§ 31 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Kategorie kybernetických bezpečnostních incidentů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 31 · IT právo a ochrana dat
Stručně: Paragraf 31 vyhlášky 316/2014 stanovuje, že kybernetické bezpečnostní incidenty se dělí do tří kategorií (I, II, III) podle jejich závažnosti a dopadů, přičemž nejzávažnější je Kategorie III.
§ 31 Kategorie kybernetických bezpečnostních incidentů
(1) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií
a) Kategorie III - velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.
b) Kategorie II - závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod.
c) Kategorie I - méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při kategorizaci jednotlivých kybernetických bezpečnostních incidentů podle odstavce 1 zohlední
a) důležitost dotčených aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
b) dopady na poskytované služby informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, nebo významného informačního systému,
c) dopady na služby poskytované jinými informačními systémy kritické informační infrastruktury, komunikačními systémy kritické informační infrastruktury, nebo významnými informačními systémy a
d) předpokládané škody a další dopady.
Paragraf 31 vyhlášky 316/2014 stanovuje, že kybernetické bezpečnostní incidenty se dělí do tří kategorií (I, II, III) podle jejich závažnosti a dopadů, přičemž nejzávažnější je Kategorie III.
Co to znamená v praxi
Incidenty jsou rozděleny do kategorií (méně závažný, závažný, velmi závažný) na základě míry narušení bezpečnosti služeb nebo aktiv a nutnosti rychlého zásahu.
Pro každou kategorii jsou definovány požadavky na rychlost a rozsah zásahu obsluhy, s cílem zabránit šíření incidentu a minimalizovat škody.
Při zařazování incidentu do kategorie se zohledňuje důležitost dotčených systémů, dopady na poskytované služby (včetně dopadů na jiné systémy) a předpokládané škody.
Tato kategorizace slouží k efektivnímu zvládání incidentů a prioritizaci reakce na ně.
Na co si dát pozor
Kategorizace není libovolná, ale musí zohledňovat konkrétní kritéria uvedená v odstavci 2 (důležitost aktiv, dopady na služby a předpokládané škody).
Pro incidenty Kategorie III je kladen důraz na neprodlené zásahy a zabránění dalšímu šíření všemi dostupnými prostředky.
Orgány a osoby uvedené v § 3 písm. c) až e) zákona jsou povinny tuto kategorizaci provádět.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.