Mapování služby na požadavky české kybernetické bezpečnostní legislativy
Upozornění
Informace na této stránce nepředstavují právní stanovisko.
NetScan CESNET je sada proaktivních nástrojů pro skenování sítě provozovaná sdružením CESNET pro organizace připojené k e-infrastruktuře CESNET2. Poskytuje:
| Funkce | Popis |
|---|---|
| Základní skenování | Vyhledávání živých IPv4/IPv6 adres, detekce služeb, fingerprinting verzí software, základní informace ze služeb. |
| Skenování zranitelností | Vyhledávání a testování známých zranitelností na detekovaných službách. |
| TLS skenování | Zjišťování podporovaných SSL/TLS protokolů, šifrovacích sad a parametrů certifikátů. |
| Řízení skenování a přístup k výsledkům | Webové rozhraní Agreegate, pro nastavování parametrů skenování, webové rozhraní SNER pro přístup k výsledkům. |
NetScan je nástroj určený pro průzkum sítě, správu zranitelností, kontrolu perimetru a kryptografického hardeningu, ale není kompletním řešením pro kybernetickou bezpečnost. Sám o sobě nepokrývá řadu kapitol které jsou ve vyhláškách obsaženy (identitu a přístupy, endpoint ochranu, logování, reakci na incidenty, záplatování, segmentaci sítě, fyzickou bezpečnost, dodavatele ani kontinuitu). Pro plnění požadavků příslušných vyhlášek je vhodné jej využívat jako podpůrný zdroj evidence — například pro evidenci aktiv, registr rizik, plánování nápravy zranitelností, pravidelné TLS skeny a ověřování toho, co je skutečně viditelné z internetu.
Mapování na právní požadavky
Oba předpisy jsou prováděcími předpisy k zákonu č. 264/2025 Sb., o kybernetické bezpečnosti. Níže jsou uvedeny konkrétní paragrafy a podbodování, jejichž plnění je používáním služby NetScan podpořeno.
Vyhláška č. 409/2025 Sb. (režim vyšších povinností)
e-sbirka.gov.cz — Vyhláška č. 409/2025 Sb.
| Paragraf | Požadavek | Jak NetScan podporuje jeho plnění |
|---|---|---|
| § 7 písm. a) | stanoví metodiku pro určování aktiv, | Průběžné skenování objevuje živé hosty a služby, poskytuje faktický vstup pro určování aktiv. |
| § 7 písm. f) | určuje a eviduje vazby mezi aktivy, která mají vliv na bezpečnost regulované služby, | Fingerprinting služeb odhaluje závislosti primárních aktiv na podpůrných aktivech (např. služba X používá software Y). |
| § 8 odst. 1 písm. b) | při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; | Skenování zranitelností zjišťuje známé zranitelnosti; fingerprinting odhaluje exponované služby a verze, které mohou být zdrojem hrozeb. |
| § 8 odst. 1 písm. c) bod 7 | provádí hodnocení rizik v pravidelných intervalech ... výsledky penetračního testování a skenování zranitelností | Výsledky pravidelného skenu zranitelností jsou dostupné v rozhraní služby. |
| § 12 odst. 2 písm. b) | zajistí při provedení akvizice nebo vývoje technického aktiva ... využívajícího kryptografické algoritmy, plnění požadavku podle | TLS skenování umožňuje sledovat příslušné nastavení provozovaných systémů. |
| § 18 písm. b)–e) | Zajistit řízení komunikace v komunikační síti. | Objevování neočekávaně exponovaných služeb/portů podporuje vymáhání principu nejmenších privilegií v síti. |
| § 18 písm. i) | dokumentuje topologii komunikační sítě a infrastruktury. | Výsledky skenování mapují adresní prostor a exponované služby, což podporuje dokumentaci topologie. |
| § 24 odst. 1 | užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována | Fingerprinting služeb a zjišťování verzí napomáhá kontrole dostupnosti podpory používaných technických prostředků. |
