5. Incidenty a způsob jejich hlášení

Vedle zavádění bezpečnostních opatření je další významnou povinností poskytovatele regulované služby hlášení a zvládání kybernetických bezpečnostních incidentů. Bezpečnostní opatření nemohou nikdy zcela zamezit tomu, že incident nastane (přesto to nijak nesnižuje význam jejich zavádění, protože možnost výskytu incidentu razantně redukují).

Směrnice NIS2 v čl. 6 odst. 6 pod pojmem „incident“ rozumí v českém překladu dokumentu jakoukoliv „událost narušující dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné.“

Zvládání incidentů (směrnice používá v čl. 6 odst. 8 pojem „řešení incidentů“) je jedním ze základních bezpečnostních opatření. Přesto, že organizace dělá vše pro to, aby incidentům předcházela, může incident nastat. V takovém případě si s ním musí být organizace nejen schopna poradit, ale směrnice NIS2 požaduje ve svém čl. 23 také to, aby některé incidenty oznámila stanovenému týmu CERT, resp. CSIRT.

Bližší požadavky směrnice NIS2

Směrnice v čl. 20 odst. 1 uvádí, že organizace spadající jak do kategorie „základní subjekt“, tak do kategorie „důležitý subjekt“ jsou povinny hlásit takové incidenty, které mají významný dopad na poskytování jejich služeb, přičemž v odst. 3 uvádí základní body, jak významný incident poznat. Protože jsou tyto body stanoveny následujícím způsobem:

  1. incident způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty pro dotčený subjekt;
  2. incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou materiální nebo nehmotnou újmu,

bude bližší a prakticky použitelné stanovení incidentů s významným dopadem provedeno spíše až členskými státy v jejich národních předpisech.

Specifickým typem incidentu s významným dopadem je i „rozsáhlý kybernetický incident“, který směrnice NIS2 definuje v čl. 6 odst. 7 jako incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy.

Směrnice stanovuje také požadavky na hlášení zmíněných incidentů a pravomoc Evropské komise specifikovat bližší náležitosti hlášení incidentů. Tyto požadavky jsou stanoveny v čl. 23 směrnice NIS2.

Organizace, nehledě na to, jestli jsou v kategorii „essential entity“ nebo „important entity“, mají povinnost oznamovat incidenty, které mají významný dopad na poskytování služby, bez zbytečného odkladu, nejpozději do 24 hodin od jejich zjištění, formou tzv. „včasného varování“. Obsahem tohoto včasného varování by měly být základní známé údaje, především to, zda je incident způsoben nezákonným jednáním nebo že by mohl mít přeshraniční dopad. Tyto informace by měly být co nejdříve, avšak nejpozději do 72 hodin, zpřesněny ve formě tzv. prvotního posouzení. Obsahem je nejen doplnění informací o incidentu, ale také posouzení jeho závažnosti a dopadu a dodání – pokud jsou k dispozici – indikátorů kompromitace. Po tomto prvotním posouzení může příslušný tým CERT sám iniciovat žádost o doplnění informací. Do jednoho měsíce od prvotního posouzení má organizace zaslat také závěrečnou zprávu, která by měla obsahovat podrobný popis incidentu včetně jeho závažnosti a dopadu, druh hrozby nebo základní příčinu, která incident pravděpodobně spustila, učiněná a probíhající opatření ke zmírnění následků a případně informaci o přeshraničním dopadu incidentu. Pokud by tou dobou ještě incident nebyl vyřešen, má organizace za úkol informovat tým CERT o vývoji celé věci a zaslat závěrečnou zprávu do jednoho měsíce od vyřešení incidentu.

Vedle povinných hlášení počítá směrnice NIS2 ve svém čl. 30 také s dobrovolným hlášením nejen incidentů, ale také kybernetických bezpečnostních událostí a významných kybernetických hrozeb.

