Prevence a odpovědnost v oblasti zajištění kybernetické bezpečnosti

Question 1

Podle ZoKB: V jakém případě musí existovat “zástupce poskytovatele digitálních služeb”?

Answer 1

v případě, že poskytovatel (poskytuje službu v ČR) nemá sídlo v EU a nemá ustaveného zástupce v jiném členském státě EU (na základě plné moci ho zastupuje ve vztahu k povinnostem podle ZoKB)

Question 2

Co se podle ZoKB rozumí “bezpečnostním opatřením”?

Answer 2

souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v IS a dostupnosti a spolehlivosti služeb a sítí el. komunikací v kyber prostoru

Question 3

Jaké orgány a osoby jsou podle ZoKB povinny zavést a provádět bezpečnostní opatření?

Answer 3

1) správce a provozovatel INFORMAČNÍHO systému kritické informační infrastruktury
2) správce a provozovatel KOMUNIKAČNÍHO systému kritické informační infrastruktury
3) správce a provozovatel významného informačního systému
4) správce a provozovatel informačního systému základní služby (pokud nejsou správcem nebo provozovatelem podle 1) a 2))

Question 4

V jakém rozsahu jsou příslušné orgány a osoby podle ZoKB povinny zavést a provádět bezpečnostní opatření?

Answer 4

v rozsahu NEZBYTNÉM pro zajištění kyber bezpečnosti IS kritické informační infrastruktury, komunikačního systému KII, informačního systému základní služby a významného IS + vedou o nich bezpečnostní dokumentaci

Question 5

Jakou povinnost má “poskytovatel digitální služby” podle ZoKB?

Answer 5

zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě el. komunikací a IS, které využívá v souvislosti se zajišťováním své služby (opatření zohledňují zajištění bezpečnosti informací, zvládání kyber bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy)

Question 6

Existují požadavky, které musí povinné orgány a osoby zavádějící a provádějící bezpečnostní opatření zohlednit při výběru dodavatele pro jejich IS nebo KS?

Answer 6

ano, požadavky vyplývající z bezpečnostních opatření (zákonná definice podle ZoKB) - požadavky se musí zahrnout do smlouvy s dodavatelem

Question 7

Co musí podle ZoKB zajistit orgány veřejné moci před uzavřením smlouvy s poskytovatelem služeb “cloud computingu”?

Answer 7

1) zařadit poptávaný “cloud computing” do bezpečnostní úrovně s ohledem na povahu dotčeného IS/KS podle prováděcího PP
2) zajistit dodržování bezpečnostních pravidel pro poskytování služeb “cloud computingu”
3) vyhradit si budoucí možnost na základě žádosti mít k dispozici informace a data uchovávaná poskytovatelem služeb CC, včetně možnosti kontroly v reálném čase

Question 8

Co musí podle ZoKB udělat orgán/osoba, která se stala správcem IS nebo KS KII nebo správci významných IS a nejsou provozovateli tohoto systému?

Answer 8

neprodleně a prokazatelně informovat o této skutečnosti provozovatele (pro kterého následně budou plynout povinnosti podle ZoKB - o tom taky musí být informován viz § 3 písm. c, d, e)

Question 9

Koho dalšího musí orgán/osoba, která se stala správcem/provozovatelem IS/KS KII o této skutečnosti neprodleně a prokazatelně informovat?

Answer 9

subjekt zajišťující síť elektronických komunikací, ke které je připojen předmětný IS nebo KS KII (+ informovat i o tom, že se tento subjekt stal orgánem nebo osobou podle § 3 písm. b) ZoKB)

Question 10

Jak je to u základní služby - mají orgány a osoby, které byly určené provozovateli ZS a nejsou správci/provozovateli svých informačních systémů ZS povinnost správce/provozovatele tohoto IS ZS neprodleně a prokazatelně informovat o svém určení a jeho novém postavení podle ZoKB?

Answer 10

ano musí

Question 11

Do jakých dvou kategorií dělíme bezpečnostní opatření podle ZoKB?

Answer 11

a) organizační opatření
b) technická opatření

Question 12

Co například spadá pod organizačního opatření podle ZoKB?

Answer 12

systém řízení bezpečnosti informací, řízení rizik, řízení přístupu osob, bezpečnost lidských zdrojů, řízení aktiv, zvládání kybernetických bezpečnostních událostí, kontrola a audit

Question 13

Co například patří pod technická opatření podle ZoKB?

Answer 13

fyzická bezpečnost, nástroj pro ověřování identity uživatelů, kryptografické prostředky, nástroj pro detekci kybernetických bezpečnostních událostí, nástroj pro řízení přístupových oprávnění, nástroj pro ochranu před škodlivým kódem

Question 14

Definice kybernetické bezpečnostní události?

