21
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
§ 30
Typy kybernetických bezpečnostních incidentů
(1) Podle příčiny jsou kybernetické bezpečnostní incidenty rozděleny do následujících
typů
a)
kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou
událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb,
b)
kybernetický bezpečnostní incident způsobený škodlivým softwarem nebo kódem,
c)
kybernetický bezpečnostní incident způsobený kompromitací technických opatření,
d)
kybernetický bezpečnostní incident způsobený porušením organizačních opatření,
e)
kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb (APT)
a
f)
ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.
(2) Podle dopadu jsou kybernetické bezpečnostní incidenty rozděleny do následujících
typů
a)
kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,
b)
kybernetický bezpečnostní incident způsobující narušení
integrity aktiv,
c)
kybernetický bezpečnostní incident způsobující narušení
dostupnosti aktiv,
d)
kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených
v písmeni a) až c).
§ 31
Kategorie kybernetických bezpečnostních incidentů
(1) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a
negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií
a)
Kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a
významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje
neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno
dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i
potenciálních škod.
b)
Kategorie II – závažný kybernetický bezpečnostní incident, při kterém je narušena
bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy
obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického
incidentu včetně minimalizace vzniklých škod.
c)
Kategorie I – méně závažný kybernetický bezpečnostní incident, při kterém dochází
k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení
vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření
kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při kategorizaci jednotlivých
kybernetických bezpečnostních incidentů zváží
22
a)
důležitost dotčených aktiv informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému,
b)
dopady na poskytované služby informačního systému
kritické informační infrastruktury,
komunikačního systému
kritické informační infrastruktury,
nebo významného informačního
systému,
c)
dopady na služby poskytované jinými informačními systémy
kritické informační
infrastruktury, komunikačními systémy
kritické informační infrastruktury,
nebo významnými
informačními systémy a
d)
předpokládané škody a další dopady.
§ 32
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona hlásí kybernetický bezpečnostní
incident
formou
a)
elektronického formuláře na internetových stránkách Úřadu
https://hlaseni.nckb.nbu.cz
,
b)
elektronického hlášení na adresu elektronické pošty Úřadu
hlaseni@nckb.nbu.cz
,
c)
datové zprávy do datové schránky Úřadu h93aayw,
d)
automatizovaným hlášením prostřednictvím určeného rozhraní nebo,
e)
listinným hlášením na adresu Národní bezpečnostní úřad, Národní centrum
kybernetické bezpečnosti, Mučednická 1125/31, 616 00 Brno.
(2) Náležitosti hlášení kybernetického bezpečnostního incidentu jsou uvedeny
v příloze č. 5 k této vyhlášce.
ČÁST ČTVRTÁ
REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
§ 33
Reaktivní opatření
Orgán a osoba uvedená v § 3 písm. c) až e) zákona oznámí provedení reaktivního
opatření a jeho výsledek na formuláři, jehož vzor je uveden v příloze č. 6 k této vyhlášce.
§ 34
Kontaktní údaje
Orgán a osoba uvedená v § 3 zákona oznamuje kontaktní údaje na formuláři, jehož
vzor je uveden v příloze č. 7 k této vyhlášce. Orgán a osoba uvedená v § 3 písm. c) až e)
zákona oznamuje kontaktní údaje formou uvedenou v § 32 odst. 1 písm. c) a e).
ČÁST PÁTÁ
ÚČINNOST
§ 35
Tato vyhláška nabývá účinnosti dnem 1. ledna 2015.