1 SM7/2022-1 Příloha č. 1 Statut a Jednací řád Komise kybernetické bezpečnosti VŠTE Článek 1 Obecná ustanovení (1) Komise pro řízení kybernetické bezpečnosti Vysoké školy technické a ekonomické v Českých Budějovicích (dále jen „Komise KB“) je zřízena rozhodnutím rektora k zajištění řízení kybernetické bezpečnosti ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a jeho prováděcích právních předpisů a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti), vyhláškou č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a Směrnicí Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii a jeho prováděcích právních předpisů. (1) Tento Statut a Jednací řád Komise KB stanovuje základní okruh působnosti a zásady jednání Komise KB, dále upravuje členství v Komisi KB, organizační zajištění, způsob usnášení a výstupy z jeho jednání. Článek 2 Činnost Komise KB (1) Komise KB stanovuje cíle a strategii kybernetické bezpečnosti Vysoké školy technické a ekonomické v Českých Budějovicích (dále jen „VŠTE“) a koordinuje přípravu, implementaci a rozvoj jednotného Systému řízení bezpečnosti informací VŠTE v oblasti kybernetické bezpečnosti (dále jen „Systém řízení bezpečnosti informací“). (2) Komise KB projednává a doporučuje ke schválení rektorem koncepci bezpečnostní politiky a další dokumentace v oblasti kybernetické bezpečnosti a kontroluje její implementaci v rámci VŠTE. (3) Komise KB pomáhá vytvářet koncept kybernetické bezpečnosti. (4) Komise KB se vyjadřuje k návrhům a implementaci bezpečnostních procesů. (5) Komise KB se podílí se na hodnocení účinnosti bezpečnostních opatření, jejich důsledků i vhodnosti, jakož i na identifikaci jim odpovídajících alternativ vhodných pro VŠTE. (6) Komise KB projednává zprávy z auditu, vydané a schválené Auditorem kybernetické bezpečnosti VŠTE. (7) Komise KB informuje vedení VŠTE o opatřeních v oblasti kybernetické bezpečnosti. 2 SM7/2022-1 (8) Komise KB předkládá rektorovi: a) posouzení přijatelnosti či nepřijatelnosti identifikovaných kybernetických bezpečnostních rizik včetně stanovení přijatelné míry rizika, b) návrhy na přidělení prostředků pro oblast kybernetické bezpečnosti, c) návrhy na stanovení pořadí důležitosti realizace jednotlivých bezpečnostních opatření a bezpečnostních projektů navržených Manažerem kybernetické bez- pečnosti. (9) Komise KB projednává a předkládá rektorovi závaznou bezpečnostní dokumentaci v oblasti kybernetické bezpečnosti, a to zejména: a) organizaci Systému řízení bezpečnosti informací, b) dokumentaci Systému řízení bezpečnosti informací, c) seznam informačních a komunikačních systémů zahrnutých do rozsahu Systému řízení bezpečnosti informací, d) zprávy z přezkoumání Systému řízení bezpečnosti informací, e) prohlášení o aplikovatelnosti Systému řízení bezpečnosti informací. (10) O své činnosti Komise KB předkládá rektorovi informativní zprávu nejméně 1x ročně nebo v případě identifikace kybernetického bezpečnostního incidentu zprávu o stavu kybernetické bezpečnosti VŠTE. (11) V oblasti ochrany osobních údajů má Komise KB dle stanovených nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; zákon o ochraně osobních údajů) následující pravomoci a odpovědnosti: a) Komise KB spolupracuje s Pověřencem pro ochranu osobních údajů, b) Komise KB se vyjadřuje k návrhům a implementaci bezpečnostních procesů pro ochranu osobních údajů v rozsahu opatření kybernetické bezpečnosti, c) Komise KB informuje vedení VŠTE o opatřeních v oblasti ochrany osobních údajů v rozsahu opatření kybernetické bezpečnosti, d) Komise KB ve spolupráci s příslušnými pověřenci se vyjadřuje k přijatelnosti či nepřijatelnosti identifikovaných rizik ochrany osobních údajů včetně stanovení přijatelné míry rizika, přičemž bere na zřetel stanoviska Pověřenců pro ochranu osobních údajů, e) Komise KB podává návrh na přidělení prostředků v oblasti ochrany osobních údajů v rozsahu opatření kybernetické bezpečnosti, f) projednává zprávy z auditu vydané a schválené auditorem pro ochranu osobních údajů a zprávy z testování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. 