Povinnost hlášení kybernetických bezpečnostních incidentů

V současném digitálním světě se kybernetická bezpečnost stala klíčovým prvkem pro ochranu kritických infrastruktur, dat a komunikací. S nárůstem digitálních technologií a internetu věcí (IoT) se exponenciálně zvýšila zranitelnost vůči kybernetickým útokům. Tyto incidenty mohou mít dalekosáhlé důsledky, včetně finančních ztrát, poškození pověsti organizace a ohrožení národní bezpečnosti. Některé podniky a provozovatelé určitých služeb mají zákonnou povinnost hlásit kybernetické bezpečnostní incidenty. Koho se to týká a komu je potřeba nahlásit?

Obsah článku:

• Co je kybernetický bezpečnostní incident?
• Kdo je povinen hlásit incidenty?
• Povinnosti související s hlášením kyberútoků
• Proces hlášení incidentů krok za krokem
• Přehled legislativy pro kybernetiku

Co je kybernetický bezpečnostní incident?

Kybernetický bezpečnostní incident je událost, která má negativní dopad na bezpečnost sítí a informačních systémů. Takový incident může ohrozit důvěrnost, integritu nebo dostupnost dat a služeb, které tyto systémy poskytují. Incidenty mohou být způsobeny úmyslnými útoky, neúmyslnými chybami, technickými selháními nebo přírodními katastrofami.

Bezpečnostní incident narušuje:

• Důvěrnost: Ochrana informací před neoprávněným přístupem. Když je důvěrnost narušena, citlivé informace mohou být odhaleny nepovolaným osobám.
• Integritu: Zajištění přesnosti a nepozměněnosti informací. Když je integrita narušena, data mohou být zfalšována nebo poškozena.
• Dostupnost: Zajištění, že systémy a informace jsou přístupné a použitelné tehdy, když je to potřeba. Když je dostupnost narušena, legitimní uživatelé nemohou přistupovat k potřebným informacím nebo službám.

Mezi kybernetické bezpečnostní incidenty patří:

• Útoky na infrastrukturu: Například DDoS útoky, které způsobují nedostupnost služeb pro uživatele.
• Únik dat: Situace, kdy dojde k neoprávněnému přístupu k citlivým datům a jejich odcizení, smazání či zveřejnění.
• Malware útoky: Infekce systémů škodlivým softwarem, který může například zašifrovat data a požadovat výkupné (ransomware).
• Technické selhání: Výpadky služeb nebo systémů způsobené technickými chybami nebo selháním infrastruktury.
• Lidské chyby: Incidenty způsobené neúmyslnými akcemi zaměstnanců, jako je nesprávná konfigurace systémů nebo nechtěné zveřejnění citlivých informací.

Kdo je povinen hlásit incidenty?

Provozovatelé základních služeb

Provozovatelé základních služeb jsou subjekty, které poskytují klíčové služby nezbytné pro fungování společnosti a ekonomiky. Podle Směrnice EU 2022/2555 (NIS 2 Directive) mají tito provozovatelé povinnost zavést přísná bezpečnostní opatření a hlásit významné kybernetické incidenty příslušným národním orgánům. Mezi provozovatele základních služeb patří:

• Energetické společnosti: Společnosti působící v oblasti výroby, distribuce a přenosu elektřiny, plynu a ropy.
• Dopravní infrastruktura: Správci a provozovatelé železniční, letecké, silniční a vodní dopravy.
• Bankovní sektor: Banky a jiné finanční instituce poskytující základní finanční služby.
• Zdravotnická zařízení: Nemocnice a další zdravotnické organizace poskytující nezbytnou zdravotní péči.
• Zásobování vodou: Společnosti zajišťující dodávky pitné vody a odvod odpadních vod.
• Digitální infrastruktura: Provozovatelé výměnných uzlů internetu, doménových registrátorů a poskytovatelé DNS služeb.

