Zoznam použitých skratiek
Akčný plán AkčnýplánrealizácieKoncepciekybernetickejbezpečnostiSlovenskejrepublikynaroky2015-2020schválenýuznesenímvlády
SR č. 93/2016 (2016)
CSIRT/CERT ComputerSecurityIncidentResponseTeam/ComputerEmergency Response Team
ENISA Európska agentúra pre bezpečnosť sietí a informácií
EÚ alebo Únia Európska únia
GDPR NariadenieEurópskehoparlamentuaRady(EÚ)č.2016/679 z27.apríla2016oochranefyzickýchosôbprispracúvaníosobnýchúdajovaovoľnompohybetakýchtoúdajov,ktorýmsazrušujesmernica95/46/ES(všeobecnénariadenieoochraneúdajov) (Ú. v. EÚ L 119/89, 4. 5. 2016)
ITIL® zangl.„InformationTechnologyInfrastructureLibrary“jesúbor publikácií,ktorýobsahujezbierkunajlepšíchskúsenostízodboru riadeniaITslužieb(skratkajeregistrovanouochrannouznámkou)
Jednotka CSIRT Jednotkapreriešeniekybernetickýchbezpečnostnýchincidentov [§ 1 písm. d) Zákona]
Jednotný informačný systém kybernetickej bezpečnosti alebo
JISKB
§ 8 Zákona
Kompetenčný zákon Zákonč.575/2001Z.z.oorganizáciičinnostivládyaorganizácii ústrednej štátnej správy v platnom znení
Koncepcia kybernetickej bezpečnosti SR
KoncepciakybernetickejbezpečnostiSlovenskejrepublikyna roky2015–2020,schválenáuznesenímvládySRč.328/2015 (2015)
Krízový zákon Zákonč.387/2002Z.z.oriadeníštátuvkrízovýchsituáciách mimo času vojny a vojnového stavu v platnom znení
Nariadenie eIDAS
NariadenieEurópskehoparlamentuaRady(EÚ)č.910/2014 z23.júla2014oelektronickejidentifikáciiadôveryhodnýchslužbáchpreelektronickétransakcienavnútornomtrhuaozrušení smernice 1999/93/ES
NATO Organizácia Severoatlantickej zmluvy
Notársky poriadok Zákonč.323/1992Zb.onotárochanotárskejčinnosti(Notársky poriadok) v platnom znení
Občiansky zákonník Zákon č. 40/1964 Zb. Občiansky zákonník v platnom znení
Obchodný zákonník
alebo ObZ
Zákon č. 513/1991 Zb. Obchodný zákonník v platnom znení
XII Komentár k zákonu č. 69/2018 Z. z.
Poskytovateľ digitálnej služby alebo PDS
Prevádzkovateľ základnej služby alebo PZS
Smernica NIS
§ 3 písm. n) Zákona
§ 3 písm. l) Zákona
SmernicaEurópskehoparlamentuaRady(EÚ)2016/1148oopatreniachnazabezpečenievysokejspoločnejúrovnebezpečnosti sietí a informačných systémov v Únii
Správny poriadok Zákon č. 71/1967 Zb. Správny poriadok v platnom znení
Správny súdny poriadok
Zákonč.162/2015Z.z.Správnysúdnyporiadokvplatnomznení
SR Slovenská republika
Trestný poriadok Zákon č. 301/2005 Z. z. Trestný poriadok v platnom znení
Trestný zákon Zákon č. 300/2005 Z. z. Trestný zákon v platnom znení
Úrad alebo NBÚ
alebo Národný bezpečnostný úrad podľa § 34 Kompetenčného zákona
Vyhláška NBÚ č. 164/2018 Z. z.
Vyhláška NBÚ č. 165/2018 Z. z.
Vyhláška NBÚ č. 166/2018 Z. z.
Vyhláška NBÚ
č. 362/2018 Z. z.
Vykonávacie
nariadenie Komisie (EÚ) 2018/151
VyhláškaNárodnéhobezpečnostnéhoúraduč.164/2018Z.z., ktorousaurčujúidentifikačnékritériáprevádzkovanejslužby (kritériá základnej služby)
VyhláškaNárodnéhobezpečnostnéhoúraduč.165/2018Z.z., ktorousaurčujúidentifikačnékritériáprejednotlivékategóriezávažnýchkybernetickýchbezpečnostnýchincidentovapodrobnosti hlásenia kybernetických bezpečnostných incidentov
VyhláškaNárodnéhobezpečnostnéhoúraduč.166/2018Z.z. opodrobnostiachotechnickom,technologickomapersonálnom vybaveníjednotkypreriešeniekybernetickýchbezpečnostných incidentov
VyhláškaNárodnéhobezpečnostnéhoúraduč.362/2018Z.z., ktorousaustanovujeobsahbezpečnostnýchopatrení,obsah aštruktúrabezpečnostnejdokumentáciearozsahvšeobecných bezpečnostných opatrení
VykonávacienariadenieKomisie(EÚ)2018/151z30.januára 2018,ktorýmsastanovujúpravidláuplatňovaniasmerniceEurópskehoparlamentuaRady(EÚ)2016/1148,pokiaľideobližšiu špecifikáciuprvkov,ktorémusiaposkytovateliadigitálnychslužiebzohľadňovaťpririadenírizíkvoblastibezpečnostisietíainformačnýchsystémov,aparametrovnaposudzovanietohto,čimá incident závažný vplyv (Ú. v. EÚ L 26, 31. 1. 2018)
Výnos o štandardoch VýnosMinisterstvafinanciíSlovenskejrepublikyč.55/2014Z.z. o štandardoch pre informačné systémy verejnej správy
o kybernetickej bezpečnosti XIII Zoznam použitých skratiek
Zákon o e-Governmente
Zákon o NBS
Zákon o bankách
Zákon o bezpečnosti štátu
Zákon o elektronických komunikáciách
Zákon o ISVS
Zákon o kontrole
Zákon o kritickej infraštruktúre alebo
ZoKI
Zákon o obrane
Zákon o OOÚ
Zákon o OUS
Zákon o priestupkoch
Zákon o SIS
Zákonč.305/2013Z.z.oelektronickejpodobevýkonupôsobnostiorgánovverejnejmociaozmeneadoplneníniektorýchzákonov (zákon o e-Governmente) v platnom znení
Zákonč.566/1992Zb.oNárodnejbankeSlovenskavplatnomznení
Zákonč.483/2001Z.z.obankáchaozmeneadoplneníniektorých zákonov v platnom znení
Ústavnýzákonč.227/2002Z.z.obezpečnostištátuvčasevojny, vojnovéhostavu,výnimočnéhostavuanúdzovéhostavuvplatnom znení
Zákonč.351/2011Z.z.oelektronickýchkomunikáciáchvznení neskorších predpisov v platnom znení
Zákonč.275/2006Z.z.oinformačnýchsystémochverejnejsprávy a o zmene a doplnení niektorých zákonov v platnom znení
Zákonč.10/1996Z.z.okontrolevštátnejsprávevplatnomznení
Zákon č. 45/2011 Z. z. o kritickej infraštruktúre v platnom znení
Zákonč.319/2002Z.z.oobraneSlovenskejrepublikyvplatnom znení
Zákonč.18/2018Z.z.oochraneosobnýchúdajovaozmeneadoplnení niektorých zákonov v platnom znení
Zákonč.215/2004Z.z.oochraneutajovanýchskutočností a o zmene a doplnení niektorých zákonov v platnom znení
Zákonč.372/1990Zb.opriestupkochvzneníneskoršíchpredpisov v platnom znení
Zákonč.46/1993Z.z.oSlovenskejinformačnejslužbevplatnom znení
Zákon o VS Zákonč.198/1994Z.z.oVojenskomspravodajstvevplatnom znení
Zákon alebo ZoKB
Zákonč.69/2018Z.z.okybernetickejbezpečnostiaozmene a doplnení niektorých zákonov v platnom znení
Zákonník práce alebo ZP Zákon č. 311/2001 Z. z. Zákonník práce v platnom znení
Zmluva o fungovaní EÚ alebo ZFEÚ
Živnostenský zákon
ZmluvaofungovaníEurópskejúnievplatnomznení(Ú.v.EÚ C 326, 26. 10. 2012)
Zákonč.455/1991Zb.oživnostenskompodnikaní(živnostenský zákon) v platnom znení
XIV Komentár k zákonu č. 69/2018 Z. z. Zoznam použitých skratiek
Úvod
Bolotorelatívnenedávno,80.rokyminuléhostoročia,keďdobežnéhoživotaľudí,podnikovadomácnostívstúpilavýpočtovátechnika.Užtozrazunebolilenimaginárnevýpočtovéstrediskáazariadeniavybavenéveľkýmikotúčmipamäťovýchpások,skrytézahrubýmistenamiadostupnélenúzkemuokruhuzasvätených,alehmatateľnákaždodennáskúsenosť.Zozačiatku,akokaždánovátechnológia,ajtátobolaobmedzenánaekonomické možnosti podnikov a jednotlivcov.
Zákonytrhu,tlakponuky–dopytuspôsobili,žepribližneodroku1981,kedyjedatovanéuvedenieprvéhovýpočtovéhostroja,tzv.„VonNeumannovej“architektúry(strojcovia hoprezieravonazvaliosobnýpočítač),sastalototozariadeniečorazkompaktnejšieavýkonnejšie...Akdesanachádzamevsúčasnosti?Prikaždodennejrutinnejprácičizábave svýpočtovýmizariadeniamisidnesmáloktouvedomuje,žemerateľnývýpočtovývýkon bežnedostupnéholacnéhosmartfónusaužvôbecnedáporovnaťsvýkonomvtedajšieho špičkového osobného počítača od IBM.
SpomínanáVonNeumannovaschémapredstavujeteoretickúvnútornúarchitektúrupočítača,ktorásdrobnýmivylepšeniamizostalazachovanádodnes.Navrholjuvroku1945 americkýmatematikJohnVonNeumannakomodelsamočinnéhodigitálnehopočítača. Teda–ničnové?Istežeáno.Výpočtovézariadeniaalebotiežinformačno-komunikačné technológiesúčorazmenšie,čorazvýkonnejšie,vzájomnezosieťované,prepojenérýchlymikomunikačnýmikanálmi,soširokýmgeografickýmpokrytímasčorazefektívnejšími rozhraniaminakomunikáciustrojasčlovekom.Samostatnesaučiacepočítačesúužsamozrejmosťouavposlednýchrokochsútémoupostupnékrokyajkuvznikuumelejinteligencie.Kamtosmeruje?Lepšiesitomôžemepredstaviťpoprečítaníniektoréhozoznámych diel vedeckej fantastiky. Dúfajme spoločne, že nie práve George Orwella.
Riziká sú všade okolo nás
Istesazhodneme,žerozmachinformačno-komunikačnýchtechnológiíspôsobilrevolúciuvspôsobeživotaľudskejcivilizácie.Dnesužzrejmeniktonepochybujeotom,žeľudia súodinformáciízávislí.Aniejetolenzávislosť,ktorúsymbolizujeneustálesklonenáľudskátvárnadmobilnýmtelefónom.Veďzávislosťodinformáciísatýkaajmnohýchhospodárskychodvetvíasprávyvecíverejných.Informačnétechnológiesúdnesneoddeliteľnou súčasťouživotaspoločnosti.Avšakrastúcazávislosťodinformačnýchtechnológiíznamená zároveňidramatickýnárastrizíkapotrebunepretržitejasystematickejochranyinformačných aktív – teda ochrany majetku, hmotného i nehmotného.
Aakozniezjednodušenádefiníciavlastníctva(ekonómovianámtozjednodušeniepre tentoúčelodpustia)?Zavlastníctvosapovažujevšetko,čočlovekupatrí,nadčímmáplnú moc.Zvyčajnesapodpojmomvlastníctvomyslíúplnákontrolanadvecoualeboakoukoľvekpotenciálnouhodnotou.Avšakzahodnotusaokremhmotnýchstatkovnepochybne považujúajnehmotnéstatkyapráva,vdigitálnejére–informačnéaktíva.Duševnévlastníctvojezastrešujúcipojemprerôzneformynárokov,ktorésaupínajúknápadom,myšlienkamaleboinýmnehmotnýmstatkomaprávam.Pojem„duševnévlastníctvo“reflektujena to,žepredmetomjevýsledoktvorivejintelektuálnejčinnostiatenbymalbyťrovnakochránený ako iné formy vlastníctva alebo majetku.
Akokaždáčinnosť,ajpoužívanietechnológiíprinášaistériziká.Rizikojefunkciapravdepodobnosti,žehrozba(potenciálnapríčinanechceného)využijeznámualeboneznámu zraniteľnosť,pričomjejnásledkomnastaneudalosťtypickyprinášajúcanežiaducidosahna
o kybernetickej bezpečnosti 1 Úvod
hodnoty.Otejtoteóriisadozvietepodrobnejšievďalšíchkapitolách.Výrazrizikojevšak nutnéspomenúťprelepšiepochopeniepojmu„bezpečnosť“aprečosanejakáčasťbezpečnosti v posledných rokoch čoraz častejšie označuje ako „kybernetická“.
Ľudiapodvedomeriešiarizikávosvojomkaždodennomživote.Riziko,ženestihnete prísťvčasdopráce,žezabudnetenaniečodôležité,žesapošmykneteponáhľajúcsapozasneženomchodníku,žecestouautomnabúratevozidlopredsebou...Riziko,žesaváššéf zlevyspalasvojuzlosťsivybijenavás,žecestoudomovzabudnetemanželkekúpiťkvety navýročiezoznámenia.Rizikámajúrôznupravdepodobnosťarôznypotenciálnydosah. Identifikáciarizík,ichanalýzaasprávnevyhodnoteniejemnohokrátdoslovavecouzdravia, života alebo smrti.
Pokiaľideopolitikovamanažérov,tonástojčivépoužívanievýrazu„kybernetickábezpečnosť“spočívanajmävmarketingu.Výraz„kybernetický“apredpony„kyber“či„cyber“ znejú príťažlivejšie a prednášajúceho to v očiach poslucháča robí odborne zdatnejším.
Rozdielneponímanieodborovejkategorizáciebezpečnostiodniektorýchkolegovzodvetviaspočívavchybnompresadzovanípohľaduzpozíciesubjektuavurčitomvedomom potláčaní podstaty či existencie objektu.
Vtechnickýchodborochautoritatívnoureferenciouprenázvoslovieje(adúfajme,že dlhozostane)príslušnámedzinárodnátechnickánorma.Názvoslovieapopisvzťahovvoblastikybernetickejbezpečnosti,popisjedinečnýchaspektovtejtočinnosti,vzťahkiným bezpečnostnýmdoménamazákladnépostupyprevšetkyzainteresovanéstranyvkybernetickompriestoreposkytujenapríkladmedzinárodnánormaISO/IEC27032Information technology–Securitytechniques–Guidelinesforcybersecurity(vprekladeInformačné technológie – Bezpečnostné metódy – Návody pre kybernetickú bezpečnosť).
Odhliadnucodfaktu,žeplatítátomedzinárodnánorma,jemožnénaďalejtvrdiť,žeprídavnémeno„kybernetická“sakbezpečnostihodí,lenakhovorímeobezpečnostielektronickyspracovanýchdát.Elektronickyspracovanéjeajelektronickyovládané–tedarovnaká logika platí aj pre riadiace systémy.
