Ako hlásiť bezpečnostný incident
18. mar 2025
Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident.
Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický bezpečnostný incident a kybernetický bezpečnostný incident, ktorý:
- spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu,
- zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu.
Pričom značnou škodou sa rozumie škoda prevyšujúca sumu 250 000 eur.
Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti pričom je potrebné dodržať zákonom stanovenú časovú následnosť:
- do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv a ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
- do 72 hodín od jeho zistenia sa hlási oznámenie o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického bezpečnostného incidentu, jeho závažnosti a následkov,
- jeden mesiac po nahlásení oznámenia sa hlási záverečná správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje. Ak v čase predkladania záverečnej správy závažný kybernetický bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický bezpečnostný incident vyriešil.
Na žiadosť toho, kto prevádzkuje jednotku CSIRT sa v určenej lehote hlásia aktualizované alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného incidentu.
Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj:
- významnú kybernetickú hrozbu, o ktorej sa dozvie,
- udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident,
- zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
RNDr. Daniel Schikor
Manažér kybernetickej bezpečnosti