V tejto časti seriálu o kybernetickej bezpečnosti sa zameriame na povinnosti prevádzkovateľa základnej služby vyplývajúce zo zákonných požiadaviek v oblasti kybernetickej bezpečnosti, s dôrazom na vzťahy s tretími stranami. Priblížime si, za čo zodpovedá prevádzkovateľ pri nastavovaní zmluvných vzťahov, aké bezpečnostné opatrenia a notifikačné povinnosti je potrebné upraviť v zmluve a aké riziká vznikajú, ak sa tieto požiadavky zanedbajú. Zároveň vysvetlíme, aké povinnosti majú tretie strany a ako ich vzťah k prevádzkovateľovi ovplyvňuje ochranu sietí a informačných systémov v každodennej praxi.
Povinnosti prevádzkovateľa pri uzatváraní zmluvy s treťou stranou
Z hľadiska kybernetickej bezpečnosti je možné tretiu stranu charakterizovať ako subjekt, ktorý pre prevádzkovateľa základnej služby alebo prevádzkovateľa kritickej základnej služby (ďalej len „prevádzkovateľ“) vykonáva činnosti priamo súvisiace s prevádzkou, správou alebo zabezpečením sietí a informačných systémov. Ide najmä o externých dodávateľov služieb, poskytovateľov technickej alebo softvérovej podpory, správcov infraštruktúry alebo špecializovaných činností, ktorých výkon môže ovplyvniť dostupnosť, dôvernosť alebo integritu informačných aktív prevádzkovateľa.
Zmienku o tretej strane nájdeme v zákone č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o kybernetickej bezpečnosti“). Ustanovenie § 19 ods. 2 zákona o kybernetickej bezpečnosti ukladá prevádzkovateľovi povinnosť zabezpečiť, aby v prípade výkonu činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky jeho sietí a informačných systémov prostredníctvom tretej strany, bola s touto treťou stranou uzatvorená zmluva o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona. Táto povinnosť sa vzťahuje na celé obdobie výkonu danej činnosti.
Čo musí obsahovať zmluva s treťou stranou
Z uvedeného vyplýva, že prevádzkovateľ musí mať s treťou stranou uzatvorenú zmluvu pokrývajúcu výkon činnosti z hľadiska kybernetickej bezpečnosti, čo je v prostredí verejnej správy, na rozdiel od komerčného sektora, dlhodobo zaužívanou praxou. V aplikačnej praxi sa však často stretávame s tým, že existujúce zmluvy neobsahujú konkrétne definované bezpečnostné požiadavky, rozsah povinností tretej strany ani mechanizmy kontroly a zodpovednosti. Mnohé z týchto zmlúv vznikli v období, keď nebol kladený dostatočný dôraz na riadenie kybernetickej bezpečnosti v dodávateľských vzťahoch, čo viedlo k ich formálnemu predlžovaniu bez obsahovej aktualizácie. Následkom toho je, že zmluvy často neodrážajú aktuálne požiadavky zákona o kybernetickej bezpečnosti a neobsahujú špecifické náležitosti potrebné na zabezpečenie primeraného riadenia rizík spojených s výkonom činnosti prostredníctvom tretej strany.
Nie je vhodné považovať za dostatočné, ak je v zmluvnom vzťahu s treťou stranou uvedená len všeobecná formulácia, podľa ktorej sa tretia strana zaväzuje dodržiavať povinnosti vyplývajúce zo zákona o kybernetickej bezpečnosti. Takéto riešenie je problematické z viacerých hľadísk. V prvom rade ide o veľmi široko koncipovaný záväzok, ktorým sa tretia strana formálne zaväzuje dodržiavať ustanovenia zákona o kybernetickej bezpečnosti prakticky v celom jeho rozsahu, a to bez ohľadu na skutočný rozsah činností, ktoré pre prevádzkovateľa vykonáva, a bez väzby na konkrétny vplyv týchto činností na dostupnosť, dôvernosť alebo integritu sietí a informačných systémov.
Najčastejšie nedostatky zmluvy s treťou stranou
Takto formulovaná povinnosť môže mať v praxi aj ekonomické dôsledky. Tretia strana môže argumentovať tým, že na splnenie takto neurčito definovaných povinností je nútená vynaložiť dodatočné materiálne, personálne alebo finančné zdroje, napríklad na zavedenie bezpečnostných opatrení, procesov alebo dokumentácie, ktoré však nemusia byť primerané ani nevyhnutné vzhľadom na charakter poskytovanej služby. Výsledkom môže byť tlak na zvýšenie finančných nárokov vyplývajúcich zo zmluvného vzťahu, pričom prevádzkovateľ sám nemá jasne definované, aké konkrétne bezpečnostné požiadavky sú od tretej strany objektívne očakávané.
