Sieťové a informačné systémy a predovšetkým internet hrajú zásadnú úlohu pri uľahčovaní cezhraničného pohybu tovaru, služieb a osôb. Vzhľadom na nadnárodnú povahu môžu podstatné narušenia týchto systémov, či už úmyselne alebo neúmyselne a bez ohľadu na to, kde sa vyskytujú, ovplyvniť jednotlivé členské štáty a Úniu ako celok. Pre bezproblémové fungovanie vnútorného trhu je preto nevyhnutná bezpečnosť sieťových a informačných systémov.
Prijatím ZKB Slovenská republika transponovala smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19. 7. 2016) ("smernica o NIS"). Cieľom smernice NIS a ZKB je ochrana informačných systémov a sietí pred narušením buď samotnými technickými zariadeniami, údajmi spracúvanými na nich alebo službami, ktoré sa prostredníctvom nich poskytujú. ZKB stanovuje niekoľko povinností pre verejné orgány, poskytovateľov základných služieb (napr. v oblasti bankovníctva, dopravy, energetiky, digitálnej infraštruktúry, pošty, farmaceutického, metalurgického a chemického priemyslu a zdravotníctva) a poskytovateľov digitálnych služieb v oblasti kybernetickej bezpečnosti.
V zmysle ZKB sa za kybernetický bezpečnostný incident považuje každá udalosť, ktorá spôsobuje alebo môže spôsobiť narušenie bezpečnosti informácií v informačných systémoch alebo elektronických komunikačných službách a sieťach. Poskytovatelia služieb sú povinní hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu SR („NBÚ“), ktorý má postavenie národnej jednotky pre riešenie počítačových incidentov s pôsobnosťou pre Slovenskú republiku („CSIRT“).
Prevádzkovateľ základných služieb
Identifikačné kritériá základnej služby a jej prevádzkovateľov sú uvedené vo vykonávacom nariadení NBÚ, a to vo Vyhláške č.
164/2018 Z. z. („
Vyhláška“).
Podľa ustanovenia § 17 ods. 1 ZKB prevádzkovateľ základných služieb, ak tento presahuje identifikačné kritériá stanovené Vyhláškou, je povinný informovať NBÚ do 30 dní odo dňa, keď prekročenie zistil. NBÚ následne zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb.
Prevádzkovateľ je povinný prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu vymedzenom ZKB a sektorové bezpečnostné opatrenia, ak sú prijaté.
V prípade, že prevádzkovateľ využíva tretiu stranu - dodávateľa sieťových a informačných systémov, je povinný uzavrieť zmluvu s týmto dodávateľom o zabezpečení dodržiavania bezpečnostných opatrení a notifikačných povinností podľa ZKB počas celej doby platnosti dodávateľskej zmluvy.
ZKB tiež upravuje niekoľko notifikačných povinností voči tretím stranám, NBÚ, orgánu činnému v trestnom konaní alebo polícii. Záväzky prevádzkovateľa základných služieb zahŕňajú nielen oznámenie o registrácii služby a jej prevádzkovateľa do príslušného registra alebo oznámenie o kybernetických bezpečnostných incidentoch. Zákonom uložené povinnosti sú rozsiahle a zahŕňajú aj povinnosť prevádzkovateľa spolupracovať s príslušnými orgánmi pri riešení kybernetických bezpečnostných incidentov, poskytovanie dôležitých informácií, zabezpečenie dôkazov na účely trestného konania a oznamovanie trestného činu súvisiaceho s kybernetickou bezpečnostnou.
Poskytovateľ digitálnych služieb
V ustanoveniach § 3 písm. m) a písm. n) ZKB definuje digitálnu službu a jej poskytovateľa. Digitálne služby zahŕňajú online trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou - podnikateľom, ktorý zároveň zamestnáva najmenej 50 zamestnancov a má ročný obrat alebo ročnú bilanciu viac ako 10 000 000 EUR.
Poskytovateľ digitálnych služieb je povinný oznámiť NBÚ začatie poskytovania digitálnych služieb. Na základe tohto oznámenia bude digitálna služba zaradená do zoznamu digitálnych služieb a jej poskytovateľ do registra poskytovateľov digitálnych služieb.
Podobne ako prevádzkovateľ základných služieb je poskytovateľ digitálnych služieb povinný prijať a dodržiavať príslušné bezpečnostné opatrenia, avšak podľa osobitných predpisov na účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnych služieb a procesu riešenia kybernetických bezpečnostných incidentov. V tejto súvislosti musí poskytovateľ posudzovať najmä bezpečnosť sietí a informačných systémov a jeho schopnosť predchádzať a riešiť kybernetické bezpečnostné incidenty, potrebné prostriedky na zabezpečenie kontinuity digitálnych služieb v prípade kybernetického bezpečnostného incidentu a súlad sietí a informačných systémov s bezpečnostnými normami.
Poskytovateľ digitálnych služieb okrem toho podlieha niekoľkým notifikačným povinnostiam týkajúcich sa oznamovania kybernetických bezpečnostných incidentov ako aj povinnostiam spolupracovať s príslušnými orgánmi pri riešení týchto incidentov.
Pokuty
NBÚ vykonáva kontrolu nad dodržiavaním ustanovení ZKB. V prípade, že prevádzkovatelia základných služieb alebo poskytovatelia digitálnych služieb porušia povinnosti alebo inak nedodržiavajú požiadavky stanovené ZKB, NBÚ môže uložiť pokuty od 300 EUR až do výšky 300 000 EUR. V každom prípade NBÚ posudzuje závažnosť správneho deliktu, najmä spôsob, akým bol spáchaný, jeho trvanie, dôsledky a okolnosti za ktorých bol spáchaný.
Záver
ZKB ukladá celú škálu povinností poskytovateľom služieb s cieľom predchádzať a zistiť kybernetické bezpečnostné incidenty v sieťach a informačných systémoch. Je dôležité zdôrazniť, že sem spadajú nie len základné notifikačné povinnosti ale aj povinnosť riešiť kybernetické bezpečnostné incidenty a spolupracovať s príslušnými orgánmi pri ich riešení. Prevádzkovatelia základných služieb a poskytovatelia digitálnych služieb by mali venovať náležitú pozornosť týmto povinnostiam, pretože ich nedodržanie môže viesť k uloženiu značných pokút.
Mgr. Veronika Šišková, LL.M.
Palisády 33,
811 06 Bratislava
Tel.: +421/2/20648580