Národní úřad pro kybernetickou a informační bezpečnost - Doporučení v oblasti kryptografických prostředků

28. listopad 2018

Podle § 26 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat mají povinné osoby podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů povinnost zohlednit doporučení v oblasti kryptografických prostředků vydaná Národním úřadem pro kybernetickou a informační bezpečnost za účelem ochrany aktiv informačního a komunikačního systému.

Aktualizovanou verzi dokumentu obsahující doporučení v oblasti kryptografických prostředků (Minimální požadavky na kryptografické algoritmy) naleznete v sekci Podpůrné materiály.

Své dotazy, návrhy a připomínky můžete sdělovat na emailovou adresu: kryptoalgoritmy@nukib.cz.

Aktuality

Prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti odeslány do mezirezortního připomínkového řízení

V pátek 16. 5. 2025 byly odeslány prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti do mezirezortního připomínkového řízení (MPŘ). Byl tak spuštěn oficiální legislativní proces k prováděcím právním předpisům.

Nyní mohou instituce, které jsou součástí připomínkového řízení, podat k prováděcím právním předpisům připomínky. Lhůta na připomínky je standardních 15 pracovních dnů (dle legislativních pravidel).

Po uzavření připomínkového řízení budou připomínky vypořádány a poté bude návrh předpisů předložen Legislativní radě vlády (LRV). Ta návrhy předpisů posoudí z pohledu právní čistoty a dalších legislativních náležitostí. Po vypořádání připomínek LRV budou předpisy předloženy k podpisu řediteli Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vydány ve Sbírce zákonů.

Termín finálního vydání předpisů bude záviset na počtu podaných připomínek a délce jejich vypořádání. Odhadujeme, že k vydání předpisů by mohlo dojít v říjnu nebo listopadu 2025.

Do mezirezortního připomínkového řízení byly odeslány tyto předpisy:

Vyhláška o regulovaných službách Upravuje kritéria pro určení regulovaných osob a kritéria pro stanovení režimu regulace (vyšší/nižší). Vyhláška o bezpečnostních opatřeních pro vyšší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby ve vyšším režimu. Vyhláška o bezpečnostních opatřeních pro nižší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby v nižším režimu. Upravuje způsob identifikace incidentů s významným dopadem (pro účely hlášení incidentů). Vyhláška o Portálu NÚKIB Upravuje technické a procesní náležitosti řešení automatizace a elektronizace procesů NÚKIB. Upravuje procesní a technické náležitosti pro hlášení údajů, incidentů, přístupu k informacím a elektronickým službám poskytovaným NÚKIB a plněným vůči NÚKIB ze strany povinných subjektů. Vyhláška o bezpečnostních úrovních pro využívání cloud computingu Úprava existující vyhlášky č. 315/2021 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 315/2021 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod. Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu Úprava existující vyhlášky č. 190/2023 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 190/2023 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod.

V přímé souvislosti s novým zákonem se předpokládá vydání ještě dalších dvou předpisů, konkrétně:

Nařízení vlády o nepominutelných funkcích Upravuje, které funkce strategicky významných služeb jsou vždy zahrnuty v mechanismu prověřování bezpečnosti dodavatelského řetězce. Nařízení vlády o strategicky významných službách Upravuje, koho se bude mechanismus prověřování bezpečnosti dodavatelského řetězce týkat.

Vzhledem ke změnám v návrhu zákona, které proběhly v souvislosti s těmito předpisy v poslanecké sněmovně, a novým požadavkům na zpracování RIA, které dříve nebyly, došlo k posunu termínu odeslání těchto dvou předpisů a budou do MPŘ zaslány později.

V nepřímé souvislosti s novým zákonem se rovněž předpokládá nové vydání:

Vyhlášky o některých požadavcích pro zápis do katalogu cloud computingu Úprava existující vyhlášky č. 316/2021 Sb. V souvislosti se změnami v novém zákoně o kybernetické bezpečnosti je nutno provést technické úpravy – například návaznost na přestupky v novém zákoně a další detaily. Rovněž na základě praxe s aplikací vyhlášky a podnětů k jejímu zlepšení, budou ve vyhlášce zapracovány změny a přepracována formální struktura pro zvýšení přehlednosti. Z tohoto důvodu bude vyhláška vydána znovu. 19.05.2025