10
Hlášení kybernetických bezpečnostních incidentů
Mgr. Mgr. Radana Burešová
Stejně jako předchozí zákon o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) ukládá zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen "ZKYB") regulovaným subjektům povinnost hlásit kybernetické bezpečnostní incidenty (dále jen "KBI"). KBI se rozumí narušení bezpečnosti informací v kybernetickém prostoru.
Nový zákon ve svém § 15 odst. 4 ZKYB stanoví, že poskytovatel regulované služby musí začít plnit povinnost hlásit KBI nejpozději do jednoho roku ode dne doručení rozhodnutí o registraci regulované služby.
NahoruHlášení podle zákona č. 181/2014 Sb.
S ohledem na tuto skutečnost Národní úřad pro kybernetickou bezpečnost (NÚKIB) subjektům, na které se vztahoval již předchozí zákon, umožňuje, aby po dobu jednoho roku ode dne doručení rozhodnutí o registraci regulované služby KBI hlásily stejně jako za předchozí právní úpravy, tedy prostřednictvím vyplnění a odeslání příslušného formuláře.
Formuláře pro jednotlivé typy incidentů jsou dostupné zde a k jejich vyplnění je nutno přihlásit se pomocí Identity občana (mobilního klíče e-Governementu, bankovní identity apod.), přičemž přihlásit se takto může pouze oprávněná osoba.
NahoruHlášení podle nového zákona
I dříve regulované subjekty však mohou (a zcela nově registrované subjekty musí) využít postup hlášení KBI podle nového zákona.
Ten rozlišuje míru povinnosti hlásit KBI v závislosti na tom, zda se jedná o poskytovatele regulované služby v režimu vyšších, či nižších povinností. Informace o tom, jaký režim se na daný subjekt vztahuje, nelze zjistit přímo z rozhodnutí NÚKIB o registraci, nýbrž až po přihlášení do formuláře hlášení KBI na Portálu NÚKIB ve sloupci režim regulace; v brzké budoucnosti má být nicméně tato informace dostupná jiným způsobem.
Poskytovatelé regulované služby v režimu vyšších povinností jsou povinni hlásit veškeré KBI, které se projevily v oblasti stanoveného rozsahu řízení kybernetické bezpečnosti, mají původ v kybernetickém prostoru a nelze u nich do 24 hodin od jejich zjištění vyloučit úmyslné zavinění. Pokud je tedy například v řádu několika hodin zjištěno, že KBI vznikl v důsledku technické poruchy, není třeba ho hlásit.
Poskytovatelé regulované služby v režimu nižších povinností musí hlásit KBI, které mají stejné znaky jako v případě poskytovatelů v režimu vyšších povinností, a navíc mají významný dopad na poskytování regulované služby. Významný dopad má podle nového zákona KBI, který poskytovateli regulované služby způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty nebo způsobil nebo může způsobit jiným osobám značnou újmu. Postup vyhodnocování významnosti dopadů je stanoven v § 14 vyhlášky č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.
Každý poskytovatel v režimu nižších povinností za tímto účelem musí předem (písemně) stanovit únosnou míru újmy způsobené KBI, v jehož důsledku ještě není ohrožen život nebo zdraví osob nebo schopnost povinné osoby dostát svým závazkům, přičemž kritéria pro určení této míry únosnosti vyplývají z § 14 odst. 1 písm. b) uvedené vyhlášky.
KBI, které splňují podmínky uvedené výše, je třeba nahlásit do 24 hodin od jejich zjištění. Ačkoli formálně poskytovatelé služeb v režimu vyšších povinností hlásí KBI jiné instituci (NÚKIBu) než poskytovatelé služeb v režimu nižších povinností (Národnímu CERTu), všechna hlášení se podávají stejným způsobem prostřednictvím prvotního hlášení na Portálu NÚKIB dostupného na této stránce . Hlášení lze podat pouze po přihlášení příslušné osoby (viz výše u hlášení KBI podle starého zákona).
Obsahové…
