Nové povinnosti vyplývajúce zo zákona o kybernetickej bezpečnosti

November 2019 - Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len ako „Zákon“) ustanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. Vzťahuje sa na prevádzkovateľov základných služieb - subjekty v kľúčových sektoroch, medzi ktoré patria bankovníctvo, elektronické komunikácie, energetika alebo zdravotníctvo¹ - a na poskytovateľov digitálnych služieb.

Hoci je zákon zameraný na poskytovateľov služieb, ktoré sú kľúčové pre riadny chod spoločnosti a hospodárstva, v niektorých oblastiach sa uplatní aj na menšie spoločnosti. Napríklad v sektore zdravotníctva ide o (1) poskytovateľov zdravotnej starostlivosti, ktorých Príloha č.1 k Zákonu vymedzuje ako „akékoľvek osoby, alebo akýkoľvek iný subjekt, ktorý legálne poskytuje zdravotnú starostlivosť na území členského štátu.“ a (2) správcov a prevádzkovateľov sietí a informačných systémov, ktorí sú prvkom kritickej infraštruktúry.²

Vyhláška č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby), vymedzuje pre oblasť zdravotníctva špecifické sektorové a dopadové kritériá. Medzi sektorové kritériá patrí minimálny celkový počet akútnych lôžok v posledných troch kalendárnych rokoch stanovený na 500, štatút centra vysoko špecializovanej traumatologickej starostlivosti podľa osobitného predpisu³ a poskytovanie laboratórnych služieb.⁴

Hlavnými povinnosťami prevádzkovateľov základných služieb sú v zásade (1) povinnosť prijať predpísané bezpečnostné opatrenia a (2) riešiť a bezodkladne oznámiť bezpečnostné incidenty. Ich povinnosti však zahŕňajú aj ďalšie:

• oznámiť Národnému bezpečnostnému úradu (ďalej iba „Úrad“), že spoločnosť má byť zaradená do registra prevádzkovateľov základných služieb (a informovať o tom poskytovateľa elektronických komunikačných služieb),
• prijať a dodržiavať bezpečnostné opatrenia v predpísanom rozsahu,
• riešiť kybernetický bezpečnostný incident (vrátane zabezpečenia vhodných dôkazov pre trestné konanie),
• uzavrieť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností s dodávateľmi služieb, ktoré priamo súvisia s prevádzkou sietí a informačných systémov a
• rôzne notifikačné povinnosti:
  • a. hlásiť každý závažný kybernetický bezpečnostný incident prostredníctvom jednotného informačného systému kybernetickej bezpečnosti,⁵
  • b. notifikovať vyššie uvedených dodávateľov o hlásenom kybernetickom bezpečnostnom incidente,
  • c. oboznámiť orgány činné v trestnom konaní alebo Policajný zbor v prípade, ak bol spáchaný trestný čin, ktorého sa kybernetický útok týka.

Dopadové kritéria vyhláška definuje ako následky kybernetického bezpečnostného incidentu v informačnom systéme alebo sieti, na ktorých fungovaní je závislé poskytovanie služby. Medzi možné následky, ako dôsledok kybernetického bezpečnostného incidentu v sektore zdravotníctva, môžeme zaradiť hospodársku stratu vyššiu ako 0,1 % HDP, hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur, viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo stratu jedného života⁶, ale taktiež aj narušenie verejného poriadku alebo verejnej bezpečnosti.

