Medzinárodná priorita tretieho tisícročia: kybernetická bezpečnosť

Dnešná spoločnosť je závislá na informáciách - kto má prístup k informáciám, má prístup k moci, financiám a môže poťahovať za tie „najdôležitejšie nitky“. Keďže prevažná väčšina informácií sa pre ich objem dnes už spracúva elektronicky, zvyšuje sa nielen množstvo technologických vymožeností, efektivita práce, naša informovanosť a komfort či bezpečnosť, ale zároveň sa stávame aj citlivejší viac ako kedykoľvek predtým. Preto sa kybernetická bezpečnosť nevyhnutne stáva jednou z popredných priorít, a to nielen individuálnych, ale i celoštátnych, dokonca medzinárodných.

Ohrozenie kybernetickej bezpečnosti totiž môže znamenať okrem iného napríklad i nasledovné: 

Uvedené incidenty môžu spôsobiť nielen škody, ktoré sa môžu vyšplhať až do výšky státisícich eur, ale aj ohroziť národnú bezpečnosť a potenciálne rozpútať i medzinárodné vojnové konflikty. 

Inštitucionálny a právny rámec zameraný na zvyšovanie bezpečnosti a odolnosti kybernetického priestoru u nás predstavuje čerstvo schválený zákon o kybernetickej bezpečnosti. Zákon nadobúda účinnosť 1. marca 2018, pričom pri ustanoveniach, ktoré zakladajú povinnosti vyžadujúce si prípravu a implementáciu, sa stanovuje odložená účinnosť. 

Základným účelom zákona je zaručiť spoločnú bezpečnosť sietí a informačných systémov nielen v rámci Slovenskej republiky, ale prostredníctvom medzinárodnej spolupráce zároveň aj v rámci EÚ. Podľa zákona, kybernetickou bezpečnosťou sa rozumie „stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov“

Zákon transponuje smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii, známu aj pod názvom smernica NIS. Táto smernica je jedným z kľúčových dokumentov EÚ v oblasti kybernetickej bezpečnosti a jej obsah musia všetky členské štáty implementovať do svojej národnej legislatívy. 

Medzi konkrétne hlavné úlohy vyplývajúce zo smernice NIS, ktoré boli transponované do zákona o kybernetickej bezpečnosti patria okrem iného najmä:


Najdôležitejším orgánom so širokým spektrom pôsobností v oblasti kybernetickej bezpečnosti je Národný bezpečnostný úrad (NBÚ). Medzi jeho najvýznamnejšie úlohy patrí určovanie štandardov, operačných postupov, vydávanie metodiky a politiky správania sa v kybernetickom priestore. Úrad určuje tiež zásady predchádzania a riešenia kybernetických bezpečnostných incidentov a vypracúva národnú stratégiu kybernetickej bezpečnosti spolu s ročnou správou o stave kybernetickej bezpečnosti v Slovenskej republike. 

NBÚ získava postavenie národnej jednotky CSIRT, ktorej hlavnou úlohou je riešenie kybernetických bezpečnostných incidentov, ako i výkon preventívnych a reaktívnych služieb, pričom v hierarchii jednotiek CSIRT má najvyššie miesto. Na základe žiadosti žiadateľa, ktorý má plniť úlohy jednotky CSIRT, Úrad bude posudzovať, či žiadateľ spĺňa podmienky akreditácie jednotky CSIRT a v prípade ak áno, je oprávnený udeliť akreditáciu. Akreditácia sa udeľuje na dobu určitú v trvaní najviac na 5 rokov, jej platnosť však možno opakovane predĺžiť, ak nedošlo k zmene podmienok, na základe ktorých Úrad akreditáciu udelil. Naopak, v prípade nedostatkov v plnení podmienok alebo pri neplnení úloh jednotky CSIRT môže Úrad akreditáciu aj odobrať. Jednotku CSIRT bude musieť zriadiť každá vecne príslušná inštitúcia. 
 
Do 18 mesiacov od účinnosti zákona Úrad ako prevádzkovateľ a správca sprístupní jednotný informačný systém kybernetickej bezpečnosti, ktorý bude slúžiť na riadenie, koordináciu, evidenciu a kontrolu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT. Tento informačný systém bude obsahovať komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a bude zaisťovať systematické získavanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch. 

