(1) Povinná osoba pro potřeby vyhodnocení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví

(2) Dopad kybernetického bezpečnostního incidentu na poskytování regulované služby je považován za významný, pokud

a) únosnou míru újmy způsobené kybernetickým bezpečnostním incidentem, v jehož důsledku ještě není ohrožen život nebo zdraví osob nebo schopnost povinné osoby dostát svým závazkům,

b) oblasti pro posouzení významnosti dopadu kybernetických bezpečnostních incidentů zohledňující zejména

1. provozní dopad kybernetického bezpečnostního incidentu na povinnou osobu a její schopnost poskytovat regulovanou službu,

3. časové, lidské a technické zdroje, které jsou potřebné k obnově poskytování zasažené regulované služby,

2. množství uživatelů regulované služby a jiných orgánů a osob zasažených kybernetickým bezpečnostním incidentem,

6. přímou příčinu kybernetického bezpečnostního incidentu, je-li povinné osobě známo, zda se jedná o lidskou chybu, technickou závadu nebo úmyslné jednání.

4. typ a umístění aktiv dotčených kybernetickým bezpečnostním incidentem,

5. citlivost informací a dat zasažených kybernetickým bezpečnostním incidentem a újmu, jakou může narušení bezpečnosti těchto informací a dat způsobit povinné osobě nebo jinému orgánu nebo osobě, a

a) přesáhne povinnou osobou stanovenou únosnou míru újmy způsobenou kybernetickým bezpečnostním incidentem podle odstavce 1 písm. a) a současně

b) je oblast pro posouzení významnosti dopadu podle odstavce 1 písm. b) posouzena jako významná.