Input:

82/2018 Sb., Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitos-tech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) Garance

č. 82/2018 Sb., Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitos-tech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
VYHLÁŠKA
ze dne 21. května 2018
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat
(vyhláška o kybernetické bezpečnosti)
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 28 odst. 2 písm. a) až d) a f) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb. a zákona č. 205/2017 Sb., (dále jen „zákon”):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém, informační systém základní služby anebo informační systém nebo síť elektronických komunikací, které využívá poskytovatel digitálních služeb, (dále jen „informační a komunikační systém”) upravuje
a)  obsah a strukturu bezpečnostní dokumentace,
b)  obsah a rozsah bezpečnostních opatření,
c)  typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
d)  náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
e)  náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
f)  vzor oznámení kontaktních údajů a jeho formu a
g)  způsob likvidace dat, provozních údajů, informací a jejich kopií.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a)  administrátorem osoba zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva,
b)  akceptovatelným rizikem riziko, které je přijatelné pro orgán nebo osobu, které jsou povinny zavést bezpečnostní opatření podle zákona, (dále jen „povinná osoba”) a není nutné jej zvládat pomocí dalších bezpečnostních opatření,
c)  bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv,
d)  hodnocením rizik celkový proces identifikace, analýzy a vyhodnocení rizik,
e)  hrozbou potenciální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, která může způsobit škodu,
f)  podpůrným aktivem technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému,
g)  primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém,
h)  rizikem možnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu,
i)  řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik,
j)  systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům informačního