BLACK FRIDAY - Největší IT akce roku. Získej až 80 % kreditů navíc nebo využij slevy až 80 % na e-learning. Ale pozor, akce platí pouze do 30. 11. 2025.
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 31 - Hlášení bezpečnostních incidentů podle NIS2 Nové

Předchozí
Další

V předchozí lekci, Plán reakce na bezpečnostní incidenty, jsme si ukázali, jak připravit plán reakce na bezpečnostní incidenty a jak vypadá životní cyklus incidentu.

V tomto tutoriálu kyberbezpečnosti si vysvětlíme, jak probíhá hlášení bezpečnostních incidentů a proč je tento proces zásadní pro ochranu dat, kontinuitu služeb i reputaci organizace.

Ukážeme si, co se považuje za bezpečnostní incident, jak rozlišit jeho závažnost a kdy už nestačí interní řešení, ale vzniká povinnost událost formálně nahlásit. Zaměříme se také na to, komu incidenty hlásit, jaké informace je nutné předat a jak incidenty dokumentovat tak, aby na ně bezpečnostní týmy dokázaly rychle a efektivně reagovat.

Hlášení bezpečnostních incidentů

Hlášení bezpečnostních incidentů je klíčovou součástí řízení kybernetické bezpečnosti. Umožňuje rychle aktivovat odpovědné osoby, nastavit priority, koordinovat další postup a zabránit šíření útoku. Jasně definovaný postup hlášení zároveň pomáhá splnit povinnosti dané právními předpisy a udržet konzistentní komunikaci uvnitř organizace i směrem k externím subjektům.

Bezpečnostní incident je událost, která narušuje nebo může narušit důvěrnost, dostupnost nebo integritu informací, systémů či služeb.

Tato trojice vlastností se často označuje jako model CIA (Confidentiality, Integrity, Availability) a představuje základní pilíř informační bezpečnosti.

Mezi incidenty patří nejen cílené útoky, ale také technické chyby, selhání procesů nebo neúmyslné lidské chyby, které mohou ohrozit chod organizace – od krátkodobého výpadku systému až po únik citlivých dat.

Ilustrační foto z prostředí firmy - Kybernetická bezpečnost a NIS2

Dopad těchto útoků se může výrazně lišit – někdy je možné vyřešit incident v rámci běžného interního procesu, jindy jde o závažnou událost s dopadem na služby nebo zákazníky. Právě u takových incidentů už do hry vstupují povinnosti hlášení podle NIS2 a související legislativy.

Incidenty podléhající hlášení

V rámci NIS2 se neřeší každý drobný bezpečnostní incident, ale především ty, které mají významný dopad na poskytované služby nebo na chráněná aktiva organizace.

Za závažné se obvykle považují incidenty, které například:

  • naruší poskytování zásadních služeb (například ve zdravotnictví nebo energetice),
  • mají významný dopad na dostupnost nebo kvalitu služby (delší výpadek, výrazné omezení funkčnosti),
  • zasáhnou důležité informační systémy,
  • vedou k úniku osobních, citlivých nebo strategických informací,
  • mohou způsobit významnou ekonomickou škodu nebo ohrozit bezpečnost či zdraví osob.

Tento typ bezpečnostních incidentů je nutné formálně hlásit příslušnému orgánu ve stanovených lhůtách.

Kromě NIS2 může hlášení vyplývat i z dalších předpisů – typicky GDPR, které ukládá povinnost oznámit incident s dopadem na osobní údaje do 72 hodin od jeho zjištění.

Subjekty pro hlášení incidentů

V případě bezpečnostního incidentu je zásadní vědět, kam hlášení směřovat. Správně zvolený příjemce hlášení rozhoduje o tom, jak rychle se incident začne řešit, jak se omezí škody a zda organizace získá potřebnou podporu.

Interní hlášení

Každá firma, úřad nebo instituce by měla mít jasně popsaný interní postup, jak a komu se incidenty oznamují. I když incident není zvenčí viditelný, je důležité, aby se neztratil, nebyl bagatelizován a dostal se k odpovědným osobám.

Ilustrační obrázek bezpečnostního týmu - Kybernetická bezpečnost a NIS2

Incident mohou nahlásit zaměstnanci, IT administrátoři, externí dodavatelé nebo dokonce klienti. Důležité je, aby každý věděl, že se má ozvat, i kdyby šlo "jen" o neobvyklý e-mail nebo podezřelou zprávu. Firmy obvykle poskytují několik kanálů pro hlášení, které umožní rychlou reakci bezpečnostního týmu.

Nejčastěji se pro hlášení incidentů používá speciální e-mailová adresa určená (např. [email protected]), interní online formulář v rámci helpdesku nebo vyhrazené telefonní číslo pro urgentní hlášení. Díky tomu má organizace jistotu, že se informace o incidentu dostane na správné místo a že na ni někdo včas zareaguje.

Větší organizace používají pro práci s incidenty tzv. ticketovací systémy (např. Jira, ServiceNow, Zendesk), kde se každý incident zaznamená jako samostatný záznam nebo úkol pro bezpečnostní tým. Tím se zajišťuje dohledatelnost, přehled o stavu řešení a možnost zpětného vyhodnocení.