Závažnejším a zároveň menej viditeľným dôsledkom prenesenia len všeobecných povinností na tretiu stranu je skutočnosť, že ani samotný prevádzkovateľ nie je nútený systematicky sa zamyslieť nad tým, ktoré konkrétne aktíva, komponenty alebo procesy informačného systému sú v rámci spolupráce s treťou stranou predmetom ochrany. Absentuje tak jasná identifikácia toho, čo je potrebné chrániť, v akom legislatívnom rozsahu, ako aj na akej úrovni technických a organizačných opatrení. Tento nedostatok môže viesť k situácii, v ktorej sú bezpečnostné požiadavky definované nejednoznačne alebo plošne, bez prepojenia na reálne riziká vyplývajúce z konkrétneho dodávateľského vzťahu.
Poznanie a presné vymedzenie toho, ktoré časti informačného systému, údaje alebo prevádzkové procesy sú v interakcii s treťou stranou kritické z hľadiska kybernetickej bezpečnosti, predstavuje pritom prínos aj pre samotného prevádzkovateľa. Umožňuje mu lepšie porozumieť vlastnému prostrediu, identifikovať slabé miesta, primerane nastaviť bezpečnostné opatrenia a efektívnejšie riadiť riziká. Zároveň vytvára predpoklad na formulovanie konkrétnych, primeraných a kontrolovateľných zmluvných požiadaviek voči tretej strane, ktoré sú v súlade so zákonom o kybernetickej bezpečnosti a zároveň reflektujú skutočný rozsah a charakter poskytovaných činností.
Analýza rizík vyplývajúcich zo zmluvy s treťou stranou
Potreba zamyslieť sa nad primeraným rozsahom ochranných opatrení vo vzťahu k tretej strane vyplýva pre prevádzkovateľa aj z ďalšej zákonnej požiadavky uvedenej v § 19 ods. 2 zákona o kybernetickej bezpečnosti, ktorou je povinnosť vykonať analýzu rizík v súvislosti s uzatvorením zmluvy. Pozn.: Analýze rizík sme sa venovali v jednej z predchádzajúcich častí seriálu, kde bol popísaný jej výkon z hľadiska identifikácie a hodnotenia rizík viazaných na aktíva organizácie.
Aj zmluvný vzťah s treťou stranou je možné považovať za istý druh podporného aktíva, prostredníctvom ktorého prevádzkovateľ zabezpečuje funkčnosť a ochranu svojich primárnych aktív. V praxi je však často problematické bezprostredne premietnuť obsah zmluvy do existujúcej analýzy rizík v jej základnom dokumente, a to najmä z organizačných, procesných a časových dôvodov. V prostredí verejnej správy je navyše analýza rizík v mnohých prípadoch realizovaná prevažne formálne a bez dostatočnej úrovne detailu, ktorá by umožňovala zachytiť špecifiká jednotlivých dodávateľských vzťahov.
Z tohto dôvodu je vhodným a v aplikačnej praxi osvedčeným riešením vykonať samostatnú analýzu rizík vyplývajúcich zo zmluvy s treťou stranou, respektíve z poskytovaných služieb alebo dodávaných tovarov prostredníctvom tretej strany. Takáto analýza by mala zohľadňovať najmä rozsah a charakter prístupu tretej strany k aktívam organizácie, ako sú informácie, databázy, technické prvky infraštruktúry, konfigurácie a nastavenia kybernetickej bezpečnosti, ako aj možné zlyhania alebo pochybenia tretej strany a ich potenciálne dopady na kybernetickú bezpečnosť prevádzkovateľa.
Uplatnenie tohto prístupu umožňuje prevádzkovateľovi presnejšie identifikovať závislosti ostatných aktív od dodávanej služby alebo tovaru tretej strany, posúdiť ich význam a určiť, prípadne aktualizovať požadované parametre dostupnosti, dôveryhodnosti a spoľahlivosti poskytovaných služieb. Zároveň poskytuje rámec na realistické posúdenie dopadov výpadkov, incidentov alebo nedodržania zmluvných povinností zo strany tretej strany.
Výsledky takto vykonanej analýzy rizík predstavujú dôležitý podklad pre formuláciu konkrétnych a primeraných zmluvných požiadaviek voči tretej strane, ako aj pre nastavenie kontrolných mechanizmov. Súčasne slúžia ako vstup pre pravidelné prehodnocovanie celkovej analýzy rizík organizácie vo vzťahu ku kybernetickej bezpečnosti, ktoré by malo prebiehať v úzkej spolupráci s manažérom kybernetickej bezpečnosti.
