V tejto časti odborného seriálu o kybernetickej bezpečnosti sa zameriame na odporúčanú štruktúru bezpečnostnej dokumentácie, ktorá tvorí základný pilier riadenia kybernetickej bezpečnosti. Cieľom je priblížiť, aké typy dokumentov by mali byť súčasťou komplexného systému riadenia bezpečnosti, ako sú vzájomne prepojené a akým spôsobom prispievajú k preukázaniu súladu s legislatívnymi požiadavkami.
Východiskom pre spracovanie tejto dokumentácie je zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o kybernetickej bezpečnosti“) a súvisiace vykonávacie predpisy.
Súčasťou prehľadu je prepojenie so zákonom č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o informačných technológiách“), ktorý významným spôsobom ovplyvňuje technické a procesné aspekty riadenia informačnej bezpečnosti vo verejnej správe.
Aj keď sa očakáva novelizácia zákona o informačných technológiách a vydanie novej vyhlášky, predpokladané zmeny nebudú mať zásadný vplyv na existujúcu štruktúru bezpečnostnej dokumentácie. Tá zostane vo svojej podstate zachovaná, pričom predpokladané úpravy sa budú týkať najmä spresnenia povinných opatrení a presnejšieho zaradenia povinných subjektov verejnej správy do príslušných kategórií podľa rozsahu a charakteru ich pôsobnosti.
V závere článku sa budeme venovať prehľadu pripravovaných legislatívnych úprav, ktoré sú aktuálne predmetom pripomienkového konania. Zameriame sa na ich praktické dôsledky pre tvorbu a aktualizáciu bezpečnostnej dokumentácie a načrtneme, akým smerom sa môže vyvíjať právny rámec kybernetickej bezpečnosti v najbližšom období.
Dokumentácia vyplývajúca z požiadaviek zákona o kybernetickej bezpečnosti
Z povinností prevádzkovateľa základnej služby (ďalej len „prevádzkovateľ“), ktoré sú ustanovené v zákone o kybernetickej bezpečnosti, vyplýva pre subjekty pôsobiace v sektore verejnej správy povinnosť vypracovať analýzu rizík a zároveň prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu podľa § 20 ods. 4 tohto zákona.
------------------------------
Podľa uvedeného ustanovenia je možné rozsah povinnej bezpečnostnej dokumentácie odvodiť od súboru bezpečnos