrolu (například na území cizího státu)
- Umístění aktiva na území státu, o jehož právním prostředí nemá povinná osoba dostatečné povědomí
- Zranitelnosti odhalené při skenování zranitelností a penetračním testování
Změny v číselníku „Skupiny hrozeb“
Budou změněny tyto položky:
| Původní znění | Nové znění |
| Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů | Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení |
| Dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb | Dlouhodobé přerušení poskytování služeb elektronických komunikací, družicových služeb, dodávky elektrické energie nebo jiných důležitých služeb |
| Přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie | Přerušení poskytování služeb elektronických komunikací, družicových služeb nebo dodávek elektrické energie nebo jiných důležitých služeb |
| Napadení elektronické komunikace (odposlech, modifikace) | Napadení (odposlech, modifikace, podvržení) elektronické komunikace, družicových služeb nebo jiných důležitých služeb |
| Působení škodlivého kódu (například viry, spyware, trojské koně) | Škodlivý kód“/”Malware |
| Zneužití nebo neoprávněná modifikace údajů | Zneužití nebo neoprávněná modifikace informací |
| Nedostatek zaměstnanců s potřebnou odbornou úrovní | Zaměstnanci s nedostatečnou odbornou úrovní znalostí |
| Pochybení ze strany zaměstnanců a administrátorů | Pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení |
| Zneužití identity fyzické osoby | Zneužití identity |
| Poškození nebo selhání technického nebo programového vybavení | Poškození nebo selhání technického anebo programového vybavení |
Přibudou položky:
- Narušení dostupnosti primárních nebo podpůrných aktiv umístěných mimo území České republiky
- Závislost na dodavateli
- Zneužití cizí státní moci pro přístup k aktivům
- Zpřístupnění nebo předání aktiv na základě žádosti jiného státu
Nový číselník „Opatření dle VoKB NP“
Neboli Opatření dle VoKB v režimu nižších povinností. Tento číselník bude typu multichoice (tedy s možností vybrat více položek) a bude nepovinný.
Číselník bude obsahovat tyto položky v tomto pořadí:
- § 3 Systém zajišťování minimální kybernetické bezpečnosti
- § 4 Požadavky na vrcholné vedení
- § 5 Bezpečnost lidských zdrojů
- § 6 Řízení kontinuity činností
- § 7 Řízení přístupu
- § 8 Řízení identit a jejich oprávnění
- § 9 Detekce a zaznamenávání kybernetických bezpečnostních událostí
- § 10 Řešení kybernetických bezpečnostních incidentů
- § 11 Bezpečnost komunikačních sítí
- § 12 Aplikační bezpečnost
- § 13 Kryptografické algoritmy
Zároveň přibude možnost stáhnout si Přílohu o aplikovatelnosti buď podle režimu vyšších povinností, nebo podle režimu nižších povinností.
Nový způsob zvládání rizika
V číselníku způsobů zvládání rizika přibude hodnota “Eliminace”. Mechanismus automatického doporučení zůstává beze změny, tuto hodnotu bude možné vybrat pouze ručně.
Změny v číselníku „Skupiny hrozeb“
Budou odstraněny položky:
- § 10 Řízení provozu a komunikací“
- “§ 21 Ochrana před škodlivým kódem“
- “§ 29 Digitální služby“
Pokud je některé opatření mělo vybráno, tak z výběru tyto hodnoty zmizí.
Budou změněny tyto položky:
| Původní znění | Nové znění |
| § 4 Řízení aktiv | § 7 Řízení aktiv |
| § 5 Řízení rizik | § 8 Řízení rizik |
| § 6 Organizační bezpečnost | § 6 Řízení bezpečnostní politiky a bezpečnostní dokumentace |
| § 7 Bezpečnostní role | § 5 Stanovení bezpečnostních rolí |
| § 8 Řízení dodavatelů | § 9 Řízení dodavatelů |
| § 9 Bezpečnost lidských zdrojů | § 10 Bezpečnost lidských zdrojů |
| § 12 Řízení přístupu | § 13 Řízení přístupu |
| § 13 Akvizice, vývoj a údržba | § 12 Akvizice, vývoj a údržba |
| § 16 Audit kybernetické bezpečnosti | § 16 Provádění auditu kybernetické bezpečnosti |
| § 20 Řízení přístupových oprávnění | § 20 Řízení přístupových práv a oprávnění |
| § 22 Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů | § 22 Zaznamenávání událostí |
| § 23 Detekce kybernetických bezpečnostních událostí | § 21 Detekce kybernetických bezpečnostních událostí |
| § 24 Sběr a vyhodnocování kybernetických bezpečnostních událostí | § 23 Vyhodnocování kybernetických bezpečnostních událostí |
| § 25 Aplikační bezpečnost | § 24 Aplikační bezpečnost |
| § 26 Kryptografické prostředky | § 25 Kryptografické algoritmy |
| § 27 Zajišťování úrovně dostupnosti informací | § 26 Zajišťování dostupnosti regulované služby |
| § 28 Průmyslové, řídicí a obdobné specifické systémy | § 27 Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv |
Přibude položka:
§ 4 Požadavky na vrcholné vedení