Od 1. apríla 2018 je účinný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB“).
Podľa informácie z webového sídla Národného bezpečnostného úradu SR zákon o KB „komplexne upravuje oblasť kybernetickej a informačnej bezpečnosti, zavádza základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov. Zároveň do slovenského právneho poriadku transponuje európsku smernicu o sieťovej a informačnej bezpečnosti (NIS).“
Zákon o KB vyžaduje, aby poskytovatelia služieb implementovali a dodržiavali konkrétne bezpečnostné procesy prostredníctvom moderných bezpečnostných technológií a ukladá im povinnosť odhaliť prípady ohrozenia počítačovej bezpečnosti vo veľkých sieťach a komunikačných alebo informačných systémoch. Akékoľvek nesplnenie zákonných povinností zo strany poskytovateľov služieb môže mať za následok uloženie pokút až do výšky 300 000 eur.
V dôvodovej správe k vládnemu návrhu zákona o KB sa okrem iného uvádza: „Národný bezpečnostný úrad, ako ústredný orgán štátnej správy pre kybernetickú bezpečnosť, pripravil na základe schváleného programového vyhlásenia vlády Slovenskej republiky na roky 2016 – 2020 a v súlade so schválenou Koncepciou kybernetickej bezpečnosti Slovenskej republiky na roky 2015 –2020 a Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020 návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“), ktorým do národného právneho poriadku transponuje smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“).“
Siete a informačné systémy hrajú zásadnú úlohu pri slobodnom pohybe a často sú prepojované a spájané internetom ako globálnym nástrojom. Narušenie siete a informačných systémov v jednom členskom štáte sa preto dotýka ďalších členských štátov a celej Európskej únie. Odolnosť sietí a stabilita informačného systému je základným predpokladom hladkého a nerušeného fungovania vnútorného trhu Európskej únie a predpokladom dôveryhodnej medzinárodnej spolupráce.
Smernica NIS predstavuje prvú celoeurópsku legislatívnu úpravu v oblasti kybernetickej bezpečnosti, ktorá sa zameriava na posilnenie právomocí príslušných vnútroštátnych orgánov, zvyšuje ich vzájomnú koordináciu a predstavuje bezpečnostné podmienky pre kľúčové sektory.
Cieľom smernice NIS je zaručiť spoločnú bezpečnosť sietí a informačných systémov v rámci Európskej únie prostredníctvom zvýšenia bezpečnosti internetu a súkromných sietí a informačných systémov, na ktorých je do značnej miery postavené fungovanie hospodárskych a spoločenských záujmov.
Významným subjektom na poli kybernetickej bezpečnosti v Európskej únii je Európska agentúra pre bezpečnosť sietí a informácií (ENISA), ktorá prispieva k zabezpečovaniu vysokého stupňa bezpečnosti a v spolupráci s európskymi krajinami vytvára spoločnú kultúru bezpečnosti sietí a informačných systémov v Európskej únii.
Povinnosti členských štátov vyplývajúce zo smernice NIS sú nastavené na najnižšej prijateľnej úrovni nevyhnutnej k dosiahnutiu požadovanej pripravenosti a k zabezpečeniu medzištátnej spolupráce založenej na dôvere. Členské štáty môžu v rámci prijatých opatrení zohľadňovať svoje vnútroštátne špecifiká a každý členský štát v tomto smere transponuje smernicu NIS s ohľadom na reálne, skutočné riziká vyskytujúce sa v spoločnosti.
Smernica NIS najmä:
- vyžaduje, aby špecifické druhy zodpovednosti v kybernetickej oblasti prebrali v prvom rade prevádzkovatelia základných (ďalej len „PZS“) a digitálnych služieb (ďalej len „PDS“);
- zavádza bezpečnostné požiadavky a požiadavky na hlásenie kybernetických bezpečnostných incidentov pre PZS a pre PDS;
- ukladá členským štátom povinnosť určiť vnútroštátne príslušné orgány, jednotné kontaktné miesta a bezpečnostné tímy jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“);
- ukladá členským štátom povinnosť prijať národnú stratégiu kybernetickej bezpečnosti;
- ustanovuje skupinu pre spoluprácu, s cieľom podporovať strategickú spoluprácu a výmenu informácií medzi členskými štátmi a budovať vzájomnú dôveru;
- stanovuje sieť jednotiek CSIRT, ktorej účelom je prispievať k budovaniu dôvery medzi členskými štátmi a podporovať účinnú spoluprácu.
V zmysle zákona o KB sa za kybernetický bezpečnostný incident považuje každá udalosť, ktorá spôsobuje alebo môže spôsobiť narušenie bezpečnosti informácií v informačných systémoch alebo elektronických komunikačných službách a sieťach. Poskytovatelia služieb sú povinní hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu SR („NBÚ“), ktorý má postavenie národnej jednotky pre riešenie počítačových incidentov s pôsobnosťou pre Slovenskú republiku („CSIRT“).
V nadväznosti na Legislatívny zámer návrhu zákona o informačnej bezpečnosti, v ktorom boli stanovené okrem čiastkových cieľov dva základné okruhy problémov, a to zaistenie ochrany pre informačné systémy verejnej správy a vytvorenie všeobecného právneho rámca pre ochranu celého digitálneho priestoru Slovenskej republiky, je aj v súlade s naplnenými cieľmi smernice NIS možné konštatovať, že návrh zákona o kybernetickej bezpečnosti komplexne a vyčerpávajúcim spôsobom rieši všetky relevantné otázky.