Preporiadoktrebauviesť,žetechnickánormalizáciavinformačnejbezpečnostisanezaoberániektorýmišpecifickýmiodvetviami,akonapríkladnárodnouobranouakriminalistikou.Vzhľadomnavysokúúroveňšpecializáciesútietočinnostiprirodzeneponechanéna rozvojsamostatnýchodvetví,pričomniktozodbornejverejnostivočitomunenamieta.Objektom ochrany je zaručenie bezpečnosti informácií, nie pocit bezpečnosti ich vlastníkov.
Dobro, zlo a bezpečnosť. Sokrates sa snáď mýlil?
Sokratesveril,žektopoznádobro,konáibadobro,pretoženiktonerobídobrovoľnezlé veci(tzv.etickýintelektualizmus).Tvrdil,ženiktoniejezlýzvlastnejvôle,aleibazneznalosti dobra, pretože zlo je dôsledok neznalosti toho, čo je dobré.
V tomto tvrdení ale možno nájsť rozpor z hľadiska výrokovej logiky. Pretože:
• ak jeden človek je schopný konať zlo, potom mnohí ľudia sú schopní konať zlo,
• keďžemnohíľudiasúschopníkonaťzlo,potomvzávislostiodúrovnerizikajeniekedy nutné chrániť ľudské hodnoty,
• aksúvšetciľudiaschopníkonaťzlo,potomjepravdepodobné,žeľudskéhodnotysúobčas chránené takými ľuďmi, ktorí sú schopní konať zlo.
Zvyššieuvedenéhovyplýva,žeakinformačnábezpečnosťjejednýmzospôsobov ochranyľudskýchhodnôt,potomjemožnoexistenciainformačnejbezpečnostiakoprocesu či vedeckej disciplíny dôkazom, že Sokrates sa mýlil…
2 Komentár k zákonu č. 69/2018 Z. z. Úvod
Samozrejme,tátoúvahamábyťlensarkazmom,ktoréhocieľomjevyprovokovaťdiskusiu.Pravda,dokázanáneskôrmnohýmifilozofmi,jetaká,žeľudianiesúibazlíaleboiba dobrí. Podstatné je vedieť to efektívne rozpoznať.
Východiská právnej úpravy kybernetickej bezpečnosti
Súčasnáspoločnosťjestáleviaczávisláodinformačnýchakomunikačnýchtechnológií (ďalejako„IKT“),ktorévposlednomdesaťročízmeniliaovplyvnilitakmerkaždýaspekt spoločenskéhoživota.Činnostiaaktivitynielenprávnických,aleajfyzickýchosôbsapomalypresúvajúzfyzickéhodokybernetickéhopriestoru.Napokonsaočakáva,žesúčasná povinnosťelektronickejkomunikáciesoštátnymiorgánmiuloženáprávnickýmosobám afyzickýmosobám–podnikateľomsapomalypresunieajnafyzickéosoby–nepodnikateľov.Zároveňplatí,žeIKTsúuždlhodobosúčasťouriadiacichavýrobnýchsystémov,spotrebnej elektroniky, vozidiel, ako aj ďalších výrobkov v rámci internetu vecí.
Jenepochybné,žeIKTprikaždodennýchľudskýchaktivitáchuľahčujúživot,urýchľujú komunikáciuaprístupkinformáciámaslužbám.Nadruhejstranevšaknarastajúcazávislosťverejnéhoasúkromnéhosektoraodtýchtotechnológívprípadenedostatočnejochrany spôsobujeajichvyššiuzraniteľnosťastýmspojenéväčšiepotenciálnenásledkykybernetickýchbezpečnostnýchincidentov,vdôsledkučohosaprávnareguláciakybernetickej bezpečnostistávavysokoaktuálnou.Následkykybernetickýchbezpečnostnýchincidentov satotižtonemusianevyhnutneprejaviťlenvmateriálnychškodách,alevprípadekybernetickéhobezpečnostnéhoincidentuspočívajúcehovnarušenízákladnýchobslužnýchslužiebštátusprepojenímnakybernetickýpriestorajvoveľazávažnejšíchškodáchnaživotoch alebo zdraví obyvateľstva, či v ohrození alebo narušení národnej bezpečnosti.
Ještatistickypreukázané,žecielenéútokyprotiIKTsúnavzostupeaichdosahspôsobujerozsiahleekonomickéškodyakovoverejnom,takajvsúkromnomsektore,nevynímajúcreputačnérizikovpodobenegatívnychpolitickýchdôsledkovnanárodnejalebomedzinárodnejúrovni.Rovnakojecelosvetovozaznamenávanánarastajúcasofistikovanosť aefektivitaútokovprotiIKT,atonajmävdôsledkunarastajúcejorganizovanostipôvodcov týchtoútokovvrámcikybernetickejpriemyselnejšpionáže,kybernetickéhoterorizmu avneposlednomradeajkybernetickýchútokovvoblastivojenskýchoperáciívrámcivedeniatzv.hybridnejvojny.Kybernetickéútokysúčímďalej,týmviaczameranénaprvkykritickejinfraštruktúryvoblastiachtelekomunikácií,bankovníctva,energetiky,zdravotníctva, dopravy alebo verejnej správy.
Nemenejvýznamnýmfaktoromvyplývajúcimzosamotnéhocharakterukybernetickéhopriestorujefakt,žeakékoľvek,čoilenčiastočnénarušeniealebozlyhanieaktívavdôsledkukybernetickéhobezpečnostnéhoincidentumôžeznamenaťnáslednéohrozeniealebopriamonarušenieďalšíchaktívkdekoľveknasveteavrámciktoréhokoľvekinformačného systému.
Kybernetickýpriestorasnímspojenúbezpečnosťjenutnévnímaťakojedenzkľúčovýchkomponentovbezpečnostištátu.Napokon,kybernetickýpriestorbolnasummiteOrganizácieSeveroatlantickejzmluvy(ďalejako„NATO“)voVaršaveužvroku2016uznaný zapiatuoperačnúdoménu.Kybernetickúbezpečnosťjemožnévjednoduchosticharakterizovaťakosúhrnprávnychatechnickýchpožiadavieknabezpečnosťaktívvrámcikybernetickéhopriestoruvrátanešpecifikáciepríslušnýchpráv,povinnostíazodpovednostíjednotlivýchaktérovvrámcikybernetickéhopriestoru.Právesuvedenýmbolopotrebnésavysporiadaťvrámcijednotného,ucelenéhoakonzistentnéhoprávnehopredpisu,nazáklade ktoréhobybolomožnéprípadnékybernetickébezpečnostnéincidentyriešiťkvalifikovane azcentrálnejúrovne.Zároveňsaakovhodnéjavínazákladekonzistentnejprávnejúpravy rozčleniťaklasifikovaťIKTdoviacerýchskupín(klasifikačnýchstupňov)astanoviťminimálnepožiadavky,prípadnepovinnostinaichochranu.Koordináciačinnostíjednotlivých
o kybernetickej bezpečnosti 3 Úvod
aktérovpodieľajúcichsanaochranekybernetickéhopriestorujenemenejdôležitýmaspektom riadenia kybernetickej bezpečnosti.
Ďalšímargumentom,prečojednotnúprávnuúpravukybernetickejbezpečnostinanárodnejúrovniprijať,bolidlhodobézáväzkySlovenskejrepublikyakočlenskéhoštátu NATOaEurópskejúnie(ďalejako„EÚ“).Vrámcimedzinárodnejreguláciekybernetickej bezpečnostijedlhodobovyvíjanýtlakriešiťproblematikuochranykybernetickéhopriestoruformouzáväznejprávnejúpravy.VzájomnápreviazanosťIKTaglobálnycharakterkybernetickéhopriestoruspôsobujú,žekybernetickýbezpečnostnýincidentmôžemaťdosah vktorejkoľvekkrajinealebovrámciakéhokoľvekinformačnéhosystému,čosivyžadujeintenzívnumedzinárodnúspoluprácuakoncepčnéakoordinovanériadenieochranyaobranykybernetickéhopriestoru.Nariešeniebezpečnostnýchincidentovsijednotlivékrajiny zriaďujúpracoviskátypuCERT/CSIRT(„Computeremergencyresponseteam/Computer Security Incident Response Team“).
Jednýmzposlednýchdôvodovprijatiazákonač.69/2018Z.z.okybernetickejbezpečnosti(ďalejako„Zákon“)boloprijatieSmerniceNIS,ktorúmaličlenskéštátypovinnosťdo 9.mája2018náležitetransponovaťdosvojichvnútroštátnychprávnychporiadkov.Cieľom SmerniceNISjedosiahnutievysokejspoločnejúrovnebezpečnostisietíainformačných systémovvrámciEÚ,ktorúbysamostatnýmipartikulárnymiprávnymiúpravaminaúrovni jednotlivýchčlenskýchštátovnebolomožnéuspokojivodosiahnuť.PrijatieceloeurópskehopredpisuregulujúcehokybernetickúbezpečnosťvpodobeSmerniceNISmásvojuoporu vspôsobilostiEÚvsúladesozásadoupreneseniaprávomocí,subsidiarityaproporcionality podľačlánku5ZmluvyoEurópskejúniidosahovaťvymedzenéciele,vtomtojednotlivom prípade vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v rámci EÚ.
KybernetickábezpečnosťSlovenskejrepubliky,resp.ochranakybernetickéhopriestoru nebolipredprijatímZákonavýslovneakomplexneupravenévžiadnomplatnomprávnom predpiseSlovenskejrepubliky.ZároveňvSlovenskejrepublikenebolprijatýanilentaký osobitnýprávnypredpis,ktorýbysaproblematikekybernetickejbezpečnostivenovalčo ilenčiastočnealebookrajovo,hocisaviaceréprávnepredpisyčodosvojejpôsobnostikybernetickej bezpečnosti týkajú.
Čosatýkaterminológievoblastikybernetickejbezpečnosti,slovo„kybernetický“,ako anijehoďalšiegramatickétvaryčimodifikáciesanevyskytujevžiadnominomvšeobecne záväznomprávnompredpisemimoZákona,rovnakoakoanivterminologickýchslovníkoch.
Témekybernetickejbezpečnostibolačiastočnevenovanápozornosťvdokumente„NárodnástratégiapreinformačnúbezpečnosťvSlovenskejrepublike“avnadväzujúcom „Akčnomplánenaroky2009až2013kdokumentuNárodnástratégiapreinformačnúbezpečnosť v Slovenskej republike“.
Prvýmkoncepčnýmastrategickýmdokumentompreoblasťkybernetickejbezpečnosti prijatýmnanárodnejúrovnibolavšakažKoncepciakybernetickejbezpečnostiSR,ktorá definujevýchodiskáacieleSlovenskejrepublikyvoblastikybernetickejbezpečnosti.KoncepciakybernetickejbezpečnostiSRjezákladnýmavýchodiskovýmdokumentomprenáslednútvorbuprávnychpredpisov(najmävytvorenieaprijatielegislatívnehorámcakybernetickejbezpečnosti),štandardov,metodickýchpokynov,pravidiel,bezpečnostnýchpolitík a iných nástrojov potrebných na zaistenie kybernetickej bezpečnosti.
KoncepciakybernetickejbezpečnostiSRstanovujevýchodiskáacieleSlovenskejrepublikyvoblastikybernetickejbezpečnostiajepovažovanázazákladnýavýchodiskovýdokumentajpriprípraveavypracovanísamotnéhoZákona.Ajnapriektomu,žedoúčinnostiZákonaabsentovalakomplexnáprávnaúpravapreoblasťkybernetickejbezpečnostivpodobe konkrétnehoprávnehopredpisuvSlovenskejrepublike,vprávnomporiadkuSlovenskej
4 Komentár k zákonu č. 69/2018 Z. z. Úvod
republikyjemožnéidentifikovaťviaceréprávnepredpisy,ktorésaproblematikykybernetickej bezpečnosti týkajú a ktorých exemplifikatívny výpočet uvádzame nižšie.
KoncepciakybernetickejbezpečnostiSRnavrhlaprijaťaprioritneriešiťsedemkľúčových opatrení, a to:
• opatrenieč.1:Vytvorenieinštitucionálnehorámcariadeniakybernetickejbezpečnosti,
• opatrenie č. 2: Vytvorenie a prijatie legislatívneho rámca kybernetickej bezpečnosti,
• opatrenieč.3:Rozpracovanieaaplikáciazákladnýchmechanizmovzabezpečeniasprávy kybernetického priestoru,
• opatrenieč.4:Podpora,vypracovanieazavedeniesystémuvzdelávaniavoblastikybernetickej bezpečnosti,
• opatrenieč.5:Stanovenieaaplikáciakultúryriadeniarizíkasystémukomunikáciemedzi zainteresovanými stranami,
• opatrenie č. 6: Aktívna medzinárodná spolupráca,
• opatrenie č. 7: Podpora vedy a výskumu v oblasti kybernetickej bezpečnosti.
Sozámeromdosiahnutiacieľovapriorítvrámciopatreniač.2Koncepciakybernetickej bezpečnostiSRstanovilaprávevytvorenieaprijatielegislatívnehorámcakybernetickej bezpečnostivpodobeosobitnéhozákonaokybernetickejbezpečnosti,atedaprijatiednes známehoZákona.KoncepciakybernetickejbezpečnostiSRurčila,ženovýzákonokybernetickejbezpečnostimáformálnezabezpečiťkoordináciuarealizáciujednotnejštátnejpolitikyvoblastikybernetickejbezpečnosti,explicitnestanoviťvecnúpôsobnosťakompetencieorgánovverejnejmociaostatnýmaktérompôsobnosťarozsahichaplikácie.Rovnako mástanoviťnajednejstranepovinnostipresubjektyvyužívajúceinformačnéakomunikačnétechnológievkybernetickompriestoreanadruhejstranezároveňgarantovaťpráva aprávomchránenézáujmyostatnýchfyzickýchaprávnickýchosôb.Uznesenievládyč.328 zo17.júna2015uložiloúlohupripraviťapredložiťnávrhzákonaokybernetickejbezpečnosti riaditeľovi Národného bezpečnostného úradu.
Vzmysleuvedenéhoavzhľadomnato,ženajednejstraneštátneorgánymôžuvzmysle čl.2ods.2ÚstavySlovenskejrepublikykonaťibanazákladeústavy,vjejmedziachavrozsahuaspôsobom,ktorýustanovízákon,anastranedruhejsúkromnoprávnymsubjektom možnovsúladesčl.2ods.3ÚstavySlovenskejrepublikyukladaťpovinnostilennazáklade zákona,ajprávnareguláciavoblastikybernetickejbezpečnostimohlabyťuskutočnenálen formouzákonaobsahujúcehopodrobnévymedzeniepovinnostísubjektov,ktorésúprimárnedôležitéprefungovanieštátu,akoajostatnýchsubjektov,ktorýchsakybernetická bezpečnosť a ochrana kybernetického priestoru bezprostredne dotýka.
ZákladnýmcieľomZákonajezvýšiťbezpečnosťkybernetickéhopriestoru,vtejtosúvislostiidentifikovaťpríslušnépovinnostiazodpovednostipovinnýchosôbvzmysleZákona, identifikovaťtechnickéaorganizačnépožiadavkynazaisteniekybernetickejbezpečnostiči nastaviťmechanizmusaktívnejspoluprácemedzisúkromnýmsektoromaverejnousprávou s cieľom vyššej efektivity pri riešení kybernetických bezpečnostných incidentov.
