Novela zákona o kybernetickej bezpečnosti

Dňa 4. októbra 2024 bol predložený návrh zákona o zmene zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti Národnej rade Slovenskej republiky. Navrhovaná účinnosť zmien je od 1. januára 2025. Pre koho platí, pre koho sú nové pravidlá záväzné? Aké inštitúcie tam budú z verejnej správy? Kto alebo čo bude v sektoroch bližšie určovať bezpečnostné opatrenia?

Novela prináša najmä tieto úpravy:

• veľké rozšírenie nových subjektov,
• identifikácia regulovaného subjektu na základe jeho zaradenia do sektora,
• nové požiadavky na bezpečnostné opatrenia na základe rizikovej analýzy,
• nové požiadavky na hlásenie incidentov,
• audit a samohodnotenie,
• podrobnejšia úprava oprávnení v rámci úradu,
• úprava bezpečnosti dodávateľského reťazca,
• navýšenie pokút za neplnenie povinností,
• spolupráca medzi všetkými dotknutými subjektami,
• medzinárodná spolupráca.

Predmetom novely zákona nie je kybernetická bezpečnosť vo vzťahu k základným službám, ale kybernetická bezpečnosť a odolnosť kľúčových subjektov a celých sektorov voči aktuálnym kybernetickým hrozbám.

Rozšírenie pôsobnosti zákona a identifikácia subjektov prevádzkovateľov základnej služby

Prevádzkovateľom základnej služby (ďalej len „PZS“) je (bez ohľadu na sektor):

• ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
• kritický subjekt,
• štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• správca informačno-technologický verejný systém (ITVS) o predchádzajúcej konzultácii s príslušným ústredným orgánom,
• osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
• tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.

Prevádzkovatelia základnej služby sú subjekty zaradené do sektorov podľa prílohy 1 a 2:

• ak sú minimálne stredným podnikom (min. 50 zamestnancov a obrat alebo súvaha 10 mil. eur a viac)
• bez ohľadu na veľkosť:
  • je podnikom poskytujúcim verejnú elektronickú komunikáciu (ďalej len „EK“) sieť alebo verejnú EK službu,
  • je poskytovateľom dôveryhodnej služby,
  • je správcom TLD (Top Level Domain – Správca domény najvyššej úrovne, ktorá je súčasťou systému doménových mien),
  • poskytuje službu DNS (Domain Name System – Systém pre preklad názvov domén na IP adresy a naopak, umožňujúci identifikáciu a lokalizáciu zariadení na internete),
  • je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
  • poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
  • poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celý sektor vykonávanej činnosti, najmä ak by takéto riziko mohlo mať cezhraničný vplyv,
  • je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor, alebo
  • je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu.

Tab. č. 1: Príloha č. 1 a Príloha č. 2

SEKTORY S VYSOKOU ÚROVŇOU KRITICKOSTI (Príloha č. 1)	INÉ KRITICKÉ SEKTORY (Príloha č. 2)
Energetika (vykurovanie, chladenie, vodík)	Poštové a kuriérske služby
Doprava	Odpadové hospodárstvo
Financie	Výroba a distribúcia chemických látok
Zdravotníctvo	Výroba a distribúcia spracovanie potravín
Voda a atmosféra (odpadová voda)	Výroba (zdravotnícke pomôcky, elektro, výpočtová technika, optika, stroje a zariadenia, motorové vozidlá, iné dopr. prostriedky)
Digitálna infraštruktúra	Poskytovatelia digitálnych služieb
Riadenie služieb IKT	Výskum
Verejná správa
Vesmír

Jednotlivé inštitúcie bude zaujímať, či sa nájdu v sektoroch a akým spôsobom budú musieť inštitúcie spadajúce pod NIS 2 dodržiavať bezpečnostné opatrenia na všetkých úrovniach (pozri nižšie).

Čoskoro istíme, aký prístup zákonodarcovia prijmú, pričom netrpezlivo očakávame aj vydanie sektorových bezpečnostných vyhlášok.

Bezpečnostné opatrenia

Aplikácia nových bezpečnostných opatrení sa bude týkať najmä:

• novej štruktúry všeobecných bezpečnostných opatrení (§ 20 ods. 1 a ods. 2), podrobnejší popis bezpečnostných opatrení bude obsahovať vyhláška,
• rozsah a spôsob implementácie bezpečnostných opatrení bude na základe rizikovej analýzy,
• ak existuje sektorový bezpečnostný štandard, opatrenia sa aplikujú na jeho základe pri zachovaní základných spôsobilostí riadiť informačnú bezpečnosť, hlásiť a riešiť incidenty a pod. (§ 20 ods. 6),
• povinnosti zaviesť bezpečnostné opatrenia do 12 mesiacov odo dňa zápisu do registra PZS.