Externí subjekty

U závažnějších incidentů už samotné interní řešení nestačí. Organizace má podle NIS2 a Zákona o kybernetické bezpečnosti povinnost incident formálně hlásit a zároveň může využít podporu specializovaných týmů, které jí pomohou situaci zvládnout:

  • SOC (Security Operations Center) je pracoviště, které zajišťuje nepřetržitý dohled nad prostředím, detekci podezřelých aktivit a prvotní reakci na incidenty. SOC incident často jako první odhalí, zatímco CSIRT se podílí na jeho hlubší analýze a řešení.
  • CSIRT (Computer Security Incident Response Team) je tým pro řešení bezpečnostních incidentů, pomáhá s návrhem kroků reakce a koordinuje zásah.

Někdy se používá i označení CERT (Computer Emergency Response Team).

Tyto týmy typicky pomáhají organizacím zvládat bezpečnostní incidenty – od jejich analýzy až po návrh nápravných opatření. Zároveň koordinují reakci v případě rozsáhlejších nebo sektorově významných hrozeb, shromažďují a sdílejí informace o aktuálních útocích a zranitelnostech a spolupracují s policií a státními orgány, pokud incident splňuje kritéria pro povinné hlášení nebo trestní vyšetřování.

CSIRT Logo - Kybernetická bezpečnost a NIS2

Typy CSIRT týmů

CSIRT týmy se dělí podle toho, komu poskytují podporu a jaký je jejich rozsah působnosti. Každý typ má svou specifickou roli – od národní úrovně, přes státní správu, až po interní týmy ve firmách nebo specializované sektorové jednotky:

Typ týmu Pro koho je určen Příklad
Národní CSIRT Subjekty v celé zemi CSIRT.CZ – provozuje CZ.NIC
Vládní CERT Veřejná správa GovCERT.CZ – spadá pod NÚKIB
Interní CSIRT Jedna organizace či skupina Např. banky, telekomunikace, energetika
Sektorový CSIRT Konkrétní odvětví Např. zdravotnictví, školství, doprava

Prakticky to může vypadat například takto: Pokud pracujeme v nemocnici a zjistíme podezřelou aktivitu na serveru s citlivými daty, nejprve incident nahlásíme interně. Pokud se potvrdí, že jde o vážný incident (např. útok typu ransomware s dopadem na provoz), organizace má povinnost incident hlásit a může zároveň požádat o podporu CSIRT.CZ nebo GovCERT.CZ.

Národní úřady

V České republice hrají při hlášení a řešení závažných bezpečnostních incidentů důležitou roli dva dozorové orgány – NÚKIB a ÚOOÚ. Každý z nich má jinou oblast působnosti a reaguje na jiný typ incidentů.

Národní úřad pro kybernetickou a informační bezpečnost

NÚKIB je hlavním regulačním orgánem v oblasti kybernetické bezpečnosti v České republice. Dozoruje dodržování Zákona o kybernetické bezpečnosti. Rozhoduje, na které organizace se tento zákon vztahuje (které subjekty mají povinnost incidenty hlásit), a koordinačně zajišťuje ochranu kritické informační infrastruktury a významných služeb. Úřad provozuje vládní tým GovCERT.CZ a zároveň vydává metodiky, varování a doporučení.

Povinné subjekty (např. nemocnice, datová centra, banky, operátory nebo další regulované poskytovatele služeb) musí zjištěné incidenty na NÚKIB nahlásit do 24h, spolupracovat na jejich řešení a vést záznamy o incidentech a přijatých opatřeních.

Úřad pro ochranu osobních údajů

(ÚOOÚ) je státní úřad, který v Česku dohlíží na to, jak firmy, úřady a další organizace zacházejí s osobními údaji. Sleduje, zda dodržují pravidla podle GDPR a českých zákonů. Může provádět kontroly, dávat doporučení i ukládat pokuty, pokud jsou tato pravidla porušena. Řeší také stížnosti lidí, kteří mají pocit, že někdo jejich osobní údaje použil nebo zabezpečil nesprávně.

V případě závažnějších incidentů, kdy dojde k úniku nebo jinému narušení bezpečnosti osobních údajů, má správce dat povinnost takovou událost ÚOOÚ nahlásit.

Policie ČR a orgány činné v trestním řízení

U některých incidentů nejde jen o porušení interních pravidel nebo regulatorních povinností, ale také o trestný čin – například neoprávněný přístup do systému, šíření škodlivého kódu, podvod, vydírání (typicky u ransomware) nebo úmyslné poškození dat a systémů.

V těchto případech je vhodné podat trestní oznámení na Policii ČR.

Při vyšetřování hraje zásadní roli důkladná dokumentace incidentu – síťové logy, záznamy událostí, přehled systémové aktivity a další technické důkazy, které pomáhají zjistit průběh útoku, rozsah škod i případného pachatele.

Rychlé a přesné hlášení umožňuje včasnou reakci, minimalizuje škody a zvyšuje celkovou odolnost organizace vůči kybernetickým hrozbám, což je jeden z hlavních cílů požadavků dle NIS2 i souvisejících předpisů.

V následujícím kvízu, Kvíz - Kybernetická bezpečnost, si vyzkoušíme nabyté zkušenosti z kurzu.


 

Předchozí článek
Plán reakce na bezpečnostní incidenty
Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Kvíz - Kybernetická bezpečnost
Článek pro vás napsal Max Snítil
Avatar
Uživatelské hodnocení:
Ještě nikdo nehodnotil, buď první!
.
Aktivity