2023/190 Sb., Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu

2023/190 Sb., Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu

190/2023
Účinnost 1. července 2023

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu

Národní úřad pro kybernetickou a informační bezpečnost (dále jen "Úřad") stanoví podle § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 205/2017 Sb., (dále jen "zákon"):

§ 1

Předmět úpravy

Tato vyhláška stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu podle § 6 písm. e) zákona, jejichž cílem je zajištění bezpečnosti informací při využívání služeb cloud computingu orgány veřejné moci.

§ 2

Základní pojmy

Pro účely této vyhlášky se rozumí

a)

uživatelem služby cloud computingu (dále jen "uživatel") ten, kdo služby cloud computingu prostřednictvím nebo jménem orgánu veřejné moci využívá,

zákaznickými daty všechna data, která jsou uživatelem nebo administrátorem1) na straně orgánu veřejné moci vložena do služby cloud computingu nebo jsou výsledkem využití služby cloud computingu uživatelem v průběhu využívání služby cloud computingu,

zákaznickým obsahem textová, zvuková, audiovizuální, obrazová nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,

specifickými provozními údaji takové provozní údaje, které obsahují informace o identifikovaném nebo identifikovatelném uživateli nebo administrátorovi1) na straně orgánu veřejné moci,

zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty nebo provozními údaji v elektronické podobě, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,

subdodavatelem dodavatel poskytovatele s vlivem na bezpečnost informací služby cloud computingu,

technickým aktivem takové technické vybavení, komunikační prostředky a programové vybavení služby cloud computingu a objekty, které jsou využívány k poskytování služby cloud computingu a jejichž selhání může mít dopad na službu cloud computingu.

§ 3

Požadavky na způsobilost zajistit základní úroveň ochrany
důvěrnosti, integrity a dostupnosti informací orgánu
veřejné moci

(1) Bezpečnostní pravidla stanovují minimální požadavky pro využívání služby cloud computingu orgánem veřejné moci v příslušné bezpečnostní úrovni2) cloud computingu.

(2) Bezpečnostní pravidla pro orgány veřejné moci jsou stanovena v příloze k této vyhlášce.

§ 4

Přechodná ustanovení

Orgán veřejné moci, který využívá službu cloud computingu na základě smlouvy s poskytovatelem uzavřené přede dnem nabytí účinnosti této vyhlášky nebo smlouvy, která byla uzavřena na základě smlouvy uzavřené přede dnem nabytí účinnosti této vyhlášky, zajistí dodržování bezpečnostních pravidel pro poskytování služby cloud computingu stanovených touto vyhláškou od 1. ledna 2024.

§ 5

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. července 2023.

Ředitel:
Ing. Kintr v. r.

____________________________________________________________

1)§ 2 písm. a) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů. 2)

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

Příloha k vyhlášce č. 190/2023 Sb.