Zákon o kybernetickej bezpečnosti ďalej ustanovuje, že tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a udržiavať bezpečnostné opatrenia v súlade s písomnou zmluvou a so zákonom o kybernetickej bezpečnosti a zároveň je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. Z tohto dôvodu je vhodné, aby zmluva s treťou stranou explicitne upravovala právo prevádzkovateľa vykonávať kontrolu dodržiavania požadovaných bezpečnostných opatrení. Takáto kontrola môže mať podobu vykonania auditu u tretej strany, predloženia relevantnej dokumentácie preukazujúcej plnenie bezpečnostných opatrení alebo osobného preverenia priamo u tretej strany, v závislosti od charakteru poskytovanej služby a miery rizika.
Výnimky z povinnosti uzatvoriť zmluvu s treťou stranou
Zákon o kybernetickej bezpečnosti v § 19 ods. 3 zároveň ustanovuje prípady, v ktorých prevádzkovateľ nie je povinný uzatvoriť zmluvu s treťou stranou. Prvým z týchto prípadov je situácia, keď je tretia strana sama prevádzkovateľom podľa zákona o kybernetickej bezpečnosti a povinnosti v oblasti zabezpečenia kybernetickej bezpečnosti jej tak vyplývajú priamo zo zákona. Táto skutočnosť však neznamená, že prevádzkovateľ nemôže uzatvorenie zmluvy s treťou stranou vyžadovať, zákon mu takúto možnosť ponecháva a nevylučuje ju ani v tomto prípade.
Druhým dôvodom, pre ktorý prevádzkovateľ nemusí uzatvoriť zmluvu s treťou stranou, je situácia, keď riziko vyplývajúce z činnosti vykonávanej treťou stranou, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby, je hodnotené ako nízke. Určenie tejto úrovne rizika však nie je možné bez vykonania analýzy rizík, ktorej výsledky poskytujú objektívny podklad na takéto posúdenie. Zároveň práve výsledky analýzy rizík predstavujú pre kontrolné orgány preukázateľný dôkaz, na základe ktorého je možné posúdiť, či prevádzkovateľ postupoval v súlade so zákonom o kybernetickej bezpečnosti a či splnil zákonné podmienky, ktoré by inak viedli k povinnosti uzatvoriť zmluvu s treťou stranou.
Súčasťou zákona o kybernetickej bezpečnosti je aj ustanovenie, podľa ktorého je prevádzkovateľ povinný informovať tretiu stranu v nevyhnutnom rozsahu o hlásenom kybernetickom bezpečnostnom incidente. V nadväznosti na túto povinnosť je potrebné zmluvne upraviť aj povinnosti tretej strany voči prevádzkovateľovi v oblasti oznamovania incidentov, a to najmä povinnosť bezodkladne informovať prevádzkovateľa o zistených alebo predpokladaných incidentoch, ktoré môžu mať vplyv na poskytované služby alebo na aktíva prevádzkovateľa. Zároveň je vhodné, aby zmluva obsahovala požiadavku na poskytnutie informácií o spôsobe riešenia incidentu, jeho dopadoch na využívané aktíva a o prijatých nápravných opatreniach vrátane opatrení zameraných na prevenciu jeho opakovania.
Odporúčanou súčasťou zmluvy s treťou stranou je, najmä pri poskytovaní služieb v oblasti kybernetickej bezpečnosti, správy a údržby zariadení alebo softvéru, ustanovenie, ktoré zaväzuje tretiu stranu vopred informovať prevádzkovateľa o tom, ktorí jej pracovníci budú predmetné služby vykonávať, prípadne ktorí subdodávatelia sa budú na ich poskytovaní podieľať. Na základe týchto informácií má prevádzkovateľ možnosť presnejšie vyhodnotiť súvisiace riziká, riadiť a kontrolovať prístupové oprávnenia a používateľské účty, prostredníctvom ktorých sa služby vykonávajú, a zabezpečiť, aby prístup k aktívam mali len schválené osoby. Následne by mal prevádzkovateľ formálne schvaľovať konkrétnych pracovníkov alebo subdodávateľov tretej strany, čím sa posilňuje kontrola nad zabezpečením kybernetickej bezpečnosti v rámci dodávateľského vzťahu.
Povinnosti vyplývajúce z vyhlášok a sektorovej legislatívy
V prostredí verejnej správy sa za sektorovú vyhlášku považuje zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o informačných technológiách“). V nadväznosti na zákon o kybernetickej bezpečnosti má prevádzkovateľ povinnosť dodržiavať minimálne bezpečnostné opatrenia, ktoré sú určené v § 19 ods. 4 a v nadväzujúcom odseku 5 zákona o kybernetickej bezpečnosti, pričom tieto ustanovenia zahŕňajú aj povinnosť vykonať analýzu politického rizika tretej strany. Táto požiadavka rozširuje pohľad na riziká spojené s dodávateľskými vzťahmi aj o kontext pôvodu tretej strany, jej vlastníckej štruktúry, väzieb a možných vplyvov na bezpečnosť poskytovaných služieb alebo dodávaných technológií.