NBÚ bude takisto plniť aj úlohu kontaktného miesta pre kybernetickú bezpečnosť pre inštitúcie SR a prevádzkovateľov základných služieb, ako i pre zahraničie, zabezpečujúc spoluprácu s jednotlivými kontaktnými miestami iných členských štátov EÚ a NATO.

Prevádzkovateľmi základných služieb (PZS) sa rozumejú orgány verejnej moci alebo osoby prevádzkujúce aspoň jednu službu, ktorá je zaradená v zozname základných služieb, ktorými sú: bankovníctvo, doprava, digitálna infraštruktúra, elektronické komunikácie, energetika, finančné trhy, pošta, chemický, farmaceutický a hutnícky priemysel, vodohospodárstvo, služby verejnej správy a zdravotníctvo. Zákona identifikuje tri druhy základnej služby:

služby v uvedených oblastiach podľa prílohy č. 1 zákona, 
základná služba ako informačný systém verejnej správy,
základná služba ako prvok kritickej infraštruktúry.

O zaradení služby do zoznamu základných služieb a o zaradení prevádzkovateľa do zoznamu PZS rozhoduje Úrad. V praxi to znamená, že PZS a základná služba budú uvedení v príslušnom zozname jednotného informačného systému kybernetickej bezpečnosti a oznámenie o tejto skutočnosti bude dotknutým subjektom zaslané aj v zmysle zákona o e-Governmente elektronicky prostredníctvom dátovej schránky. 
PZS sa zapisuje do registra PZS a do 6 mesiacov odo dňa oznámenia o zaradení do zoznamu je PZS povinný prijať a dodržiavať všeobecné bezpečnostné opatrenia a v prípade, ak sú prijaté tak aj príslušné sektorové opatrenia. Medzi ďalšie povinnosti PZS patrí tiež bezodkladné hlásenie a riešenie kybernetických bezpečnostných incidentov, spolupráca s Úradom a ústrednými orgánmi pri riešení incidentov, zabezpečovanie dôkazov v čase kybernetického bezpečnostného incidentu tak, aby mohli byť použité v trestnom konaní a oznamovanie orgánom činným v trestnom konaní spáchanie trestného činu, ktorého sa týka kybernetický bezpečnostný incident.

PZS musia dodržiavať bezpečnostné opatrenia minimálne v rozsahu stanovenom zákonom. Tieto sú stanovené všeobecne a subjekty, ktoré majú povinnosť aplikovať tieto bezpečnostné opatrenia, si môžu zvoliť vlastný spôsob ako tieto bezpečnostné opatrenia zrealizovať, ako i uplatniť prísnejšie bezpečnostné opatrenia, než sú opatrenia stanovené v zákone. 

Za poskytovateľa digitálnej služby (PDS) sa považuje fyzická osoba - podnikateľ alebo právnická osoba poskytujúca digitálnu službu - online trhovisko, internetový vyhľadávač alebo cloud computing, ktorá zároveň zamestnáva minimálne 50 zamestnancov a jej ročný obrat prevyšuje 10 miliónov eur. PDS sa rovnako ako PZS zapisuje do registra a do 6 mesiacov odo dňa oznámenia o zaradení do registra musí prijať a dodržiavať aspoň minimálne bezpečnostné opatrenia. Každý incident, ktorý má závažný vplyv na poskytovanie služby, musia PDS bezodkladne oznámiť príslušnému orgánu alebo jednotke CSIRT. Zákon tiež upravuje povinnosti PDS vo vzťahu k tretím stranám, povinnosť ustanoviť si svojho zástupcu v Slovenskej republike, ako i hlásenie a riešenie kybernetických bezpečnostných incidentov.

Zákon teda vytvára legislatívny rámec nevyhnutný pre efektívne realizovanie zásadných opatrení pre zaistenie bezpečnosti národného kybernetického priestoru, transponujúc priority a požiadavky, ktoré boli stanovené na úrovni EÚ prostredníctvom smernice NIS. Vzhľadom na to, že oblasť kybernetickej bezpečnosti je nielen veľmi náročnou a technicky špecifickou, ale i dynamicky sa vyvíjajúcou oblasťou, v najbližšom období možno určite očakávať ďalšie špecifické predpisy a na to nadväzujúce legislatívne zmeny. 

Publikované na www.epravo.sk, 13.02.2018

MENKE LEGAL s.r.o.