Řešení kybernetických bezpečnostních incidentů

Dle zákona se kybernetickou bezpečnostní událostí rozumí událost, která může vyústit v kybernetický bezpečnostní incident, přičemž kybernetický bezpečnostní incident je definován jako narušení bezpečnosti informací v kybernetickém prostoru.

Nejdůležitějším předpokladem pro řešení kybernetických bezpečnostních incidentů je, aby se o nich poskytovatel regulované služby včas dozvěděl. Proto je třeba nastavit proces nahlašování a následného řešení kybernetických bezpečnostních incidentů.

Co je nutné učinit

  • Zajistit, aby všichni zaměstnanci (tedy jak uživatelé, tak i administrátoři, osoba pověřená kybernetickou bezpečností či například vrcholné vedení nebo relevantní dodavatelé) hlásili jakékoliv neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti.
    • Není definováno, jakým způsobem má být hlášení provedeno – jestli prostým odesláním e-mailu, pomocí service desku, telefonicky či jiným způsobem. Zvolený způsob by však měl být součástí bezpečnostní politiky, se kterou by měly být seznámeny všechny relevantní osoby.
  • Stanovit metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů.
    • Metodika by měla obsahovat také posouzení významnosti dopadu kybernetického bezpečnostního incidentu v souladu s § 14 vyhlášky (viz dále).
  • Detekovat kybernetické bezpečnostní události.
  • Zajistit posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů v souladu se stanovenou metodikou.
  • V případě detekce kybernetického bezpečnostního incidentu zajistit jeho řešení v souladu se stanovenými postupy.

V případě detekce kybernetického bezpečnostního incidentu s významným dopadem je třeba jej nahlásit dle § 15 zákona.

V souladu s požadavkem § 16 zákona musí poskytovatel regulované služby vytvořit závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu s významným dopadem, včetně popisu příčiny vzniku, pokud je známa. Je nutné, aby poskytovatel regulované služby dodržel stanovené postupy a lhůty uvedené v § 16 zákona.

Příklady plnění:

  • Oznámení neobvyklého chování
    • Uživatelé, administrátoři, osoba pověřená kybernetickou bezpečností a další zaměstnanci mohou nahlašovat neobvyklé chování technických aktiv a podezření na možné zranitelnosti např. přes:
      • e-mail,
      • telefonicky,
      • osobně,
      • pomocí service desku nebo
      • tiketovacího nástroje.
    • Všichni uživatelé, administrátoři i další zaměstnanci organizace jsou poučeni o povinnosti nahlašování neobvyklého chování technických aktiv a podezření na zranitelnosti. Toto poučení je součástí vstupního a pravidelného školení.
    • Dodavatelům vzniká povinnost nahlašování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů na základě smluvního vztahu s poskytovatelem regulované služby.

  • Stanovení metodiky
    • Metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů včetně posuzování významnosti dopadu kybernetických bezpečnostních incidentů má organizace stanovenou jako samostatný dokument.

  • Detekce kybernetických bezpečnostních událostí
    • Organizace má zajištěnou detekci kybernetických bezpečnostních událostí, jejich posouzení a řešení nastalých kybernetických bezpečnostních incidentů.

  • Nahlašování a vytvoření závěrečné zprávy
    • Hlášení kybernetických bezpečnostních incidentů s významným dopadem přes Portál NÚKIB má na starost osoba pověřená kybernetickou bezpečností.
    • Organizace má připravenou šablonu pro závěrečnou zprávu včetně popisu příčiny kybernetického bezpečnostního incidentu (pokud je známa), kterou v případě vzniklého kybernetického bezpečnostního incidentu s významným dopadem osoba pověřená kybernetickou bezpečností s relevantními osobami vyplní.

Stanovení významnosti dopadu kybernetického bezpečnostního incidentu

V souvislosti s § 10 vyhlášky, který upravuje požadavky na řešení kybernetických bezpečnostních incidentů, je vhodné s ohledem na požadavky § 15 zákona, který stanovuje povinnost hlásit kybernetické bezpečnostní incidenty s významným dopadem Národnímu CERTu, určit, jaké kybernetické bezpečnostní incidenty patří mezi ty s významným dopadem. Proto je třeba mít stanovenou metodiku pro posouzení významnosti dopadu kybernetického bezpečnostního incidentu.


Pro posouzení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby je třeba stanovit:

  • Únosnou míru újmy – nejvyšší akceptovatelnou úroveň škody a nemajetkové újmy, při které ještě není ohrožen život nebo zdraví osob nebo schopnost poskytovatele regulované služby dostát svým závazkům. Do této míry se zahrnuje celková finanční ztráta spolu s náklady, jež vzniknou v souvislosti s kybernetickým bezpečnostním incidentem, a to včetně nepřímé finanční ztráty, například poškození dobrého jména, ztráta reputace, ztráta důvěry zákazníků a jiné formy nehmotných ztrát.

  • Oblasti pro posouzení významnosti dopadu:
    • provozní dopad a schopnost poskytovat regulovanou službu,
    • množství uživatelů regulované služby, jiných orgánů a osob zasažených kybernetickým bezpečnostním incidentem,
    • zdroje (časové, lidské, technické) potřebné k obnově poskytování služby,
    • typ a umístění zasažených aktiv,
    • citlivost informací a dat spolu se škodou nebo nemajetkovou újmou, jež může narušení bezpečnosti těchto informací a dat způsobit a
    • příčinu incidentu, pokud je známá, a to především zda se jednalo
      o lidskou chybu, technickou závadu, nebo úmysl.

V případě, že kybernetický bezpečnostní incident přesáhne stanovenou únosnou míru újmy a zároveň je oblast pro posouzení považována za významnou, jedná se o kybernetický bezpečnostní incident s významným dopadem a je potřeba ho v souladu s § 15 a § 16 zákona bez prodlení nahlásit Úřadu a činit další kroky v souladu s požadavky zákona.