Zákony, judikatura a literatura 2024-2025

Input:

190/2023 Sb., Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu Garance

č. 190/2023 Sb., Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu
VYHLÁŠKA
ze dne 7. června 2023
o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu
Národní úřad pro kybernetickou a informační bezpečnost (dále jen „Úřad”) stanoví podle § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 205/2017 Sb., (dále jen „zákon”):
§ 1
Předmět úpravy
Tato vyhláška stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu podle § 6 písm. e) zákona, jejichž cílem je zajištění bezpečnosti informací při využívání služeb cloud computingu orgány veřejné moci.
§ 2
Základní pojmy
Pro účely této vyhlášky se rozumí
a)  uživatelem služby cloud computingu (dále jen „uživatel”) ten, kdo služby cloud computingu prostřednictvím nebo jménem orgánu veřejné moci využívá,
b)  zákaznickými daty všechna data, která jsou uživatelem nebo administrátorem1) na straně orgánu veřejné moci vložena do služby cloud computingu nebo jsou výsledkem využití služby cloud computingu uživatelem v průběhu využívání služby cloud computingu,
c)  zákaznickým obsahem textová, zvuková, audiovizuální, obrazová nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,
d)  specifickými provozními údaji takové provozní údaje, které obsahují informace o identifikovaném nebo identifikovatelném uživateli nebo administrátorovi1) na straně orgánu veřejné moci,
e)  zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty nebo provozními údaji v elektronické podobě, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,
f)  subdodavatelem dodavatel poskytovatele s vlivem na bezpečnost informací služby cloud computingu,
g)  technickým aktivem takové technické vybavení, komunikační prostředky a programové vybavení služby cloud computingu a objekty, které jsou využívány k poskytování služby cloud computingu a jejichž selhání může mít dopad na službu cloud computingu.
§ 3
Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné moci
(1)  Bezpečnostní pravidla stanovují minimální požadavky pro využívání služby cloud computingu orgánem veřejné moci v příslušné bezpečnostní úrovni2) cloud computingu.
(2)  Bezpečnostní pravidla pro orgány veřejné moci jsou stanovena v příloze k této vyhlášce.
§ 4
Přechodná ustanovení
Orgán veřejné moci, který využívá službu cloud computingu na základě smlouvy s poskytovatelem uzavřené přede dnem nabytí účinnosti této vyhlášky nebo smlouvy, která byla uzavřena na základě smlouvy uzavřené přede dnem nabytí účinnosti této vyhlášky, zajistí dodržování bezpečnostních pravidel pro