Hlášení bezpečnostních incidentů, rizik, skoronehod a kybernetických útoků

Bezpečnostní incidenty na pracovišti mohou mít různou povahu, od fyzických úrazů a nehod až po kybernetické útoky a narušení dat. Skoronehody, které sice nemusí končit úrazem nebo škodou, ale mohou k nim vést, jsou rovněž důležitým indikátorem potenciálních rizik. Správné hlášení a evidence těchto událostí je základním krokem k vytvoření bezpečného pracovního prostředí. Přečtete si legislativní povinnosti týkající se hlášení bezpečnostních incidentů, potenciálních rizik, skoronehod a kybernetických útoků.

Obsah článku:

• Definice klíčových pojmů
• Legislativní povinnost podat hlášení
• Proč hlásit incidenty, rizika a skoronehody?
• Jak nahlásit incident, riziko nebo skoronehodu?

Definice klíčových pojmů

Bezpečnostní incident

Bezpečnostní incident je událost nebo řada událostí, které mají nebo mohou mít za následek zranění nebo škodu na zdraví zaměstnanců, škodu na majetku, narušení pracovního procesu nebo ohrožení životního prostředí.

Bezpečnostní incident může být způsoben různými faktory, jako jsou:

• technické poruchy,
• lidské chyby,
• nedostatečné zabezpečení,
• neadekvátní pracovní podmínky.

Důležitou součástí řízení bezpečnosti práce je identifikace a hlášení těchto incidentů, aby mohla být přijata vhodná opatření k jejich prevenci.

Bezpečnostní riziko

Riziko je možnost, že dojde k události, která bude mít negativní dopad na zdraví, bezpečnost nebo majetek. V kontextu bezpečnosti práce se riziko často definuje jako kombinace pravděpodobnosti výskytu nebezpečné události a závažnosti jejích následků. Identifikace a hodnocení rizik je klíčovým krokem k zajištění bezpečného pracovního prostředí, neboť umožňuje stanovení priorit a implementaci preventivních opatření k minimalizaci nebo eliminaci rizik.

Skoronehoda

Skoronehoda je událost, která mohla vést k úrazu, škodě na zdraví nebo majetku, ale díky šťastné náhodě nebo včasnému zásahu k tomu nedošlo. Skoronehody jsou důležitým indikátorem potenciálních rizik a slabých míst v bezpečnostním systému. Evidence a analýza skoronehod umožňuje organizacím identifikovat nebezpečné situace a přijmout preventivní opatření ještě před tím, než dojde k reálnému incidentu. Příkladem skoronehody může být uklouznutí na mokré podlaze, kdy zaměstnanec neztratil rovnováhu a nezranil se, ale situace mohla vést k úrazu.

Mohlo by vás zajímat: Skoronehoda. Definice, příklady, hlášení a evidence

Kybernetický bezpečnostní incident

Kybernetický bezpečnostní incident je událost, která narušuje nebo ohrožuje důvěrnost, integritu nebo dostupnost informačních systémů, sítí nebo dat. Mezi kybernetické bezpečnostní incidenty patří například:

• neoprávněný přístup k datům,
• malware útoky,
• phishingové útoky,
• DDoS útoky (Distributed Denial of Service),
• narušení systémů prostřednictvím zranitelností v softwaru apod.

Řešení těchto incidentů vyžaduje specializované postupy a opatření, aby byla zajištěna rychlá reakce a minimalizovány škody. V rámci kybernetické bezpečnosti je klíčové mít robustní systém pro detekci, hlášení a řešení incidentů, stejně jako pro pravidelnou aktualizaci bezpečnostních opatření a školení zaměstnanců.

Legislativní povinnost podat hlášení

Povinnost hlášení bezpečnostních incidentů, rizik, skoronehod a kybernetických útoků vychází z legislativy, která má za cíl zajištění BOZP, stejně jako ochranu kritických informačních systémů a dat před kybernetickými hrozbami. Tato povinnost je zakotvena v několika klíčových zákonech a vyhláškách, které specifikují postupy a odpovědnosti zaměstnavatelů a zaměstnanců.

Podle zákona č. 262/2006 Sb., zákoníku práce, mají zaměstnavatelé povinnost zajišťovat bezpečnost a ochranu zdraví při práci a přijímat opatření k předcházení rizikům. Zaměstnanci jsou povinni dodržovat předpisy a pokyny zaměstnavatele týkající se BOZP a hlásit jakékoliv nedostatky, rizika nebo incidenty, které by mohly ohrozit jejich bezpečnost nebo zdraví.

Kromě toho zákon č. 309/2006 Sb., o zajištění dalších podmínek bezpečnosti a ochrany zdraví při práci, doplňuje ustanovení zákoníku práce o konkrétní požadavky na zajištění bezpečnosti práce, včetně povinnosti hlásit úrazy, skoronehody a rizika.

Nařízení vlády č. 201/2010 Sb. o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu stanoví, že zaměstnavatelé musí vést evidenci pracovních úrazů a zajistit hlášení těchto událostí příslušným orgánům. Toto nařízení také specifikuje postupy a náležitosti hlášení, včetně formátu a obsahu záznamů o úrazech.

V oblasti kybernetické bezpečnosti je povinnost hlášení incidentů upravena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, a jeho prováděcí vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti. Tyto právní předpisy ukládají povinnost hlášení kybernetických bezpečnostních incidentů pro správce a provozovatele informačních systémů kritické informační infrastruktury, významných informačních systémů a poskytovatele digitálních služeb. Hlášení musí být neprodleně zasláno Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nebo národnímu CERT, aby bylo možné incident rychle vyšetřit a přijmout potřebná opatření k ochraně informačních systémů.

