§ 31 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 31 · IT právo a ochrana dat
Stručně: Paragraf 31 vyhlášky o kybernetické bezpečnosti stanovuje kritéria pro kategorizaci kybernetických bezpečnostních incidentů podle jejich významnosti a dopadů, přičemž rozlišuje tři kategorie incidentů a čtyři typy incidentů podle narušení aktiv.
§ 31 KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
(1) Jednotlivé kybernetické bezpečnostní incidenty se kategorizují podle významnosti při zohlednění
a) dopadů obsažených v dopadových určujících kritériích, podle kterých byly povinné osoby určeny,
b) počtu dotčených uživatelů,
c) způsobené nebo předpokládané škody,
d) důležitosti dotčených aktiv informačního a komunikačního systému,
e) dopadů na poskytované služby informačního a komunikačního systému,
f) dopadů na služby poskytované jinými informačními a komunikačními systémy,
g) délky trvání incidentu,
h) zeměpisného rozsahu dotčené oblasti a
i) dalších dopadů.
(2) Pro potřeby hlášení a zvládání kybernetických bezpečnostních incidentů se na základě zohlednění podle odstavce 1 kybernetické bezpečnostní incidenty zařadí do následujících kategorií
a) Kategorie III - velmi významný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod,
b) Kategorie II - významný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod, nebo
c) Kategorie I - méně významný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.
(3) Typy kybernetických bezpečnostních incidentů podle dopadu jsou
a) kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,
b) kybernetický bezpečnostní incident způsobující narušení integrity aktiv,
c) kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv, nebo
d) kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v písmenech a) až c).
(4) Toto ustanovení se nevztahuje na kybernetické bezpečnostní incidenty u povinné osoby uvedené v § 3 písm. h) zákona.
Paragraf 31 vyhlášky o kybernetické bezpečnosti stanovuje kritéria pro kategorizaci kybernetických bezpečnostních incidentů podle jejich významnosti a dopadů, přičemž rozlišuje tři kategorie incidentů a čtyři typy incidentů podle narušení aktiv.
Co to znamená v praxi
Povinné osoby musí posoudit kybernetické bezpečnostní incidenty podle devíti uvedených kritérií (např. dopady, počet uživatelů, škody, důležitost aktiv) a zařadit je do jedné ze tří kategorií (Kategorie I, II nebo III) podle jejich významnosti.
Kategorie incidentu určuje naléhavost a rozsah potřebných zásahů – od méně významného narušení (Kategorie I) po velmi významný incident vyžadující neprodlené zásahy a zabránění šíření (Kategorie III).
Incidenty se dále typově rozlišují podle toho, zda narušují důvěrnost, integritu, dostupnost aktiv, nebo kombinaci těchto dopadů.
Ustanovení se nevztahuje na povinné osoby uvedené v § 3 písm. h) zákona, což jsou poskytovatelé digitálních služeb, pro které platí jiná pravidla.
Na co si dát pozor
Správné zařazení incidentu do kategorie je klíčové pro adekvátní a včasnou reakci a minimalizaci škod.
Je nutné zohlednit všechna uvedená kritéria pro kategorizaci, nejen jedno z nich.
Rozlišení typů incidentů podle dopadu (důvěrnost, integrita, dostupnost) pomáhá pochopit povahu narušení a zvolit vhodná reaktivní opatření.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.