Chronológia/história právnej úpravy
EÚ – ENISA
ENISAjeodbornýmcentromprekybernetickúbezpečnosťvEurópe,ktorábolazaloženávroku2004nazákladeNariadeniaEurópskehoparlamentuaRady(ES)č.460/2004 ozriadeníEurópskejagentúryprebezpečnosťsietíainformácií.ENISAbolazriadenáscieľomzabezpečeniavysokejaúčinnejúrovnebezpečnostisietíainformáciívrámci
o kybernetickej bezpečnosti 5 Úvod
Spoločenstvaascieľomvybudovaťkultúrubezpečnostisietíainformáciívprospechobčanov, spotrebiteľov, podnikov a organizácií verejného sektora EÚ.
NariadenímEurópskehoparlamentuaRady(ES)č.1007/2008,ktorýmsameníadopĺňa nariadenie(ES)č.460/2004ozriadeníEurópskejagentúryprebezpečnosťsietíainformácií,pokiaľideodobujejtrvania,došlokpredĺženiumandátuENISAdo13.marca2012aNariadenímEurópskehoparlamentuaRady(EÚ)č.580/2011,ktorýmsameníadopĺňanariadenie(ES)č.460/2004ozriadeníEurópskejagentúryprebezpečnosťsietíainformácií,pokiaľ ide o jej trvanie, k predĺženiu do 13. septembra 2013.
NariadenímEurópskehoparlamentuaRady(EÚ)č.526/2013oAgentúreEurópskej úniepresieťovúainformačnúbezpečnosť(ENISA)aozrušenínariadenia(ES)č.460/2004 došlokzrušeniuNariadeniaozriadeníENISAaposilneniuENISAtak,abyúspešneprispievalakúsiliuinštitúciíEÚačlenskýchštátovrozvinúťeurópskuschopnosťčeliťvýzvamspojenýmsosieťovouainformačnoubezpečnosťou.VzmyslepredmetnéhonariadeniaENISA vykonávaúlohy,ktorésújejzverenésozámeromprispieťkvysokejúrovnisieťovejainformačnejbezpečnostivrámciEÚascieľomzvýšiťpovedomieosieťovejainformačnejbezpečnostiarozvinúťapresadzovaťvspoločnostikultúrusieťovejainformačnejbezpečnosti vprospechobčanov,spotrebiteľov,podnikovaorganizáciíverejnéhosektoravEÚ,atak prispieť k zriadeniu a riadnemu fungovaniu vnútorného trhu.
ENISAúzkospolupracujesčlenskýmištátmiasosúkromnýmsektoromnaposkytovaní poradenstvaariešenípreoblasťkybernetickejbezpečnosti.VýznamnouúlohouENISAje podporaorganizácieavykonávaniacvičenívoblastisieťovejainformačnejbezpečnosti vEÚaposkytovanieporadenstvaocvičeniachčlenskýmštátomnavnútroštátnejúrovni. TakýmtocvičenímvspráveENISApreoblasťsieťovejainformačnejbezpečnostijeceloeurópskecvičenieCyberEuropetýkajúcesapočítačovýchincidentovakrízovéhoriadeniapre verejnýajsúkromnýsektorzčlenskýchštátovEÚaEurópskehozdruženiavoľnéhoobchodu.OrganizačnéatechnickézabezpečeniecvičeniavrámciSlovenskejrepublikyjezabezpečovanéprostredníctvomCSIRT.SK(ÚradpodpredseduvládySRpreinvestícieainformatizáciu).NacvičenísavšakpodieľajúajďalšiezložkyštátupravidelneparticipujúcenacvičeniachkybernetickejobranyvrámciSlovenskejrepubliky,atoÚrad,Ministerstvoobrany Slovenskejrepubliky(prostredníctvomCentraprekybernetickúobranuSlovenskejrepubliky), SIS a pod., výnimočne aj aktéri zo súkromného sektora.
SR – Ministerstvo financií SR – Národná stratégia informačnej bezpečnosti 2008 – 2013
VládaSlovenskejrepublikyschválilasvojímuznesenímč.570/2008Národnústratégiu preinformačnúbezpečnosťvSlovenskejrepublike(2008–2013),ktoráokreminéhoprinieslanávrhnavytvorenie„Národnéhostrediskapreriešeniepočítačovýchincidentov“ (CSIRT.SK)avčasovomhorizontedo5rokovúlohupredložiťlegislatívnyzámerzákona oinformačnejbezpečnosti.Návrhorganizačnéhozabezpečeniainformačnejbezpečnosti počítalajsvytvorenímnárodnéhoinštitútupreinformačnúbezpečnosťakoneutajovanej častinárodnejinformačnejakomunikačnejinfraštruktúryvpodobeNárodnéhoúradupre informačnú bezpečnosť SR (NÚIB SR).
SR – Ministerstvo financií SR – Návrh systému vzdelávania v oblasti informačnej bezpečnosti v SR
VládaSlovenskejrepublikyschválilasvojímuznesenímč.391/2009Systémvzdelávania voblastiinformačnejbezpečnostivSR.Dokumentbolzameranýnaidentifikáciuskupín používateľovvrámcidigitálnehopriestoru,atoodskupinylaikovažposkupinušpecialistov,naodhadichkvalifikačnýchpotriebananávrhobsahuvzdelávaniavinformačnej
6 Komentár k zákonu č. 69/2018 Z. z. Úvod
bezpečnostiprejednotlivéskupiny.Problematikasanezaoberalaprípravoušpecialistovna ochranu časti digitálneho priestoru spadajúceho pod zákon o OUS.
Výstupomuvedenéhodokumentubolotedastanoveniezákladnýchcieľov,návrhúloh aaktivítvoblastivzdelávaniavinformačnejbezpečnostianávrhopatrení,ktorýbolpremietnutý do úloh určených v uznesení vlády.
IšlonajmäovypracovanieštandarduzákladnýchznalostívoblastiinformačnejbezpečnostiprejednotlivéskupinyodlaikovažpošpecialistovaimplementáciusystémusystematickéhovzdelávaniavoblastiinformačnejbezpečnostiprecieľovéskupinysjehozaradenímdovšetkýchvzdelávacíchprogramovorganizovanýchštátomvsúčinnostisMinisterstvom školstva SR.
AkovyplývazKoncepciekybernetickejbezpečnostiSR,ajkeďodbornáprípravašpecialistovštátnejsprávyprebiehalanajmävgesciiMinisterstvafinanciíSlovenskejrepubliky, zvyšovaniepovedomiaavzdelávaniavoblastikybernetickejčiinformačnejbezpečnostinie jevšeobecneobsahovousúčasťousystémuvzdelávaniavSlovenskejrepublike(základné, strednéavysokéškoly)anisystémuformovaniaspoločenskéhopovedomia.Vzdelávanie tedaniejeriešenénaúrovnišpecializovanýchodborov,alenanajvýšnaúrovnišpecializovaných predmetov v rámci vybraných vzdelávacích inštitúcií.
SR – NBÚ – Návrh novelizácie zákona o utajovaných skutočnostiach, snaha o rozšírenie úpravy na informačnú bezpečnosť pre NBÚ
Národnýbezpečnostnýúrad(ďalejako„Úrad“)sasvojímnávrhomzákonaoochrane utajovanýchinformáciíaoochranekybernetickéhopriestoruaozmeneadoplneníniektorýchzákonovzroku2009pokúsilonovelizáciuvtedajšiehozákonaoOUSvrozsahurozšíreniapredmetuúpravytohtozákonao„podmienkynaochranukybernetickéhopriestoru, právaapovinnostifyzickýchosôbaprávnickýchosôbpriochranekybernetickéhopriestoru “ apôsobnosťÚraduapôsobnosťďalšíchorgánovverejnejmocinielenvovzťahukochrane utajovanýchinformácií,aleajvovzťahuk ochranekybernetickéhopriestoru .Uvedenýpočin NárodnéhobezpečnostnéhoúradujemožnévpodmienkachSlovenskejrepublikyvnímať akoprvúsnahuolegislatívnuúpravuareguláciukybernetickéhopriestoru.ZároveňsatýmtonávrhomzákonaÚradužvroku2009pokúsilonadobudnutiekompetenciegescienad právnouúpravoukybernetickéhopriestoru.Jevšakpotrebnékonštatovať,žeuvedenýnávrhzákonabolpoveľkommnožstvepripomienokvznesenýchvrámcimedzirezortného pripomienkovéhokonanianapokonÚradomstiahnutýanavrhovanáprávnaúpravakybernetického priestoru odložená na neskoršie obdobie.
SR – Ministerstvo financií SR – Návrh zákona o informačnej bezpečnosti 2010
MinisterstvofinanciíSRpredložilovsúladesuznesenímvládySRč.570/2008úlohaB.3 legislatívnyzámerzákonaoinformačnejbezpečnosti,ktorýbolnazákladeuzneseniavlády SRč.136/2010schválenýaktorýmboloministrovifinanciíuloženédo31.mája2011predložiťnarokovanievládynávrhzákonaoinformačnejbezpečnosti.Zahlavnýdôvodnavypracovaniezákonaoinformačnejbezpečnostisapovažovalozaistenieprimeranejochrany digitálnehopriestoru,keďženarušeniealebozlyhaniejednejčastidigitálnehopriestoru môžeohroziťinújehopodstatnúčasťaleboajcelýdigitálnypriestor.Zároveňjekonštatované,žezaistenieinformačnejbezpečnostidigitálnehopriestorumusíbyťtrvaléakomplexné,atosivyžadujesystematický,koordinovanýalegislatívnepodporenýprístupvšetkých zainteresovaných subjektov.
Zákonoinformačnejbezpečnostimalriešiťdvaokruhyproblémov,atozaistenieochranypreinformačnésystémyverejnejsprávyavytvorenievšeobecnéhoprávnehorámcapre ochranu celého digitálneho priestoru Slovenskej republiky.
o kybernetickej bezpečnosti 7 Úvod
V zmysle uvedeného zákon o informačnej bezpečnosti mal sledovať nasledovné ciele:
• vytvoriťjednotnýlegislatívnyrámecpreoblasťinformačnejbezpečnostivSlovenskejrepublike,
• definovaťkompetencieorgánovštátnejsprávyvoblastiinformačnejbezpečnostiaspôsobkoordinácieorgánovštátnejsprávypririešeníspoločnýchúlohvoblastiinformačnej bezpečnosti,
• zaviesť jednotnú terminológiu základných pojmov z oblasti informačnej bezpečnosti,
• vytvoriť štandardizačný rámec informačnej bezpečnosti,
• zaviesť proces riadenia informačnej bezpečnosti vo verejnej správe,
• zaviesťklasifikáciuinformačnýchsystémovverejnejsprávyzhľadiskapožiadaviekna informačnúbezpečnosťadefinovaťminimálnebezpečnostnépožiadavkyprejednotlivé kategórie informačných systémov verejnej správy,
• vymedziťpostaveniejednotkypreriešeniepočítačovýchincidentov(CSIRT.SK)vSlovenskejrepublikeaúlohyďalšíchtakýchtoútvarovpriochranedigitálnehopriestoru Slovenskej republiky,
• definovaťminimálneznalostnéštandardyvoblastiinformačnejbezpečnostiprepracovníkov spravujúcich informačné systémy verejnej správy a zaisťujúcich ich ochranu,
• ustanoviť minimálne požiadavky na bezpečnosť elektronickej verejnej správy,
• ustanoviť minimálne požiadavky na bezpečnosť internetu,
• zvýšiťcelkovépovedomiepracovníkovverejnejsprávyvoblastiinformačnejbezpečnosti.
Rovnakoakonávrhzákonaoochraneutajovanýchinformáciíaoochranekybernetickéhopriestoru,takaninávrhzákonaoinformačnejbezpečnostinapokonneboldolegislatívnehoprocesupredložený,atoajnapriektomu,ževroku2014bolvypracovanýnávrhparagrafovéhozneniazákonaoinformačnejbezpečnosti.Právnareguláciakybernetickejbezpečnosti(informačnábezpečnosťkybernetickéhopriestoru)takvSlovenskejrepublike nebola do roku 2014 v rámci uceleného právneho predpisu komplexne upravená.
Nazákladeuzneseniavládyč.276/2014novúkoncepciukybernetickejbezpečnostivypracovalapredložilÚradvládySR.Koncepciabolapredloženáanásledneuznesenímvlády č.328/2015ajschválená.Hlavnýmiúlohamivyplývajúcimizkoncepciebolopredložiťdo koncaroka2015akčnýplán.Akčnýplánschválilavládauznesenímč.93/2016.Vládazároveňuznesenímč.366/2015schválilanoveluzákonač.110/2004Z.z.ofungovaníBezpečnostnejradySlovenskejrepublikyvčasemieru,ktoráobsahovalavytvorenievýboruprekybernetickú bezpečnosť v rámci Bezpečnostnej rady SR.
SR – NBÚ – Kompetenčný zákon
Úradbolnazákladezákonač.339/2015Z.z.,ktorýmsameníadopĺňaKompetenčný zákon,súčinnosťouod1.januára2016určenýakoústrednýorgánštátnejsprávyprekybernetickúbezpečnosť.Vtejtosúvislostijepotrebnépoznamenať,žeišloonovovytvorenú kompetenciuaÚradjehistorickyprvýmústrednýmorgánomštátnejsprávyprekybernetickúbezpečnosťvrámciSlovenskejrepubliky.Jednouzprvýchzmienokozačleneníkybernetickejbezpečnostidopôsobnostipríslušnéhoústrednéhoorgánuštátnejsprávybolnávrhorozšírenípôsobnostiexistujúcehoodvetvovonezávisléhoústrednéhoorgánuštátnej správy(Úrad)oďalšíúsekštátnejsprávyvrámciKoncepciekybernetickejbezpečnostiSR schválenejuznesenímvládySRč.328dňa16.júna2015.KoncepciakybernetickejbezpečnostiSRodporúčala,abytútopôsobnosťzákonodarcazverilpráveNárodnémubezpečnostnému úradu.
8 Komentár k zákonu č. 69/2018 Z. z. Úvod
EÚ – Nariadenie o agentúre ENISA
„Európskyparlament,RadaEurópskejúnieaEurópskakomisiadosiahlikompromis ohľadomzneniaNariadeniaokybernetickejbezpečnosti(CybersecurityAct),ktorémáposilniťpostavenieagentúryENISAapriznaťjejpostavenieAgentúryEÚprekybernetickú bezpečnosť.Kompromisnéznenie19.decembra2018schválilVýborstálychpredstaviteľov členských štátov pri EÚ (COREPER).
NávrhnariadeniapriznávaagentúreENISAširokýmandátvoblastikybernetickejbezpečnostiapredpokladávytvorenieeurópskehocertifikačnéhorámca.Agentúrabudemôcť poskytovaťlepšiupodporuaspoluprácučlenskýmkrajinámpririešeníkybernetickýchbezpečnostných incidentov a reagovaní na kybernetické hrozby a útoky.
