VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

21 

 

ČÁST TŘETÍ 

KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT 

§ 30

 

 

Typy kybernetických bezpečnostních incidentů 

 

(1) Podle příčiny jsou kybernetické bezpečnostní incidenty rozděleny do následujících 

typů 

a)

 

kybernetický  bezpečnostní  incident  způsobený  kybernetickým  útokem  nebo  jinou 

událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb, 

b)

 

kybernetický bezpečnostní incident způsobený škodlivým softwarem nebo kódem, 

c)

 

kybernetický bezpečnostní incident způsobený  kompromitací technických opatření, 

d)

 

kybernetický bezpečnostní incident způsobený  porušením organizačních opatření, 

e)

 

kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb (APT) 

a 

f)

 

ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem. 

 

(2) Podle dopadu jsou kybernetické bezpečnostní incidenty rozděleny do následujících 

typů 

a)

 

kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv, 

b)

 

kybernetický bezpečnostní incident způsobující narušení integrity aktiv, 

c)

 

kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv, 

d)

 

kybernetický  bezpečnostní  incident  způsobující  kombinaci  dopadů  uvedených 

v písmeni a) až c).

 

 

§ 31

 

 

Kategorie kybernetických bezpečnostních incidentů 

 

(1) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a 

negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií  

a)

 

Kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a 

významně  narušena  bezpečnost  poskytovaných  služeb  nebo  aktiv.  Jeho  řešení  vyžaduje 

neprodlené  zásahy  obsluhy  s tím,  že  musí  být  všemi  dostupnými  prostředky  zabráněno 

dalšímu  šíření  kybernetického  bezpečnostního  incidentu  včetně  minimalizace  vzniklých  i 

potenciálních škod. 

 

b)

 

Kategorie  II  –  závažný  kybernetický  bezpečnostní  incident,  při  kterém  je  narušena 

bezpečnost  poskytovaných  služeb  nebo  aktiv.  Jeho  řešení  vyžaduje  neprodlené  zásahy 

obsluhy  s tím,  že  musí  být  vhodnými  prostředky  zabráněno  dalšímu  šíření  kybernetického 

incidentu včetně minimalizace vzniklých škod. 

 

c)

 

Kategorie  I  –  méně  závažný  kybernetický  bezpečnostní  incident,  při  kterém  dochází 

k méně  významnému  narušení  bezpečnosti  poskytovaných  služeb  nebo  aktiv.  Jeho  řešení 

vyžaduje  zásahy  obsluhy  s tím,  že  musí  být  vhodnými  prostředky  omezeno  další  šíření 

kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. 

 

 

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při kategorizaci jednotlivých 

kybernetických bezpečnostních incidentů zváží  

22 

 

a)

 

důležitost  dotčených  aktiv  informačního  systému  kritické  informační  infrastruktury, 

komunikačního  systému  kritické  informační  infrastruktury  nebo  významného  informačního 

systému, 

b)

 

dopady na poskytované služby informačního systému 

kritické informační infrastruktury, 

komunikačního  systému

 

kritické  informační  infrastruktury, 

nebo  významného  informačního 

systému,  

c)

 

dopady  na  služby  poskytované  jinými  informačními  systémy 

kritické  informační 

infrastruktury, komunikačními systémy

 

kritické informační infrastruktury, 

nebo významnými 

informačními systémy a 

d)

 

předpokládané škody a další dopady.

 

 

§ 32

 

 

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona hlásí kybernetický bezpečnostní 

incident formou 

a)

 

elektronického formuláře na internetových stránkách Úřadu 

https://hlaseni.nckb.nbu.cz

, 

b)

 

elektronického hlášení na adresu elektronické pošty Úřadu 

hlaseni@nckb.nbu.cz

, 

c)

 

datové zprávy do datové schránky Úřadu h93aayw, 

d)

 

automatizovaným hlášením prostřednictvím určeného rozhraní nebo, 

e)

 

listinným  hlášením  na  adresu  Národní  bezpečnostní  úřad,  Národní  centrum 

kybernetické bezpečnosti, Mučednická 1125/31, 616 00 Brno.

 

 

(2)  Náležitosti  hlášení  kybernetického  bezpečnostního  incidentu  jsou  uvedeny 

v příloze č. 5 k této vyhlášce.  

 

ČÁST ČTVRTÁ 

REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE 

§ 33

 

 

Reaktivní opatření 

 

Orgán  a  osoba  uvedená  v  §  3  písm.  c)  až  e)  zákona  oznámí  provedení  reaktivního 

opatření a jeho výsledek na formuláři, jehož vzor je uveden v příloze č. 6 k této vyhlášce. 

§ 34

 

 

Kontaktní údaje 

 

Orgán  a  osoba  uvedená  v  §  3  zákona  oznamuje  kontaktní  údaje  na  formuláři,  jehož 

vzor  je  uveden  v příloze  č.  7  k  této  vyhlášce.  Orgán  a  osoba  uvedená  v  §  3  písm.  c)  až  e) 

zákona oznamuje kontaktní údaje formou uvedenou v § 32 odst. 1 písm. c) a e). 

 

ČÁST PÁTÁ 

ÚČINNOST 

§ 35

 

 

Tato vyhláška nabývá účinnosti dnem 1. ledna 2015.