Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len "zákon o kybernetickej bezpečnosti") je účinný od 1. apríla 2018. Ustanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti.
Viete, či a kedy ste povinnou osobou podľa tohto zákona a aké sú vaše prípadné povinnosti, ktoré vám z neho vyplývajú?
Dotknutými a teda povinnými subjektmi zo zákona o kybernetickej bezpečnosti sú všetky orgány verejnej moci a štátnej správy vrátane ich rozpočtových a príspevkových organizácií, sú nimi tiež právnické či fyzické osoby prevádzkujúce základné služby alebo digitálne služby.
Prevádzkujete základnú službu?
Poďme si to vysvetliť na príklade. Ste napríklad spoločnosťou, ktorá sa zaoberá úpravou vody pred jej dodávkou do verejného vodovodu. Podľa § 3 písm. l) bod 1 zákona o kybernetickej bezpečnosti základnou službou je taká služba, ktorá je uvedená v zozname základných služieb a závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore / podsektore podľa prílohy č. 1 zákona o kybernetickej bezpečnosti. Podľa tejto prílohy patríte, ako podnik upravujúci vodu, pod bod 9 - Voda a atmosféra.
Ďalej musíte skúmať, či vami poskytovaná služba spĺňa aspoň jedno špecifické sektorové kritérium a zároveň aspoň jedno dopadové kritérium, ak áno, tak ste sa práve zaradili medzi poskytovateľov základnej služby, nakoľko do bodky napĺňate legálnu definíciu tohto pojmu. Sektorové a dopadové kritériá nájdete vo vyhláške č. 164/2018 Z. z. podľa ktorej, ak prevádzkovateľ služby z oblasti Voda a atmosféra spĺňa špecifické sektorové kritérium (napríklad, ako vy, je úpravňou vody) a zároveň pri ňom platí aspoň jedno dopadové kritérium, teda napríklad, že kybernetický bezpečnostný incident je spôsobilý navodiť situáciu, že bude viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo stratu jedného života, ste poskytovateľom základnej služby.
Kto vyhodnocuje, či je niekto prevádzkovateľom základnej služby?
Splnenie sektorových a dopadových kritérií je potrebné vyhodnocovať spôsobom, aký potenciálny dopad by mohol mať kybernetický bezpečnostný incident v informačnom systéme alebo sieti, na ktorých fungovaní je závislé poskytovanie konkrétnej prevádzkovanej služby. Uvedené sa teda realizuje interne, na základe vykonaného vlastného vnútorného auditu, prípadne, ak si ho neviete vykonať sami, je možné si ho dať vykonať spôsobilou osobou.
Ak sa na základe zákona o kybernetickej bezpečnosti a príslušných vyhlášok identifikujete ako poskytovateľ základnej služby, tak máte povinnosť sa nahlásiť stanoveným spôsobom s ustanovenými náležitosťami v určenej lehote Národnému bezpečnostnému úradu, podrobnosti tohto postupu nájdete v § 17 zákona o kybernetickej bezpečnosti.
Ste poskytovateľom digitálnej služby?
Obdobný postup sebaidentifikácie sa uplatní aj pri určení záveru, či ste alebo nie ste poskytovateľom digitálnej služby, ibaže by vás ako poskytovateľa priamo určil zákon. Taktiež postup nahlásenia sa na Národný bezpečnostný úrad, ako poskytovateľa digitálnej služby je obdobný, ako pri prevádzkovateľoch základnej služby.
Som prevádzkovateľ základnej služby alebo poskytovateľ digitálnej služby, mám podľa zákona o kybernetickej bezpečnosti nejaké povinnosti?
Prevádzkovateľovi základnej služby alebo poskytovateľovi digitálnej služby vnikajú zo zákona o kybernetickej bezpečnosti povinnosti, ktoré sú tieto subjekty povinné aplikovať, dodržiavať a kontrolovať ich plnenie v zákonom stanovenej lehote od zistenia rozhodnej skutočnosti.
Podľa § 19 ods. 1 zákona o kybernetickej bezpečnosti „Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.“
Podľa § 22 ods. 1 zákona o kybernetickej bezpečnosti „Poskytovateľ digitálnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra poskytovateľov digitálnych služieb prijať a dodržiavať vhodné a primerané bezpečnostné opatrenia podľa osobitného predpisu na účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnej služby a procesu riešenia kybernetických bezpečnostných incidentov.“
Obaja, teda prevádzkovateľ základnej služby, ako aj poskytovateľ digitálnej služby musia riešiť a hlásiť kybernetické bezpečnostné incidenty, musia prijať adekvátne a na určenom stupni predpísané bezpečnostné opatrenia, ktorých napĺňanie musia neustále zabezpečovať a kontrolovať.
Na účely overenia plnenia povinností podľa zákona o kybernetickej bezpečnosti, posúdenia zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona o kybernetickej bezpečnosti a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre prostriedky, ktoré podporujú základné služby, musia tieto subjekty vykonávať audit kybernetickej bezpečnosti. Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení do dvoch rokov odo dňa jeho zaradenia do registra prevádzkovateľov základných služieb. Audit vykonáva výhradne certifikovaný audítor kybernetickej bezpečnosti.
Mať zabezpečenú kybernetickú bezpečnosť neznamená len splnenie legislatívnych požiadaviek, vypracovanie dokumentácie a zavedenie opatrení. Treba sledovať aktuálny stav bezpečnosti, pretože neustále sa objavujú nové a nové hrozby a zraniteľnosti systémov. Nestačíte na to sami? Pomôžeme vám. Kontaktujte nás na info@isecure.sk.