Najdôležitejšie zmeny sa týkajú celkového postavenia agentúry ENISA:
• agentúraENISAdostalatrvalýmandátsnavýšenímpersonálnychkapacítafinančných prostriedkov,
• agentúraENISAzvýšipomocapodporučlenskýmštátomEÚscieľomzlepšovania schopnostíaodbornýchznalostínajmävoblastiprevencie,riešeniaakoordinácieriešenia kybernetických bezpečnostných incidentov,
• vrámciCertifikačnéhorámcakybernetickejbezpečnostibudemaťagentúraENISAúlohysúvisiacestrhovýmhospodárstvom,najmävoblastiprípravycertifikačnýchrámcov, pričombudeposkytovaťodbornúpomocaspoluprácuvnútroštátnymcertifikačnýmorgánom a zástupcom priemyslu,
• agentúraENISAposilnísvojupodporučlenskýmštátomainštitúciámEÚpritvorbe,vykonávaní a revízii pravidiel a politík v oblasti kybernetickej bezpečnosti.
NariadenieokybernetickejbezpečnostieštevyžadujeschválenieEurópskymparlamentomaRadouEurópskejúnie,legislatívnyprocesbudenajbližšiepokračovaťnaplenárnom zasadnutíEurópskehoparlamentu.NariadenienadobudneúčinnosťpouverejnenívÚradnom vestníku EÚ.“ [1]
Kybernetická bezpečnosť v kontexte kybernetickej obrany
VzťahkybernetickejbezpečnostiakybernetickejobranyjelegislatívnevymedzenýzákonomoVS,kdejevrámci§4a(doplnenýsamotnýmzákonomč.69/2018Z.z.okybernetickejbezpečnosti)explicitneuvedené,že:„Vojenskéspravodajstvoplníúlohynaúsekuobranyštátuvkybernetickompriestore...prostredníctvomCentraprekybernetickúobranu Slovenskej republiky, ktoré je osobitnou organizačnou zložkou Vojenského spravodajstva. “
Vzmysle§2ods.1zákonaoobranesapodpojmomobranaštáturozumie„súhrnopatrení,ktorýmiSlovenskárepublikazachovávamier,bezpečnosť,zvrchovanosť,územnúcelistvosťanedotknuteľnosťhranícaplnízáväzkyvyplývajúcezmedzinárodnýchzmlúv ospoločnejobraneprotinapadnutiuazďalšíchmedzinárodnýchzmlúvvojenskejpovahy.“
Vzmyslečl.1ods.2zákonaobezpečnostištátuplatí:„Základnouúlohouverejnejmoci včasevojny,vojnovéhostavu,výnimočnéhostavuanúdzovéhostavujevykonávaťvšetkypotrebnéopatrenianaobranuštátuazachovaniejehobezpečnosti,naochranuživotaazdravia osôb,naochranumajetku,nadodržiavaniezákladnýchprávaslobôd,naodvrátenieohrozeniaalebonaobnovunarušenéhohospodárstva,najmäriadnehofungovaniazásobovania, dopravyaverejnýchslužiebvobciachanariadnefungovanieústavnýchorgánov.“
[1]https://www.nbu.gov.sk/2018/12/19/veduci-predstavitelia-eu-schvalili-nove-pravidla-fungovania -pre-agenturu-enisa/index.html
o kybernetickej bezpečnosti 9 Úvod
Vzmyslebodu1.5tabuľkyúlohakčnéhoplánujeúlohouNárodnéhobezpečnostného úraduvsúčinnostisMinisterstvomobranySlovenskejrepubliky,MinisterstvomvnútraSlovenskejrepublikyaBezpečnostnouradouSlovenskejrepublikyvobdobí2017/2018navrhnúť:a)inštitucionálneriadeniekybernetickejbezpečnostivnúdzovomstave,výnimočnom stave,vojnovomstaveastavevojnyab)kontingenčnýplánprechoduzodpovednostizariadeniekybernetickejbezpečnostivčasemieru,núdzovéhoavýnimočnéhostavudovojnového stavu a stavu vojny podľa zákona o bezpečnosti štátu.
Nazákladeuvedenéhojetedamožnékonštatovať,žeoblasťkybernetickejobranySlovenskejrepublikyvčasemieruspadávýlučnedokompetencieMinisterstvaobranySlovenskejrepubliky,ktorévykonávaúlohynaúsekuobranyštátuvkybernetickompriestoreprostredníctvomCentraprekybernetickúobranuSlovenskejrepubliky(CSIRT.MIL)akoorganizačnej zložky Vojenského spravodajstva.
Vzmysle§27ods.9zákonač.69/2018Z.z.okybernetickejbezpečnostiplatí:„Akúrad (pozn.Národnýbezpečnostnýúrad)naúčelyzaisteniakybernetickejbezpečnostivyčerpá všetkyspôsobyriešeniazávažnéhokybernetickéhobezpečnostnéhoincidentupodľatohto zákona,predložípredsedoviBezpečnostnejradySlovenskejrepublikyinformáciuopredpokladanýchvplyvochkybernetickéhobezpečnostnéhoincidentunabezpečnosťštátuakopodklad na riešenie krízovej situácie. “
BezpečnostnáradaSlovenskejrepublikyjevzmysle§3písm.a)Krízovéhozákona č.387/2002Z.z.považovanázaorgánkrízovéhoriadenia,ktorývsúčinnostisvládouSlovenskejrepubliky(prostredníctvomvládouzriadenéhoústrednéhokrízovéhoštábu)spolupracujepriprípraveopatrenínariešeniekrízovejsituácie,ktorámôžeposplnenípodmienokustanovenýchvosobitnompredpiseviesťkvyhláseniuvýnimočnéhostavu,núdzovéhostavualebomimoriadnejsituácie.Bezpečnostnáradamátedavčaseriadeniaštátu vkrízovýchsituáciáchmimočasuvojnyavojnovéhostavusvojenezastupiteľnépostavenie akoorgánkrízovéhoriadenia,ktorýsaskladázdeviatichčlenov,atopredseduapodpredsedovBezpečnostnejradySlovenskejrepubliky(jednotlivopredsedavládySR,ministerfinancií,ministerobrany,ministervnútra,ministerzahraničnýchvecíaeurópskychzáležitostí,ministerhospodárstva,ministerdopravyavýstavby,ministerspravodlivosti,minister zdravotníctva).
BezpečnostnáradaSlovenskejrepublikyzároveňnaprípravuaplneniesvojichúloh zriaďujevýbory,ktorésújejstálymipracovnýmiorgánmi,atovýborprezahraničnúpolitiku,výborpreobrannéplánovanie,výborprecivilnénúdzovéplánovanie,výborprekoordináciuspravodajskýchslužieb,výborpreenergetickúbezpečnosť,výborprekybernetickú bezpečnosť.Vymenovanieaodvolaniepredseduvýboruprekybernetickúbezpečnosť schvaľujeBezpečnostnáradaSlovenskejrepublikynanávrhriaditeľaNárodnéhobezpečnostného úradu.
VsúvislostismonitoringomavyhodnocovanímbezpečnostnýchhroziebvSlovenskej republikebolovgesciiSlovenskejinformačnejslužbyzriadenéNárodnébezpečnostnéanalytickécentrum,vrámciktoréhoinformačneparticipujúaspolupracujúzástupcoviaSlovenskejinformačnejslužby,Vojenskéhospravodajstva,Národnéhobezpečnostnéhoúradu,Policajnéhozboru,Kriminálnehoúradufinančnejsprávy,Ministerstvazahraničných vecí a európskych záležitostí a Úradu vlády.
Otáznymtedanaďalejzostáva,akojevymedzenývzťahmedzikybernetickoubezpečnosťouakybernetickouobranoupočasstavuvyhlásenejvojny,vojnovéhostavu,výnimočnéhostavualebonúdzovéhostavu.Akobolospomenutévyššie,vzmysleúlohvyplývajúcichzakčnéhoplánujeuvedenévovzťahukukybernetickejbezpečnostizverenéakoúloha Národnému bezpečnostnému úradu.
10 Komentár k zákonu č. 69/2018 Z. z. Úvod
ZÁKON
č. 69/2018 Z. z.
z 30. januára 2018
o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
(v znení zákona č. 373/2018 Z. z.)
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
§ 1
Predmet zákona
Tento zákon upravuje
a)organizáciu,pôsobnosťapovinnostiorgánovverejnejmocivoblastikybernetickejbezpečnosti,
b)národnú stratégiu kybernetickej bezpečnosti,
c)jednotný informačný systém kybernetickej bezpečnosti,
d)organizáciuapôsobnosťjednotiekpreriešeniekybernetickýchbezpečnostnýchincidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,
e)postavenieapovinnostiprevádzkovateľazákladnejslužbyaposkytovateľadigitálnej služby,
f)bezpečnostné opatrenia,
g)systém zabezpečenia kybernetickej bezpečnosti, h)kontrolu nad dodržiavaním tohto zákona a audit.
Z dôvodovej správy
K § 1
VnadväznostinasmernicuNISsaupravujepredmetzákona,ktorýzodpovedápožiadavkámtranspozícieapredstavujenevyhnutýsúbornástrojovzabezpečeniakybernetickejbezpečnosti.Zákonupravujeprávaapovinnostiosôbakoajprávomocapôsobnosťorgánovverejnej moci.
Súvisiace ustanovenia
• § 4, § 7, § 8, § 13, § 19, § 20, § 22, § 28 a § 29
Súvisiace predpisy
• Kompetenčný zákon
• Zákon o ISVS
• Zákon o kontrole
• Vyhláška NBÚ č. 164/2018 Z. z.
• Vyhláška NBÚ č. 165/2018 Z. z.
• Vyhláška NBÚ č. 166/2018 Z. z.
o kybernetickej bezpečnosti 11 § 1
• Vyhláška NBÚ č. 362/2018 Z. z.
• Vykonávacie nariadenie Komisie (EÚ) 2018/151
• Koncepcia kybernetickej bezpečnosti SR
• Akčný plán
Transpozičné ustanovenia
• Čl. 1 ods. 2 Smernice NIS
Komentár k § 1
K písm. a)
AjkeďustálenúdefiníciupojmuorgánverejnejmocivprávnomporiadkuSRnenájdeme,vzmysleprávnejteórie,akoajrozhodovacejčinnostisúdovjemožnékonštatovať,že orgánomverejnejmocijeakýkoľvekorgánautoritatívnerozhodujúcioprávach,právom chránenýchzáujmochapovinnostiachsubjektovbezohľadunato,čitentoorgánrozhodujepriamoalebosprostredkovane. [2] Ďalšímrozhodujúcimatribútom,nazákladektoréhoje možnédôvodiťstatusorgánuverejnejmoci,jeskutočnosť,žesubjekt,oktoréhoprávach apovinnostiachorgánverejnejmocirozhoduje,jevovzťahuktomutoorgánuvpodriadenompostavení.Niemenejdôležitýmfaktoromimanentneprepojenýmsverejnoumocou acharakteromrozhodnutíorgánovverejnejmocijevynútiteľnosťtýchtorozhodnutí. Verejnúmoc vykonávaštátpredovšetkýmprostredníctvomorgánovmocizákonodarnej,výkonnejasúdnejazaurčitýchpodmienokjumôževykonávaťajprostredníctvomďalších subjektov.
Akovyplývazúvodutohtokomentára,Zákon(odhliadnucodjehovymedzeniaako transpozičnéhozákonaSmerniceNIS)vychádzazpredpokladunaplneniakonkrétnych kľúčovýchopatrenídefinovanýchKoncepcioukybernetickejbezpečnostiSR,najmäopatreniač.1„Vytvorenieinštitucionálnehorámcariadeniakybernetickejbezpečnost i“.Právetoto KoncepcioukybernetickejbezpečnostiSRzavedenéopatrenieviedlokprípravekomplexnéhonávrhurámcovéhovymedzeniapôsobnostíakompetenciísubjektovverejnejsprávy naúsekukybernetickejbezpečnosti.Predmetnéopatreniezároveňajidentifikujesubjekty verejnej správy na úseku kybernetickej bezpečnosti, ktorými sú: a)centrálny ústredný orgán štátnej správy pre kybernetickú bezpečnosť, b)národná jednotka pre riešenie incidentov, c)vecne príslušné autority pre kybernetickú bezpečnosť a d)jednotky pre riešenie incidentov.
AjkeďZákonvtomtosmereupúšťaodnázvoslovia,ktorésosebouprinieslaKoncepcia kybernetickejbezpečnostiSRvovzťahukinštitucionálnemurámcuriadeniakybernetickej bezpečnosti,KoncepcioukybernetickejbezpečnostiSRpôvodnenavrhnutéčlenenie„inštitúcií“zodpovednýchzariadeniekybernetickejbezpečnostiponecháva.Zákontakprináša, pokiaľideonázvoslovia,sícepozmenený,alevpodstatenedotknutýinštitucionálnyrámec riadeniakybernetickejbezpečnostireprezentovanýorgánmiverejnejmoci,ktorévykonávajúpôsobnosťvoblastikybernetickejbezpečnosti.Ideonasledovnéorgányverejnejmoci: a)Úrad,
[2]UznesenieÚstavnéhosúduČeskejaSlovenskejFederatívnejRepubliky(prvéhosenátu)zodňa 9.júna1992sp.zn.I.ÚS191/92,ktorýmsastanovilikritériánaurčenie,čisubjektkonáakoorgán verejnejmoci.VýchodiskomprerozhodnutiesenátuÚstavnéhosúduČeskejaSlovenskejFederatívnej Republiky bolo vymedzenie pojmu orgán verejnej moci.
12 Komentár k zákonu č. 69/2018 Z. z. § 1
b)ústrednéorgányštátnejsprávyvykonávajúcepôsobnosťvoblastikybernetickejbezpečnosti,atoÚrad,MinisterstvodopravyavýstavbySlovenskejrepubliky,MinisterstvofinanciíSlovenskejrepubliky,MinisterstvohospodárstvaSlovenskejrepubliky,MinisterstvoobranySlovenskejrepubliky,MinisterstvovnútraSlovenskejrepubliky,MinisterstvozdravotníctvaSlovenskejrepubliky,MinisterstvoživotnéhoprostrediaSlovenskej republiky,Slovenskáinformačnáslužba,Úradpodpredseduvládypreinvestícieainformatizáciu a Vojenské spravodajstvo, c)inéorgányštátnejsprávyvykonávajúcepôsobnosťvoblastikybernetickejbezpečnosti, atoministerstvá,ktoréniesúústrednýmorgánompodľapísm.b)(MinisterstvopôdohospodárstvaarozvojavidiekaSlovenskejrepubliky,MinisterstvospravodlivostiSlovenskejrepubliky,MinisterstvozahraničnýchvecíaeurópskychzáležitostíSlovenskej republiky,Ministerstvopráce,sociálnychvecíarodinySlovenskejrepubliky,Ministerstvoškolstva,vedy,výskumuašportuSlovenskejrepubliky,MinisterstvokultúrySlovenskejrepubliky)aostatnéústrednéorgányštátnejsprávy,ktoréniesúústrednýmorgánompodľapísm.b)(ÚradvládySlovenskejrepubliky,ProtimonopolnýúradSlovenskejrepubliky,ŠtatistickýúradSlovenskejrepubliky,Úradgeodézie,kartografie akatastraSlovenskejrepubliky,ÚradjadrovéhodozoruSlovenskejrepubliky,Úradpre normalizáciu,metrológiuaskúšobníctvoSlovenskejrepubliky,Úradpreverejnéobstarávanie,ÚradpriemyselnéhovlastníctvaSlovenskejrepubliky,SprávaštátnychhmotnýchrezervSlovenskejrepubliky),GenerálnaprokuratúraSlovenskejrepubliky,NajvyššíkontrolnýúradSlovenskejrepubliky,Úradpredohľadnadzdravotnoustarostlivosťou,ÚradnaochranuosobnýchúdajovSlovenskejrepubliky,Úradprereguláciu sieťových odvetví a iné štátne orgány v rozsahu svojej pôsobnosti.