Príprave návrhu zákona predchádzala široká odborná diskusia. Národný bezpečnostný úrad v rámci príprav organizoval workshopy na tému transpozície smernice NIS do národného právneho poriadku, prebiehali konzultácie s akademickou obcou aj odbornou verejnosťou, boli zriadené príslušné pracovné skupiny. Zákon bol teda vypracovaný aj na základe podnetov a po konzultáciách s orgánmi verejnej moci, ktoré sa k navrhovaným zmenám a oblastiam úprav vyjadrili, ako aj na základe podnetov a diskusií so zástupcami odbornej verejnosti.
Prevádzkovateľ základných služieb
Identifikačné kritériá základnej služby a jej prevádzkovateľov sú uvedené vo vykonávacom nariadení NBÚ, a to vo vyhláške č. 164/2018 Z. z. („vyhláška“).
Podľa ustanovení Zákona o KB prevádzkovateľ základných služieb, ak tento presahuje identifikačné kritériá stanovené vyhláškou, je povinný informovať NBÚ do 30 dní odo dňa, kedy prekročenie zistil. NBÚ následne zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb.
Prevádzkovateľ je povinný prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu vymedzenom zákonom o KB a sektorové bezpečnostné opatrenia, ak sú prijaté.
V prípade, že prevádzkovateľ využíva tretiu stranu – dodávateľa sieťových a informačných systémov, je povinný uzavrieť zmluvu s týmto dodávateľom o zabezpečení dodržiavania bezpečnostných opatrení a notifikačných povinností podľa zákona o KB počas celej doby platnosti dodávateľskej zmluvy.
Zákon o KB tiež upravuje niekoľko notifikačných povinností voči tretím stranám, NBÚ, orgánu činnému v trestnom konaní alebo polícii. Záväzky prevádzkovateľa základných služieb zahŕňajú nielen oznámenie o registrácii služby a jej prevádzkovateľa do príslušného registra alebo oznámenie o kybernetických bezpečnostných incidentoch. Zákonom uložené povinnosti sú rozsiahle a zahŕňajú aj povinnosť prevádzkovateľa spolupracovať s príslušnými orgánmi pri riešení kybernetických bezpečnostných incidentov, poskytovanie dôležitých informácií, zabezpečenie dôkazov na účely trestného konania a oznamovanie trestného činu súvisiaceho s kybernetickou bezpečnostnou.
Poskytovateľ digitálnych služieb
Zákon o KB definuje digitálnu službu a jej poskytovateľa. Digitálne služby zahŕňajú on-line trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou – podnikateľom, ktorý zároveň zamestnáva najmenej 50 zamestnancov a má ročný obrat alebo ročnú bilanciu viac ako 10 000 000 eur.
Poskytovateľ digitálnych služieb je povinný oznámiť NBÚ začatie poskytovania digitálnych služieb. Na základe tohto oznámenia bude digitálna služba zaradená do zoznamu digitálnych služieb a jej poskytovateľ do registra poskytovateľov digitálnych služieb.
Podobne ako prevádzkovateľ základných služieb je poskytovateľ digitálnych služieb povinný prijať a dodržiavať príslušné bezpečnostné opatrenia, avšak podľa osobitných predpisov na účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnych služieb a procesu riešenia kybernetických bezpečnostných incidentov. V tejto súvislosti musí poskytovateľ posudzovať najmä bezpečnosť sietí a informačných systémov a jeho schopnosť predchádzať a riešiť kybernetické bezpečnostné incidenty, potrebné prostriedky na zabezpečenie kontinuity digitálnych služieb v prípade kybernetického bezpečnostného incidentu a súlad sietí a informačných systémov s bezpečnostnými normami.
Poskytovateľ digitálnych služieb okrem toho podlieha niekoľkým notifikačným povinnostiam týkajúcich sa oznamovania kybernetických bezpečnostných incidentov, ako aj povinnostiam spolupracovať s príslušnými orgánmi pri riešení týchto incidentov.
Sankcie
NBÚ vykonáva kontrolu nad dodržiavaním ustanovení zákona o KB. V prípade, že prevádzkovatelia základných služieb alebo poskytovatelia digitálnych služieb porušia povinnosti alebo inak nedodržiavajú požiadavky stanovené zákonom o KB, NBÚ môže uložiť pokuty od 300 eur až do výšky 300 000 eur. V každom prípade NBÚ posudzuje závažnosť správneho deliktu, najmä spôsob, akým bol spáchaný, jeho trvanie, dôsledky a okolnosti, za ktorých bol čin spáchaný.
Záver
Zákon o KB ukladá celú škálu povinností poskytovateľom služieb s cieľom predchádzať a zistiť kybernetické bezpečnostné incidenty v sieťach a informačných systémoch. Je dôležité zdôrazniť, že sem spadajú nie len základné notifikačné povinnosti, ale aj povinnosť riešiť kybernetické bezpečnostné incidenty a spolupracovať s príslušnými orgánmi pri ich riešení. Prevádzkovatelia základných služieb a poskytovatelia digitálnych služieb by mali venovať náležitú pozornosť týmto povinnostiam, pretože ich nedodržanie môže viesť k uloženiu značných pokút.