3 SM7/2022-1 Článek 3 Složení Komise KB (1) Komise KB má 6 členů, které jmenuje a odvolává rektor. (2) Členové komise KB jsou: a) předseda Komise KB, b) místopředseda Komise KB, c) manažer kybernetické bezpečnosti, d) a tři řádní členové. Článek 4 Jednání Komise KB (1) Jednání Komise KB jsou svolávána podle potřeby včetně mimořádného svolání na pokyn předsedy Komise KB, tajemníkem Komise KB, nejméně však jednou za 3 měsíce. (2) Jednání Komise KB jsou veřejně přístupná. Rektor nebo v jeho zastoupení prorektor mají právo vystoupit na zasedání Komise KB, kdykoliv o to požádají. (3) O své činnosti Komise KB předkládá rektorovi informativní zprávu nejméně 1x ročně nebo v případě identifikace kybernetického bezpečnostního incidentu zprávu o stavu kybernetické bezpečnosti VŠTE. (4) Předseda organizuje práci Komise KB a dbá na plnění Komise KB přijatých usnesení. V případě nepřítomnosti předsedy či nutnosti projednání nebo řešení neodkladných záležitostí svolá jednání místopředseda Komise KB. (5) Program jednání Komise KB navrhuje předseda Komise KB. Vychází přitom z materiálů předložených k projednání, z návrhů členů Komise KB a úkolů uložených na jed- náních. (6) Odborné podklady pro jednání Komise KB připravují zejména členové Komise KB. (7) Shromažďování a distribuci podkladů pro jednání Komise KB organizuje tajemník Komise KB. (8) Komise KB na jednání potvrzuje návrhy hlasováním, ať už písemnou formou, nebo osobní účastí na svolané schůzce Komise KB. Článek 5 Administrace Komise KB (1) Administrací činností Komise KB zajišťuje tajemník Komise KB. (2) Tajemníkem Komise KB je zaměstnanec úseku Prorektora pro studium a informatiku, kterého jmenuje předseda Komise KB. (3) Tajemník Komise KB: a) zabezpečuje organizační, technické a administrativní záležitosti činnosti Komise KB, 4 SM7/2022-1 b) připravuje návrh programu jednání Komise KB, c) odpovídá za přípravu a včasné předkládání podkladových materiálů k projednání členům Komise KB podle pokynů předsedy Komise KB, d) zpracovává pravidelné informace o činnosti Komise KB. Článek 6 Práva a povinnosti členů Komise KB (1) Členové Komise KB mají právo podílet se aktivně na činnosti Komise KB, vznášet dotazy, náměty, připomínky k projednávaným zprávám a návrhům, uplatňovat svá stanoviska k řešení problémů. (2) Členové Komise KB jsou povinni účastnit se jednání a plnit úkoly, kterými je Komise KB pověřila. (3) Předseda Komise KB zejména: a) řídí a organizuje činnost Komise KB, b) vydává stanoviska, doporučení a další dokumenty Komise KB, c) ukládá, na základě rozhodnutí Komise KB, úkoly v oblasti KB a koordinuje jejich plnění s cílem dosažení souladu informačních a komunikačních systémů VŠTE s požadavky právních předpisů a interními normativními akty. (4) Na základě jednání Komise KB předkládá předseda Komise KB, rektorovi schválené návrhy dokumentů, či požadavků na uskutečnění výdajů z finančních zdrojů VŠTE na zabezpečení nutné míry kybernetické bezpečnosti dle přílohy č. 2 článku 2 odstavce 2 a 3. (5) V nepřítomnosti předsedy Komise KB plní jeho úkoly místopředseda Komise KB. (6) Členové Komise KB jsou povinni zachovávat mlčenlivost o skutečnostech, o nichž se doví při činnosti KB nebo v souvislosti s ní, a to i po skončení této činnosti. (7) Při neetickém chování je postupováno dle platné vnitřní normy - Opatření rektora č. 10/2014 Etický kodex zaměstnance VŠTE. (8) Porušení stanovených povinností je dále řešeno v součinnosti s rektorem.