Odhliadnucodsubjektov,ktoréjednotlivékategórieinštitucionálnehorámcareprezentujú,ZákonpôsobnosťvoblastikybernetickejbezpečnostizverujeÚradu,vybraným ústrednýmorgánomštátnejsprávyainýmorgánomštátnejsprávy,kamzaraďujemenapr. ÚradvládyčiústrednéorgányštátnejsprávypodľaKompetenčnéhozákonanezaradené medziústrednéorgányštátnejsprávyvykonávajúcepôsobnosťvoblastikybernetickejbezpečnostipodľa§4písm.b)Zákona.Dôvod,prečoZákonmedziústrednéorgányštátnej správypodľa§4písm.b)Zákonanezaraďujevšetkyústrednéorgányštátnejsprávypodľa Kompetenčnéhozákona,jeten,žeústrednýmorgánomštátnejsprávypodľaZákonamôže byťlentakýorgán,ktorývykonávasvojupôsobnosťvniektoromzosektorovalebopodsektorovidentifikovanýchvpríloheč.1Zákona.Ajkeďtýmústrednýmorgánomštátnejsprávy,ktorénemajú,resp.ktorénevykonávajúpôsobnosťvniektoromzosektorovalebopodsektorovpodľaprílohyč.1Zákona,samotnýzákonpostavenieústrednéhoorgánupodľa §4písm.b)Zákonanepriznáva,tietoneostávajúopomenuté,lebosavšetkypovažujúza inýorgánštátnejsprávypodľa§4písm.c)Zákona.Rozlišovaniejednotlivýchkategóriísubjektovvykonávajúcichpôsobnosťvoblastikybernetickejbezpečnostijedôležitézhľadiska ďalšiehopochopeniaanajmäsprávnejidentifikáciepríslušnýchoprávnení,povinnostíazodpovednostitýchsubjektovvykonávajúcichpôsobnosťvoblastikybernetickejbezpečnosti, ktorésavzávislostiodpríslušnejkategóriedefinovanejvrámci§4Zákonavýraznelíšia.
DopôsobnostiÚraduZákonzverujeúlohy,ktorémožnorozdeliťdonasledovnýchkategórií:
Normotvorné/právotvorné
• určovanieavydávanieštandardov,operačnýchpostupov,metodíkapolitíksprávaniasa v kybernetickom priestore,
• určovaniezásadnapredchádzaniekybernetickýmbezpečnostnýmincidentomazásad na riešenie kybernetických bezpečnostných incidentov,
o kybernetickej bezpečnosti 13 § 1
• vypracúvanienárodnejstratégiekybernetickejbezpečnostiaročnejsprávyostavekybernetickej bezpečnosti v SR,
• vydávanieznalostnýchštandardov(vspoluprácisMŠVVaŠ)azabezpečeniebudovania bezpečnostného povedomia.
Kompetenčné medzinárodné
• plnenieúlohnárodnéhokontaktnéhomiestaprekybernetickúbezpečnosťaspolupráca s jednotnými kontaktnými miestami iných členských štátov EÚ a NATO,
• notifikačné a oznamovacie povinnosti voči príslušným orgánom EÚ a NATO,
• zabezpečovanie členstva SR v skupine pre spoluprácu a v sieti jednotiek CSIRT,
• prijímaniehláseníokybernetickýchbezpečnostnýchincidentochzozahraničia;rozvíjanie medzinárodnej spolupráce.
Kompetenčné vnútroštátne
• riadenieakoordináciavýkonuštátnejsprávyvoblastikybernetickejbezpečnostiako ústrednýorgánštátnejsprávyprekybernetickúbezpečnosť(vyplývatakzoZákona,ako ajzosobitnéhopredpisu[3],
• plnenie úloh národnej jednotky CSIRT s pôsobnosťou pre SR,
• postavenie príslušného orgánu pre digitálne služby,
• akreditácia jednotiek CSIRT,
• riešenie kybernetických bezpečnostných incidentov na národnej úrovni,
• spoluprácasorgánmiverejnejmoci,jednotkamiCSIRT,prevádzkovateľmizákladných služieb a poskytovateľmi digitálnych služieb,
• získavanie,sústreďovanie,analýzaavyhodnocovanieinformáciíostavekybernetickej bezpečnosti v SR,
• prijímanievnútroštátnychhláseníokybernetickýchbezpečnostnýchincidentoch,riešenie kybernetických bezpečnostných incidentov,
• určovaniezákladnejslužbyaprevádzkovateľazákladnejslužby,digitálnejslužbyaposkytovateľa digitálnej služby,
• vedenieasprávazoznamov(základnejslužby,digitálnejslužbyaakreditovanýchjednotiekCSIRT)aregistrov(prevádzkovateľovzákladnýchslužiebaposkytovateľovdigitálnych služieb).
Ostatné úlohy
• výkon kontrol a auditov,
• výskum a vývoj v oblasti kybernetickej bezpečnosti.
Ústrednýmorgánomštátnejsprávy,ktorévykonávajúpôsobnosťvoblastikybernetickej bezpečnosti, Zákon vymedzuje nasledovné úlohy:
Kompetenčné
• plnenie úloh jednotky CSIRT v rámci príslušného sektora a podsektora,
• budovanie bezpečnostného povedomia.
14 Komentár k zákonu č. 69/2018 Z. z. § 1
[3]Kompetenčný zákon
Majúce charakter povinnosti
• zriadenieaprevádzkaakreditovanejjednotkyCSIRT(resp.nazákladeosobitnejzmluvy využíva akreditovanú jednotku CSIRT iného ústredného orgánu),
• poskytovaniepožadovanejsúčinnostiainformáciídôležitýchnazabezpečeniekybernetickej bezpečnosti Úradu,
• aplikáciabezpečnostnýchopatrení,metodíkapolitikysprávaniasavkybernetickom priestore,
• identifikácia základnej služby a prevádzkovateľa základnej služby,
• predloženieaktuálnehozoznamuidentifikovanýchzákladnýchslužiebaprevádzkovateľov základných služieb Úradu.
Spolupráca
• sÚradom[priurčovaníšpecifickýchsektorovýchidentifikačnýchkritériípodľaZákona (§ 18 ods. 3)],
• s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb,
• so zahraničnou inštitúciou obdobného zamerania.
Akojeuvedenévyššie,tounajzásadnejšouúlohouvzťahujúcousanaústrednýorgán štátnejsprávypodľa§4písm.b)ZákonajeplnenieúlohkybernetickejbezpečnostivyplývajúcichzoZákonavovzťahukpríslušnémusektorualebopodsektoruzprílohyč.1Zákona, ktorýústrednýorgán„pokrýva“,atedaktorýjevgesciiústrednéhoorgánu.Pokryťpríslušnýsektoralebopodsektorpodľaprílohyč.1ZákonaokreminéhoznamenázriadiťaprevádzkovaťvlastnúakreditovanújednotkuCSIRTalebovyužívaťinúakreditovanújednotku CSIRT,takú,ktorábudepripravenáriešiťkybernetickébezpečnostnéincidentyavykonávať preventívneslužbyareaktívneslužbyvrámcipríslušnéhosektoraalebopodsektorapodľa prílohyč.1Zákona.Vzhľadomnaskutočnosť,žezriadenieaprevádzkajednotkyCSIRTje vzmysleZákonaviazanávýlučnenaústrednýorgánpodľa§4písm.b)Zákona[vzmysle Zákonažiadeninýorgánmimo§4písm.b)nemôžezriadiťaprevádzkovaťjednotku CSIRT],vprípade,žeústrednýorgánnemázriadenúvlastnújednotkuCSIRT,jepovinný zabezpečiť„pokrytie“svojhosektoraalebopodsektorainouakreditovanoujednotkou CSIRTinéhoústrednéhoorgánu,atonazákladeosobitnejzmluvypodľa§9ods.3Zákona. Zákonsúčasnepredpokladáajprípady,kedynemusíkdohodedvochústrednýchorgánov ovyužívaníjednotkyCSIRTdôjsť,pričompretakétoprípadybudeexlegeúlohyjednotky CSIRTpredaný„nepokrytý“sektoralebopodsektorústrednéhoorgánupodľaprílohyč.1 ZákonaplniťÚradprostredníctvomsvojejnárodnejjednotkyCSIRT.Možnokonštatovať,že včasevypracovaniatohtokomentárasúvSRužzriadenéavprevádzkedveakreditované jednotkyCSIRT,atonárodnájednotkaCSIRTpodľa§6ZákonavgesciiÚraduavládnajednotkaCSIRTpodľa§11ZákonavgesciiÚradupodpredseduvládySlovenskejrepublikypre investícieainformatizáciu(bývalýCSIRT.SKvgesciiMinisterstvafinanciíSlovenskejrepubliky).TietodvejednotkyCSIRTvšaknebolipovinnéprejsťakreditačnýmprocesom vzmysleZákona,leboZákonichakreditáciupredpokladáautomaticky,tzn.žeobeuvedenéjednotkyCSIRTsúakreditovanézoZákona.Jevšakpotrebnékonštatovať,žeobidvejednotkyužvčaseúčinnostiZákonaspĺňalipodmienkyakreditáciepodľa§13ods.6Zákona ichakreditáciou/členstvomvmedzinárodnýchorganizáciachFIRSTaTrustedIntroducer. PokiaľideojednotkyCSIRTostatnýchústrednýchorgánov,ktoréniesúvčasevypracovaniatohtokomentáraakreditované,tietobudúmusieťakreditáciuvykonávanúÚradompodstúpiť.VlastnújednotkuCSIRT,ajkeďvčasepísaniatohtokomentáraešteÚradomneakreditovanúvzmysle§13Zákona,majúzriadenúVojenskéspravodajstvo(Centrumpre
o kybernetickej bezpečnosti 15 § 1
kybernetickúobranuSlovenskejrepubliky–bývalýCSIRT.MILMinisterstvaobranySlovenskej republiky) a Slovenská informačná služba.
Vovzťahukústrednýmorgánomvzmysle§4písm.b)Zákonajepotrebnépoukázať našpecificképostavenieVojenskéhospravodajstvaprivykonávanípôsobnostivoblastikybernetickejbezpečnosti,ktorépodľaosobitnéhopredpisu[4] plníšpecifickéúlohynaúsekukybernetickejobrany.PredovšetkýmideoprípadyzávažnýchkybernetickýchbezpečnostnýchincidentovpodľaZákonaatýkajúsaobranyštátu,ktorúVojenskéspravodajstvo zabezpečujeprostredníctvomopatrenízameranýchnariešenietýchtozávažnýchkybernetickýchbezpečnostnýchincidentov,atoobranyobjektovosobitnejdôležitosti,ďalšíchdôležitýchobjektovaprvkovkritickejinfraštruktúry [5] predkybernetickýmnapadnutím.ŠpecifickoupovinnosťouÚraduvovzťahukVojenskémuspravodajstvujeajpovinnosťÚradu informovaťVojenskéspravodajstvo,žezávažnýkybernetickýbezpečnostnýincidentmožnozaradiťdokategórietretieho(III.)stupňapodľavyhláškyč.165/2018Z.z.aleboide otakéskutočnosti,ktorénasvedčujútomu,žezávažnýkybernetickýbezpečnostnýincidentmôžebyťkybernetickýmterorizmom.Akovyplývaajzosamotnéhovýpočtuústrednýchorgánovpodľa§4písm.b)Zákona,Vojenskéspravodajstvoniejemožnézamieňať sMinisterstvomobranySlovenskejrepubliky,pretožeMinisterstvoobranySlovenskejrepublikymánazákladeprílohyč.1Zákonaakopríslušnýústrednýorgánvosvojejgescii podsektor„Obrana“,zatiaľčoVojenskéspravodajstvospolusoSlovenskouinformačnou služboumajúsamostatnýpodsektor„Spravodajskéslužby“.VtejtosúvislostijevšakdôležitéupozorniťnavymedzeniepostaveniaVojenskéhospravodajstvaakospravodajskej služby,ktoráplníúlohyspravodajskéhozabezpečeniaobrany,obranyschopnostiabezpečnostiSlovenskejrepublikyvpôsobnostiMinisterstvaobranySlovenskejrepubliky,akoaj na taxatívny výpočet úloh Vojenského spravodajstva uvedených v § 2 zákona o VS. K písm. b)
JednouzpožiadaviekSmerniceNISvovzťahukčlenskýmštátompovinnýmSmernicu NISnáležitetransponovaťdosvojichvnútroštátnychprávnychporiadkovbolaajpožiadavkavočikaždémučlenskémuštátuvzmyslečl.7SmerniceNISprijaťnárodnústratégiuvoblastibezpečnostisietíainformačnýchsystémov.SmernicaNISokremuvedenejpožiadavky zároveňurčuje,akýmotázkamsanárodnástratégiavoblastibezpečnostisietíainformačnýchsystémovmávenovať.Zákonuvedenúpožiadavkuvcelomrozsahupreniesoldosvojho§7,kdenárodnústratégiuvoblastibezpečnostisietíainformačnýchsystémovpremenovalnaNárodnústratégiukybernetickejbezpečnosti.Národnústratégiukybernetickej bezpečnostimávzmysle§5ods.1písm.d)ZákonapovinnosťvypracovaťÚrad,oprávnenie schvaľovaťNárodnústratégiukybernetickejbezpečnostibolozverenédokompetencieVládySlovenskejrepubliky.Slovenskárepublikamánaobdobierokov2015–2020prijatúKoncepciukybernetickejbezpečnostiSR,ktorásavspojenísjejakčnýmplánommôžepovažovaťazároveňakceptovaťakoNárodnástratégiakybernetickejbezpečnostivzmysleZákona.ZuvedenéhodôvodupretoprijímanienovejNárodnejstratégiekybernetickej bezpečnostidoroku2020niejeaktuálneavzhľadomnanaplnenosťúlohakčnéhoplánuku Koncepcii kybernetickej bezpečnosti SR ani reálne.
K písm. c)
JISKBjenovýinformačnýsystémupravenýazavedenýZákonom,ktoréhosprávuaprevádzkuzabezpečujeÚrad.JISKBtvoríkomunikačnýsystémprehlásenieariešeniekybernetickýchbezpečnostnýchincidentovacentrálnysystémvčasnéhovarovania.Účelomkomunikačnéhosystémuprehlásenieariešeniekybernetickýchbezpečnostnýchincidentov
[4]Zákon o obrane
[5]§ 2 písm. a) zákona o kritickej infraštruktúre
16 Komentár k zákonu č. 69/2018 Z. z. § 1
jenajmäumožniťpredkladanieinformácií,údajovahláseníÚradupodľaZákonaprostredníctvomnatourčenejfunkcionality(predovšetkýmideohláseniekybernetickýchbezpečnostnýchincidentov,zistenieprekročeniaidentifikačnýchkritériíprevádzkovanejslužby PZSalebooznámenieapreukázanie/preukazovanievykonaniareaktívnehoopatreniaPZS alebo PDS).
