Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal „Metodiku k hlášení kybernetického bezpečnostního incidentu“. Dokument má za cíl stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.

V kybernetickém prostoru a fyzickém světě může nastat řada situací, při nichž dojde k narušení dostupnosti, důvěrnosti nebo integrity informací. V praxi se mohou tyto situace velmi lišit ve svém reálném dopadu – od zcela zásadních, až po zcela marginální, nemající žádný dopad na poskytované služby nebo shromážděné údaje. Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „zákon o kybernetické bezpečnosti“), již od svého původního znění ukládá povinnost orgánům a osobám, které pod něj spadají, hlásit kybernetické bezpečnostní incidenty relevantním CERT týmům – vládnímu CERT nebo národnímu CERT.

Počet hlášených kybernetických bezpečnostních incidentů dlouhodobě neodpovídá reálnému počtu incidentů

Dosavadní zkušenosti NÚKIB však vedou k tomu, že počet hlášených kybernetických bezpečnostních incidentů dlouhodobě neodpovídá reálnému počtu incidentů, které by měly být hlášeny. Vedle celé řady potenciálních problémů v rámci procesu zvládání kybernetických bezpečnostních incidentů u jednotlivých povinných osob se dále jako jeden z důvodů dlouhodobě jeví především problematická šíře definice kybernetického bezpečnostního incidentu podle § 7 odst. 2 zákona o kybernetické bezpečnosti a srozumitelnost platné právní úpravy. Úřad měl a má z tohoto důvodu dlouhodobý cíl – stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.

Tento dokument vznikl jako základ realizace tohoto cíle a odráží

• poznatky Úřadu a jeho zkušenosti,
• princip zasahování veřejné moci do práv osob pouze v nezbytném rozsahu a zásadu

hospodárnosti a efektivnosti,

• skutečnost, že mezinárodní diskurs směřuje k hlášení pouze incidentů s významným

dopadem, a

• smysl a účel povinnosti hlásit kybernetické bezpečnostní incidenty.

Celý dokument „Metodika k hlášení kybernetického bezpečnostního incidentu“ najdete zde.

Zdroj: nukib.cz, publikace Metodika k hlášení kybernetického bezpečnostního incidentu; JM