VYHLÁŠKA ze dne 29. listopadu 2022 o kritériích určení závažného narušení bezpečnosti sítě a služby a ztrátě integrity sítě a rozsahu a formě předávání informací o narušení
Celé znění předpisu ve formátu PDF ke stažení ZDE
VYHLÁŠKA
ze dne 29. listopadu 2022
o kritériích určení závažného narušení bezpečnosti sítě a služby a ztrátě integrity sítě
a rozsahu a formě předávání informací o narušení
Český telekomunikační úřad stanoví podle § 150 odst. 5 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 310/2006 Sb., zákona č. 304/2007 Sb., zákona č. 247/2008 Sb., zákona č. 153/2010 Sb., zákona č. 468/2011 Sb., zákona č. 311/2019 Sb. a zákona č. 374/2021 Sb., k provedení § 98 odst. 4 zákona o elektronických komunikacích:
(1) Za závažné narušení bezpečnosti sítě a služby se považuje bezpečnostní incident splňující kritéria vyjádřená dobou trvání a současným celkovým počtem uživatelů dotčených přerušením nebo omezením poskytování veřejně dostupné služby elektronických komunikací nebo odepřením přístupu k ní (dále jen ˙přerušení poskytování služby˙) ve vztahu ke konkrétnímu druhu veřejně dostupné služby elektronických komunikací. Počet dotčených uživatelů se vyjadřuje pro jednotlivé druhy služeb hodnotami uvedenými v odstavci 2.
(2) Kritéria určení závažného narušení bezpečnosti sítě a služby podle jednotlivých druhů veřejně dostupných služeb elektronických komunikací jsou
- a)
- pro hlasovou komunikační službu v pevném místě
1. více než 1 hodina a více než 15 000 dotčených účastnických stanic,
2. více než 2 hodiny a více než 10 000 dotčených účastnických stanic,
3. více než 4 hodiny a více než 5 000 dotčených účastnických stanic,
4. více než 6 hodin a více než 2 000 dotčených účastnických stanic, nebo
5. více než 8 hodin a více než 1 000 dotčených účastnických stanic,
- b)
- pro službu přístupu k internetu v pevném místě
1. více než 1 hodina a více než 60 000 dotčených přístupů,
2. více než 2 hodiny a více než 40 000 dotčených přístupů,
3. více než 4 hodiny a více než 20 000 dotčených přístupů,
4. více než 6 hodin a více než 8 000 dotčených přístupů, nebo
5. více než 8 hodin a více než 4 000 dotčených přístupů,
- c)
- pro mobilní hlasovou komunikační službu
1. více než 1 hodina a více než 225 000 dotčených SIM karet,
2. více než 2 hodiny a více než 150 000 dotčených SIM karet,
3. více než 4 hodiny a více než 75 000 dotčených SIM karet,
4. více než 6 hodin a více než 30 000 dotčených SIM karet, nebo
5. více než 8 hodin a více než 15 000 dotčených SIM karet,
- d)
- pro službu mobilního přístupu k internetu
1. více než 1 hodina a více než 150 000 dotčených SIM karet,
2. více než 2 hodiny a více než 100 000 dotčených SIM karet,
3. více než 4 hodiny a více než 50 000 dotčených SIM karet,
4. více než 6 hodin a více než 20 000 dotčených SIM karet, nebo
5. více než 8 hodin a více než 10 000 dotčených SIM karet,
- e)
- pro interpersonální komunikační
službu ne- závislou na číslech, službu šíření rozhlasové-ho a
televizního vysílání a radiokomunikační službu
1. více než 1 hodina a více než 150 000 dotčených uživatelů,
2. více než 2 hodiny a více než 100 000 dotčených uživatelů,
3. více než 4 hodiny a více než 50 000 dotčených uživatelů,
4. více než 6 hodin a více než 20 000 dotčených uživatelů, nebo
5. více než 8 hodin a více než 10 000 dotčených uživatelů,
- f)
- pro službu komunikace mezi stroji
1. více než 1 hodina a více než 18 000 dotčených SIM karet,
2. více než 2 hodiny a více než 12 000 dotčených SIM karet,
3. více než 4 hodiny a více než 6 000 dotčených SIM karet,
4. více než 6 hodin a více než 2 400 dotčených SIM karet, nebo
5. více než 8 hodin a více než 1 200 dotčených SIM karet.