Účelom centrálneho systému včasného varovania je najmä umožniť:
• zasielanievčasnéhovarovaniapredkybernetickýmibezpečnostnýmiincidentmijednotkou CSIRT;
• vyhlasovanievýstrahavarovaníÚradompredzávažnýmkybernetickýmbezpečnostným incidentom.
JISKBtvoríverejnáaneverejnáčasť.ÚradjepovinnýsprístupniťverejnúčasťJISKBdo 18mesiacovododňaúčinnostiZákona(t.j.do1.októbra2019).ĎalšiepodrobnostiJISKB stanovuje § 8 Zákona.
K písm. d)
Každýústrednýorgánpodľa§4písm.b)Zákonajepovinný,pretožemávosvojejgescii aspoňjedenzosektorovalebopodsektorovpodľaprílohyč.1Zákona,zriadiťsialebonazákladeosobitnejzmluvyvyužívaťakreditovanújednotkuCSIRT,ktorejprimárnouúlohouje vrámcidotknutéhosektoraalebopodsektoravzmysleprílohyč.1Zákonariešiťkybernetickébezpečnostnéincidentyavykonávaťpreventívneslužbyareaktívneslužbyvzmysle§15 Zákona.DôležitýmpoznávacímznakomkaždejjednotkyCSIRTvzmysleZákonajeskutočnosť,žetátojednotkaCSIRTjezriadenáaprevádzkovanávýlučneniektorýmzústredných orgánovpodľa§4písm.b)ZákonaasúčasnemusíbyťÚradomakreditovanáaspĺňaťpodmienkyakreditáciepodľa§14Zákona.Zuvedenéhotedavyplýva,ženiekaždýERT („EmergencyResponseTeam“),RRT(„RapidReactionTeam“),SOC(„SecurityOperation Centre“),dokoncaanimedzinárodneakreditovanýalebocertifikovanýCSIRT/CERT („ComputerSecurityIncidentResponseTeam/ComputerEmergencyResponseTeam“),pokiaľniejezriadenýaprevádzkovanýpríslušnýmústrednýmorgánomvzmysle§4písm.b) Zákona,môžebyťzajednotkuCSIRTvzmysleZákonapovažovaný.Nadruhejstraneje všakpotrebnédodať,ževzmyslevyhláškyNBÚč.166/2018Z.z.platí:„jednotkaCSIRTdisponujeminimálnympočtomaspoňtrochpracovníkov,ktorízabezpečujúplnenieúlohjednotkyCSIRT.“Zuvedenéhotedavyplýva,žejedinoupovinnosťouvovzťahukpersonálnemuobsadeniujednotkyCSIRTz„vnútorných“zdrojovjepráveskôrcitovaný§5ods.3tejto vyhlášky,pričomniejevylúčené,abyostatnípracovnícijednotkyCSIRTnemohlibyť vinomakopracovnompomerevovzťahuktejtojednotkeCSIRT.Niejetedamožnéjednoznačnevysloviťzáverovýlučnominternom,tedaštátnompersonálnomobsadeníjednotky CSIRT.PredmetomZákonajenastaveniepožiadavieknaminimálnepersonálneobsadenie jednotkyCSIRT.PredmetomúpravyvZákonevšakniejeprávnaformavzťahupracovníkov ajednotkyCSIRT.Natomtomiestejepotrebnéuviesť,žeexistujúajnázory,podľaktorých personálneobsadeniejednotkyCSIRTmámaťformuinternéhopracovno-právnehovzťahu. PodľaautorovtakýtonázornemáoporuvZákoneavyhláškeNBÚč.166/2018Z.z. AkreditovanéjednotkyCSIRTsazároveňzaraďujúdozoznamuakreditovanýchjednotiek CSIRT vedeného Úradom, ktorý je súčasťou verejnej časti JISKB.
VzmysleZákonasúprimárnezriadenédvejednotkyCSIRT,jednavpôsobnostiÚradu soznačenímnárodnájednotkaCSIRTadruhávpôsobnostiÚPVIIsoznačenímvládnajednotkaCSIRT.Ajkeď§6ZákonavovzťahuknárodnejjednotkeCSIRTpoužívavsúvislosti sakreditáciouinúterminológiu(„NárodnájednotkaCSIRTjezaradenávzoznameakreditovanýchjednotiekCSIRT.“)akoustanovenie§11vovzťahukvládnejjednotkeCSIRT („VládnajednotkaCSIRTsazaraďujedozoznamuakreditovanýchjednotiekCSIRT.“),je
o kybernetickej bezpečnosti 17 § 1
možnévysloviťzáveroakreditáciiobochspomínanýchjednotiekautomatickyzoZákona. Tovšakobeuvedenéjednotkynezbavujeichpovinnostinaďalejspĺňaťpodmienkyakreditáciepodľa§14ZákonapočasceléhoživotnéhocyklujednotkyCSIRT.Zároveňjepotrebné poukázaťnato,žeZákonjezároveňnovelizačnýmpredpisomkZákonuoVS,ktorýokrem inéhodopĺňao§4atýkajúcisaCentraprekybernetickúobranuSlovenskejrepublikyako osobitnúorganizačnúzložkuVojenskéhospravodajstva.Ajkeďpredmetnáorganizačná zložkaVojenskéhospravodajstvaexistovalaužpredúčinnosťouZákona,Zákonjejpriradil konkrétnynázov(CentrumprekybernetickúobranuSlovenskejrepubliky)azverilmu konkrétne úlohy a kompetencie vyplývajúce zo Zákonom doplneného Zákona o VS. K písm. e)
Vzhľadomnaskutočnosť,žeprevažnáväčšinapovinnostívzmysleZákonajenaviazaná napovinnéosobyvzmysleZákona,atoprevádzkovateľazákladnejslužbyaposkytovateľa digitálnejslužby,jepochopiteľné,žeZákonsapostavenímapovinnosťamitýchtopovinných osôb zaoberá.
Postavenieprevádzkovateľazákladnejslužbyupravujeustanovenie§3písm.l)Zákona, obsahujedefiníciuprevádzkovateľazákladnejslužbyvspojenísdefinícioupojmuzákladná službavzmysle§3písm.k)Zákona.Podmienkouidentifikáciekonkrétnehoprevádzkovateľaakoprevádzkovateľazákladnejslužbyjeprevádzkaaspoňjednejzákladnejslužbyvymedzenej§3písm.k)Zákona.Abyvšakbolomožnéozákladnejslužbevzmysle§3 písm.k)hovoriť,jenevyhnutné,abykonkrétnaslužbanaplnilaidentifikačnékritériáprevádzkovanejslužbyvzmysle§18Zákona,ktorýmisarozumejúdosahovékritériápodľa §18ods.2Zákonaašpecifickésektorovékritériápodľa§18ods.3Zákona,obeurčenévyhláškouNBÚč.164/2018Z.z.Ajnapriektomu,žešpecifickésektorovékritériáurčuje vspoluprácisÚradomústrednýorgánpodľa§4písm.b)Zákona,jedinýmsubjektomsplnomocnenýmnavydanievšeobecnezáväznéhopredpisuidentifikujúcehouvedenékritériá jesamotnýÚrad.Zuvedenéhodôvodujemožnéustanovenie§9ods.1písm.e)vspojení s§18ods.3Zákonavnímaťskôrakopovinnosťústrednéhoorgánupodľa§4písm.b)ZákonaposkytnúťÚradusúčinnosť(spolupracovať)priidentifikáciišpecifickýchsektorových kritérií.Ažnaplnenímaspoňjednéhodosahovéhokritériaaaspoňjednéhošpecifického sektorovéhokritériapodľavyhláškyNBÚč.164/2018Z.z.jemožnékonkrétnuslužbupovažovaťzazákladnúslužbuajejprevádzkovateľazaprevádzkovateľazákladnejslužby. PrevádzkovateľovizákladnejslužbynáslednepatriapríslušnépovinnostipodľaZákona, najmäpodľa§17až§20,§24a§27Zákona.PrevádzkovateľazákladnejslužbyÚradzaradí doregistraprevádzkovateľovzákladnejslužbyajehozákladnúslužbu,príp.základnéslužby(jedenprevádzkovateľmôžeprevádzkovaťajviacakojednuzákladnúslužbu)dozoznamu základných služieb.
Postavenieposkytovateľadigitálnejslužbyvyplývaz§3písm.n)Zákona,ktorédefinuje poskytovateľadigitálnejslužbyvspojenísvymedzenímpojmudigitálnaslužbavzmysle §3písm.m)Zákona.Primárnympredpokladomidentifikáciekonkrétnehoposkytovateľa akoposkytovateľadigitálnejslužbyje,abyuvedenýposkytovateľposkytovalaspoňjednu digitálnuslužbyvymedzenú§3písm.m)Zákona,atedaaspoňjednuslužbuvzmysleprílohyč.2Zákona.Skutočnosť,žekonkrétnyposkytovateľslužiebjesúčasneposkytovateľom aspoňjednejdigitálnejslužbypodľaprílohyč.2,automatickynezakladájehostatusposkytovateľazákladnejslužby,leboZákonvosvojom§3písm.n)limitujepotenciálnyokruh poskytovateľovdigitálnychslužiebtým,ževzmysleZákonamusíposkytovateľokremposkytovaniadigitálnejslužbyzamestnávaťaspoň50zamestnancovamaťročnýobratalebo celkovúročnúbilanciuviacako10000000eur.Jevhodnépoznamenať,žeročnýobratmá byťodvodenýodzverejnenýchcelkovýchhospodárskychvýsledkovsubjektu,pretože vpovinnomvykazovaníbilancienebudemožnéodlíšiť,ktoráčasťobratu,resp.bilanciesa
18 Komentár k zákonu č. 69/2018 Z. z. § 1
týkalavýhradnedigitálnejslužby.PoskytovateľovidigitálnejslužbynáslednepatriapríslušnépovinnostipodľaZákona,najmäpodľa§21,§22,§25a§27Zákona.PoskytovateľdigitálnejslužbyjeÚradomzaradenýdoregistraposkytovateľovdigitálnejslužbyajehodigitálnaslužba,príp.digitálneslužby(jedenposkytovateľmôžeposkytovaťajviacakojednudigitálnuslužbu)dozoznamudigitálnychslužieb.Zuvedenéhovyplýva,žezoznam digitálnychslužiebnebudepozostávaťvýlučnezozoznamukategóriídigitálnychslužieb podľaprílohyč.2Zákona,alevzoznamebudúuvedenékonkrétnetypyslužiebsuvedením príslušnej kategórie podľa prílohy č. 2 Zákona.
K písm. f)
Bezpečnostnéaleboochrannéopatrenia(zanglického:„measures“alebo„controls“)–vkontexteZákonasatentovýrazpoužívaprepraktiky,postupy,procedúryamechanizmy technickéhoaleboprocesnéhocharakteru,ktorémôžupomôcťznížiťznámezraniteľnosti, chrániťsystémaleboorganizáciupredkybernetickýmihrozbami.Vprípade,žesahrozba užuplatnilaaspôsobilaškodlivúudalosť,majúbezpečnostnéopatreniatútoudalosťodhaliťaobmedziťjejvplyv.Následnébezpečnostnéopatreniamajúumožniťzotaveniesystémualeboorganizáciezoškodlivejudalosti,resp.incidentu.Pojemopatreniasačastopoužívaajvzmysleprávnehokonania,ktorépotenciálnezaručíodškodneniestrátvyvolaných škodlivou udalosťou.
Opatreniasarozdeľujúdodvochskupín,atodoskupinytechnickýchaskupinyorganizačnýchopatrení.Technickéopatreniasúpraktiky,postupyamechanizmynazníženie bezpečnostnýchrizíkpomocouprostriedkovfyzickejatechnologickejpovahy.Technickýmiopatreniamisúzvyčajnebezpečnostnétechnológie,t.j.integrovanýsúborinformačnýchakomunikačnýchtechnológiípoužívanýchnazvýšeniebezpečnostiaochranyinformačnýchafyzickýchaktív.Komplexnosťbezpečnostnýchtechnológií,ichrýchlyrozvoj arozličnýspôsobichimplementácie,ktorýjezávislýodkonkrétnehoinfraštruktúrneho prostrediaaodkonkrétnejarchitektúry,neumožňujú,abynaúrovnilegislatívybolitechnickéopatreniaopísanédetailnejšímspôsobom.Nepísanou,avšaklogickoupožiadavkouje tiež udržanie platformovej nezávislosti odporúčaných technických opatrení.
Organizačnéopatreniasúzdokumentovanépraktiky,postupyaprocesynazníženie bezpečnostnýchrizíkpomocouzmenybezpečnostnejstratégieacieľov,pomocouzmien procesovaúpravounávrhupodnikovejaleboaplikačnejarchitektúry.Špeciálnoupodkategóriouorganizačnýchopatrenísúbezpečnostnéopatreniatýkajúcesariadeniaľudských zdrojov a označujeme ich ako tzv. personálne opatrenia.
V Zákone sú bezpečnostné opatrenia bližšie opísané v ustanovení § 20.
K písm. g)
Systémjeúčelovousporiadanýcelok,množinapredmetov,javov,dejovapoznatkov zloženázjednotlivýchkomponentov,medziktorýmijestvujúpresnevymedzenévzťahy aktorésledujúvopredurčenýcieľ.VopredurčenýmcieľomZákonajenajmäzaviesťbezpečnostnépožiadavkyapožiadavkynahláseniekybernetickýchbezpečnostnýchincidentovpreprevádzkovateľazákladnýchslužiebapreposkytovateľadigitálnychslužieb.Komponentmitakéhotosystémubezpečnostnýchpožiadavieksújednotlivébezpečnostnéopatrenia.Bolobynákladovoajčasovoneefektívneimplementovaťbezpečnostnéopatrenia odťažito,bezvzájomnýchväzieb.Neefektívnosťbysaprejavilaajvpraktickejúčinnostiopatrení,čobynegatívneovplyvniloschopnosťpovinnýchosôbzaručiťpožadovanúúroveňkybernetickejbezpečnosti.Predísťtomujemožnétak,žeoopatreniach(sledujúc vopredurčenýcieľ)sabuderozhodovaťvždyvkontextekultúrykonkrétnejorganizácie,akoajvkontextedotknutéhoinfraštruktúrnehoprostrediaaexistujúcejarchitektúry prevádzkovateľazákladnýchslužiebaleboposkytovateľadigitálnychslužieb.Spôsob
o kybernetickej bezpečnosti 19 § 1
dokumentovania,preukazovaniazhodyvediekintegráciiviacerýchindividuálnychbezpečnostnýchopatrenídojednéhointegrovanéhosystémumanažérstva.Riešenímjeteda oprieť sa o vhodný integrovaný manažérsky systém.
Preinformačnúbezpečnosťexistujerokmivyskúšanýmanažérskysystém,ktorýpoznámepodnázvomSystémriadeniainformačnejbezpečnosti(InformationSecurityManagementSystem),komplexneopísanývtriedemedzinárodnýchnoriemISO/IEC27000.Pod pojmomsystémzabezpečeniakybernetickejbezpečnostisavZákonechápesystémriadeniainformačnejbezpečnostisozameranímnabezpečnosťinformáciívkybernetickom priestore.
