§ 14 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností · 410/2025 Sb. · § 14 · Ostatní právní předpisy
Stručně: Paragraf 14 vyhlášky 410/2025 stanovuje, jak má povinná osoba určit, kdy je dopad kybernetického bezpečnostního incidentu na poskytování regulované služby považován za významný, a to na základě únosné míry újmy a posouzení různých oblastí dopadu.
§ 14 STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU
(1) Povinná osoba pro potřeby vyhodnocení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví
a) únosnou míru újmy způsobené kybernetickým bezpečnostním incidentem, v jehož důsledku ještě není ohrožen život nebo zdraví osob nebo schopnost povinné osoby dostát svým závazkům,
b) oblasti pro posouzení významnosti dopadu kybernetických bezpečnostních incidentů zohledňující zejména
1. provozní dopad kybernetického bezpečnostního incidentu na povinnou osobu a její schopnost poskytovat regulovanou službu,
2. množství uživatelů regulované služby a jiných orgánů a osob zasažených kybernetickým bezpečnostním incidentem,
3. časové, lidské a technické zdroje, které jsou potřebné k obnově poskytování zasažené regulované služby,
4. typ a umístění aktiv dotčených kybernetickým bezpečnostním incidentem,
5. citlivost informací a dat zasažených kybernetickým bezpečnostním incidentem a újmu, jakou může narušení bezpečnosti těchto informací a dat způsobit povinné osobě nebo jinému orgánu nebo osobě, a
6. přímou příčinu kybernetického bezpečnostního incidentu, je-li povinné osobě známo, zda se jedná o lidskou chybu, technickou závadu nebo úmyslné jednání.
(2) Dopad kybernetického bezpečnostního incidentu na poskytování regulované služby je považován za významný, pokud
a) přesáhne povinnou osobou stanovenou únosnou míru újmy způsobenou kybernetickým bezpečnostním incidentem podle odstavce 1 písm. a) a současně
b) je oblast pro posouzení významnosti dopadu podle odstavce 1 písm. b) posouzena jako významná.
ČÁST ČTVRTÁ
Paragraf 14 vyhlášky 410/2025 stanovuje, jak má povinná osoba určit, kdy je dopad kybernetického bezpečnostního incidentu na poskytování regulované služby považován za významný, a to na základě únosné míry újmy a posouzení různých oblastí dopadu.
Co to znamená v praxi
Povinná osoba musí předem definovat, jak velká újma je ještě přijatelná, aniž by došlo k ohrožení života, zdraví nebo schopnosti plnit závazky.
Pro posouzení významnosti incidentu je nutné zohlednit dopad na provoz, počet zasažených uživatelů, potřebné zdroje pro obnovu, typ a umístění dotčených aktiv, citlivost zasažených dat a příčinu incidentu.
Dopad incidentu je považován za významný, pokud překročí předem stanovenou únosnou míru újmy a zároveň je některá z posuzovaných oblastí dopadu vyhodnocena jako významná.
Tato pravidla slouží k jednotnému a objektivnímu vyhodnocování závažnosti kybernetických incidentů.
Na co si dát pozor
Je klíčové pečlivě stanovit "únosnou míru újmy" (odstavec 1 písm. a)), neboť ta je jedním z hlavních kritérií pro určení významnosti incidentu.
Je třeba zajistit, aby všechny uvedené oblasti pro posouzení významnosti dopadu (odstavec 1 písm. b)) byly řádně zohledněny a vyhodnoceny.
Povinná osoba musí mít nastavené procesy pro systematické posuzování dopadů incidentů podle těchto kritérií.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.