| Bezpečnost a zdraví osob
(písmeno h) VKB) | žádné vodítko | Může vést k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) jedné nebo několika osob. | Může vést k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) větší skupiny osob, nebo ohrožení na životě jednotlivců. | Může vést k přímému ohrožení či ztrátě života osob. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na bezpečnost a zdraví osob. | V důsledku nedostupnosti informací evidovaných v nemocničním IS není možné provést nezbytné operace a pacienti jsou ohroženi na životě. |
| Dopad na uživatele IS nebo KS
(písmeno j) VKB) | Může způsobit krátkodobé nepříjemnosti při používání IS nebo KS (zdržení a podráždění uživatelů, jiné zdravotní dopady na uživatele nehrozí). | Může negativně ovlivnit výkon činnosti interního nebo externího uživatele IS nebo KS (např. zvýšené časové nároky, stres uživatelů, drobné fyzické a zdravotní obtíže uživatelů). | Může způsobit závažné krátkodobé omezení výkonu činnosti interního nebo externího uživatele IS nebo KS (zhoršení zdravotního stavu uživatelů, krátkodobá pracovní neschopnost). | Může způsobit závažné dlouhodobé omezení výkonu činnosti interního nebo externího uživatele IS nebo KS (útoky na uživatele, odchod zaměstnanců, dlouhodobá pracovní neschopnost uživatelů, úmrtí). | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na uživatele využívající daný IS nebo KS (neschopnost jeho činnosti apod.). | Ztráta možnosti přístupu uživatele ke službě vlivem její nedostupnosti (např. při výpadku internetového bankovnictví se tento problém dotkne velkého počtu uživatelů – nemožnost zadat platební příkaz online). |
| Finanční ztráty
(písmeno d) VKB) | Může přímo nebo nepřímo vést ke ztrátám menším než 0,05 % ročního rozpočtu, popř. obratu organizace (v závislosti na typu organizace). | Může přímo nebo nepřímo vést ke ztrátám mezi 0,05 % a 2 % ročního rozpočtu, popř. obratu organizace (v závislosti na typu organizace). | Může přímo nebo nepřímo vést ke ztrátám vyšším než 2 % a nižším či rovným 10 % ročního rozpočtu, popř. obratu organizace (v závislosti na typu organizace). | Může přímo nebo nepřímo vést ke ztrátám přesahujícím 10 % ročního rozpočtu, popř. obratu organizace (v závislosti na typu organizace). | V této kategorii je posuzováno, jak velké finanční ztráty může narušení primárních aktiv organizaci způsobit. Kategorie je relevantní zejména pro organizace generující zisk. | • Nedostupnost informací o fakturách na základě nedostupnosti ekonomického systému.
• Nedostupnost informací o možných obchodních příležitostech a z toho plynoucí ušlý zisk. |
| Mezinárodní vztahy
(písmeno i) VKB) | Může mít negativní vliv na spolupráci organizace se zahraniční společností. Např. pro osobní údaje - může vyvolat nutnost jednání mezi organizací a zahraničním partnerem o charakteristikách zpracování osobních údajů. | Může vytvářet negativní obraz organizace v jednom teritoriu, popř. v jednom státě. Např. pro osobní údaje - může vést k dočasnému omezení zahraniční participace na zpracování osobních údajů. | Může vytvářet negativní obraz organizace ve světě. Např. pro osobní údaje - může být spojené s trvalým nebo dlouhodobým omezením participace zahraničních partnerů na zpracování osobních údajů. | Může negativně ovlivnit nebo poškodit diplomatické vztahy a tím způsobit nevýhodu pro zájmy ČR. Např. pro osobní údaje - dlouhodobé nebo trvalé omezení participace zahraničních subjektů nebo i států na zpracování osobních údajů. | V této kategorii je posuzováno, jak narušení primárních aktiv ovlivní mezinárodní vztahy organizace, případně také celého státu např. s EU, NATO nebo dalšími zahraničními zeměmi a mezinárodními organizacemi. | Únik informací, které organizace získala od zahraničních partnerů. |
| Narušení běžných činností
(písmeno f) VKB) | K narušení běžných činností nedochází, nanejvýše ke zvýšeným časovým nárokům při provádění běžných činností. | Může omezit provádění běžných činností, narušit řádné řízení nebo fungování části nebo celé organizace. | Může způsobit dočasné zastavení nebo podstatné narušení běžných činností organizace nebo poškodit rozvoj nebo prosazování cílů a zájmů organizace. | Může způsobit dlouhodobé zastavení běžných činností organizace. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na zajišťování běžných činností organizace (schopnost komunikovat v rámci organizace a mimo ni, přijímat zaměstnance apod.). | • Narušení činností personálních, ekonomických, správy budov a autoparku, neschopnost přijímat datové zprávy apod.
