Stručně: Paragraf 16 zákona o kybernetické bezpečnosti stanovuje podrobný postup, jakým poskytovatelé regulovaných služeb hlásí kybernetické bezpečnostní incidenty Úřadu pro kybernetickou bezpečnost nebo Národnímu CERT, včetně lhůt a obsahu hlášení.
§ 16 Postup hlášení kybernetických bezpečnostních incidentů
(1) Poskytovatel regulované služby bez zbytečného odkladu, nejpozději do 24 hodin po zjištění kybernetického bezpečnostního incidentu, předloží prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, a zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad.
(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1, zda má tento kybernetický bezpečnostní incident významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána závažností dopadu na poskytování regulované služby, zasaženým odvětvím a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky.
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží
a) bez zbytečného odkladu, nejpozději do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru podle přímo použitelného předpisu Evropské unie8) předloží toto oznámení do 24 hodin po zjištění kybernetického bezpečnostního incidentu,
b) na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a
c) nejpozději do 30 dnů ode dne předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu, a poté nejpozději do 30 dnů ode dne, kdy došlo k vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
(4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, poskytovatel regulované služby v režimu vyšších povinností zašle hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu, a poskytovatel regulované služby v režimu nižších povinností zašle hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Národního CERT.
(5) Obsahové náležitosti, formát a způsob hlášení kybernetického bezpečnostního incidentu, průběžné zprávy o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu, průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu stanoví Úřad vyhláškou.
Paragraf 16 zákona o kybernetické bezpečnosti stanovuje podrobný postup, jakým poskytovatelé regulovaných služeb hlásí kybernetické bezpečnostní incidenty Úřadu pro kybernetickou bezpečnost nebo Národnímu CERT, včetně lhůt a obsahu hlášení.
Co to znamená v praxi
Rychlé prvotní hlášení: Poskytovatel regulované služby musí nahlásit incident do 24 hodin od jeho zjištění, přičemž uvede základní informace a posoudí, zda incident mohl být způsoben nezákonným zásahem nebo mít přeshraniční dopad.
Rozlišení významnosti incidentu: Úřad do 24 hodin od prvotního hlášení sdělí poskytovateli regulované služby v režimu vyšších povinností, zda má incident významný dopad na kybernetický prostor státu, což ovlivňuje další postup hlášení.
Postupné doplňování informací: V případě významného incidentu je nutné do 72 hodin (nebo 24 hodin u poskytovatelů služeb vytvářejících důvěru) předložit podrobnější oznámení s aktualizovanými informacemi, posouzením incidentu a indikátory kompromitace.
Závěrečná zpráva: Do 30 dnů od podání oznámení je třeba předložit závěrečnou zprávu o vyřešení incidentu, nebo průběžnou zprávu, pokud incident stále trvá, a následně závěrečnou zprávu po jeho vyřešení.
Na co si dát pozor
Dodržování lhůt: Je klíčové dodržet stanovené lhůty pro jednotlivé fáze hlášení (24 hodin pro prvotní hlášení, 72/24 hodin pro oznámení, 30 dnů pro závěrečnou zprávu).
Obsah hlášení: Je nutné zajistit, aby hlášení obsahovala všechny požadované informace, jako jsou identifikační údaje, základní údaje o incidentu, posouzení dopadu a indikátory kompromitace.
Reakce na výzvy Úřadu: Poskytovatel je povinen reagovat na výzvy Úřadu nebo Národního CERT k předložení průběžných zpráv o změnách stavu zvládání incidentu.
Související témata
§ 9 Evidence Zákon o kybernetické bezpečnosti a o změ
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.