§ 8 Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – Hlášení kybernetického bezpečnostního incidentu
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 8 · IT právo a ochrana dat
Stručně: Paragraf 8 zákona o kybernetické bezpečnosti stanovuje povinnost určitým orgánům a osobám hlásit kybernetické bezpečnostní incidenty, které se týkají jejich významných systémů nebo služeb, a to bezodkladně po jejich zjištění.
§ 8 Hlášení kybernetického bezpečnostního incidentu
(1) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů11). V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby, oznámí to provozovatel základní služby Úřadu.
(2) Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb, pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.
(3) Orgány a osoby uvedené v § 3 písm. b) a h) hlásí kybernetické bezpečnostní incidenty provozovateli národního CERT.
(4) Orgány a osoby uvedené v § 3 písm. c) až g) hlásí kybernetické bezpečnostní incidenty Úřadu.
(5) Povinnost podle odstavce 1 je správcem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému splněna i tehdy, pokud byl kybernetický bezpečnostní incident hlášen provozovatelem tohoto systému. Provozovatel informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému informuje správce tohoto systému o hlášených kybernetických bezpečnostních incidentech bez zbytečného odkladu.
(6) Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT, nebo Úřadu.
(7) Prováděcí právní předpis stanoví
a) typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního incidentu a
b) náležitosti a způsob hlášení kybernetického bezpečnostního incidentu.
(8) Pokud má kybernetický bezpečnostní incident, který postihnul poskytovatele digitální služby, významný dopad na kontinuitu poskytování základní služby, je její provozovatel povinen tuto skutečnost Úřadu nahlásit.
Paragraf 8 zákona o kybernetické bezpečnosti stanovuje povinnost určitým orgánům a osobám hlásit kybernetické bezpečnostní incidenty, které se týkají jejich významných systémů nebo služeb, a to bezodkladně po jejich zjištění.
Co to znamená v praxi
Orgány a osoby, které spravují kritickou informační infrastrukturu, informační systémy základních služeb nebo významné informační systémy, musí neprodleně hlásit kybernetické incidenty.
Poskytovatelé digitálních služeb mají povinnost hlásit incidenty, které mají významný dopad na jejich služby, pokud jsou schopni takový dopad posoudit.
Hlášení se provádí buď provozovateli národního CERT, nebo Úřadu pro kybernetickou bezpečnost (Úřadu), v závislosti na typu subjektu.
Pokud provozovatel systému již incident nahlásil, správce tohoto systému již nemusí hlásit znovu, ale provozovatel musí správce o nahlášení informovat.
Na co si dát pozor
Povinnost hlášení je "bezodkladná po detekci", což znamená, že by nemělo docházet k žádným zbytečným prodlevám.
Existují specifické subjekty, které hlásí národnímu CERT, a jiné, které hlásí Úřadu. Je nutné správně určit, komu se hlášení podává.
Prováděcí předpis blíže určí, jaké typy incidentů se hlásí, jak se hodnotí jejich významnost a jaké náležitosti musí hlášení obsahovat.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.