Hlásenie kybernetických bezpečnostných incidentov
Prevádzkovateľ základnej služby
je podľa zákona povinný hlásiť každý závažný kybernetický bezpečnostný incident, ktorý identifikuje na základe presiahnutia kritérií pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov. Tie sa členia na kategóriu I., II. a III. stupňa v závislosti od:
|
|
|
|
|
Poskytovateľ digitálnej služby
je podľa zákona povinný hlásiť každý kybernetický bezpečnostný incident, ak disponuje informáciami, na základe ktorých je spôsobilý identifikovať podstatný vplyv kybernetického bezpečnostného incidentu a to bezodkladne po jeho zistení. Ďalej je povinný riešiť hlásený kybernetický incident a spolupracovať s úradom pri jeho riešení. Zároveň je povinný hlásiť každý závažný kybernetický bezpečnostný incident, ktorý ho postihol v prípade, že jeho služby využíva prevádzkovateľ základnej služby.
Ak do okamihu hlásenia kybernetického bezpečnostného incidentu nepominuli jeho účinky, prevádzkovateľ základnej služby alebo poskytovateľ digitálnej služby, je povinný odoslať neúplné hlásenie kybernetického bezpečnostného incidentu, v ktorom vyznačí identifikátor neukončeného hlásenia, a bezodkladne po obnove riadnej prevádzky siete a informačného systému toto hlásenie doplní.
Hlásenie kybernetických bezpečnostých incidentov sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Úrad môže taktiež uzatvoriť s prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby písomnú zmluvu o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov.
Prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, bez ohľadu na kategorizáciu kybernetického bezpečnostného incidentu, sa vykonávajú aj dobrovoľné hlásenia incidentov. Úrad ich spracováva a analyzuje v rozsahu, v akom mu to umožňujú technické podmienky a kapacity tak, aby nedošlo k neprimeranému zaťažovaniu subjektov a neobmedzovala sa medzinárodná spolupráca.
Formulár na hlásenie kybernetických bezpečnostných incidentov