165/2018 Z.z.
VYHLÁŠKA
Národného bezpečnostného úradu
z 1. júna 2018,
ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných
kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných
incidentov
Národný bezpečnostný úrad (ďalej len "úrad") podľa § 32 ods. 1 písm. e) zákona
č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
(ďalej len "zákon") ustanovuje:
§ 1
(1) Identifikačné kritériá pre kategóriu závažného kybernetického bezpečnostného
incidentu prvého (I) stupňa, druhého (II) stupňa a tretieho (III) stupňa v závislosti
od parametrov uvedených v § 24 ods. 2 písm. a) až e) zákona sú uvedené v prílohe
č. 1.
(2) Kybernetický bezpečnostný incident je identifikovaný ako závažný kybernetický
bezpečnostný incident, ak spĺňa aspoň jedno identifikačné kritérium pre kategóriu
závažného kybernetického bezpečnostného incidentu.
§ 2
(1) Hlásenie kybernetických bezpečnostných incidentov podľa § 24 ods. 4 zákona
obsahuje, v rozsahu potrebnom na riadnu identifikáciu, najmä informácie
a) o tom,
kto hlási závažný kybernetický bezpečnostný incident, a to
1. identifikačné údaje
a
2. kontaktné údaje,
b) o závažnom kybernetickom bezpečnostnom incidente, a to
1. časové údaje priebehu
kybernetického bezpečnostného incidentu,
2. detailný opis priebehu kybernetického
bezpečnostného incidentu a
3. rozsah vzniknutých škôd z dôvodu kybernetického bezpečnostného
incidentu,
c) o službe zasiahnutej závažným kybernetickým bezpečnostným incidentom, a to
1.
konkrétny popis všetkých zasiahnutých aktív a
2. vplyv kybernetického bezpečnostného
incidentu na poskytovanú službu,
d) o riešení závažného kybernetického bezpečnostného incidentu, a to
1. stav riešenia
kybernetického bezpečnostného incidentu,
2. vykonané nápravné opatrenia a
3. popis
následkov kybernetického bezpečnostného incidentu.
(2) Vzor hlásenia kybernetických bezpečnostných incidentov zverejňuje úrad
prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a na svojom
webovom sídle.
Jozef Magala v.r.
PRÍL.1
I------------------------------------I---------------------------------------------------------------------------------------------I I Dopad kybernetického I Závažný kybernetický bezpečnostný incident I I bezpečnostného incidentu v I-----------------------------I------------------------------I--------------------------------I I závislosti: I Kategória I. I Kategória II. I Kategória III. I I-----------------I------------------I-----------------------------I------------------------------I--------------------------------I I § 24 ods. 2 I Počet I Incident viedol ku konaniu, I Incident viedol ku konaniu, I Incident viedol ku konaniu, I I písm. a) zákona I používateľov I ktoré ohrozuje dostupnosť, I ktoré ohrozuje dostupnosť, I ktoré ohrozuje dostupnosť, I I I základnej služby I pravosť, integritu alebo I pravosť, integritu alebo I pravosť, integritu alebo I I I zasiahnutých I dôvernosť uchovávaných, I dôvernosť uchovávaných, I dôvernosť uchovávaných, I I I kybernetickým I prenášaných alebo I prenášaných alebo I prenášaných alebo spracúvaných I I I bezpečnostným I spracúvaných údajov alebo I spracúvaných údajov alebo I údajov alebo súvisiacich I I I incidentom. I súvisiacich služieb I súvisiacich služieb I služieb prevádzkovateľa I I I I prevádzkovateľa základnej I prevádzkovateľa základnej I základnej služby poskytovaných I I I I služby poskytovaných alebo I služby poskytovaných alebo I alebo prístupných I I I I prístupných prostredníctvom I prístupných prostredníctvom I prostredníctvom týchto sietí a I I I I týchto sietí a informačných I týchto sietí a informačných I informačných systémov, ktorá I I I I systémov, ktorá postihuje I systémov, ktorá postihuje I postihuje viac ako 100 000 I I I I viac ako 25 000 osôb. I viac ako 50 000 osôb. I osôb. I I-----------------I------------------I-----------------------------I------------------------------I--------------------------------I I § 24 ods. 2 I Dĺžka trvania I Obmedzenie alebo narušenie I Obmedzenie alebo narušenie I Obmedzenie alebo narušenie I I písm. b) zákona I kybernetického I prevádzky základnej služby I prevádzky základnej služby I prevádzky základnej služby I I a I bezpečnostného I alebo prvku kritickej I alebo prvku kritickej I alebo prvku kritickej I I § 24 ods. 2 I incidentu (čas I infraštruktúry v rozsahu I infraštruktúry v rozsahu I infraštruktúry