Bližšie určovať špecifiká pre zaradenie v sektoroch budú sektorové bezpečnostné štandardy v oblasti kybernetickej bezpečnosti.

V prípade, že ste sa už teraz z predošlého identifikovali ako subjekt, ktorý bude musieť spĺňať požiadavky zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (verejná správa, správca ITVS a pod.) je nutné upriamiť pozornosť na to, že už aj v najnižšej kategórii má inštitúcia niektoré bezpečnostné opatrenia povinné!

Tab.: Bezpečnostné opatrenia podľa § 20 ods. 3 zákona č. 69/2018 Z. z.

Bezpečnostné opatrenie podľa § 20 ods. 3 zákona	Kategória I	Kategória II	Kategória III
a)      organizácia kybernetickej bezpečnosti a informačnej bezpečnosti	Odporúčané	Povinné	Povinné
b)      riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti	Odporúčané	Povinné	Povinné
c)      personálna bezpečnosť	Odporúčané	Povinné	Povinné
d)      riadenie prístupov	Odporúčané	Povinné	Povinné
e)      riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami	Povinné	Povinné	Povinné
f)       bezpečnosť pri prevádzke informačných systémov a sietí	Odporúčané	Povinné	Povinné
g)      hodnotenie zraniteľností a bezpečnostné aktualizácie	Odporúčané	Povinné	Povinné
h)      ochrana proti škodlivému kódu	Odporúčané	Povinné	Povinné
i)       sieťová a komunikačná bezpečnosť	Odporúčané	Odporúčané	Povinné
j)       akvizícia, vývoj a údržba informačných sietí a informačných systémov	Odporúčané	Odporúčané	Povinné
k)     zaznamenávanie udalostí a monitorovanie	Povinné	Povinné	Povinné
l)       fyzická bezpečnosť a bezpečnosť prostredia	Odporúčané	Odporúčané	Povinné
m)    riešenie kybernetických bezpečnostných incidentov	Povinné	Povinné	Povinné
n)      kryptografické opatrenia	Odporúčané	Odporúčané	Povinné
o)      kontinuita prevádzky	Odporúčané	Odporúčané	Povinné
p)      audit, riadenie súladu a kontrolné činnosti	Odporúčané	Povinné	Povinné
Manažér kybernetickej bezpečnosti [§ 20 ods. 4 písm. a) zákona]	Povinné	Povinné	Povinné

Úprava bezpečnosti dodávateľského reťazca

Kto je tretia strana?

Tretia strana podľa novely zákona č. 69/2018 Z. z. je osoba vykonávajúca činnosť, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby.

V takomto prípade je:

• PZS je povinný uzatvoriť s treťou stranou zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností.
• Tretia strana je povinná zaviesť a vykonávať bezpečnostné opatrenia podľa zmluvy a zákona.
• Tretia strana je povinná podrobiť sa kontrole plnenia požiadaviek zmluvy a zákona zo strany PZS.
• Tretia strana, ktorá nemá sídlo alebo miesto podnikania na území EÚ, je povinná ustanoviť zástupcu na území EÚ (v krajine, kde vykonáva svoju činnosť).

Tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.

V tomto prípade má tretia strana postavenie PZS:

• PKS je povinný úradu hlásiť uzatvorenie zmluvy s takouto treťou stranou a aj jej ukončenie.
• Tretia strana sa zapisuje do registra PZS.
• Tretia strana povinná plniť bezpečnostné opatrenia podľa zákona a podlieha dohľadu zo strany NBÚ.
• Tretej strane je možné uložiť povinnosť riešiť KB incident, alebo vykonať reaktívne opatrenie v čase krízy.

Audit a samohodnotenie

Povinnosť vykonať audit bude pre:

• PZS prvý audit do 2 rokov od zapísania do registra PZS a následne podľa vyhlášky.
• Audit vykonáva certifikovaný audítor kybernetickej bezpečnosti podľa príslušnej schémy.
• PZS, ktorý neposkytuje kritickú službu, môže audit vykonať aj tzv. samohodnotením.
• Samohodnotenie vykonáva manažér kybernetickej bezpečnosti.
• PZS, ktorý si zvolil vykonanie auditu samohodnotením musí vykonať prvý audit prostredníctvom certifikovaného audítora do 5 rokov a následne v periodicite podľa vyhlášky.
• Podrobnosti o audite upravuje vyhláška.

