Odborný seriál o kybernetickej bezpečnosti vo verejnej správe pokračuje časťou, ktorá sa zameriava na kontrolné a sankčné opatrenia z hľadiska legislatívneho rámca v prostredí verejnej správy s poukázaním na najčastejšie nedostatky pri samohodnotení a výkone auditov kybernetickej bezpečnosti.
Cieľom tejto časti je poskytnúť ucelený prehľad o právnych základoch výkonu kontroly v oblasti kybernetickej bezpečnosti, o postavení orgánu kontroly - Národného bezpečnostného úradu (ďalej len „Úrad“), ako aj o právach a povinnostiach prevádzkovateľa základnej služby a prevádzkovateľa kritickej základnej služby (ďalej len „PZS“).
Legislatívny rámec kontrolných a sankčných opatrení
Základným právnym rámcom pre riadenie a dohľad nad kybernetickou bezpečnosťou je zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o kybernetickej bezpečnosti“). Tento zákon ustanovuje povinnosti PZS, ich zodpovednosť za bezpečnosť informačných systémov a siete, ako aj právomoci Úradu ako dozorného orgánu.
V prostredí verejnej správy sa popri zákone o kybernetickej bezpečnosti uplatňuje zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o informačných technológiách“), ktorý sa v nadväznosti na zákon o kybernetickej bezpečnosti chápe ako sektorové opatrenie pre verejnú správu.
Medzi legislatívne opatrenia môžeme zaradiť aj vyhlášku č. 179/2020 Z.z. Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len „vyhláška č. 179/2020 Z.z.“), zákon č. 10/1996 Z.z. o kontrole v štátnej správe v z. n. p. (ďalej len „zákon č. 10/1996 Z.z.“), zákon č. 71/