Poskytovatelé digitálních služeb

Poskytovatelé digitálních služeb zahrnují různé typy online služeb, které jsou kritické pro fungování digitální ekonomiky. Podle NIS 2 Directive jsou tito poskytovatelé povinni implementovat bezpečnostní opatření a hlásit kybernetické incidenty. Mezi poskytovatele digitálních služeb patří:

• Online trhy: Platformy, které umožňují spotřebitelům a obchodníkům uzavírat smlouvy o prodeji zboží a služeb online.
• Internetové vyhledávače: Služby, které umožňují uživatelům vyhledávat informace na internetu.
• Cloud computingové služby: Poskytovatelé cloudových služeb, které umožňují přístup k výpočetním zdrojům a úložištím dat prostřednictvím internetu.

Další relevantní subjekty

Národní legislativa jednotlivých členských států může stanovit další subjekty, které jsou povinny hlásit kybernetické incidenty, v závislosti na specifických požadavcích a charakteristikách dané země. V České republice tyto povinnosti stanoví zákon č. 181/2014 Sb., o kybernetické bezpečnosti, který zahrnuje:

• Orgány veřejné správy: Subjekty veřejné správy, které zajišťují kritické veřejné služby a infrastrukturu.
• Poskytovatelé telekomunikačních služeb: Společnosti poskytující veřejné komunikační sítě a služby elektronických komunikací, které spadají pod specifické bezpečnostní a hlásicí požadavky podle Směrnice 2002/21/ES.
• Subjekty působící v regulovaných odvětvích: Například ve vodní dopravě, bankovnictví a finančním sektoru, které podléhají specifickým odvětvovým předpisům.
• Tito provozovatelé a poskytovatelé jsou povinni zajistit, že mají zavedené adekvátní bezpečnostní mechanismy a postupy pro detekci, hlášení a reakci na kybernetické incidenty. Hlášení musí být podáno v předepsaných lhůtách a musí obsahovat veškeré relevantní informace potřebné pro efektivní řešení incidentu.

Povinnosti související s hlášením kyberútoků

Nahlásit incident do 24 hodin

Časové lhůty pro hlášení incidentů jsou klíčovým aspektem, který zajišťuje včasnou reakci a koordinaci mezi organizacemi a příslušnými orgány. Podle Směrnice EU 2022/2555 (NIS 2 Directive) a národní legislativy musí být hlášení provedeno bez zbytečného odkladu. V České republice jsou specifikované lhůty následující:

• Do 24 hodin: Incident musí být nahlášen do 24 hodin od jeho zjištění.
• Průběžné aktualizace: Organizace by měla poskytovat průběžné informace o vývoji situace a opatřeních přijatých k řešení incidentu.

Dodržet náležitosti obsahu hlášení

Hlášení kybernetického incidentu musí obsahovat specifické náležitosti, které umožňují příslušným orgánům efektivně reagovat a koordinovat reakci. Povinné náležitosti hlášení zahrnují:

1. Identifikace hlásícího subjektu
   • Název organizace: Plný název organizace, která hlásí incident.
   • Kontaktní osoba: Jméno a kontakt na odpovědnou osobu, která může poskytnout další informace.
2. Popis incidentu
   • Typ incidentu: Klasifikace typu incidentu (např. únik dat, ransomware, DDoS útok).
   • Datum a čas zjištění: Přesný čas, kdy byl incident zjištěn.
   • Délka trvání: Časový rozsah, po který incident trval nebo trvá.
3. Zasažené systémy a data
   • Popis postižených systémů: Detaily o sítích, informačních systémech a datových úložištích, které byly incidentem zasaženy.
   • Druh a objem dat: Informace o druhu a objemu dat, která byla ohrožena nebo ztracena.
4. Dopad incidentu
   • Počet postižených uživatelů: Odhad počtu uživatelů, kteří byli incidentem postiženi.
   • Geografický rozsah: Informace o tom, zda incident zasáhl více zemí nebo regionů.
5. Přijatá opatření
   • Ochranná opatření: Popis opatření, která byla přijata k zmírnění dopadů incidentu.
   • Další kroky: Plánované kroky k obnově postižených systémů a prevenci budoucích incidentů.
6. Dodatečné informace
   • Logy a důkazy: Relevantní logy, záznamy a důkazy, které mohou pomoci při vyšetřování incidentu.
   • Kontinuální informace: Pravidelné aktualizace a dodatečné informace, pokud se situace vyvíjí.