Návrh národní úpravy

Navrhovaná zákonná úprava hlášení kybernetických bezpečnostních incidentů vychází filozoficky z dosavadní úpravy procesu hlášení podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Podle této úpravy je povinností regulované osoby hlásit bez výjimky všechny kybernetické bezpečnostní incidenty, a to bezodkladně po jejich detekci. Tento model má svou podstatu v tom, že i incident, který je pro organizaci nevýznamný, může být v kontextu České republiky jako celku důležitý a vypovídající o případné aktuální situaci.

Tento model byl v zásadě zachován u procesu hlášení incidentů poskytovatelem regulované služby v režimu vyšších povinností. Poskytovatel v režimu vyšších povinností hlásí všechny kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu regulované služby, mají původ v kybernetickém prostoru a nelze u nich do 24 hodin od zjištění incidentu vyloučit úmyslné zavinění.

V rámci principu dvourychlostní kybernetické bezpečnosti se NÚKIB rozhodl výše uvedený model v případě poskytovatelů regulované služby v režimu nižších povinností zjednodušit a těmto organizacím uložit povinnost hlásit pouze takové kybernetické bezpečnostní incidenty, které vyhodnotí jako významné. Stanovení významnosti incidentu je v tomto případě spojeno s úvahou, kterou provede poskytovatel regulované služby podle vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.

V obou případech se dle navrhovaného znění zákona hlásí jen ty kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a nelze u nich vyloučit úmyslné zavinění.

Nově jsou v zákoně detailně popsány etapy hlášení kybernetického bezpečnostního incidentu. Tyto etapy vychází z obsahu čl. 23 směrnice NIS2 (viz výše). Důležité je ovšem vzít na vědomí, že tyto etapy se v souladu s obsahem směrnice NIS2 mají vztahovat pouze na tzv. incidenty s významným dopadem. Aby NÚKIB nadměrně nezatěžoval poskytovatele regulované služby v režimu vyšších povinností, kteří mají na rozdíl od poskytovatele v režimu nižších povinností hlásit všechny kybernetické bezpečnostní incidenty s původem v kybernetickém prostoru, u nichž nelze vyloučit úmyslné zavinění, stanovuje nově návrh zákona NÚKIB povinnost tohoto poskytovatele neprodleně informovat o tom, zda jím hlášený incident je ze strany NÚKIB klasifikován jako významný. Pokud ne, poskytovatel regulované služby v režimu vyšších povinností prvotním nahlášením svou povinnost splnil a následné etapy se na něj nevztahují.

Pro bližší seznámení se s povinností hlášení kybernetických bezpečnostních incidentů nahlédněte do obsahu navrhovaného zákona o kybernetické bezpečnosti.

Poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služeb se při hlášení kybernetických bezpečnostních incidentů řídí § 18 odst. 2 návrhu zákona o kybernetické bezpečnosti a prováděcím předpisem Evropské komise vydaným na základě směrnice NIS2. Konkrétně jde o poskytovatele služby překladu doménových jmen (DNS),služby vytvářející důvěru, služby správy a provozu registru domény nejvyšší úrovně (TLD), služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu (CDN), služby on-line tržiště, služby služby internetového vyhledávače, služby platformy sociální sítě, řízené služby (MSP) a řízené bezpečnostní služby (MSSP). Bližší informace ke speciálním pravidlům pro tuto množinu poskytovatelů regulovaných služeb lze najít v § 18 návrhu nového zákona o kybernetické bezpečnosti. Návrh unijního prováděcího předpisu byl zatím podroben veřejným konzultacím a bude v průběhu legislativního procesu dále upravován.

Následující téma je z velké části věnované také tomu, jak budou tato hlášení prakticky probíhat.

Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.

Rejstřík témat
  1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
  2. Koho se nové povinnosti týkají
  3. Rozdělení povinných organizací
  4. Povinnost zavádět bezpečnostní opatření
  5. Incidenty a způsob jejich hlášení
  6. Ohlášení regulované služby a komunikace s NÚKIB
  7. Způsob kontroly plnění povinností
  8. Sankce a donucovací prostředky
  9. Národní a mezinárodní spolupráce
  10. Další specifika úpravy v České republice
  11. Jak se připravit na novou právní úpravu
  12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti