Národní úřad pro kybernetickou a informační bezpečnost

METODIKY, DOPORUČENÍ A STANDARDY

Metodika k varování ze dne 17. prosince 2018

Stáhnout pdf (v1.0 platná ke dni 04.01.2019)

Doporučená bezpečnostní opatření k varování ze dne 16. dubna 2020

Stáhnout pdf (v1.1 platná ke dni 05.01.2023)

Minimální bezpečnostní standard

Dokument nabízí zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro organizace, které nespadají pod regulaci zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Dokument vznikl za spolupráce Národní agentury pro komunikační a informační technologie a Ministerstva vnitra.
Stáhnout pdf (v1.2 platná ke dni 14.02.2023)

Bezpečnostní standard pro videokonference

Cílem tohoto dokumentu je uvést základní požadavky na zajištění kybernetické bezpečnosti implementace a provozu videokonferencí. Tento dokument je vytvořen jako standard, který je pro jakoukoliv organizaci dobrovolně aplikovatelný. Dokument vznikl za spolupráce Národní agentury pro komunikační a informační technologie, zástupců zpravodajských služeb, zástupců soukromého sektoru a dalších.
Stáhnout pdf (v1.1 platná ke dni 06.01.2023)
Stáhnout přílohu Videokonference bezpečně - barevné pdf nebo černobílé pdf

Metodika k hlášení kybernetického bezpečnostního incidentu

Dokument má za cíl stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Obecné

Informace o změnách zákona č. 181/2014 Sb., o kybernetické bezpečnosti účinných od 1. srpna 2017

Stáhnout pdf (v2.2 platná ke dni 22.12.2022)

Informace o změnách zákona č. 181/2014 Sb., o kybernetické bezpečnosti účinných od 1. července 2017

Stáhnout pdf (v2.2 platná ke dni 22.12.2022)

Blokové schéma k zákonu o kybernetické bezpečnosti

Stáhnout pdf (v2.2 platná ke dni 20.03.2018)

Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby podle § 2 písm. g) zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Účelem materiálu je poskytnout shrnutí nejdůležitějších bodů týkajících se praktického použití institutu provozovatele systému podle zákona o kybernetické bezpečnosti. Materiál se zaměřuje na popis definičních prvků provozovatele systému, jeho informování a následné povinnosti. Součástí materiálu jsou i vzorová informování relevantních dodavatelů.
Stáhnout pdf (v3.2 platná ke dni 22.12.2022)

Lhůty pro plnění povinností podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Stáhnout pdf (v1.0 platná ke dni 20.03.2018)

Povinnosti orgánů a osob podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Stáhnout pdf (v1.0 platná ke dni 20.03.2018)

Nepřiměřené náklady

Stáhnout pdf (v2.3 platná ke dni 22.12.2022)

Vodítka pro hodnocení dopadů - metodický materiál

Účelem tohoto podpůrného materiálu je poskytnutí vodítek pro hodnocení důležitosti informačních a komunikačních systémů, hodnocení důležitost aktiv a s tím související řízení rizik, odvození požadavků na bezpečnost zpracovávaných informací a informačních systémů. Dále také nastavení jednotících kritérií dopadu narušení bezpečnosti informací a poskytnutí pomoci správcům informačních a komunikačních systémů se zařazením jejich systémů do správné kategorie podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti – tedy zařazení mezi významné informační systémy, informační či komunikační systémy kritické informační infrastruktury či informační systémy základní služby.
Stáhnout metodiku vč. přílohy (dopadové tabulky) (v1.2 platná ke dni 20.03.2018)
Stáhnout jen dopadovou tabulku (v1.2 platná ke dni 20.03.2018)

Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost - metodický materiál

Účelem dokumentu je poskytnout veřejným zadavatelům, zejména správcům kritické informační infrastruktury („KII“), významných informačních systémů („VIS“) a informačních systémů základní služby („PZS“) podporu při zadávání veřejných zakázek v oblasti informačních a komunikačních technologií s cílem omezit negativní dopady, které může tento formalizovaný proces výběru dodavatele mít pro oblast kybernetické bezpečnosti. Cílem dokumentu není poskytnout komplexně zpracovaný postup pro zadávání veřejných zakázek, spíše je koncipován jako shrnutí možností, které zadavatelé pro řešení problematických částí mají.
Dokument byl vypracován NÚKIB za spolupráce s MMR, jako gestorem zákona o zadávání veřejných zakázek, a konzultován s ÚOHS jako dohledovým orgánem. Dokument nelze považovat za stanovisko daných institutcí k otázkám vztahujícím se ke konkrétním případům, neboť ty jsou vydávány vždy na základě jejich konkrétních okolností.
Stáhnout pdf (v1.5 platná ke dni 02.01.2023)

Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení

Účelem materiálu je shrnout a akcentovat některé problémy, které NÚKIB do dnešního dne identifikoval v souvislosti s vydáním varování, a poskytnout povinným osobám podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, které jsou současně zadavateli ve smyslu zákona č. 134/2016 Sb., o zadávání veřejných zakázek, metodickou pomoc při zohlednění varování při zadávání veřejných.
Dokument byl konzultován s MMR (gestorem zákona o zadávání veřejných zakázek).
Stáhnout pdf (v1.2 platná ke dni 22.12.2022)

Doporučení NÚKIB k (ne)poskytování informací v oblasti kybernetické bezpečnosti a bezpečnosti systémů nakládajících s utajovanými informacemi

Dokument obsahuje informace o možnostech neposkytnout informaci podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, a to jak v oblasti kybernetické bezpečnosti s použitím ustanovení zákona o svobodném přístupu k informacím nebo zákona č. 181/2014 Sb., o kybernetické bezpečnosti, tak v oblasti bezpečnosti systémů nakládajících s utajovanými informacemi podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
Stáhnout pdf (v2.1 platná ke dni 22.12.2022)

Systém a rozsah ISMS

Rozdíl mezi rozsahem informačního a komunikačního systému a systému řízení bezpečnosti informací.
Stáhnout pdf (v1.0 platná ke dni 31.05.2022)

Kritická informační infrastruktura

Proces určování kritické informační infrastruktury

Stáhnout pdf (v2.0 platná ke dni 20.03.2018)

Pravidla určování KII

Tento podpůrný materiál obsahuje informace o pravidlech určování kritické informační infrastruktury, tedy prvku/prvků kritické infrastruktury v odvětví VI. Komunikační a informační systémy, oblasti G. Kybernetické bezpečnosti nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Co si připravit na jednání

Tento dokument je určen potenciálním povinným subjektům dle § 3 písm. c) a d) zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Účelem tohoto podpůrného materiálu je shrnout nejdůležitější informace k tomu, co si připravit na první jednání s Národním úřadem pro kybernetickou a informační bezpečnost k určování kritické informační infrastruktury, tedy prvku/prvků kritické infrastruktury v odvětví VI. Komunikační a informační systémy, oblasti G. Kybernetické bezpečnosti nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Práva a povinnosti subjektů KII podle krizového zákona

Tento dokument je určen správcům kritické informační infrastruktury. Obsahuje shrnutí práv a povinností, které těmto subjektům kritické informační infrastruktury vyplývají z krizového zákona a pohled Úřadu na způsob plnění zákonných povinností a soulad s požadavky zákona o kybernetické bezpečnosti.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Provozovatelé základních služeb a informační systémy základních služeb

Proces určování provozovatelů základních služeb a informačních systémů základních služeb

Stáhnout pdf (v2.1 platná ke dni 27.03.2018)
Stáhnout pdf - blokové schéma (v2.0 platná ke dni 20.03.2018)

Informace o institutu základní služby

Stáhnout pdf (v1.5 platná ke dni 22.12.2022)

Na následujících webových stránkách Evropské komise lze kliknutím na jednotlivá odvětví, vyplývající ze směrnice NIS, nalézt příslušný vnitrostátní orgán každé členské země EU, který spravuje provozovatele základní služby v dané zemi.

Významné informační systémy

Průvodce identifikací významného informačního systému

Tento dokument je určen všem orgánům veřejné moci jako pomocný dokument pro posouzení, zda jejich informační systémy naplní definici významného informačního systému podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, zároveň si klade za cíl odpovědět na časté dotazy nejen při procesu posouzení.
Stáhnout pdf (v1.3 platná ke dni 16.03.2023)

Vzor seznamu informačních systémů orgánu veřejné moci (příloha průvodce identifikací významného informačního systému)

Stáhnout pdf (v1.0 platná ke dni 01.12.2020)

Proces identifikace významných informačních systémů

Toto rozhodovací schéma si klade za cíl prakticky přiblížit proces identifikace podle vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, a to po novele prostřednictvím vyhlášky č. 360/2020 Sb.
Stáhnout pdf (v2.0 platná ke dni 01.12.2020)

Významné informační systémy ve školství

Tento stručný materiál zodpovídá nejčastější dotazy týkající se identifikace významných informačních systémů v oblasti školství.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Cloud computing

