(1) Prevádzkovateľ
základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný
incident, ktorý identifikuje na základe presiahnutia kritérií pre jednotlivé
kategórie závažných kybernetických bezpečnostných incidentov.
(2) Závažný
kybernetický bezpečnostný incident sa člení na kategóriu prvého (I) stupňa,
druhého (II) stupňa a tretieho (III) stupňa v závislosti od
a) počtu
používateľov základnej služby alebo digitálnej služby, zasiahnutých
kybernetickým bezpečnostným incidentom,
b) dĺžky
trvania kybernetického bezpečnostného incidentu,
c) geografického
rozšírenia kybernetického bezpečnostného incidentu,
d) stupňa
narušenia fungovania základnej služby alebo digitálnej služby,
e) rozsahu
vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské
činnosti štátu.
(3) Ak
prevádzkovateľ základnej služby využíva na poskytovanie základnej služby
poskytovateľa digitálnej služby, je poskytovateľ digitálnej služby povinný
hlásiť každý závažný kybernetický bezpečnostný incident, ktorý postihol poskytovateľa
digitálnej služby.
(4) Hlásenie
kybernetických bezpečnostných incidentov sa vykonáva prostredníctvom jednotného
informačného systému kybernetickej bezpečnosti.
(5) Ak
do okamihu hlásenia kybernetického bezpečnostného incidentu nepominuli jeho účinky,
prevádzkovateľ základnej služby je povinný odoslať neúplné hlásenie
kybernetického bezpečnostného incidentu, v ktorom vyznačí identifikátor
neukončeného hlásenia a bezodkladne po obnove riadnej prevádzky siete a informačného systému toto hlásenie
doplní.
(6) Na
účely hlásenia kybernetických bezpečnostných incidentov a zaistenia
funkcionality jednotného informačného systému kybernetickej bezpečnosti môže
úrad namiesto postupu uvedeného v § 8 ods. 6 uzatvoriť písomnú zmluvu
o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov
s prevádzkovateľom základnej služby.