K písm. h)
Zákonvosvojichustanoveniach§28a§29podrobneupravujekontroluaaudit,avšak komplexnýmspôsobomužneupravujesystémvykonávaniakontrolypodľa§28,alevsúladeslegislatívnymipravidlamivládyodkazujenaužexistujúcisystémvýkonukontroly podľaosobitnéhoprávnehopredpisu,atoZákonaokontrole(konkrétneideo§8až§13). Súčasnez§28Zákonavyplýva,žekontrolunaddodržiavanímustanoveníZákonajeoprávnenývykonávaťÚrad.Ajnapriekskutočnosti,žeZákonneobsahujeexplicitnevymedzené oprávnenieÚradunavýkonkontrolyvočiakémukoľveksubjektuvzmysleZákona(Zákon sazmieňujelenovýkonekontrolyvočiprevádzkovateľovizákladnejslužbyaposkytovateľovidigitálnejslužby),smetohonázoru,ževzmysle§28ods.1ZákonajeÚradoprávnený navýkonkontrolyajvústrednomorgánepodľa§4písm.b)Zákona,vinomorgáneštátnej správypodľa§4písm.c)ZákonaalebovjednotkeCSIRT,lebovzmysle§28ods.1Zákona jekontrolazameranánadodržiavanieustanoveníZákona,čoznamená,žeajnadodržiavanieakéhokoľvekustanoveniaZákonaakýmkoľvekpovinnýmsubjektomvzmysleZákona. Otáznymsamôžejaviťuplatnenieznámejbásnickejotázky„Quiscustodietipsoscustodes?“(Ktobudestrážiťstrážcov?),ateda,ktobudekontrolovaťsamotnýÚrad,leboajtomu zoZákonavyplývajúpríslušnépovinnosti.Vzmysle§72,§73a§74zákonaoOUSjena účelkontrolyčinnostiNárodnéhobezpečnostnéhoúraduzriadenýOsobitnýkontrolný výborNRSRnakontrolučinnostiNBÚ.Keďžeideoposlaneckúkontrolu,problematickou môžebyťspôsobilosťčlenovkontrolnéhovýboru(poslancov)posudzovaťzákonnosť Úradu vo vzťahu k jeho postupom v zmysle Zákona.
Auditkybernetickejbezpečnostivzmysle§29Zákonajeosobitnýmdruhomkontroly zameranejnapravidelnesaopakujúcepreverovanieúčinnostiprijatýchbezpečnostných opatreníaplneniepožiadaviekstanovenýchZákonomuprevádzkovateľazákladnejslužby. Špecifikomauditukybernetickejbezpečnostije,žetentomápovinnosťzabezpečiťsámprevádzkovateľzákladnejslužbyprostredníctvomorgánuposudzovaniazhodypodľaosobitnéhopredpisu[6] avrozsahustanovenompodľavšeobecnezáväznéhoprávnehopredpisu, ktorývydáÚradpodľa§32ods.1písm.f)Zákona.Súčasne§29ZákonastanovujeoprávnenieÚraduvykonaťaudituprevádzkovateľaajsamostatnealeboprostredníctvomorgánu posudzovaniazhodyaupravujeotázkytýkajúcesaúhradynákladovspojenýchsauditom kybernetickej bezpečnosti u prevádzkovateľa základnej služby.
Z judikatúry
RozsudokNajvyššiehosúduSlovenskejrepublikyč.k.7Sž/139/01,podľazáverovktorého: „Akjezrejmé,žepodkladomnavydanierozhodnutiaouloženísankciesúzisteniakontroly,ktorá
[6]Čl.2ods.13nariadeniaEurópskehoparlamentuaRady(ES)č.765/2008z9.júla2008,ktorýmsa stanovujúpožiadavkyakreditácieadohľadunadtrhomvsúvislostisuvádzanímvýrobkovnatrh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13. 8. 2008).
20 Komentár k zákonu č. 69/2018 Z. z. § 1
bolavykonanávrozporesozákonomč.10/1996Z.z.okontrolevštátnejspráve,jetodôvodom, aby súd takéto rozhodnutie ako nezákonné zrušil.“
§ 2
Pôsobnosť zákona
(1)Tentozákonustanovujeminimálnepožiadavkynazabezpečeniekybernetickejbezpečnosti.
(2) Tento zákon sa nevzťahuje na
a)požiadavkynazabezpečeniesietíainformačnýchsystémovpodľavšeobecnéhopredpisu o ochrane utajovaných skutočností,
b)osobitnéustanoveniaoúloháchaoprávneniachorgánuštátupriochranekybernetického priestoru podľa osobitného predpisu, 1)
c)ustanoveniaosobitnýchpredpisovovyšetrovaní,odhaľovaníastíhanítrestnýchčinov,2)
d)požiadavkytýkajúcesabezpečnostisietí,infraštruktúrainformačnýchsystémovaoznamovaniakybernetickýchbezpečnostnýchincidentovvsektorebankovníctva,financiíalebofinančnéhosystémupodľaosobitnýchpredpisov,3) vrátaneštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnoubankou,Európskymsystémomcentrálnych bánk,Eurosystémomaleboeurópskymiorgánmidohľadu,4) akichúčinokjeaspoňrovnocennýsúčinkompovinnostípodľatohtozákona,vrátanerozhodnutí,štandardovazásad vydanýchaleboprijatýchNárodnoubankouSlovenska,akichcieľomjedosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí, infraštruktúrainformačnýchsystémovako podľatohtozákona,aaninaplatobnésystémyanasystémyzúčtovaniaavyrovnaniacennýchpapierovaichinfraštruktúrydohliadanéaleboprevádzkovanéEurópskoucentrálnoubankoualeboEurosystémompodľaosobitnýchpredpisov,5)
e)požiadavkynazabezpečeniesietíainformačnýchsystémovvsektorepodľaosobitného predpisu,6) akichcieľomjedosiahnuťvyššiuúroveňbezpečnostisietíainformačných systémov ako podľa tohto zákona, f)osobitné predpisy. 7)
Z dôvodovej správy
K § 2
UstanovenieupravujepôsobnosťzákonavovzťahuksmerniciNISanárodnejúpravezabezpečenia sietí a informačných systémov.
Vodseku1savymedzujecieľzákona,ktorýmjenajmästanoviťminimálnepožiadavkyna štandardnézabezpečenievýznamnýchinformačnýchsystémovvSlovenskejrepublike.
Včlenskýchštátochjetotižrôznaúroveňpripravenostinazabezpečeniekybernetickejbezpečnosti,čovediekfragmentáciiprístupovvEurópskejúnii.Tomázanásledokrozdielnuúroveň ochranyspotrebiteľovapodnikovanarúšacelkovúúroveňbezpečnostisietíainformačných systémovvrámciÚnie.Neexistenciaspoločnýchpožiadavieknaprevádzkovateľovzákladnýchslužiebaposkytovateľovdigitálnychslužiebzaseznemožňuje,abysanaúrovniÚnievytvorilglobálnyaúčinnýmechanizmusspolupráce.Minimálnepožiadavkynazabezpečenie kybernetickejbezpečnostivtomtozákonenebrániaprevádzkovateľomzákladnýchslužieb a poskytovateľom digitálnych služieb uplatňovať prísnejšie bezpečnostné opatrenia.
Vodseku2savymedzujenegatívnymspôsobomvecnápôsobnosť.Špecifickéobmedzeniapôsobnostisavzťahujúnasieteainformačnésystémy,ktoréspracúvajúutajovanéskutočnosti.Dôvodomje,žetietosystémysúregulovanéosobitnýmpredpisom,ktorýmjezákon
o kybernetickej bezpečnosti 21 § 2
č.215/2004Z.z.oochraneutajovanýchskutočnostíaozmeneadoplneníniektorýchzákonov v platnom znení.
Negatívnevymedzenieďalejdefinuje,žeakosobitnýprávnypredpisobsahujeustanovenia nazabezpečeniesietíainformačnýchsystémov,ktorévychádzajúzrovnakýchzákladovako požiadavkynazabezpečeniekybernetickejbezpečnostiupravenévtomtozákone,použijúsa nazabezpečeniekybernetickejbezpečnostiosobitnépredpisy.Idenapríkladopríslušnéustanoveniazákonač.492/2009Z.z.oplatobnýchslužbách,zákonč.541/2004Z.z.omierovom využívaníjadrovejenergie,zákonč.275/2006Z.z.oinformačnýchsystémochverejnejsprávy. Zákonokybernetickejbezpečnostisaďalejnevzťahujenazákonč.351/2011Z.z.oelektronickýchkomunikáciáchvzneníneskoršíchpredpisov,nariadenieEurópskehoparlamentuaRady (EÚ)č.910/2014oelektronickejidentifikáciiadôveryhodnýchslužbáchpreelektronické transakcienavnútornomtrhuaozrušenísmernice1999/93/ES(Ú.v.EÚL257,28.8.2014), zákonNárodnejradySlovenskejrepublikyč.46/1993Z.z.oSlovenskejinformačnejslužbe vzneníneskoršíchpredpisov,zákonNárodnejradySlovenskejrepublikyč.198/1994Z.z. o Vojenskom spravodajstve v znení neskorších predpisov.
UstanoveniatohtozákonasazpovahyjehopredmetuúpravynevzťahujúnačinnostiSlovenskejinformačnejslužbyaMinisterstvaobranySlovenskejrepublikypriaktivitáchaohrozeniach v kybernetickom priestore, ak ohrozujú bezpečnosť štátu (kybernetická obrana).
SmernicouNISniesúdotknutéopatreniaprijímanéčlenskýmištátminazabezpečenieich základnýchštátnychfunkcií,najmänazabezpečenienárodnejbezpečnostivrátaneopatrení naochranuinformácií,ktorýchsprístupneniečlenskéštátypovažujúzaodporujúcezákladnýmzáujmomichbezpečnosti,anaudržanieverejnéhoporiadku,najmänaúčelyumožnenia vyšetrovania, odhaľovania a stíhania trestných činov.
Súvisiace ustanovenia
• § 20
Súvisiace predpisy
• § 2 ods. 1 písm. g), ods. 3 Zákona o SIS
• § 2 ods. 1 písm. c) a h), ods. 2 a § 4a Zákona o VS
• Zákon o obrane
• Zákonč.398/2015Z.z.oeurópskomochrannompríkazevtrestnýchveciachaozmene a doplnení niektorých zákonov
• Zákonč.91/2016Z.z.otrestnejzodpovednostiprávnickýchosôbaozmeneadoplnení niektorých zákonov v platnom znení
• §28c,§28d,§45ods. 8a§64 ods.4zákonač.492/2009Z.z.oplatobnýchslužbách a o zmene a doplnení niektorých zákonov
• NariadenieEurópskehoparlamentuaRady(EÚ)č.648/2012zo4.júla2012omimoburzovýchderivátoch,centrálnychprotistranáchaarchívochobchodnýchúdajov(Ú.v.EÚ L 201, 27. 7. 2012) v platnom znení
• § 14 zákona č. 429/2002 Z. z. o burze cenných papierov v platnom znení
• DelegovanénariadenieKomisie(EÚ)2017/584zo14.júla2016,ktorýmsadopĺňasmernicaEurópskehoparlamentuaRady2014/65/EÚ,pokiaľideoregulačnétechnické predpisybližšieurčujúceorganizačnépožiadavkynaobchodnémiesta(Ú.v.EÚL87, 31. 3. 2017)
• Čl. 127 ods. 2 Zmluvy o fungovaní EÚ
• Čl.12ods.12.1,čl.22Protokolu(č.4)oŠtatúteEurópskehosystémucentrálnychbánk a Európskej centrálnej banky v platnom znení (Ú. v. EÚ C 202, 7. 6. 2016)
22 Komentár k zákonu č. 69/2018 Z. z. § 2
• § 2 Zákona o NBS
• §2ods.9zákonač.747/2004Z.z.odohľadenadfinančnýmtrhomaozmeneadoplnení niektorých zákonov v znení zákona č. 132/2013 Z. z.
• Čl.3ods.3.1,čl.22Protokolu(č.4)oŠtatúteEurópskehosystémucentrálnychbánk a Európskej centrálnej banky v platnom znení (Ú. v. EÚ C 202, 7. 6. 2016)
• NariadenieEurópskejcentrálnejbanky(EÚ)č.795/2014z3.júla2014opožiadavkách voblastidohľadunadsystémovodôležitýmiplatobnýmisystémami(Ú.v.EÚL217, 23. 7. 2014)
• Zákonč.541/2004Z.z.omierovomvyužívaníjadrovejenergie(atómovýzákon) a o zmene a doplnení niektorých zákonov v platnom znení
• Zákon o ISVS
• Nariadenie eIDAS
• Zákonč.166/2003Z.z.oochranesúkromiapredneoprávnenýmpoužitíminformačno-technickýchprostriedkovaozmeneadoplneníniektorýchzákonov(zákonoochrane pred odpočúvaním) v platnom znení
• Zákon o elektronických komunikáciách
Transpozičné ustanovenia
• Čl. 1 ods. 1, 3, 4, 6 a 7 Smernice NIS
Komentár k § 2
K odseku 1
Zákonvosvojom§20,akoajvovykonávacíchpredpisoch[najmävovyhláškevydanej podľa§32ods.1písm.c)Zákona]ustanovujeminimálnepožiadavkynazabezpečeniekybernetickejbezpečnosti,ktorébudemusieťkaždápovinnáosobavzmysleZákonadodržiavať,atobezohľadunajejkonkrétnešpecifiká,prevádzkovéprostrediečipotreby.Ajkeď Zákonvosvojom§20uvádzalenoblasti,prektorésamajúbezpečnostnéopatreniapodľa §20ods.1Zákonaprijať(všeobecnéasektorovébezpečnostnéopatrenia),vyhláškaNBÚ č.362/2018Z.z.okreminéhoobsahujeužexaktnývýpočetkonkrétnychbezpečnostných opatrenípretú-ktorúoblasťidentifikovanú§20ods.3Zákona.Uvedenéopatreniabudú prevádzkovateliazákladnýchslužiebpovinneabezobmedzeniaimplementovať,pokiaľnie je daná niektorá z výnimiek pôsobnosti samotného Zákona uvedená v § 2 ods. 2 Zákona.
K odseku 2
Účelom§2ods.2jevymedziťasúčasneobmedziťpôsobnosťZákona(čiužúplne,alebo vkonkrétnomrozsahu)vovzťahukukonkrétnymoblastiam,sektorom,osobitnýmpredpisomapod.Ustanovenie§2ods.2Zákonatedavosvojichpísm.a)ažf)vyčerpávajúcimspôsobomnegatívnevymedzujetieoblasti,naktorésapôsobnosťZákonavkonkrétneurčenom rozsahuvzmyslepríslušnéhopísmenak§2ods.2Zákonanevzťahuje.Uvedenýprístupzákonodarcujeprístup,ktorýprevzalzoSmerniceNIS,ktorejpožiadavkouvzmyslečl.1ods.7 je:„AksapodľaprávnehoaktuÚniešpecifickéhopreurčitéodvetvievyžaduje,abyprevádzkovateliazákladnýchslužiebaleboposkytovateliadigitálnychslužiebbuďzaisťovalibezpečnosť ichsietíainformačnýchsystémov,aleboabyoznamovaliincidenty,uplatňujúsaustanovenia tohtoprávnehoaktuÚniešpecifickéhopreurčitéodvetviepodpodmienkou,žetietopožiadavkymajúaspoňrovnocennýúčinokakopovinnostistanovenévtejtosmernici.“
o kybernetickej bezpečnosti 23 § 2
Nazákladeuvedenéhovšakchcemeupozorniťnačastédezinterpretácie§2ods.2Zákonavtomzmysle,žepriuplatneníniektorejzvýnimiekpredpokladanýchkonkrétnympísmenomustanovenia§2ods.2ZákonapôsobnosťZákonaniejedanávôbec.Uvedenénieje pravdou,lebo§2ods.2vniektorýchpríslušnýchpísmenách[najmäa),d)ae)]súčasnestanovujeajrozsahvylúčeniapôsobnostiZákona,ktorývoznačenýchprípadochniejeabsolútny.Uvedenéplatíajvzmyslezmenyadoplnenia§2ods.2písm.d)Zákonaprostredníctvomzákona,ktorýmsameníadopĺňazákonč.371/2014Z.z.oriešeníkrízovýchsituácií nafinančnomtrhuaozmeneadoplneníniektorýchzákonov. [7] Uvedenouzmenousmesa zaoberali v komentári k § 2 ods. 2 písm. d) Zákona.