• Neschopnost přijímat nové zaměstnance z důvodu nedostupnosti personálního systému. |
| Narušení vnitřních řídících a kontrolních činností
(písmeno c) VKB) | žádné vodítko | Může mít negativní dopad na řídící a kontrolní činnosti organizace. | Může mít podstatný dopad na řídicí a kontrolní činnosti organizace a zapříčinit dočasné zastavení chodu či podstatný zásah do fungování organizace, značné finanční ztráty související s obnovením chodu. | Může mít závažný dopad na řídicí a kontrolní činnosti a zapříčinit dlouhodobé zastavení chodu celé organizace. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na vnitřní řídící a kontrolní činnosti organizace (kontrolní mechanismy organizace, její vedení, správu apod.). | Neúplnost či modifikace informací potřebných pro rozhodování vedení a kontrolní činnost. |
| Obchodní tajemství
(písmeno a) VKB) | žádné vodítko | Může mít negativní dopad na skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu. | Může mít podstatný dopad na skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu. | Může mít závažný dopad na skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na ochranu obchodního tajemství organizace. | Odcizení patentů evidovaných v IS konkurenční firmou. |
| Ochrana osobních údajů - dopady na subjekty údajů
(písmeno a) VKB) | Může vést k nepohodlí subjektu osobních údajů (podrážděnost, krátkodobé časové nároky pro opětovné zadávání údajů, nutnost další komunikace s organizací). | Může vést k menší újmě subjektu osobních údajů (stres, nepohodlí, drobné fyzické obtíže, nedostatek porozumění, omezení přístupu ke službám organizace nebo jiných subjektů, časové nároky spojené s řešením dopadů). | Může vést k závažné újmě subjektu osobních údajů (napadení, nepříznivý zdravotní stav, deprese, ztížené uplatnění, ekonomické znevýhodnění (černé listiny), krádež identity, předvolání vyšetřujícími orgány). | Může vést k velmi vážné újmě subjektu osobních údajů, přímému ohrožení či ztrátě života (smrt, invalidita, dlouhodobě nepříznivý zdravotní stav a pracovní neschopnost, ztráta zaměstnání, velmi ztížené uplatnění, vyloučení, omezení práv). | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv přímo na subjekty údajů, tedy na jednotlivé osoby, jejichž údaje jsou v daném IS zpracovávány. Jak moc budou jednotlivé osoby po fyzické nebo psychické stránce dotčeny, když budou narušeny jejich osobní údaje. | Únik osobních údajů fyzické osoby z IS (např. o zdravotním stavu apod.) a jejich následné zveřejnění na internetu. |
| Ochrana osobních údajů - finanční újma subjektů údajů
(písmeno a) VKB) | žádné vodítko | Odhadovaná finanční újma do 5000 Kč/subjekt údajů. | Odhadovaná finanční újma od 5000 Kč do 50 000 Kč/subjekt údajů (zneužití finančních prostředků subjektu údajů, poškození majetku). | Odhadovaná finanční újma od 50 000 Kč/subjekt údajů (neschopnost splácet dluh, ztráta majetku). | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv přímo na subjekty údajů, tedy na jednotlivé osoby, jejichž údaje jsou v daném IS zpracovávány. Jaká finanční újma vznikne jednotlivým osobám, když budou narušeny jejich osobní údaje. | Neoprávněná modifikace osobních údajů fyzické osoby v IS způsobí výplatu sociálních dávek jiné fyzické osobě. |
| Trestně-právní řízení
(nad rámec VKB) | žádné vodítko | Může vytvořit podmínky pro páchání trestné činnosti nebo může ztížit její vyšetřování. | Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení (méně závažná kriminalita, krátkodobě, v jednotlivých případech). | Může vést k závažnému, dlouhodobému narušení schopnosti vyšetřovat trestnou činnost, popřípadě zpochybnění soudních řízení a rozhodnutí (závažná kriminalita, celkové zpochybnění systému). | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na vyšetřování trestné činnosti nebo soudního řízení. | Z důvodu úniku informací v policejním IS v rámci trestního řízení bude zastaveno trestní řízení. |
| Veřejný pořádek
(písmeno d) VKB) | žádné vodítko | Může zapříčinit rozsahem, formou nebo místem omezené protesty (lokální nepokoje). | Může zapříčinit rozsahem, formou nebo místem omezené protesty na úrovni významné části správního území obce s rozšířenou působností, jejichž řešení si může vyžádat aktivaci krizového řízení na úrovni kraje. | Může zapříčinit hromadné nepokoje, např. generální stávku, nebo jinak závažně narušit veřejný pořádek s celostátními dopady. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na zajištění veřejného pořádku. | • Nedostupnost informací zveřejňovaných na webu organizace může vést k neinformování veřejnosti o důležitých skutečnostech (záplavy, ekologické katastrofy atd.).