| § 24 odst. 4 písm. a) | provádí pravidelné skenování zranitelností technických aktiv regulované služby | Skenování zranitelností zjišťuje známé zranitelnosti z externí perspektivy. |
| § 24 odst. 5 písm. b) | provádí penetrační testování technických aktiv | Služba NetScan nerealizuje penetrační testování ani jej nenahrazuje. |
| § 24 odst. 6 | provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností | Opakované skenování po nápravě ověří, zda byly zranitelné služby opraveny nebo odstraněny. |
| § 25 odst. 1 písm. a) | používá pouze aktuálně odolné kryptografické algoritmy, | TLS skenování monitoruje slabé/zastaralé protokoly (SSLv3, TLS 1.0/1.1) a šifrovací sady, které požadavku odporují. |
| § 25 odst. 3 písm. a) | pouze aktuálně odolné kryptografické klíče a certifikáty | TLS skenování monitoruje délky platnosti certifikátů, podpisové algoritmy, délky klíčů a data expirace. |
| § 26 odst. 1 písm. b) | odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost | Skenování zranitelností zjišťuje známé zranitelnosti, které by při zneužití mohli způsobit nedostupnost. |
| § 27 písm. c) | segmentaci a oddělení komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí | Skenování může odhalit neočekávanou konektivitu či exponované průmyslové služby, které segmentaci porušují. |
| § 27 písm. d) | omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv | Skenování může odhalit neočekávanou konektivitu či exponované průmyslové služby, které segmentaci porušují. |
| § 27 písm. e) | ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých zranitelností a hrozeb a | Skenování zranitelností exponovaných ICS/OT služeb tuto ochranu podporuje. |
Vyhláška č. 410/2025 Sb. (režim nižších povinností)
e-sbirka.gov.cz — Vyhláška č. 410/2025 Sb.
| Paragraf | Požadavek | Jak NetScan podporuje jeho plnění |
|---|---|---|
| § 9 odst. 1 písm. d) | nepřetržité poskytování informací o relevantních detekovaných kybernetických bezpečnostních událostech a včasné varování relevantních osob | Nové nálezy se skenů zranitelností na exponovaných službách představují relevantní bezpečnostní události. |
| § 10 písm. a) | zajistí, že uživatelé, administrátoři, osoby pověřené kybernetickou bezpečností a další zaměstnanci budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti, | Nálezy ze skenů poskytují konkrétní důkazy o podezřelých zranitelnostech k nahlášení a triáži. |
| § 10 písm. c) | zajistí detekci kybernetických bezpečnostních událostí, | Objevování zranitelných/exponovaných služeb je proaktivní detekční činností. |
| § 11 písm. b) | omezí odchozí a příchozí komunikaci na perimetru komunikační sítě na dobu nezbytně nutnou pro řádné zajištění poskytování regulované služby, | Skenování odhaluje otevřené porty/služby, které by neměly být exponované, a podporuje hardening perimetru. |
| § 11 písm. d) odst. 1 | zavede bezpečnostní opatření, která zajistí důvěrnost a integritu těchto vzdálených připojení a vzdálené správy | Objevování služeb vzdálené správy (SSH, RDP, VPN atd.) podporuje zabezpečení služeb pro vzdálenou správu. |
| § 12 písm. b) odst. 1 | u technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována ... vede jejich evidenci, | Fingerprinting služeb a zjišťování verzí napománá kontrole dostupnosti podpory používaných technických prostředků. |
| § 12 písm. c) | provádí pravidelné skenování zranitelností relevantních technických aktiv | Přímo naplňuje požadavek na provádění skenování zranitelností. |
| § 13 odst. 1 písm. a) | používá aktuálně odolné kryptografické algoritmy, | TLS skenování monitoruje slabé/zastaralé protokoly (SSLv3, TLS 1.0/1.1) a šifrovací sady, které požadavku odporují. |