Žadatel požaduje:
1. sdělení počtu Ústavem provozovaných prvků kritické informační infrastruktury ve smyslu § 2 písm. b) zákona č. 181/2014 Sb., o kybernetické bezpečnosti k 31. 12. 2019 (případně jinému Ústavem evidovanému datu),
2. ke každému Ústavem provozovanému prvku kritické informační infrastruktury sdělení
a) jeho označení,
b) datum určení,
c) dle jakých průřezových kritérií ve smyslu § 1 nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury byl prvek určen,
d) dle jakých odvětvových kritérií ve smyslu § 2 nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury byl prvek určen,
e) počtu evidovaných kybernetických bezpečnostních událostí ve smyslu § 7 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti,
f) počtu evidovaných kybernetických bezpečnostních incidentů ve smyslu § 7 odst. 2 zákona č. 181/2014 Sb., o kybernetické bezpečnosti,
3. poskytnutí plánu krizové připravenosti (případně dílčích plánů krizové připravenosti) subjektu kritické infrastruktury ve smyslu § 29 zákona č. 240/2000 Sb., o krizovém řízení, ve kterém jsou identifikována možná ohrožení funkce Ústavem provozovaných prvků kritické informační infrastruktury a stanovena opatření na jejich ochranu.
Poskytnuté informace
Ad 1) Počet Ústavem provozovaných prvků kritické informační infrastruktury ve smyslu § 2 písm. b) zákona č. 181/2014 Sb., o kybernetické bezpečnosti k 31. 12. 2019 je jeden prvek.
Ad 2)
a) Prvek je v souladu s novelou zákona č.378/2007 Sb. účinnou od 1.12.2019 označován jako systém eRecept.
b) Datum určení je dáno rozhodnutím Vlády ČR ze dne 7. 1. 2019.
c) Při hodnocení dle průřezového kritéria byl prvek takto určen dle NV č. 432/2010 Sb., § 1, písm. c), kdy naplňuje kritérium „dopadu na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125 000 osob.“
d) Při hodnocení dle odvětvového kritéria byl prvek takto určen dle NV č. 315/2014 Sb. ze dne 8. 12. 2014, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. A to podle ustanovení Přílohy článek VI., odst. g, písm. c), kdy „informační systém spravovaný orgánem veřejné moci obsahuje osobní údaje o více než 300 000 osobách.“
e) Počet evidovaných kybernetických bezpečnostních událostí ve smyslu § 7 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti je za rok 2019 celkem 5.
f) Počet evidovaných kybernetických bezpečnostních incidentů ve smyslu § 7 odst. 2 zákona č.181/2014 Sb., o kybernetické bezpečnosti je za rok 2019 celkem 8, v tom jsou zahrnuty i incidenty způsobené podpůrnými aktivy či vlivem nedostupnosti využívané elektronické komunikace (datové přenosy).
Ad 3) K požadavku o poskytnutí plánu krizové připravenosti (případně jeho dílčích plánů) subjektu kritické infrastruktury ve smyslu § 29 zákona č. 240/2000 Sb., o krizovém řízení nemůže Ústav vyhovět s odkazem na ustanovení § 10a zákona č.181/2014 Sb. Vzhledem k této skutečnosti byla tato část žádosti odmítnuta.
cz