Samohodnotenie namiesto auditu

Verejná správa sa s istotou bude obzerať po samohodnotení namiesto auditu. Podľa novelizovaného znenia zákona môže:

• Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti vykonaním samohodnotenia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti – JISKB. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti.

Takýto prevádzkovateľ základnej služby je povinný podrobiť sa auditu kybernetickej bezpečnosti do piatich rokov odo dňa zaradenia do registra prevádzkovateľov základnej služby.

Aké sú ľudské zdroje pre kybernetickú bezpečnosť? Sú to zákonné roly kybernetickej bezpečnosti, ako sú manažér kybernetickej bezpečnosti a audítor kybernetickej bezpečnosti:

Manažér kybernetickej bezpečnosti

Bezpečnostné opatrenia musia zahŕňať najmenej určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti [podľa § 20 ods. 4 písm. a) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti].

Audítor kybernetickej bezpečnosti

Podľa § 29 ods. 3 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti:

• Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby.
• Certifikáciu audítora kybernetickej bezpečnosti vykonáva osoba akreditovaná podľa osobitného predpisu ako orgán certifikujúci osoby (v oblasti kybernetickej bezpečnosti).

Manažér ako služba prostredníctvom tretej strany

V zmysle Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností.

Obdobne to platí aj pre starostov obcí a primátorov miest, riaditeľov škôl a školských zariadení, ktorým táto zodpovednosť vyplýva z osobitných právnych predpisov (napr. zákon o obecnom zriadení, školský zákon).

Zodpovednosť za riadenie kybernetickej bezpečnosti je potrebné vnímať v dvoch samostatných kontextoch, pričom tieto zodpovednosti si nie je možné zamieňať:

• Zákonnú zodpovednosť – zodpovednosť štatutárneho organu vyplývajúcu zo všeobecne záväzných právnych predpisov; nie je možné outsourcovať, resp. outsourcing štatutárny orgán zákonnej zodpovednosti nezbaví.
• Zmluvnú zodpovednosť – výkon niektorých úloh v kybernetickej bezpečnosti; je možné obstarať aj ako službu vykonávanú dodávateľským spôsobom.

Riadenie parametrov služby:

• parametre dodávanej služby musia byť merateľné a malo by byť možné zazmluvniť ich prostredníctvom dohody o úrovni služieb (SLA),
• porušenie parametrov uvedených v SLA môže byť riešené vopred dohodnutým znížením platieb alebo automatickou zmluvnou pokutou, a to nezávisle od toho, či vznikla škoda.

Zákonné zodpovednosti nie je možné zmluvne preniesť na tretiu stranu, ani sa ich efektívne vzdať. Zmluva s dodávateľom služby nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu.

10 krokov ku kybernetickej bezpečnosti

1. Riadenie rizík: Na zabezpečenie vašich údajov a systémov si osvojte prístup založený na riziku.
2. Trénujte a vzdelávajte: Spoločne budujte bezpečnosť uplatniteľnú pre všetkých zamestnancov vo vašej organizácii.
3. Správa aktív: Identifikujte dáta a ostatné informačné aktíva a mapujte procesy, ktoré sú nimi podporované.
4. Architektúra a konfigurácia: Navrhujte, implementujte, udržiavajte a spravujte systémy bezpečným spôsobom.
5. Správa zraniteľností: Chráňte systémy počas celého ich životného cyklu.
6. Správa identity a riadenie prístupu: Riaďte, kto a čo môže pristupovať k vašim dátam a informačným aktívam.
7. Bezpečnosť dát: Chráňte údaje najmä tam, kde sú zraniteľné.
8. Logovanie a monitorovanie: Navrhnite svoje systémy tak, aby ste boli schopní detegovať a vyšetrovať incidenty.
9. Riešenie incidentov: Vopred si naplánujte reakcie na kybernetické incidenty.
10. Zabezpečenie dodávateľského reťazca: Spolupracujte so svojimi dodávateľmi a obchodnými partnermi.

Literatúra:

1. Informatívne konsolidované znenie zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
2. www.cybercompetence.sk
3. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.