• Dlouhodobá nedostupnost informací potřebných pro výplatu sociálních dávek, důchodů apod. |
| Zajišťování nezbytných nebo základních služeb*
(písmeno e) VKB) | Může způsobit drobné komplikace pro malé množství osob. | Může způsobit omezení či narušení nezbytných nebo základních služeb pro malé množství osob, může způsobit krátkodobý výpadek služeb organizace. Může způsobit méně závažné finanční ztráty. | Může způsobit závažné omezení či narušení nezbytných nebo základních služeb pro větší množství osob, omezení nebo krátkodobé zastavení přístupu ke službám. | Může způsobit rozsáhlé dlouhodobé omezení, narušení či nedostupnost poskytování nezbytných nebo základních služeb pro větší množství osob, může způsobit újmu (např. soudní proces, likvidace, vznik nesplatitelného dluhu). | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na zajišťování nezbytných nebo základních služeb. | Narušení všech informací, procesů a služeb vztažených směrem k hlavnímu business cíli (účelu existence) organizace (např. v případě Ministerstva pro certifikaci senzorů by se jednalo o narušení vydávání certifikací). |
| Zákonné a smluvní povinnosti
(písmeno b) VKB) | žádné vodítko | Může zapříčinit porušení interních předpisů a postupů, nikoli však porušení zákonných a smluvních povinností, např. provozní důvody, nedostatek zaměstnanců. | Může zapříčinit správní nebo občanskoprávní řízení vedoucí k pokutě nebo k náhradě škody. | Může zapříčinit porušení právních předpisů vedoucí k zahájení trestního stíhání. | V této kategorii je posuzováno, jaký dopad bude mít narušení primárních aktiv na plnění zákonných a smluvních povinností, kterými je organizace zavázána. | • Nemožnost vydání rozhodnutí v zákonné lhůtě z důvodu nedostupnosti IS.
• Narušení povinnosti zveřejňovat dokumenty na elektronické úřední desce, která je nepřetržitě dostupná vzdáleným přístupem. |
| Ztráta důvěryhodnosti
(písmeno g) VKB) | Může negativně ovlivnit vztahy s jinými částmi organizace, jinými organizacemi nebo vztahy s veřejností, negativní publicita bude ale omezena na bezprostřední okolí a nebude mít dlouhé trvání. Např. pro osobní údaje - nepříjemnosti s klienty, nutnost jednání s dalšími klienty, nutnost jednání s dalšími subjekty, negativní někdy i veřejná reakce subjektů údajů apod. | Může negativně ovlivnit vztahy s jinými organizacemi nebo veřejností, negativní publicita se ale bude týkat omezené zájmové skupiny nebo bude široká, avšak krátkodobá. Např. pro osobní údaje - úbytek klientů o 10 % u organizace, krátkodobé omezení přístupu ke službám využívaným správcem, negativní, avšak krátkodobé ohlasy v médiích. | Může závažně ovlivnit vztahy s jinými organizacemi nebo veřejností s následkem celostátní negativní publicity. Např. pro osobní údaje - úbytek klientů 10-50 % u organizace, masivní negativní, avšak krátkodobé ohlasy v médiích. | Může závažně a dlouhodobě ovlivnit vztahy s jinými organizacemi nebo veřejností s následkem celostátní či nadnárodní negativní publicity, s dlouhodobými účinky a požadavky přijetí politické odpovědnosti. Např. pro osobní údaje - úbytek klientů nad 50 % u organizace, černé listiny, ztráta konkurenceschopnosti, masivní negativní dlouhodobé ohlasy v médiích včetně zahraničních. | V této kategorii je posuzováno, jak narušení primárních aktiv ovlivní důvěryhodnost (reputaci) organizace. | Vlivem úniku citlivých informací organizace na internet bude narušena její reputace. |