Občanský zákoník nazakonycr.eu

VYHLÁŠKA část třetí o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech

VYHLÁŠKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

  

ČÁST TŘETÍ

KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

§ 30

Typy kybernetických bezpečnostních incidentů

(1) Podle příčiny jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů
a) kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb,
b) kybernetický bezpečnostní incident způsobený škodlivým kódem,
c) kybernetický bezpečnostní incident způsobený překonáním technických opatření,
d) kybernetický bezpečnostní incident způsobený porušením organizačních opatření,
e) kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb a
f) ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.

(2) Podle dopadu jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů
a) kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,
b) kybernetický bezpečnostní incident způsobující narušení integrity aktiv,
c) kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv, nebo
d) kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v písmenech a) až c).

 

§ 31

Kategorie kybernetických bezpečnostních incidentů

(1) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií
a) Kategorie III - velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.
b) Kategorie II - závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod.
c) Kategorie I - méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při kategorizaci jednotlivých kybernetických bezpečnostních incidentů podle odstavce 1 zohlední
a) důležitost dotčených aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
b) dopady na poskytované služby informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, nebo významného informačního systému,
c) dopady na služby poskytované jinými informačními systémy kritické informační infrastruktury, komunikačními systémy kritické informační infrastruktury, nebo významnými informačními systémy a
d) předpokládané škody a další dopady.

 

§ 32

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona hlásí kybernetický bezpečnostní incident
a) v elektronické podobě prostřednictvím

1. elektronického formuláře zveřejněného na internetových stránkách Úřadu,
2. emailu na adresu elektronické pošty Úřadu určené pro příjem hlášení kybernetických bezpečnostních incidentů, zveřejněné na internetových stránkách Úřadu,
3. datové zprávy do datové schránky Úřadu, nebo
4. prostřednictvím určeného datového rozhraní, jehož popis je zveřejněn na internetových stránkách Úřadu, anebo
b) v listinné podobě na adresu Národního centra kybernetické bezpečnosti, zveřejněné na internetových stránkách Úřadu.

(2) Hlášení v listinné podobě se zasílá pouze v případech, kdy nelze využít žádný ze způsobů uvedených v odstavci 1 písm. a).

(3) Náležitosti hlášení kybernetického bezpečnostního incidentu jsou uvedeny v příloze č. 5 k této vyhlášce.

 

ČÁST ČTVRTÁ

REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE

§ 33

Reaktivní opatření

Orgán a osoba uvedená v § 3 písm. c) až e) zákona oznámí provedení reaktivního opatření a jeho výsledek na formuláři, jehož vzor je uveden v příloze č. 6 k této vyhlášce.

 

§ 34

Kontaktní údaje

Orgán a osoba uvedená v § 3 zákona oznamuje kontaktní údaje na formuláři, jehož vzor je uveden v příloze č. 7 k této vyhlášce. Orgán a osoba uvedená v § 3 písm. c) až e) zákona oznamuje kontaktní údaje formou uvedenou v § 32 odst. 1 písm. a).

 


ČÁST PÁTÁ

ÚČINNOST

§ 35

Tato vyhláška nabývá účinnosti dnem 1. ledna 2015.

 


Ředitel:


Ing. Navrátil v. r.






QR (http://qrlogo.eu) -  - www.zakonycr.eu