v rozsahu viac I I písm. c) zákona I pôsobenia I viac ako 15 000 I viac ako 100 000 I ako 500 000 používateľských I I I kybernetického I používateľských hodín, I používateľských hodín, I hodín, pričom pojem I I I bezpečnostného I pričom pojem používateľská I pričom pojem používateľská I používateľská hodina sa týka I I I incidentu) a I hodina sa týka počtu I hodina sa týka počtu I počtu postihnutých I I I Geografické I postihnutých používateľov I postihnutých používateľov na I používateľov na celom území I I I rozšírenie I na území najmenej jedného I území najmenej jedného kraja I Slovenskej republiky počas 60 I I I kybernetického I okresu počas 60 min. I počas 60 min. I min. I I I bezpečnostného I I I I I I incidentu. I I I I I-----------------I------------------I-----------------------------I------------------------------I--------------------------------I I § 24 ods. 2 I Stupeň narušenia I -- I Incident spôsobil úplnú I Incident spôsobil úplnú I I písm. d) zákona I fungovania I I nedostupnosť druhu služby, I nedostupnosť druhu služby, pre I I I základnej I I pre ktorú je možné I ktorú nie je možné zabezpečiť I I I služby. I I zabezpečiť náhradné I náhradné riešenie. I I I I I riešenie. I I I-----------------I------------------I-----------------------------I------------------------------I--------------------------------I I § 24 ods. 2 I Rozsah vplyvu I Incident spôsobil I Incident spôsobil I Incident spôsobil I I písm. e) zákona I kybernetického I a) hospodársku stratu alebo I a) hospodársku stratu alebo I a) hospodársku stratu alebo I I I bezpečnostného I hmotnú škodu najmenej I hmotnú škodu najmenej I hmotnú škodu najmenej jednému I I I incidentu na I jednému užívateľovi viac I jednému užívateľovi viac ako I užívateľovi viac ako 1 000 000 I I I hospodárske I ako 250 000 eur, I 500 000 eur, I eur, I I I alebo I b) viac ako 1 000 zranených I b) obete na životoch s I b) obete na životoch s I I I spoločenské I osôb vyžadujúcich lekárske I hraničnou hodnotou viac ako I hraničnou hodnotou viac ako I I I činnosti štátu. I ošetrenie, alebo stratu I 100 mŕtvych alebo 3 500 I 500 mŕtvych alebo 5 000 I I I I jedného života, alebo I zranených osôb vyžadujúcich I zranených osôb vyžadujúcich I I I I c) narušenie verejného I lekárske ošetrenie, alebo I lekárske ošetrenie, alebo I I I I poriadku, alebo verejnej I c) narušenie verejného I c) narušenie verejného I I I I bezpečnosti vo významnej I poriadku, alebo verejnej I poriadku, alebo verejnej I I I I časti okresu. I bezpečnosti vo významnej I bezpečnosti vo významnej časti I I I I I časti kraja. I Slovenskej republiky. I I-----------------I------------------I-----------------------------I------------------------------I--------------------------------I
Poznámky:
1. Vzhľadom na počet používateľov postihnutých kybernetickým
bezpečnostným incidentom, najmä používateľov využívajúcich danú službu na poskytovanie
vlastných služieb, prevádzkovateľ základnej služby hodnotí počet:
a) fyzických osôb
a právnických osôb postihnutých kybernetickým bezpečnostným incidentom, s ktorými
uzavrel zmluvu o poskytovaní služby, alebo
b) postihnutých používateľov, ktorí službu
použili (na základe údajov o prevádzke).
2. Dĺžkou trvania kybernetického bezpečnostného incidentu sa rozumie obdobie od narušenia
riadneho poskytovania služby z hľadiska dostupnosti, pravosti, integrity alebo dôvernosti
až po obnovenie poskytovania tejto služby.
3. Pri geografickom rozšírení kybernetického bezpečnostného incidentu (oblasti postihnutej
kybernetickým bezpečnostným incidentom) prevádzkovateľ základnej služby hodnotí vplyv
kybernetického bezpečnostného incidentu na poskytovanie jeho služieb v určitých geografických
oblastiach.
4. Stupeň obmedzenia alebo narušenia prevádzky základnej služby, alebo prvku kritickej
infraštruktúry sa meria na základe jednej alebo viacerých týchto charakteristík,
ktoré sú narušené kybernetickým bezpečnostným incidentom: dostupnosť, pravosť, integrita
alebo dôvernosť údajov, alebo súvisiacich služieb.
5. Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské
činnosti štátu predstavuje posúdenie na základe hodnôt (napríklad povaha zmluvných
vzťahov so zákazníkom, potenciálny počet používateľov postihnutých kybernetickým
bezpečnostným incidentom, spôsobenie závažných materiálnych alebo nemateriálnych
škôd).