§ 14 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU

§ 14 STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU (1) Povinná osoba pro potřeby vyhodnocení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví a) únosnou míru újmy způsobené kybernetickým bezpečnostním incidentem, v jehož důsledku ještě není ohrožen život nebo zdraví osob nebo schopnost povinné osoby dostát svým závazkům, b) oblasti pro posouzení významnosti dopadu kybernetických bezpečnostních incidentů zohledňující zejména 1. provozní dopad kybernetického bezpečnostního incidentu na povinnou osobu a její schopnost poskytovat regulovanou službu, 2. množství uživatelů regulované služby a jiných orgánů a osob zasažených kybernetickým bezpečnostním incidentem, 3. časové, lidské a technické zdroje, které jsou potřebné k obnově poskytování zasažené regulované služby, 4. typ a umístění aktiv dotčených kybernetickým bezpečnostním incidentem, 5. citlivost informací a dat zasažených kybernetickým bezpečnostním incidentem a újmu, jakou může narušení bezpečnosti těchto informací a dat způsobit povinné osobě nebo jinému orgánu nebo osobě, a 6. přímou příčinu kybernetického bezpečnostního incidentu, je-li povinné osobě známo, zda se jedná o lidskou chybu, technickou závadu nebo úmyslné jednání. (2) Dopad kybernetického bezpečnostního incidentu na poskytování regulované služby je považován za významný, pokud a) přesáhne povinnou osobou stanovenou únosnou míru újmy způsobenou kybernetickým bezpečnostním incidentem podle odstavce 1 písm. a) a současně b) je oblast pro posouzení významnosti dopadu podle odstavce 1 písm. b) posouzena jako významná. ČÁST ČTVRTÁ