Answer 14

událost, která může způsobit narušení bezpečnosti informací v IS nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací např. ztráta zaměstnanecké vstupní karty do objektu (EKV = elektronická kontrola vstupu)

Question 14

Kdo má povinnost detekovat kybernetické bezpečnostní události a v čem?

Answer 14

orgány a osoby uvedené v § 3 písm. b) až f) - v jejich významné síti, IS KII, KS KII, informačním systému základní služby nebo významném IS

Question 14

Definice “kybernetického bezpečnostního incidentu”?

Answer 14

narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb nebo integrity sítí el. komunikací v důsledku kybernetické bezpečnostní události

Question 15

Kdo jsou orgány a osoby uvedené v § 3 písm. b) až f)?

Answer 15

b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem nebo provozovatelem komunikačního systému)
c) správce a provozovatel informačního systému kritické informační infrastruktury,
d) správce a provozovatel komunikačního systému kritické informační infrastruktury,
e) správce a provozovatel významného informačního systému,
f) správce a provozovatel informačního systému základní služby (pokud nejsou správcem nebo provozovatelem)

Question 16

Jaký byl počet registrovaných kybernetických incidentů v roce 2024? (podle NÚKIB)

Answer 16

268 (dosud nejvyšší registrovaná hodnota)

Question 17

Jaký typ kybernetických útoků byl v roce 2024 nejčastější?

Answer 17

DDoS útoky, ransomwarové útoky méně (ale jsou velmi závažné - mimo únik citlivých informací mohou vést k zašifrování dat, což může zapříčinit dočasné pozastavení výroby či poskytování služeb )

Question 18

V jakém případě oznamuje NÚKIBu kybernetický bezpečnostní incident provozovatel základní služby?

Answer 18

pokud má významný dopad na KONTINUITU POSKYTOVÁNÍ této základní služby

Question 19

Komu se obvykle hlásí kybernetické nebo bezpečnostní incidenty? (jaké instituci)

Answer 19

Národnímu úřadu pro kybernetickou a informační bezpečnost

Question 20

Komu hlásí kybernetický nebo bezpečnostní incident s významným dopadem na poskytování jeho služeb “poskytovatel digitální služby” (pokud může z dostupných informací posoudit významnost dopadu?

Answer 20

NÚKIBu (i když v zákoně není specificky uvedeno komu má hlálsit)

Question 21

Komu jinému se podle ZOKB hlásí kybernetické a bezpečnostní incidenty?

Answer 21

provozovateli národního CERT

Question 22

Je povinnost hlásit kybernetický bezpečnostní incident (ve významné síti, informačním systému KII, ...) splněna i pokud byl KBI hlášen "provozovatelem"? Jakou další povinnost má provozovatel poté?

Answer 22

ano je, provozovatel musí informovat "správce" tohoto systému o nahlášených kybernetických bezpečnostních incidentech bez zbytečného odkladu

Question 23

Komu mohou hlásit KBI orgány a osoby neuvedené v §3 ZOKB?

Answer 23

buď provozovateli národního CERT nebo Úřadu

Question 24

Co stanoví prováděcí předpis k ZOKB?

Answer 24

a) typy, kategorie a hodnocení významnosti dopadu KBI b) náležitosti a způsob hlášení KBI

Question 25

Jaké jsou např. některé z povinností "povinné osoby" v rámci zvládání kybernetických bezpečnostních událostí a incidentů?

Answer 25

1. zavede proces detekce a vyhodnocování KBU a KBI (včetně zajištění samotné detekce) 2. přidělí odpovědnosti a stanoví postupy pro: a) detekci a vyhodnocování KBU/I b) koordinaci a zvládání KBI 3. definuje a aplikuje postupy pro identifikaci, sběr, získání a uchování podkladů potřebných pro analýzu KBI 4. hlásí KBI 5. vede záznamy o KBI a jejich zvládání 6. prošetří a určí příčiny KBI 7. vyhodnotí účinnost řešení KBI -> stanoví opatření, aktualizuje stávající bezpečnostní opatření

Question 26

Kdo přijímá opatření pro odvrácení a zmírnění dopadu KBI?

Answer 26

povinná osoba (podle Vyhlášky o KB) = orgány/osoby v §3 ZoKB

Question 27

Podle čeho se kategorizují KBI? (podle významnosti při zohlednění následujícího)

Answer 27

a) dopady (dopadová určující kritéria podle kterých byly povinné osoby určeny) b) počtu dotčených uživatelů c) způsobené, předpokládané škody d) důležitost dotčených AKTIV informačního a komunikačního systému e) dopady na poskytované služby IS a KS f) dopady na služby poskytované jinými IS a KS g) délka trvání incidentu h) zeměpisný rozsah dotčené oblasti i) další dopady

Question 28

Pro potřeby hlášení a zvládání KBI se na základě zohlednění různých faktorů KBI kategorizují jak?

Answer 28

1) Kategorie III - velmi významný KBI 2) Kategorie II - významný KBI 3) Kategorie I - méně významný KBI

Question 29

Jaké jsou typy KBI podle dopadu?

Answer 29

a) KBI způsobující narušení DŮVĚRNOSTI aktiv b) KBI způsobující narušení INTEGRITY aktiv c) KBI způsobující narušení DOSTUPNOSTI aktiv d) KBI způsobující kombinaci dopadů uvedených v a) až c)

Question 30

Na koho se nevztahuje povinnost kategorizace kybernetických bezpečnostních incidentů podle Vyhlášky?

Answer 30

na poskytovatele digitální služby

Question 31

Jakou formou se pomocí elektronického formuláře na internetových stránkách hlásí KBI Úřadu? Zasláním na:

Answer 31

a) elektronickou poštou Úřadu (email) b) datová schránka Úřadu c) prostřednictvím datového rozhraní

Question 32

Jakou formou se hlásí KBI provozovateli národního CERT? (elektronický formulář na internetových stránkách)

Answer 32

a) na pro to určenou adresu elektronické pošty provozovatele národního CERT b) do datové schránky c) prostřednictvím internetových stránek provozovatele národního CERT

Question 33

V jaké případě lze použít i listinnou formu zaslání pro hlášení KBI?

Answer 33

pouze pokud nelze využít žádný z elektronických způsobů

Question 34

Jaké jsou náležitosti hlášení KBI?

Answer 34

a) identifikace odesílatele b) identifikace informačního a komunikačního systému c) datum, čas zjištění incidentu d) popis incidentu

Question 35

Co se myslí "opatřením" podle ZoKB?

Answer 35

úkony potřebné k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kyberbezpečnosti nebo před KBI nebo k řešení již nastalého KBI

Question 36

Co se rozumí "opatřeními"?

Answer 36

a) varování b) reaktivní opatření c) ochranné opatření

Question 37

Kdo je povinen provádět reaktivní opatření?

Answer 37

a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem nebo provozovatelem komunikačního systému podle písmene d)

Question 38

Kdy je povinnost provádět reaktivní opatření? (za jakých situací)

Answer 38

za stavu kybernetického nebezpečí nebo za nouzového stavu

Question 39

Kdo je povinen provádět ochranná opatření?

Answer 39

§3 písm. c) až f)

Question 40

Kdo a kdy vydá "varování"?

Answer 40

NÚKIB, pokud se dozví o hrozbě v oblasti kyberbezpečnosti (z vlastní činnosti nebo z podnětu p. n. CERT nebo od orgánů vykonávajících působnost v oblasti kyberbezpečnosti v zahraničí)

Question 41

Co se děje s "varováním", které NÚKIB vydá?

Answer 41

je zveřejněno na stránkách NÚKIBu a oznámeno orgánům a osobám § 3

Question 42

Je o "varování" informována i veřejnost?

Answer 42

NÚKIB může po konzultaci s orgánem (§3 c, d, f, g, h) dotčeným KBI veřejnost o tomto incidentu informovat (nebo uloží, aby tak učinil orgán/osoba) - důvod: ochrana vnitřního pořádku a bezpečnosti, ochrany života a zdraví osoby, ochrana ekonomiky státu

Question 43

Jak postupuje NÚKIB při vydání reaktivního/ochranného opatření?

Answer 43

vydá rozhodnutí, ve kterém uloží provést opatření k řešení KBI nebo k zabezpečení IS, sítí a služeb el. komunikací před KBI -> doručení rozhodnutí adresátovi

Question 44

Co se děje, pokud se nepodaří doručit rozhodnutí o vydání reaktivního/ochranného opatření adresátovi?

Answer 44

doručení se provede vyvěšení na úřední desce Úřadu a tímto okamžikem je vykonatelné (rozhodnutí může být vydáno také v řízení na místě podle správního řádu)

Question 45

Kdy vydá Úřad reaktivní/ochranné opatření formou "opatření obecné povahy"?

Answer 45

pokud se má týkat blíže neurčeného okruhu orgánů/osob

Question 46

Jaká je povinnost orgánů/osob na které dopadá vydání rozhodnutí o reaktivním/ochranném opatření?

Answer 46

bez zbytečného odkladu oznámit Úřadu provedené opatření a jeho výsledek (náležitosti oznámení stanoveny v prováděcím právním předpise)