Súčasťou zákona o kybernetickej bezpečnosti, ako aj zákona o informačných technológiách sú vykonávacie právne predpisy vo forme vyhlášok o bezpečnostných opatreniach. Tieto vyhlášky stanovujú konkrétne technické, organizačné a procesné požiadavky na zabezpečenie kybernetickej bezpečnosti v rámci informačných systémov, a to tak vo vzťahu k vlastnej prevádzke, ako aj k spolupráci s tretími stranami. Obsahovo vykazujú vysokú mieru podobnosti, či už v ich aktuálnom znení, alebo v rámci pripravovaných a očakávaných novelizácií.
Pri zameraní sa na požiadavky týkajúce sa tretích strán možno v súvislosti so zákonom o kybernetickej bezpečnosti a zákonom o informačných technológiách identifikovať viaceré spoločné a obsahovo zosúladené povinnosti. Ide napríklad o požiadavku, aby zamestnanci tretích strán pri zmene alebo ukončení pracovného pomeru, zmluvy alebo iného obdobného zmluvného vzťahu preukázateľným spôsobom vrátili správcovi všetky aktíva, ktoré im boli zverené na výkon činnosti. Podobne je stanovené, že zamestnanci organizácie správcu a tretích strán musia byť preukázateľne oboznámení so zásadami bezpečného správania sa, s postupmi pre nahlasovanie bezpečnostných incidentov, ako aj s úlohami a zodpovednosťami uvedenými v príslušnej bezpečnostnej dokumentácii. Rovnako je požadované, aby boli preukázateľne oboznámení s bezpečnostnými politikami organizácie a poučení o povinnosti zachovávať mlčanlivosť o všetkých skutočnostiach, informáciách a osobných údajoch, ku ktorým majú prístup.
Bezpečnostné opatrenia týkajúce sa dodávateľského reťazca predstavujú širší rámec povinností prevádzkovateľa, ktoré zahŕňajú vedenie evidencie o tretích stranách, dokumentovanie poskytovaných služieb a ich vzťahu k aktívam, pravidelnú analýzu rizík, preverovanie primeranosti bezpečnostných opatrení tretích strán a ich pravidelné preskúmavanie. Súčasťou týchto povinností je aj monitorovanie zmien v dodávateľskom reťazci, hodnotenie dopadov na bezpečnosť informačných systémov a udržiavanie aktuálnych informácií o subjektoch, ktoré sa podieľajú na poskytovaní služieb.
Z dôvodu komplexnosti týchto požiadaviek a potreby ich súladu so zákonom o kybernetickej bezpečnosti je vhodné, aby prevádzkovateľ zabezpečil ich posúdenie a v prípade potreby aj vypracovanie prostredníctvom certifikovaného manažéra kybernetickej bezpečnosti. Takýto odborník disponuje potrebnou kvalifikáciou a praxou na to, aby zabezpečil primerané nastavenie bezpečnostných opatrení, kontrolných mechanizmov a procesov riadenia rizík v rámci dodávateľských vzťahov, čo významne prispieva k ochrane informačných aktív prevádzkovateľa.
Je potrebné si uvedomiť, že vhodne nastavená forma prenesenia vybraných povinností na tretiu stranu predstavuje jeden z nástrojov minimalizácie rizika zodpovednosti v prípade vzniku kybernetického bezpečnostného incidentu. Takýto prístup môže do určitej miery chrániť štatutárny orgán organizácie tým, že mu vytvára priestor na preukázanie, že zo strany organizácie boli prijaté a uplatnené primerané technické, organizačné a procesné opatrenia na zabezpečenie kybernetickej bezpečnosti vrátane riadenia rizík vyplývajúcich zo spolupráce s tretími stranami. Zároveň však platí, že aj pri existencii zmluvného prenesenia povinností na tretiu stranu zostáva konečná zodpovednosť za zabezpečenie kybernetickej bezpečnosti vždy na štatutárnom orgáne prevádzkovateľa.
Aktuálne informácie z legislatívnej oblasti
Dlho očakávaná novelizácia vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy je stále v rámci legislatívneho procesu LP/2025/610 v pripomienkovom konaní, ktoré má byť ukončené 17. decembra 2025. Až po následnom schválení vyhlášky a novelizovaného zákona o informačných technológiách budeme vedieť s istotou identifikovať nové požiadavky na zabezpečenie bezpečnostných opatrení vyžadovaných novelizovaným zákonom.
V nasledujúcej časti seriálu sa budeme venovať požiadavkám kybernetickej bezpečnosti z pohľadu využívania umelej inteligencie, pričom sa zameriame na praktické aspekty jej používania, bezpečné spracúvanie informácií, ochranu osobných údajov, riadenie rizík a zodpovednosti, ktoré vznikajú pri využívaní nástrojov umelej inteligencie.
Odkazy na niektoré zdroje užitočných on-line informácií: