Kvalifikační standard

Název odborné způsobilosti Úroveň

Orientace v legislativě v oblasti kybernetické bezpečnosti

Kritéria hodnocení Způsob ověření
a Popsat význam a vysvětlit členění zákona č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů Ústní ověření
b Popsat a vysvětlit prováděcí předpisy vztahující se k zákonu č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, (vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, ve znění pozdějších předpisů, vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, ve znění pozdějších předpisů, vyhláška č. 408/2025 Sb., o regulovaných službách, ve znění pozdějších předpisů, a vyhláška č. 334/2025 Sb., o Portálu Národního úřadu pro kybernetickou a informační bezpečnost a požadavcích na některé úkony, ve znění pozdějších předpisů) Ústní ověření
c Definovat legislativní rámec pro vyspecifikovanou povinnou osobu v souladu se zákonem č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů Ústní ověření
Je třeba splnit všechna kritéria.
7

Uplatňování principů návrhu architektury informačních systémů se zohledněním požadavků kybernetické bezpečnosti

Kritéria hodnocení Způsob ověření
a Prokázat znalost principů a procesů řízení architektury kybernetické bezpečnosti podle metodik publikovaných NÚKIB Písemné ověření
b Vysvětlit zásady návrhu architektury kybernetické bezpečnosti Ústní ověření
c Vysvětlit vedení dokumentace IS a služeb ICT v modelech, které jsou v souladu se standardy TOGAF a ArchiMate Ústní ověření
Je třeba splnit všechna kritéria.
7

Orientace v pojmech a definicích z oblasti návrhu architektury informačních systémů

Kritéria hodnocení Způsob ověření
a Aplikovat pojmy z oblasti procesní architektury (firemní procesy, datové toky) dle konkrétního zadání Praktické předvedení a ústní ověření
b Prokázat znalost v pojmech a procesech CSIRT týmů (ve smyslu RFC 2350) Písemné ověření
Je třeba splnit obě kritéria.
7

Kapacitní plánování při návrhu architektury kybernetické bezpečnosti

Kritéria hodnocení Způsob ověření
a Prokázat znalost v oblasti řízení finančních zdrojů (stanovení rozpočtu dle potřeby prioritizace realizačních projektů a rozdělení na etapy) Písemné ověření
b Prokázat znalost v základních pojmech z oblasti řízení lidských zdrojů (alokace lidských zdrojů dle potřeby prioritizace realizačních projektů a rozdělení na etapy) Písemné ověření
c Identifikovat požadavky na zajištění kybernetické bezpečnosti a aplikovat jednotlivé požadavky do návrhu architektury kybernetické bezpečnosti Praktické předvedení a ústní ověření
Je třeba splnit všechna kritéria.
7

Začlenění řízení rizik do architektury kybernetické bezpečnosti

Kritéria hodnocení Způsob ověření
a Popsat analýzu rizik dle vyhlášky č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, ve znění pozdějších předpisů Ústní ověření
b Prokázat znalost v principech stanovení aktiv včetně určení jejich hodnoty, hrozeb, zranitelností, dopadů, odpovědností a opatření v rámci kybernetické bezpečnosti dle vyhlášky č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, ve znění pozdějších předpisů Písemné ověření
c Aplikovat vybranou metodu řízení rizik do návrhu architektury kybernetické bezpečnosti Praktické předvedení a ústní ověření
Je třeba splnit všechna kritéria.
7

Uplatnění technických bezpečnostních prvků (security devices) v architektuře informačních systémů

Kritéria hodnocení Způsob ověření
a Specifikovat a navrhnout nástroje pro ochranu integrity komunikačních sítí a popsat možnosti jejich uplatnění Praktické předvedení a ústní ověření
b Specifikovat nástroje pro ověřování identity uživatelů a řízení přístupových oprávnění a popsat možnosti jejich uplatnění Ústní ověření
c Specifikovat nástroje pro ochranu před škodlivým kódem a popsat možnosti jejich uplatnění Ústní ověření
d Specifikovat nástroje pro zaznamenávání činností informačních systémů podporujících regulovanou službu podle zákona č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, jejich uživatelů a administrátorů a popsat možnosti jejich uplatnění Ústní ověření
e Specifikovat nástroje pro detekci kybernetických bezpečnostních událostí a nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí a popsat možnosti jejich uplatnění Ústní ověření
f Specifikovat kryptografické prostředky a popsat možnosti jejich uplatnění Ústní ověření
Je třeba splnit všechna kritéria.
7