Proč hlásit incidenty, rizika a skoronehody?

Hlášení bezpečnostních incidentů, rizik a skoronehod je klíčovým prvkem efektivního systému řízení bezpečnosti práce. Tento proces umožňuje organizacím identifikovat a analyzovat nebezpečí, která by mohla vést k úrazům nebo škodám, a následně přijmout opatření k jejich minimalizaci nebo eliminaci.

Význam hlášení bezpečnostních incidentů zahrnuje několik klíčových aspektů:

• Prevence budoucích incidentů: Identifikace a hlášení incidentů a skoronehod poskytuje cenné informace o rizikových faktorech a slabých místech na pracovišti. To umožňuje organizacím přijmout preventivní opatření, která mohou zabránit opakování podobných událostí.
• Zlepšení bezpečnostních opatření: Analýza hlášených incidentů a rizik přispívá k neustálému zlepšování bezpečnostních politik a procedur. Organizace mohou aktualizovat své bezpečnostní programy a školení na základě získaných poznatků.
• Zákonná povinnost: Hlášení bezpečnostních incidentů je legislativní povinností. Dodržování těchto předpisů je nezbytné pro právní ochranu organizace a zamezení sankcím.
• Ochrana zdraví a života zaměstnanců: Rychlé a efektivní hlášení incidentů a rizik přispívá k ochraně zdraví a života zaměstnanců tím, že umožňuje okamžitou reakci na nebezpečné situace.
• Podpora kultury bezpečnosti: Systematické hlášení a řešení bezpečnostních problémů vytváří kulturu, kde je bezpečnost prioritou. Zaměstnanci jsou více ochotni hlásit nebezpečné situace, pokud vědí, že jejich hlášení bude bráno vážně a povede k pozitivním změnám.

V kontextu rostoucí digitalizace a využívání informačních technologií je také důležité věnovat pozornost kybernetické bezpečnosti. Kybernetické bezpečnostní incidenty mohou mít závažné důsledky nejen pro ochranu dat, ale také pro celkovou bezpečnost a kontinuitu provozu. Proto je důležité, aby organizace měly robustní systém pro hlášení a řešení jak fyzických, tak kybernetických bezpečnostních incidentů.

Jak nahlásit incident, riziko nebo skoronehodu?

Hlášení fyzických bezpečnostních incidentů

Postup hlášení obvykle zahrnuje následující kroky:

• Okamžité oznámení: Pokud dojde k bezpečnostnímu incidentu (úrazu, nehodě nebo skoronehodě), je důležité okamžitě oznámit tuto událost nadřízenému nebo osobě odpovědné za bezpečnost práce.
• Poskytnutí první pomoci: Pokud je při incidentu zraněn zaměstnanec, je nutné okamžitě poskytnout první pomoc a zajistit lékařskou pomoc, pokud je to nezbytné.
• Zaznamenání události: Incident musí být zaznamenán v knize úrazů nebo v jiném oficiálním záznamu o incidentech. Tento záznam by měl obsahovat podrobné informace o incidentu, včetně data, času, místa, popisu události a jmen zúčastněných osob.
• Vyšetření incidentu: Po zaznamenání incidentu je nutné provést vyšetření, aby byly identifikovány příčiny a okolnosti. Toto vyšetření by mělo být provedeno co nejdříve po události.
• Hlášení příslušným orgánům: Pokud je incident vážný (například úraz s pracovní neschopností delší než 3 dny, smrtelný úraz), je třeba incident hlásit příslušným orgánům, jako je Policie, Inspektorát práce nebo zdravotní pojišťovna.
• Nápravná opatření: Na základě vyšetření incidentu je třeba přijmout nápravná opatření, která minimalizují riziko opakování podobného incidentu. Tato opatření by měla být zaznamenána a implementována co nejdříve.

Hlášení kybernetických bezpečnostních incidentů

Kybernetické bezpečnostní incidenty zahrnují události jako neoprávněný přístup k datům, malware útoky, phishingové útoky a další narušení informačních systémů. Postup hlášení těchto incidentů je následující:

• Detekce a vyhodnocení incidentu: Kybernetické bezpečnostní incidenty jsou často detekovány prostřednictvím bezpečnostních nástrojů, jako jsou systémy pro detekci narušení (IDS), antivirové programy nebo monitorovací systémy. Po detekci incidentu je nutné incident vyhodnotit a zjistit jeho závažnost.
• Okamžité oznámení: Pokud je detekován kybernetický bezpečnostní incident, musí být okamžitě oznámen odpovědné osobě nebo týmu pro kybernetickou bezpečnost.
• Izolace a zmírnění dopadů: Je třeba přijmout okamžitá opatření k izolaci incidentu a minimalizaci jeho dopadů. To může zahrnovat odpojení zasažených systémů, blokování škodlivé komunikace nebo změnu přístupových práv.
• Hlášení příslušným orgánům: V souladu s Vyhláškou o kybernetické bezpečnosti musí být závažné kybernetické incidenty hlášeny Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Hlášení by mělo být provedeno prostřednictvím elektronického formuláře na webových stránkách těchto orgánů.
• Vyšetření a analýza: Po hlášení incidentu je nutné provést důkladné vyšetření a analýzu incidentu, aby byly identifikovány příčiny a zranitelnosti, které vedly k incidentu. Tato analýza může zahrnovat forenzní analýzu dat, rozhovory s dotčenými osobami a revizi bezpečnostních protokolů.
• Nápravná opatření a zlepšení: Na základě výsledků vyšetření je třeba implementovat nápravná opatření a zlepšení bezpečnostních opatření, aby se minimalizovalo riziko opakování podobných incidentů.

Mohlo by vás zajímat: Povinní a jejich povinnosti v kyberbezpečnosti