CODEXIS® Přihlaste se ke svému účtu
CODEXIS® ... 82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) § 31 - Kategorizace kybernetických bezpečnostních incidentů

§ 31 - Kategorizace kybernetických bezpečnostních incidentů

82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

§ 31

Kategorizace kybernetických bezpečnostních incidentů

(1) Jednotlivé kybernetické bezpečnostní incidenty se kategorizují podle významnosti při zohlednění

a) dopadů obsažených v dopadových určujících kritériích, podle kterých byly povinné osoby určeny,

b) počtu dotčených uživatelů,

c) způsobené nebo předpokládané škody,

d) důležitosti dotčených aktiv informačního a komunikačního systému,

e) dopadů na poskytované služby informačního a komunikačního systému,

f) dopadů na služby poskytované jinými informačními a komunikačními systémy,

g) délky trvání incidentu,

h) zeměpisného rozsahu dotčené oblasti a

i) dalších dopadů.

(2) Pro potřeby hlášení a zvládání kybernetických bezpečnostních incidentů se na základě zohlednění podle odstavce 1 kybernetické bezpečnostní incidenty zařadí do následujících kategorií

a) Kategorie III - velmi významný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod,

b) Kategorie II - významný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod, nebo

c) Kategorie I - méně významný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.

(3) Typy kybernetických bezpečnostních incidentů podle dopadu jsou

a) kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,

b) kybernetický bezpečnostní incident způsobující narušení integrity aktiv,

c) kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv, nebo

d) kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v písmenech a) až c).

(4) Toto ustanovení se nevztahuje na kybernetické bezpečnostní incidenty u povinné osoby uvedené v § 3 písm. h) zákona.

ČÁST TŘETÍ - Kybernetický bezpečnostní incident Obsah § 32 - Forma a náležitosti hlášení kybernetických bezpečnostních incidentů