Principy návrhu bezpečné architektury ICT

Kritéria hodnocení Způsob ověření
a Popsat jednotlivé topologie počítačových sítí a jejich výhody a nevýhody při tvorbě bezpečné architektury. Navrhnout vhodnou topologii počítačové sítě Praktické předvedení a ústní ověření
b Vyjmenovat a popsat druhy komunikačních protokolů a jejich základní specifikace Ústní ověření
c Popsat principy logické a fyzické stavby sítě Ústní ověření
d Popsat metody ověřování úrovně bezpečnosti systému – audit, penetrační testy, zátěžové testy, typická selhání a reakce na ně v oblasti architektury systému Ústní ověření
Je třeba splnit všechna kritéria.
7

Principy realizace jednotlivých bezpečnostních opatření podle zákona o kybernetické bezpečnosti

Kritéria hodnocení Způsob ověření
a Popsat obecně platný přístup k implementaci bezpečnostních opatření podle zákona č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, (přístup na základě analýzy rizik, přiměřenosti) Ústní ověření
b Vysvětlit princip kontinuálního zlepšování a plánování Ústní ověření
c Dle konkrétního zadání vyjmenovat a popsat aplikaci alespoň pěti vhodných technických opatření podle vyhlášky č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, ve znění pozdějších předpisů Ústní ověření
Je třeba splnit všechna kritéria.
7

Pokyny k realizaci zkoušky

1. Vstupní předpoklady pro účast na zkoušce

Uchazečem o zkoušku může být každá fyzická osoba starší 18 let, která získala alespoň základy vzdělání, nebo účastník rekvalifikace podle zákona č. 435/2004 Sb., zákon o zaměstnanosti.

Zdravotní způsobilost není vyžadována.

Autorizovaná osoba zároveň s odesláním pozvánky ke zkoušce písemnou formou sdělí, kde a jakým způsobem se uchazeč může informovat o svých povinnostech a průběhu zkoušky a které doklady/dokumenty musí uchazeč předložit bezprostředně před započetím zkoušky.

Autorizovaná osoba informuje žadatele písemnou formou v předstihu minimálně 7 dní o vybraných technologiích (HW a SW) a platformách zvolených pro vykonání zkoušky.

2. Průběh zkoušky

Před zahájením zkoušky uchazeč předloží zkoušejícímu průkaz totožnosti a případně další dokumenty opravňující k připuštění ke zkoušce uvedené v části 1. Vstupní předpoklady pro účast na zkoušce.

Bezprostředně před zahájením zkoušky autorizovaná osoba seznámí uchazeče s pracovištěm, s organizací zkoušky, s jeho právy a povinnostmi v rámci zkoušky dle zákona č. 179/2006 Sb. a s požadavky bezpečnosti a ochrany zdraví při práci (BOZP) a požární ochrany (PO), o čemž bude autorizovanou osobou vyhotoven a uchazečem podepsán písemný záznam.

Zkoušející uzná, a tedy nemusí ověřovat, ty odborné způsobilosti, které byly již dříve u uchazeče ověřeny v rámci zkoušky z jiné profesní kvalifikace (nutno doložit osvědčením o získání profesní kvalifikace), a které jsou shodné svým rozsahem i obsahem. Rozsah a obsah odborné způsobilosti určují její jednotlivá kritéria a pokyny k realizaci zkoušky popsané v hodnoticím standardu. Zkoušející tyto odborné způsobilosti neuzná jako již ověřené, pokud by tím nebylo zajištěno řádné ověření ostatních požadavků stanovených tímto hodnoticím standardem (například při nutnosti dodržení technologických postupů a časové souslednosti různých činností).

Zkouška se koná v českém jazyce.

Zkouška je veřejná. Praktická část zkoušky a praktická zkouška není veřejná v případech, kdy to je nutné z hygienických důvodů nebo z důvodu ochrany zdraví a bezpečnosti práce.

Pokyny ke způsobům ověřování

Kritéria hodnocení, u kterých je jako způsob ověření uvedeno písemné ověření:

Uchazeč na začátku zkoušky prokáže znalosti písemným testem obsahujícím 60 otázek a trvajícím 120 minut.

Pravidla pro aplikaci testů:

Soubor otázek pro testy stanovuje autorizovaná osoba podle požadavků hodnoticího standardu.

Musí přitom být splněna následující pravidla:

  • Testy pro jednotlivé uchazeče musí být vygenerovány z dostatečně velkého souboru otázek, aby bylo možné vytvářet dostatečné počty různě sestavených testů.

  • Každý uchazeč má ve svém testu pro každé kritérium, u kterého je uveden písemný způsob ověření, alespoň jednu otázku.

Za úspěšné splnění testu se považuje 70 % správně zodpovězených otázek s tím, že pro každé kritérium musí být správně zodpovězeno alespoň 50 % otázek.

 

Autorizovaná osoba vypracuje soubor 180 testových otázek, zaměřených na ověření znalostní složky vybraných odborných způsobilostí:

  • Uplatňování principů návrhu architektury informačních systémů se zohledněním požadavků kybernetické bezpečnosti, kritérium a) 30 otázek.