Ztrátou integrity veřejné komunikační sítě je stav, kdy v důsledku bezpečnostního incidentu není splněna některá z podmínek síťových plánů vydaných Českým telekomunikačním úřadem (dále jen ˙Úřad˙) podle § 98 odst. 2 zákona o elektronických komunikacích.
(1) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací při plnění povinnosti podle § 98 odst. 4 zákona o elektronických komunikacích při předávání informací Úřadu a subjektům provozujícím centra tísňové komunikace uvede
- a)
- datum a čas vzniku závažného narušení,
- b)
- předpokládaný termín odstranění příčiny přerušení poskytování služby, případně datum a čas ukončení závažného narušení,
- c)
- druh závažného narušení,
- d)
- důvod přerušení poskytování veřejně dostupné služby elektronických komunikací,
- e)
- oblast a rozsah narušení veřejné komunikač-
ní sítě nebo technologických zařízení, územní rozsah přerušení
poskytování služby a přijatá opatření k obnově sítě a poskytování
služeb,
- f)
- druh postižené veřejně dostupné služby elektronických komunikací,
- g)
- druh postižené veřejné komunikační sítě,
- h)
- počet uživatelů veřejně dostupné služby
elektronických komunikací dotčených událostí, u služeb uvedených v
odstavci 1 písm. a) a c) s uvedením počtu uživatelů bez přístupu k
tísňové komunikaci,
- i)
- popis přijatých opatření pro zamezení anebo snížení opakovaného výskytu události,
- j)
- jméno a příjmení osoby oprávněné jednat za tuto
osobu ve věci plnění informační povinnosti včetně jejích kontaktních
údajů nejméně v rozsahu telefonního čísla a adresy elektronické pošty.
(2) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací při plnění povinnosti podle § 98 odst. 4 zákona o elektronických komunikacích při předávání informací uživatelům veřejně dostupné služby elektronických komunikací uvede nejméně údaje podle odstavce 1 písm. a), b), d), e) a f).
(1) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací předá informace podle § 3 odst. 1 na formuláři uvedeném v příloze.
(2) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací předá oznámení podle odstavce 1
- a)
- Úřadu elektronickou poštou ve
formě datové zprávy podepsané uznávaným elektronickým podpisem,
prostřednictvím datové schránky Úřadu nebo telefonicky, pokud nelze
využít písemnou formu komunikace; adresu elektronické pošty a telefonní
číslo pro tyto účely zveřejní Úřad na svých internetových stránkách;
je-li oznámení učiněno telefonicky, osoba zajišťující veřejnou
komunikační síť nebo poskytující veřejně dostupnou službu elektronických
komunikací předá oznámení na formuláři podle odstavce 1 Úřadu bez
zbytečného odkladu po odpadnutí překážky bránící předání informace v
písemné formě,
- b)
- subjektům provozujícím centra tísňové komunikace
elektronickou poštou ve formě datové zprávy podepsané uznávaným
elektronickým podpisem, datovou schránkou nebo telefonic-ky, pokud nelze
elektronickou poštu využít, a to prostřednictvím kontaktů pro tento
účel subjektem provozujícím centrum tísňové komunikace určených a
zveřejněných.
(3) Informace podle § 3 odst. 2 osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací předá uživatelům veřejně dostupné služby elektronických komunikací prostřednictvím sdělení uveřejněného v hromadných sdělovacích prostředcích, způsobem umožňujícím dálkový přístup nebo, je-li to účelné vzhledem k počtu účastníků a povaze věci, jiným obdobným způsobem.
(4) Informace podle § 3 odst. 3 předá osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací Úřadu, subjektům provozujícím centra tísňové komunikace a uživatelům veřejně dostupné služby elektronických komunikací způsobem uvedeným v odstavcích 2 a 3.
Vyhláška č. 242/2012 Sb., o stanovení rozsahu a formy předávané informace o narušení bezpečnosti a ztrátě integrity sítě, se zrušuje.
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. ledna 2023.
Příloha k vyhlášce č. 380/2022 Sb.
