VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

25 

 

Aktiva jsou považována jako velmi důležitá.  

Kritická  Narušení dostupnosti aktiva není přípustné a 

i  krátkodobá nedostupnost (v řádu několika 

minut)  vede  k  vážnému  ohrožení  zájmů 

orgánu a osoby uvedené v § 3 písm. c) až e) 

zákona.  Aktiva  jsou  považována  jako 

kritická.  

Pro  ochranu  dostupnosti  jsou 

využívány  záložní  systémy  a 

obnova  poskytování  služeb  je 

krátkodobá a automatizovaná. 

 

26 

 

Příloha č. 2 k vyhlášce č. …/2014 Sb.

 

 

Hodnocení rizik

 

 

Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. 

 

Pro hodnocení rizik lze použít zejména tuto funkci 

riziko = dopad * hrozba * zranitelnost.  

 

Jednoznačné určení funkce pro určení rizika je nezbytnou součástí metodiky pro identifikaci a 

hodnocení rizika.

 

 

Stupnice pro hodnocení dopadů 

Úroveň 

Popis 

Nízký 

Dopad  je  v  omezeném  časovém  období  a  malého  rozsahu  a  nesmí  být 

katastrofický.  

Rozsah případných škod nepřesahuje  

a)

 

10 zraněných osob s následnou hospitalizací po dobu delší než 24 hodin 

nebo 

b)

 

finanční nebo materiální ztráty do 2 500 000 Kč anebo 

představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo 

jiného  závažného  zásahu  do  každodenního  života  postihujícího  nejvýše  100 

osob. 

Střední 

Dopad je omezeného rozsahu a v omezeném časovém období.  

Rozsah případných škod se pohybuje v rozmezí  

a)

 

od 11 do 100 osob s následnou hospitalizací po dobu delší než 24 hodin 

nebo 

b)

 

finanční nebo materiální ztráty od 2 500 000 Kč do 25 000 000 Kč anebo 

představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo 

jiného závažného zásahu do každodenního života postihujícího od 101 do 1 000 

osob. 

Vysoký 

Dopad je omezeného rozsahu, ale trvalý nebo katastrofický.  

Rozsah případných škod se pohybuje v rozmezí   

a)

 

do 10 mrtvých a od 11 do 100 osob s následnou hospitalizací po dobu 

delší než 24 hodin nebo 

b)

 

finanční nebo materiální ztráty od 25 000 000 Kč do 250 000 000 Kč 

anebo 

představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo 

jiného závažného zásahu do každodenního života postihujícího od 1 001 do  

10 000 osob. 

27 

 

Kritický 

Dopad je plošný rozsahem, trvalý a katastrofický.  

Rozsah případných škod se pohybuje v rozmezí  

a)

 

11 a více mrtvých a 101 a více osob s následnou hospitalizací po dobu 

delší než 24 hodin nebo 

b)

 

finanční nebo materiální ztráty převyšující 250 000 000 Kč anebo 

představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo 

jiného závažného zásahu do každodenního života postihujícího více než 10 000 

osob.

 

 

 

Stupnice pro hodnocení hrozeb 

Úroveň 

Popis 

 

Nízká 

Hrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby 

není častější než jednou za 5 let. 

 

Střední 

Hrozba  je  málo  pravděpodobná  až  pravděpodobná.  Předpokládaná  realizace 

hrozby je v rozpětí od 1 roku do 5 let. 

 

Vysoká 

Hrozba  je  pravděpodobná  až  velmi  pravděpodobná.  Předpokládaná  realizace 

hrozby je v rozpětí od 1 měsíce do 1 roku. 

Kritická 

Hrozba  je  velmi  pravděpodobná  až  víceméně  jistá.  Předpokládaná  realizace 

hrozby je častější než jednou za měsíc.

 

 

 

Stupnice pro hodnocení zranitelností 

Úroveň 

Popis 

Nízká 

Zranitelnost  neexistuje  nebo  je  zneužití  zranitelnosti  málo  pravděpodobné. 

Existují  kvalitní  bezpečnostní  opatření,  které  jsou  schopna  včas  detekovat 

možné slabiny nebo případné pokusy o překonání opatření. 

Střední 

Zranitelnost  je  málo  pravděpodobná  až  pravděpodobná.  Existují  kvalitní 

bezpečnostní  opatření,  jejichž  účinnost  je  pravidelně  kontrolována.  Schopnost 

bezpečnostních opatření včas detekovat možné slabiny nebo případné pokusy o 

překonání  opatření  je  omezena.  Nejsou  známé  žádné  úspěšné  pokusy  o 

překonání bezpečnostních opatření. 

Vysoká 

Zranitelnost je pravděpodobná až velmi pravděpodobná. Bezpečnostní opatření 

existují,  ale  jejich  účinnost  nepokrývá  všechny  potřebné  aspekty  a  není 

pravidelně  kontrolována.  Jsou  známé  dílčí  úspěšné  pokusy  o  překonání 

bezpečnostních opatření. 

Kritická 

Zranitelnost  je  velmi  pravděpodobná  až  po  víceméně  jisté  zneužití. 

Bezpečnostní  opatření  nejsou  realizována  anebo  je  jejich  účinnost  značně 

28 

 

omezena.  Neprobíhá  kontrola  účinnosti  bezpečnostních  opatření.  Jsou  známé 

úspěšné pokusy překonání bezpečnostních opatření. 

 

 

Stupnice pro hodnocení rizik 

Úroveň 

Popis 

Nízké 

Riziko je považováno za přijatelné. 

Střední 

Riziko  může  být  sníženo  méně  náročnými  opatřeními  nebo  v  případě  vyšší 

náročnosti opatření je riziko přijatelné. 

Vysoké 

Riziko  je  dlouhodobě  nepřípustné  a  musí  být  zahájeny  systematické  kroky  k 

jeho odstranění. 

Kritické 

Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. 

V případě, že orgán nebo osoba uvedená v § 3 písm. c) až e) zákona využívá metodu pro 

identifikaci  a  hodnocení  rizik,  která  nerozlišuje  hodnocení  hrozby  a  zranitelnosti,  je  možné 

stupnice  pro  hodnocení  hrozeb  a  zranitelností  sloučit.  Sloučení  stupnic  by  nemělo  vést  ke 

ztrátě schopnosti rozlišení míry hrozby a zranitelnosti. Za tímto účelem lze použít například 

komentář,  který  zřetelně  vyjádří  jak  úroveň  hrozby,  tak  i úroveň  zranitelnosti.  Obdobně 

postupuje i orgán nebo osoba uvedená v § 3 písm. c) až e) zákona, které používá jiný počet 

úrovní pro hodnocení dopadů, hrozeb, zranitelností a rizik.