Dôležitou povinnosťou je ďalej povinnosť do dvoch rokov odo dňa zaradenia do registra prevádzkovateľov základných služieb vykonať audit kybernetickej bezpečnosti. Podstatou auditu kybernetickej bezpečnosti je posúdiť zhodu prijatých bezpečnostných opatrení a plnenie povinností vyplývajúcich zo Zákona. Vyhláška, ktorou sa určujú pravidlá a rozsah auditu kybernetickej bezpečnosti a podrobnosti o akreditácii orgánov posudzovania zhody, je v súčasnosti v medzirezortnom pripomienkovom konaní. Podľa daného návrhu vyhlášky sa audit kybernetickej bezpečnosti bude vykonávať každé dva roky a po každej zmene majúcej významný vplyv na realizované bezpečnostné opatrenia. Takýto audit bude vykonávať fyzická osoba - audítor, ktorý je certifikovaný akreditovaným certifikačným orgánom. Táto certifikácia sa bude vykonávať na základe žiadosti, ktorá obsahuje zákonom predpísané náležitosti a samotný certifikát sa bude vydávať s platnosťou najviac na tri roky s možnosťou obnovy platnosti certifikátu. Medzi základné právomoci audítora patrí určenie rozsahu trvania auditu tak, aby bol dostatočný pre posúdenie účinnosti prijatých bezpečnostných opatrení a taktiež vydávanie záverečnej správy o výsledkoch auditu, kde audítor hodnotí výsledok auditu a uvedie dôkazy, na základe ktorých sa hodnotenie vykonalo. Prevádzkovateľ základnej služby je povinný do 30 dní po ukončení auditu kybernetickej bezpečnosti predložiť Úradu záverečnú správu o výsledku auditu a taktiež opatrenia na nápravu s konkrétnymi lehotami. Náklady spojené s vykonaním auditu bude znášať prevádzkovateľ základnej služby.

Národný bezpečnostný úrad v oblasti kybernetickej bezpečnosti okrem iného vykonáva kontrolu, vydáva rozhodnutia o uložení opatrení, ukladá sankcie v prípade priestupkov alebo iných správnych deliktov. Úrad môže uložiť pokutu od 300 eur až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur. Úrad vyhláškou vymedzí presné podmienky, ktoré sa budú týkať akreditácie orgánov posudzovania zhody, praxe a vzdelania audítorov, rozsahu a obsahu záverečnej správy a výsledkoch auditu kybernetickej bezpečnosti.

V prípade akýchkoľvek otázok, vrátane realizácie auditu Vám radi pomôžu autori článku:

• Peter Kováč, Of Counsel, +421 2 5929 1121,
• Lukáš Mrázik, Associate, +421 2 5929 1165

alebo naši spolupracujúci odborníci v oblasti kybernetickej bezpečnosti.

¹ Ďalej doprava, pošta, priemysel, informačné a komunikačné technológie, voda a atmosféra.
² https://www.nbu.gov.sk/wp-content/uploads/kyberneticka-bezpecnost/prevadzkovatelia-ZS.htm
³ Napriek viacerým dokumentom, ktoré sa dostali do legislatívneho procesu a obsahovali tento pojem, v právnych predpisoch upravujúcich poskytovanie zdravotnej starostlivosti sa používa len pojem „traumacentrum“ – k tomu pozri aj výnos č. 44/2008 Ministerstva zdravotníctva Slovenskej republiky o minimálnych požiadavkách na personálne zabezpečenie a materiálno-technické vybavenie jednotlivých druhov zdravotníckych zariadení.
⁴ Opätovne ide o terminologickú nejasnosť, nakoľko legislatíva upravujúca poskytovanie zdravotnej starostlivosti používa iba pojem „zariadenie spoločných vyšetrovacích a liečebných zložiek“. Do tejto kategórie zariadení spadá okrem laboratórnych vyšetrení biologického materiálu aj vyšetrovanie s použitím zobrazovacích metód ako CT/MR a pod., ktoré sú v súčasnosti u dotknutých poskytovateľov takmer výhradne digitalizované. Prevádzkovatelia laboratórií používajú na oznamovanie výsledkov veľmi často elektronické služby.
⁵ https://www.nbu.gov.sk/kyberneticka-bezpecnost/jednotny-informacny-system-kybernetickej-bezpecnosti/index.html
⁶ Kritérium možnej straty jedného života bude v súvislosti s poskytovaním zdravotnej starostlivosti mimoriadne problematické, nakoľko bude veľmi náročné určiť, kedy hrozí pri kybernetickom incidente strata života.