Kategória I

V organizácii správcu sa určí kontaktné miesto a spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona.

Kategória II

a)
Interný riadiaci akt určí spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona, bezpečnostne relevantné udalosti, zistené zraniteľnosti, alebo bezpečnostné slabé miesta informačných technológií verejnej správy, ktoré sú zistené pri ich používaní alebo správe.

b)
V organizácii správcu je na včasné prijatie preventívnych a nápravných opatrení vypracovaný a presadzovaný interný riadiaci akt na riešenie kybernetických bezpečnostných incidentov, ktorý obsahuje povinnosť, postup pri hlásení, spôsob riešenia a evidencie kybernetických bezpečnostných incidentov.

c)
Interný riadiaci akt podľa písmena b) obsahuje aktuálne kontaktné údaje správcov jednotlivých komponentov informačných technológií verejnej správy, zamestnancov tretích strán zodpovedných za správu alebo podporu informačných technológií verejnej správy potrebných pri riešení kybernetických bezpečnostných incidentov, ako aj kontaktné údaje na príslušnú jednotku CSIRT/CERT.

d)
S interným riadiacim aktom podľa písmena b), najmä povinnosťou ohlasovať kybernetické bezpečnostné incidenty, sa primeraným a preukázateľným spôsobom oboznámia všetci používatelia informačných technológií verejnej správy vrátane správcov jednotlivých komponentov, ako aj zamestnanci tretích strán, ktorí vykonávajú správu alebo podporu informačných technológií verejnej správy.

e)
Na ohlasovanie kybernetických bezpečnostných incidentov a odhalených zraniteľností v prevádzkovaných informačných technológiách verejnej správy sa vytvára kontaktné miesto.

f)
Každá nahlásená bezpečnostne relevantná udalosť, zistená zraniteľnosť alebo bezpečnostná slabina informačných technológií verejnej správy sa odborne posudzuje na určenie, či ide o kybernetický bezpečnostný incident, bez zbytočného odkladu.

g)
Proces odborného posúdenia a analýzy oznámení podľa písmena f) realizuje Manažér kybernetickej bezpečnosti a informačnej bezpečnosti v spolupráci so správcami jednotlivých komponentov a s vlastníkom/gestorom informačných technológií verejnej správy alebo príslušnou jednotkou CSIRT/CERT.

h)
Jednotlivé aktivity pri riešení bezpečnostných incidentov sa dokumentujú v evidencii kybernetických bezpečnostných incidentov.

i)
Na identifikáciu, zber, získavanie a uchovávanie dôkazov pri riešení bezpečnostných incidentov sú určené postupy a princípy, ktoré zaručia možnosť použitia dôkazu v sporových konaniach podľa platnej legislatívy.

j)
Poznatky získané z procesu riešenia bezpečnostného incidentu, najmä z analýzy a spôsobu vyriešenia, sa premietajú do zlepšenia prevencie najmä na zníženie pravdepodobnosti a následkov budúcich incidentov, ako aj na zlepšenie detekcie alebo spôsobu riešenia obdobných bezpečnostných incidentov.

Kategória III

a)
Interný riadiaci akt na riešenie kybernetických bezpečnostných incidentov okrem uvedených náležitostí podľa Kategórie II obsahuje povinnosti a zodpovednosti najmä v oblastiach
1.
plánovania a prípravy na riadené zvládnutie kybernetických bezpečnostných incidentov,
2.
monitorovania, detekcie, posúdenia a ohlasovania bezpečnostne relevantných udalostí a kybernetických bezpečnostných incidentov,
3.
hodnotenia a rozhodovania o bezpečnostných udalostiach, zraniteľnostiach a kybernetických bezpečnostných incidentoch,
4.
klasifikačnej schémy kybernetických bezpečnostných incidentov,
5.
evidencie kybernetických bezpečnostných incidentov,
6.
nakladania s forenznými dôkazmi,
7.
externej a internej komunikácie,
8.
eskalácie a kontrolovanej obnovy,
9.
plánovania a implementácie opatrení na zlepšenie prevencie, detekcie, alebo reakcie na kybernetický bezpečnostný incident.

b)
Zamestnanci poverení riešením kybernetických bezpečnostných incidentov10) sú odborne spôsobilí, pravidelne školení a zastupiteľní.

c)
V organizácii správcu sú vytvorené plány na riešenie kybernetických bezpečnostných incidentov.