VYHLÁSKA část třetí o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
§ 30
Typy kybernetických bezpečnostních incidentů
(1) Podle příčiny jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů
a) kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti sluzeb,
b) kybernetický bezpečnostní incident způsobený skodlivým kódem,
c) kybernetický bezpečnostní incident způsobený překonáním technických opatření,
d) kybernetický bezpečnostní incident způsobený porusením organizačních opatření,
e) kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb a
f) ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.
(2) Podle dopadu jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů
a) kybernetický bezpečnostní incident způsobující narusení důvěrnosti aktiv,
b) kybernetický bezpečnostní incident způsobující narusení integrity aktiv,
c) kybernetický bezpečnostní incident způsobující narusení dostupnosti aktiv, nebo
d) kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v písmenech a) az c).
§ 31
Kategorie kybernetických bezpečnostních incidentů
(1) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií
a) Kategorie III - velmi závazný kybernetický bezpečnostní incident, při kterém je přímo a významně narusena bezpečnost poskytovaných sluzeb nebo aktiv. Jeho řesení vyzaduje neprodlené zásahy obsluhy s tím, ze musí být vsemi dostupnými prostředky zabráněno dalsímu síření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních skod.
b) Kategorie II - závazný kybernetický bezpečnostní incident, při kterém je narusena bezpečnost poskytovaných sluzeb nebo aktiv. Jeho řesení vyzaduje neprodlené zásahy obsluhy s tím, ze musí být vhodnými prostředky zabráněno dalsímu síření kybernetického incidentu včetně minimalizace vzniklých skod.
c) Kategorie I - méně závazný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narusení bezpečnosti poskytovaných sluzeb nebo aktiv. Jeho řesení vyzaduje zásahy obsluhy s tím, ze musí být vhodnými prostředky omezeno dalsí síření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých skod.
(2) Orgán a osoba uvedená v § 3 písm. c) az e) zákona při kategorizaci jednotlivých kybernetických bezpečnostních incidentů podle odstavce 1 zohlední
a) důlezitost dotčených aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
b) dopady na poskytované sluzby informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, nebo významného informačního systému,
c) dopady na sluzby poskytované jinými informačními systémy kritické informační infrastruktury, komunikačními systémy kritické informační infrastruktury, nebo významnými informačními systémy a
d) předpokládané skody a dalsí dopady.
§ 32
Forma a nálezitosti hlásení kybernetických bezpečnostních incidentů
(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona hlásí kybernetický bezpečnostní incident
a) v elektronické podobě prostřednictvím
1. elektronického formuláře zveřejněného na internetových stránkách Úřadu,
2. emailu na adresu elektronické posty Úřadu určené pro příjem hlásení kybernetických bezpečnostních incidentů, zveřejněné na internetových stránkách Úřadu,
3. datové zprávy do datové schránky Úřadu, nebo
4. prostřednictvím určeného datového rozhraní, jehoz popis je zveřejněn na internetových stránkách Úřadu, anebo
b) v listinné podobě na adresu Národního centra kybernetické bezpečnosti, zveřejněné na internetových stránkách Úřadu.
(2) Hlásení v listinné podobě se zasílá pouze v případech, kdy nelze vyuzít zádný ze způsobů uvedených v odstavci 1 písm. a).
(3) Nálezitosti hlásení kybernetického bezpečnostního incidentu jsou uvedeny v příloze č. 5 k této vyhlásce.
ČÁST ČTVRTÁ
REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
§ 33
Reaktivní opatření
Orgán a osoba uvedená v § 3 písm. c) az e) zákona oznámí provedení reaktivního opatření a jeho výsledek na formuláři, jehoz vzor je uveden v příloze č. 6 k této vyhlásce.
§ 34
Kontaktní údaje
Orgán a osoba uvedená v § 3 zákona oznamuje kontaktní údaje na formuláři, jehoz vzor je uveden v příloze č. 7 k této vyhlásce. Orgán a osoba uvedená v § 3 písm. c) az e) zákona oznamuje kontaktní údaje formou uvedenou v § 32 odst. 1 písm. a).
ČÁST PÁTÁ
ÚČINNOST
§ 35
Tato vyhláska nabývá účinnosti dnem 1. ledna 2015.
Ředitel:
Ing. Navrátil v. r.