Vyhláška č. 165/2018 Z. z.Vyhláška Národného bezpečnostného úradu, ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov

Platnosť od 14.06.2018
Účinnosť od 15.06.2018

165

VYHLÁŠKA

Národného bezpečnostného úradu

z 1. júna 2018,

ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov

Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 32 ods. 1 písm. e) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:


§ 1

(1) Identifikačné kritériá pre kategóriu závažného kybernetického bezpečnostného incidentu prvého (I) stupňa, druhého (II) stupňa a tretieho (III) stupňa v závislosti od parametrov uvedených v § 24 ods. 2 písm. a) až e) zákona sú uvedené v prílohe č. 1.

(2) Kybernetický bezpečnostný incident je identifikovaný ako závažný kybernetický bezpečnostný incident, ak spĺňa aspoň jedno identifikačné kritérium pre kategóriu závažného kybernetického bezpečnostného incidentu.

§ 2

(1) Hlásenie kybernetických bezpečnostných incidentov podľa § 24 ods. 4 zákona obsahuje, v rozsahu potrebnom na riadnu identifikáciu, najmä informácie

a) o tom, kto hlási závažný kybernetický bezpečnostný incident, a to

1. identifikačné údaje a

2. kontaktné údaje,

b) o závažnom kybernetickom bezpečnostnom incidente, a to

1. časové údaje priebehu kybernetického bezpečnostného incidentu,

2. detailný opis priebehu kybernetického bezpečnostného incidentu a

3. rozsah vzniknutých škôd z dôvodu kybernetického bezpečnostného incidentu,

c) o službe zasiahnutej závažným kybernetickým bezpečnostným incidentom, a to

1. konkrétny popis všetkých zasiahnutých aktív a

2. vplyv kybernetického bezpečnostného incidentu na poskytovanú službu,

d) o riešení závažného kybernetického bezpečnostného incidentu, a to

1. stav riešenia kybernetického bezpečnostného incidentu,

2. vykonané nápravné opatrenia a

3. popis následkov kybernetického bezpečnostného incidentu.

(2) Vzor hlásenia kybernetických bezpečnostných incidentov zverejňuje úrad prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a na svojom webovom sídle.

§ 3

Touto vyhláškou sa preberajú právne záväzné akty Európskej únie uvedené v prílohe č. 2.


§ 4

Táto vyhláška nadobúda účinnosť 15. júna 2018.


Jozef Magala v. r.


Príloha č. 1 k vyhláške č. 165 /2018 Z. z.

Dopad kybernetického bezpečnostného incidentu v závislosti:Závažný kybernetický bezpečnostný incident
Kategória I.Kategória II.Kategória III.
§ 24 ods. 2 písm. a) zákonaPočet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.Incident viedol ku konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb prevádzkovateľa základnej služby poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktorá postihuje viac ako 25 000 osôb.Incident viedol ku konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb prevádzkovateľa základnej služby poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktorá postihuje viac ako 50 000 osôb.Incident viedol ku konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb prevádzkovateľa základnej služby poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktorá postihuje viac ako 100 000 osôb.
§ 24 ods. 2 písm. b) zákona

a

§ 24 ods. 2 písm. c) zákona
Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
a
Geografické rozšírenie kybernetického bezpečnostného incidentu.
Obmedzenie alebo narušenie prevádzky základnej služby alebo prvku kritickej infraštruktúry v rozsahu viac ako 15 000 používateľských hodín, pričom pojem používateľská hodina sa týka počtu postihnutých používateľov na území najmenej jedného okresu počas 60 min.Obmedzenie alebo narušenie prevádzky základnej služby alebo prvku kritickej infraštruktúry v rozsahu viac ako 100 000 používateľských hodín, pričom pojem používateľská hodina sa týka počtu postihnutých používateľov na území najmenej jedného kraja počas 60 min.Obmedzenie alebo narušenie prevádzky základnej služby alebo prvku kritickej infraštruktúry v rozsahu viac ako 500 000 používateľských hodín, pričom pojem používateľská hodina sa týka počtu postihnutých používateľov na celom území Slovenskej republiky počas 60 min.
§ 24 ods. 2 písm. d) zákonaStupeň narušenia fungovania základnej služby.--Incident spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.Incident spôsobil úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie.
§ 24 ods. 2 písm. e) zákonaRozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.Incident spôsobil
a) hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur, b) viac ako 1 000 zranených osôb vyžadujúcich lekárske ošetrenie, alebo stratu jedného života, alebo c) narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti okresu.
Incident spôsobil
a) hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 500 000 eur, b) obete na životoch s hraničnou hodnotou viac ako 100 mŕtvych alebo 3 500 zranených osôb vyžadujúcich lekárske ošetrenie, alebo c) narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti kraja.
Incident spôsobil
a) hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 1 000 000 eur,
b) obete na životoch s hraničnou hodnotou viac ako 500 mŕtvych alebo 5 000 zranených osôb vyžadujúcich lekárske ošetrenie, alebo c) narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti Slovenskej republiky.

Poznámky:

1. Vzhľadom na počet používateľov postihnutých kybernetickým bezpečnostným incidentom, najmä používateľov využívajúcich danú službu na poskytovanie vlastných služieb, prevádzkovateľ základnej služby hodnotí počet:

a) fyzických osôb a právnických osôb postihnutých kybernetickým bezpečnostným incidentom, s ktorými uzavrel zmluvu o poskytovaní služby, alebo

b) postihnutých používateľov, ktorí službu použili (na základe údajov o prevádzke).

2. Dĺžkou trvania kybernetického bezpečnostného incidentu sa rozumie obdobie od narušenia riadneho poskytovania služby z hľadiska dostupnosti, pravosti, integrity alebo dôvernosti až po obnovenie poskytovania tejto služby.

3. Pri geografickom rozšírení kybernetického bezpečnostného incidentu (oblasti postihnutej kybernetickým bezpečnostným incidentom) prevádzkovateľ základnej služby hodnotí vplyv kybernetického bezpečnostného incidentu na poskytovanie jeho služieb v určitých geografických oblastiach.

4. Stupeň obmedzenia alebo narušenia prevádzky základnej služby, alebo prvku kritickej infraštruktúry sa meria na základe jednej alebo viacerých týchto charakteristík, ktoré sú narušené kybernetickým bezpečnostným incidentom: dostupnosť, pravosť, integrita alebo dôvernosť údajov, alebo súvisiacich služieb.

5. Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu predstavuje posúdenie na základe hodnôt (napríklad povaha zmluvných vzťahov so zákazníkom, potenciálny počet používateľov postihnutých kybernetickým bezpečnostným incidentom, spôsobenie závažných materiálnych alebo nemateriálnych škôd).

Príloha č. 2 k vyhláške č. 165/2018 Z. z.

ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE

Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19. 7. 2016).