Efektivní proces hlášení incidentů je zásadní pro rychlou reakci a minimalizaci škod způsobených kybernetickými útoky. Dodržování stanovených kroků, časových lhůt a povinných náležitostí zajišťuje, že organizace jsou schopny efektivně komunikovat a spolupracovat s příslušnými orgány a dalšími zainteresovanými stranami.

Proces hlášení incidentů krok za krokem

Proces hlášení kybernetického incidentu je klíčovým prvkem kybernetické bezpečnosti, který umožňuje rychlou reakci na hrozby a minimalizaci jejich dopadu. Níže jsou uvedeny základní kroky, které by měly organizace následovat při hlášení incidentu:

1. Identifikace incidentu
   • Detekce a analýza: Prvním krokem je detekce potenciálního incidentu prostřednictvím monitorovacích systémů, bezpečnostních nástrojů a upozornění zaměstnanců. Následuje analýza, která potvrzuje, zda se jedná o skutečný incident.
   • Klasifikace: Určení typu incidentu (např. únik dat, ransomware, DDoS útok) a jeho závažnosti.
2. Vnitřní eskalace
   • Informování odpovědných osob: O incidentu by měli být okamžitě informováni klíčoví pracovníci, jako jsou bezpečnostní manažeři, IT oddělení a vedení organizace.
   • Eskalace incidentu: Pokud je incident závažný, je nutné jej eskalovat na vyšší úroveň řízení, která rozhodne o dalším postupu.
3. Přijetí opatření
   • Ochranná opatření: Implementace okamžitých opatření k zastavení incidentu a minimalizaci škod (např. izolace infikovaných systémů, změna přístupových hesel).
   • Dokumentace: Záznam všech kroků a opatření přijatých v průběhu řešení incidentu.
4. Externí hlášení
   • Kontaktování příslušných orgánů: Informování národního orgánu pro kybernetickou bezpečnost (v České republice NÚKIB) o incidentu.
   • Poskytnutí detailů: Podání hlášení obsahujícího všechny relevantní informace o incidentu.

Přehled legislativy pro kybernetiku

Právní rámec pro hlášení kybernetických bezpečnostních incidentů je v Evropské unii zakotven především v této legislativě:

• Směrnice Evropského parlamentu a Rady (EU) 2022/2555, známá jako NIS 2 Directive, byla přijata dne 14. prosince 2022. Tato směrnice nahrazuje Směrnici 2016/1148 (NIS Directive) a stanovuje nové a rozšířené požadavky na zabezpečení sítí a informačních systémů v celé Evropské unii. Tato směrnice mimojiné stanovuje přesné požadavky na hlášení kybernetických incidentů, včetně časových lhůt a povinných náležitostí hlášení.
• Prováděcí nařízení Komise (EU) 2018/151 bylo přijato dne 30. ledna 2018 a specifikuje pravidla pro uplatňování původní NIS Directive, která zůstávají relevantní i pro NIS 2 Directive. Toto nařízení stanovuje konkrétní požadavky na poskytovatele digitálních služeb, které zahrnují mimo jiné také řešení incidentů, kdy poskytovatelé musí udržovat a testovat postupy pro detekci, hlášení a reakci na incidenty, a také posoudit závažnost incidentů a shromažďovat příslušné informace pro neustálé zlepšování.

V České republice je NIS 2 Directive implementována prostřednictvím aktualizací:

• Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, který stanovuje základní právní rámec týkající se povinností některých subjektů a provozovatelů a specifikuje proces hlášení incidentů.

Více v článku Legislativa kybernetické bezpečnosti - zákony, vyhlášky a nařízení vlády ČR, směrnice a nařízení EU.