  • Orientace v pojmech a definicích z oblasti návrhu architektury informačních systémů, kritérium b) 60 otázek.

  • Kapacitní plánování při návrhu architektury kybernetické bezpečnosti, kritérium a) 30 otázek, kritérium b) 30 otázek.

  • Začlenění řízení rizik do architektury kybernetické bezpečnosti, kritérium b) 30 otázek.

Autorizovaná osoba zajistí vygenerování náhodného testu pro každého uchazeče, který bude sestaven ze 60 otázek s následujícím zastoupením jednotlivých oblastí dle odborných způsobilostí:

  • Uplatňování principů návrhu architektury informačních systémů se zohledněním požadavků kybernetické bezpečnosti, kritérium a) 10 otázek.

  • Orientace v pojmech a definicích z oblasti návrhu architektury informačních systémů, kritérium b) 20 otázek.

  • Kapacitní plánování při návrhu architektury kybernetické bezpečnosti, kritérium a) 10 otázek, kritérium b) 10 otázek.

  • Začlenění řízení rizik do architektury kybernetické bezpečnosti, kritérium b) 10 otázek.

Testové otázky budou uzavřené, sestavené ze tří odpovědí, z nichž pouze jedna je správná. Všechny otázky jsou bodově rovnocenné.

Autorizovaná osoba zajistí, aby všichni uchazeči plnili test zcela samostatně. V daném termínu před danou zkušební komisí mohou absolvovat test najednou všichni uchazeči.

Kritéria hodnocení, u kterých je jako způsob ověření uvedeno ústní ověření:

  • jsou ověřována formou individuálního pohovoru obou členů zkušební komise s uchazečem, tj. s vyloučením možnosti, že by odpovědi aktuálně zkoušeného uchazeče slyšel jiný uchazeč / ostatní uchazeči,

  • tato kritéria se ověřují například v odděleném samostatném prostoru (místnosti) nebo takovým způsobem, kdy je zaručeno individuální zkoušení uchazeče.

Autorizovaná osoba vypracuje soubor 5 zadání určených pro splnění následujícího kritéria ve složení:

  • Principy realizace jednotlivých bezpečnostních opatření podle zákona o kybernetické bezpečnosti, kritérium c) – 5 zadání.

Autorizovaná osoba zajistí náhodný výběr jednoho zadání pro výše uvedené kritérium. Uchazeč podle zadání přednese odpověď v ústním ověření a odpoví na následné otázky.

 

Kritéria hodnocení, u kterých je jako způsob ověření uvedeno praktické předvedení a ústní ověření:

Autorizovaná osoba vypracuje soubor 5 zadání určených pro splnění následujícího kritéria ve složení:

  • Orientace v pojmech a definicích z oblasti návrhu architektury informačních systémů, kritérium a) – 5 zadání.

Autorizovaná osoba zajistí náhodný výběr jednoho zadání pro výše uvedené kritérium. Uchazeč nejprve prakticky předvede požadovanou činnost podle zadání a poté (nikoliv však nutně bezprostředně) na pokyn zkušební komise svou činnost obhájí, odpoví na otázky.

Specifické pokyny k vybraným odborným způsobilostem a kritériím:

K ověření odborné způsobilosti Kapacitní plánování při návrhu architektury kybernetické bezpečnosti, kritérium c) autorizovaná osoba vytvoří 3 případové studie, z nichž si uchazeč při zkoušce vylosuje jednu. Výsledek řešení případové studie zpracuje uchazeč písemně na místě a následně postoupí k ústnímu ověření.

Autorizovaná osoba, resp. autorizovaný zástupce autorizované osoby, je oprávněna předčasně ukončit zkoušku, pokud vyhodnotí, že v důsledku činnosti uchazeče bezprostředně došlo k ohrožení nebo bezprostředně hrozí nebezpečí ohrožení zdraví, života a majetku či životního prostředí. Zdůvodnění předčasného ukončení zkoušky uvede autorizovaná osoba do Záznamu o průběhu a výsledku zkoušky. Uchazeč může ukončit zkoušku kdykoliv v jejím průběhu, a to na vlastní žádost.

Na tvorbě standardu se podíleli

Kvalifikační standard profesní kvalifikace připravil Národní pedagogický institut ČR ve spolupráci s Národní radou pro kvalifikace, Ministerstvem práce a sociálních věcí, Národním úřadem pro kybernetickou a informační bezpečnost  a odborníky z praxe z těchto subjektů:

  • Network Security Monitoring Cluster, družstvo

  • AXENTA, a. s.

  • Jihomoravský kraj

Kvalifikační standard profesní kvalifikace schválilo Ministerstvo školství, mládeže a tělovýchovy.