Průvodce zařazením poptávaného cloud computingu do bezpečnostní úrovně

Tento podpůrný materiál poskytuje orgánům veřejné moci metodickou podporu pro zařazení informačního nebo komunikačního systému, který si přejí provozovat prostřednictvím služeb cloud computingu, do odpovídající bezpečnostní úrovně dle vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.
Stáhnout pdf (v1.1 platná ke dni 05.01.2023)

Požadavky na zprávy z penetračních testů v souvislosti se zápisem cloud computingu do katalogu cloud computingu

Tento podpůrný materiál má pomoci poskytovatelům správně doložit požadované skutečnosti. Kromě upozornění na zvýšené požadavky na dokládání zpráv z penetračních testů, tato metodika obsahuje také doporučení, která vycházejí z dosavadních zkušeností z posuzování nabídek cloud computingu.
Stáhnout pdf (v1.3 platná ke dni 15.9.2023)

Tabulka příloh k vyhlášce č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu

Tento dokument obsahuje přehlednou tabulku všech příloh vyhlášky č. 316/2021 Sb., o některých požadavcích na zápis do katalogu cloud computingu ve formátu .xlsx, která slouží pro lepší orientaci v textu.
Stáhnout .xlsx (v1.0 platná ke dni 28.11.2022)

Regulace využívání cloud computingu orgány veřejné moci v zákoně o kybernetické bezpečnosti

Tento podpůrný materiál obsahuje výklad § 4 odst. 5 zákona o kybernetické bezpečnosti a schémata regulace cloud computingu.
Stáhnout .pdf (v1.1 platná ke dni 14.7.2023)

Poskytovatelé digitálních služeb

Podpůrný materiál k identifikaci poskytovatelů digitálních služeb

Tento dokument je určen potenciálním poskytovatelům digitálních služeb podle zákona o kybernetické bezpečnosti a klade si za cíl blíže vymezit pojmové znaky definice poskytovatele digitální služby.
Stáhnout pdf (v1.0 platná ke dni 30.07.2018)

Vyhláška o kybernetické bezpečnosti

Pomůcka k auditu bezpečnostních opatření podle vyhlášky o kybernetické bezpečnosti č. 82/2018 Sb. (pracovní verze checklistu)

Stáhnout xlsx (v1.0 platná ke dni 31.08.2018)

Pomůcka k auditu bezpečnostních opatření podle vyhlášky o kybernetické bezpečnosti č. 316/2014 Sb.

Stáhnout pdf (v2.1 platná ke dni 01.02.2016)

Bezpečnostní role a jejich začlenění v organizaci

Stáhnout pdf (v3.1 platná ke dni 22.12.2022)

Požadavky na smlouvy s dodavateli

Vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb. kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky. Materiál byl doplněn o poznatky z praxe (verze 1.2)
Stáhnout pdf (v1.4 platná ke dni 22.12.2022)

Doporučení v oblasti kryptografických prostředků

Více informací k tomuto doporučení naleznete zde.

Penetrační testování – úvod do problematiky

Dokument má za cíl poskytnout základní úvod do problematiky penetračního testování a může tak být vhodnou pomůckou pro manažery kybernetické bezpečnosti, osoby odpovědné za provádění penetračního testování, ale také zájemcům o tuto činnost.
Stáhnout pdf (v1.1 platná ke dni 15.09.2022)

Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti

Tento podpůrný materiál má přiblížit problematiku řízení aktiv a rizik dle VKB především těm, kteří s ní nemají žádné nebo minimální zkušenosti. Zkušenější manažeři KB mohou podpůrný materiál využít jako zdroj inspirace pro vylepšení již zavedených postupů. Podpůrný materiál je doplněn o přílohy, které slouží jako inspirace a je nutné je upravit pro potřeby konkrétní organizace.
Stáhnout pdf - Průvodce řízením aktiv a rizik dle VKB

Průvodce řízením dodavatelů ve vztahu k hodnoceni rizik KB

Tento podpůrný materiál má přiblížit problematiku hodnocení rizik u výběrového řízení s důrazem na provedení formou veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti se zkušenostmi, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
Stáhnout pdf (v1.0 platná ke dni 04.09.2023)

Metodika řízení dodavatelů

Podpůrný materiál doplněný o přílohy se zabývá řízením dodavatelů v průběhu celého životního cyklu dodávky. Jeho součástí jsou doporučení a praktické postupy pro tvorbu politik řízení dodavatelů podle požadavků vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.
Stáhnout pdf (v2.0 platná ke dni 06.09.2023)