190

VYHLÁŠKA
ze dne 7. června 2023
o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu






      Národní úřad pro kybernetickou a informační bezpečnost (dále jen ˙Úřad˙) stanoví podle § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 205/2017 Sb., (dále jen ˙zákon˙):

§ 1

Předmět úpravy

      Tato vyhláška stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu podle § 6 písm. e) zákona, jejichž cílem je zajištění bezpečnosti informací při využívání služeb cloud computingu orgány veřejné moci.

§ 2

Základní pojmy

      Pro účely této vyhlášky se rozumí

a)

uživatelem služby cloud computingu (dále jen ˙uživatel˙) ten, kdo služby cloud computingu prostřednictvím nebo jménem orgánu veřejné moci využívá,

b)

zákaznickými daty všechna data, která jsou uživatelem nebo administrátorem¹) na straně orgánu veřejné moci vložena do služby cloud computingu nebo jsou výsledkem využití služby cloud computingu uživatelem v průběhu využívání služby cloud computingu,

c)

zákaznickým obsahem textová, zvuková, audiovizuální, obrazová nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,

d)

specifickými provozními údaji takové provozní údaje, které obsahují informace o identifikovaném nebo identifikovatelném uživateli nebo administrátorovi¹) na straně orgánu veřejné moci,

e)

zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty nebo provozními údaji v elektronické podobě, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,

f)

subdodavatelem dodavatel poskytovatele s vlivem na bezpečnost informací služby cloud computingu,

g)

technickým aktivem takové technické vybavení, komunikační prostředky a programové vybavení služby cloud computingu a objekty, které jsou využívány k poskytování služby cloud computingu a jejichž selhání může mít dopad na službu cloud computingu.

§ 3

Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné moci

      (1)  Bezpečnostní pravidla stanovují minimální požadavky pro využívání služby cloud computingu orgánem veřejné moci v příslušné bezpečnostní úrovni²) cloud computingu.

      (2)  Bezpečnostní pravidla pro orgány veřejné moci jsou stanovena v příloze k této vyhlášce.

§ 4

Přechodná ustanovení

      Orgán veřejné moci, který využívá službu cloud computingu na základě smlouvy s poskytovatelem uzavřené přede dnem nabytí účinnosti této vyhlášky nebo smlouvy, která byla uzavřena na základě smlouvy uzavřené přede dnem nabytí účinnosti této vyhlášky, zajistí dodržování bezpečnostních pravidel pro poskytování služby cloud computingu stanovených touto vyhláškou od 1. ledna 2024.

§ 5

Účinnost

      Tato vyhláška nabývá účinnosti dnem 1. července 2023.




Ředitel:


Ing. Kintr v. r.

Příloha k vyhlášce č. 190/2023 Sb.

––––––––––––––––––––

¹)

§ 2 písm. a) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů.

²)

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.