NepresnosťoutrpíajsamotnádôvodovásprávakZákonu,ktoránapr.vovzťahukzákonuč.541/2004Z.z.omierovomvyužívaníjadrovejenergieuvádzanasledovné:„Negatívne vymedzenieďalejdefinuje,žeakosobitnýprávnypredpisobsahujeustanovenianazabezpečeniesietíainformačnýchsystémov,ktorévychádzajúzrovnakýchzákladovakopožiadavkynazabezpečeniekybernetickejbezpečnostiupravenévtomtozákone,použijúsanazabezpečeniekybernetickejbezpečnostiosobitnépredpisy.Idenapríkladopríslušnéustanoveniazákonač.492/2009Z.z.oplatobnýchslužbách,zákonač.541/2004Z.z.omierovom využívaníjadrovejenergie...“ Suvedenýmniejemožnésastotožniť,lebo§2ods.2písm.e) Zákonajejednoznačnývtom,ženauplatnenievýnimkyzpôsobnostiZákonasavyžaduje, abyosobitnýpredpis(vtomtokonkrétnomprípadeajzákonč.541/2004Z.z.omierovom využívaníjadrovejenergie)stanovovaltaképožiadavkynabezpečnosťsietíainformačných systémov,ktorýchcieľomjedosiahnuťvyššiuúroveňbezpečnostisietíainformačnýchsystémov,zatiaľčozáklady,zktorýchmajútie-ktorépožiadavkyvychádzať,súirelevantné. Vopačnomprípadebynauplatnenievýnimkypostačovalaidentifikáciaustanoveníosobitnéhopredpisunazabezpečeniesietíainformačnýchsystémov,ktorévychádzajúzrovnakýchzákladovakopožiadavkynazabezpečeniekybernetickejbezpečnostivzmysleZákonabezposúdeniazamýšľanejúrovnebezpečnostitýchtoustanoveníalebopožiadaviek. S takýmto názorom však nemožno súhlasiť.
Akvzmysleustanovenia§2ods.2písm.d)Zákonamábyťúčinokpožiadaviektýkajúcichsabezpečnostisietí,infraštruktúrainformačnýchsystémov„aspoňrovnocennýsúčinkompovinnostípodľaZákona“,implicitneztohovyplývanutnosťposúdiťtentoúčinok.Samotnádeklaráciaexistencieakýchkoľvekinýchpožiadaviekvyplývajúcichprípadnezosobitnýchpredpisovniejedostatočnánaposúdenieúčinkuaniporovnania,čitentoúčinokje aleboniejerovnocennýsúčinkompovinnostípodľaZákona.Inoualternatívoubybolo nahradiť takéto posúdenie právne relevantným rozhodnutím príslušnej autority.
K odseku 2 písm. a)
PrvávýnimkasatýkazabezpečeniasietíainformačnýchsystémovpodľazákonaoOUS. CitovanýzákonsícenepoznápojemsieťainformačnýsystémvzmyslechápaniaZákona, dásavšakvyvodiť,ževýnimkasatýkatýchsietíainformačnýchsystémov,vktorýchsavytvárajú,spracúvajú,prenášajú,ukladajúalebochrániautajovanéskutočnosti,atedainformáciealeboveciurčenépôvodcomutajovanejskutočnosti,ktorévzhľadomnazáujemSlovenskejrepublikytrebachrániťpredvyzradením,zneužitím,poškodením,neoprávneným rozmnožením,zničením,stratoualeboodcudzenímaktorámôževznikaťlenvoblastiach, ktoréustanovívládaSlovenskejrepublikysvojímnariadením.Dôvodom,prečoZákonuvedenúvýnimkudosvojho§2ods.2písm.a)zakomponoval,jeskutočnosť,žezákon oochraneutajovanýchskutočnostívspojenísjehovykonávacímiprávnymipredpismi komplexneustanovujeosobitnépožiadavkynazaisteniebezpečnostiutajovanýchskutočností(napr.bezpečnostivrámcitechnickýchprostriedkov–zariadeníalebosystémov
24 Komentár k zákonu č. 69/2018 Z. z. § 2
[7]Legislatívnyprocesč.LP/2018/517
určenýchnavytváranie,spracúvanie,prenos,ukladanieaochranuutajovanýchskutočností,akoichvovšeobecnostiponímazákonoochraneutajovanýchskutočností)voblastiach personálnej,administratívnej,fyzickejaobjektovejbezpečnosti,bezpečnostitechnických prostriedkovašifrovejochranyinformácií.Osobitnevšakupozorňujemenaskutočnosť,že ajnapriektomu,žepôsobnosťZákonavrozsahujehopožiadavieknazabezpečeniesietí ainformačnýchsystémovpodľazákonaoochraneutajovanýchskutočnostíniejedaná, ostatnépovinnostivzmysleZákona(napr.povinnosťidentifikácieprevádzkovateľazákladnejslužbyalebopovinnosťhláseniakybernetickýchbezpečnostnýchincidentov)súnaďalejplatné.Napokon,prevádzkovateľzákladnejslužbyvrámciprílohyč.1Zákona,podsektor„Utajovanéskutočnosti“,jedaný,atosprávcaaprevádzkovateľsietíainformačných systémov,ktorésatýkajúutajovanýchskutočností,pričomzastávamenázor,ženatohto prevádzkovateľazákladnejslužbysavzťahujúvšetkypovinnostivzmysleZákona,svýnimkoupovinnostívovzťahukpožiadavkámnazabezpečeniesietíainformačnýchsystémov utajovaných skutočností (§ 20 Zákona v spojení s vyhláškou č. 362/2018 Z. z.).
K odseku 2 písm. b)
Uvedenávýnimkasavzásadetýkatrochtypovsubjektov,ktoréplniapríslušnéúlohy amajúsvojeosobitnéoprávneniapriochrane(pozn.autorov„ajobrane“)kybernetického priestorupodľaosobitnéhopredpisu,[8] atoSlovenskáinformačnáslužba,Vojenskéspravodajstvoaozbrojenésily,ktorýmisa,okrem(užmenovaných)spravodajskýchslužieb,rozumejúsúdy,prokuratúra,ozbrojenézbory(napr.Policajnýzbor,Zborväzenskejajustičnej stráže) a Ozbrojené sily Slovenskej republiky.
Slovenskáinformačnáslužbavzmyslesvojichoprávnenípodľaosobitnéhopredpisu[8] získava,sústreďujeavyhodnocujeinformácieoaktivitáchaohrozeniachvkybernetickom priestore,akohrozujúbezpečnosťštátuasúčasne,akjetopotrebnénazabránenieaktivitámpodľa§2ods. 1a2tohtoosobitnéhozákona(napr.aktivityaohrozeniavkybernetickompriestore)anarealizáciuzahraničnopolitickýchzáujmovSlovenskejrepubliky.Slovenskáinformačnáslužbavykonávaprimeranébezpečnostnéopatrenia.Zuvedenéhoteda vyplýva,žeSlovenskáinformačnáslužbaakoorgánštátusosobitnýmiúlohamiaoprávneniamipriochranekybernetickéhopriestorujepriplnenítýchtoúlohalebovýkonetýchto oprávnenívyňatázpôsobnostiZákona.Zákonsatedanaplnenieosobitnýchúlohavýkon oprávnení Slovenskej informačnej služby podľa predchádzajúcej vety nevzťahuje.
Vojenskéspravodajstvovzmyslesvojichoprávnenípodľaosobitnéhopredpisu[8] získava, sústreďujeavyhodnocujeinformáciedôležité prezabezpečenieobranyaobranyschopnosti SlovenskejrepublikynaúzemíSlovenskejrepublikyavzahraničízameranénaterorizmus, jehofinancovaniealebopodporovanie,nakybernetickýterorizmus,vlastizradu,sabotážazáškodníctvo,akoajnaaktivityaohrozeniavkybernetickompriestore.Rovnakoakovprípade Slovenskejinformačnejslužby,takajuVojenskéhospravodajstvaplatí,žeakjetopotrebné nazabránenieaktivitámaohrozeniampodľa§2ods.1tohtoosobitnéhozákona(napr.aktivityaohrozeniavkybernetickompriestore),Vojenskéspravodajstvovykonávaprimeranébezpečnostnéopatrenia.Zuvedenéhotedavyplýva,žeajVojenskéspravodajstvo,obdobneako Slovenskáinformačnáslužbaakoorgánštátusosobitnýmiúlohamiaoprávneniamipri ochrane(obrane)kybernetickéhopriestoru,jepriplnenítýchtoúlohalebovýkonetýchto oprávnenívyňatézpôsobnostiZákona;toznamená,žeZákonsanaňnevzťahuje.
Ozbrojenésily(vzmysleichobsahovéhovymedzeniapodľa§2ods.3osobitnéhozákona[8] vzmyslesvojichoprávnenípodľatohtoosobitnéhopredpisu[8] zabezpečujúobranuSlovenskejrepubliky(vrátanekybernetickéhopriestoru)prostredníctvomopatrení
[8]§2ods.1písm.g),ods.3ZákonaoSIS;§2ods.1písm.c)ah),ods.2a§4aZákonaoVS;Zákon o obrane.
o kybernetickej bezpečnosti 25 § 2
zameranýchvzmysleZákonanariešeniezávažnýchkybernetickýchbezpečnostnýchincidentovaobranuobjektovosobitnejdôležitosti,ďalšíchdôležitýchobjektovaprvkovkritickejinfraštruktúrypredkybernetickýmnapadnutím.Ajnapriekskutočnosti,žeobranaSlovenskejrepublikypodľapredchádzajúcejvetysazabezpečujepráveVojenskýmspravodajstvom,jepotrebnékonštatovať,ževzhľadomnaskutočnosť,žesystémobranyštátutvorí súhrnprvkovaopatreníštátu,prostredníctvomktorýchsauskutočňujezabezpečenieobranyštátuaplneniezáväzkovvyplývajúcichzmedzinárodnýchzmlúvospoločnejobrane protinapadnutiuazďalšíchmedzinárodnýchzmlúv,ktorýmijeSlovenskárepublikaviazaná,jemožnédovýnimkypodľa§2ods.2písm.b)Zákonasubsumovaťajozbrojenésily, ktorévčasevojnyalebovojnovéhostavuzabezpečujúriadenieobranySlovenskejrepubliky,ktorejsúčasťoujeajriadenieobranykybernetickéhopriestoruakopiatejoperačnejdoményvzmyslezáverovzosummituNATOvoVaršavekonanéhovdňoch8.až9.júla2016.
NaplnenieúlohobranyštátuozbrojenýmisilamitakpôsobnosťZákonaniejedaná,ato najmäzdôvodu,žeZákonjeprávnympredpisomkoncipovanýmprestavmieru,zatiaľčo obranaštátujezameranánastavyodlišnéodstavumieru(najmävojnovéhostavuavojny), kedynielenúlohyriadeniaobranyštátu,aleriadenieštátuakotaképreberajúozbrojenésily (vzmyslekontingenčnéhoplánuprechoduzodpovednostízariadenieštátu,ktorýmalbyť vtermíne12/2017vypracovanývsúladesúlohoubodu1.8akčnéhoplánu).Zároveňjepotrebnésiuvedomiť,ževprípadevyhláseniavojnovéhostavu,príp.stavuvojnybysaZákon neuplatňovalvôbec.Slovenskárepublikaakosubjektmedzinárodnéhoprávabypostupovalavzmyslevšeobecneplatnýchzásadprávaozbrojenéhokonfliktuauplatňovalibysazákonyplatnépredanýstav,vktoromsaSlovenskárepublikanachádza(napr.včasevojny, vojnovéhostavu,výnimočnéhostavualebonúdzovéhostavubysauplatňovalosobitný predpis[9]).
K odseku 2 písm. c)
PôsobnosťZákonaniejedanáanivovzťahukustanoveniamosobitnýchpredpisovtýkajúcichsavyšetrovania,odhaľovaniaastíhaniatrestnýchčinov,atopredovšetkýmnavyšetrovanie,odhaľovanieastíhanietrestnýchčinovpodľazákonač.398/2015Z.z.oeurópskomochrannompríkazevtrestnýchveciachaozmeneadoplneníniektorýchzákonov,zákonač.91/2016Z.z.otrestnejzodpovednostiprávnickýchosôbaozmeneadoplnení niektorýchzákonovvplatnomznení,akoajpodľaďalšíchosobitnýchpredpisovtýkajúcich savyšetrovania,odhaľovaniaastíhaniatrestnýchčinov.Nepochybnesatotýkaajvyšetrovania,odhaľovaniaastíhaniatrestnýchčinovvzmysleTrestnéhozákonavspojenísTrestnýmporiadkom,zákonač.154/2010Z.z.oeurópskomzatýkacomrozkazealebozákona č.236/2017Z.z.oeurópskomvyšetrovacompríkazevtrestnýchveciachaozmeneadoplneníniektorýchzákonov.Zuvedenéhotedavyplýva,žepopriustanoveniachosobitných predpisovtýkajúcichsaochranykybernetickéhopriestoruaobranykybernetickéhopriestorusútorovnakoajustanoveniavovzťahukukriminalite,jejvyšetrovaniu,odhaľovaniu a stíhaniu, pričom nemusí ísť nevyhnutne len o počítačovú kriminalitu.
Pojempočítačovákriminalitavslovenskompráveniejeexplicitnedefinovaný.Jednotná,záväznádefiníciatohtopojmusanenachádzavžiadnomzákonečizmluve,ktorúby bolaSlovenskárepublikaviazanádodržiavať.PreúčelytrestnéhoprávasanaSlovenskupoužívajúodkazynadefinícievDohovoreradyEurópyopočítačovejkriminalitezroku2007.
SlovenskárepublikavrámciDohovoruvyužívamožnosťpodmieniťtrestnosťnezákonného prístuputým,žemusíbyťspáchanýporušenímbezpečnostnýchopatrenísúmyslomzískať počítačovéúdajealebosinýmnečestnýmúmyslom,alebovovzťahukpočítačovémusystémuprepojenémusinýmpočítačovýmsystémom.PodľaplatnéhoTrestnéhozákonasúurčenéniektoréskutkovépodstatyjednotlivýchtrestnýchčinov,ktoréspoločnemožno
26 Komentár k zákonu č. 69/2018 Z. z. § 2
[9]Zákon o bezpečnosti štátu
zahrnúťpodpojempočítačovákriminalita.Vprenesenomvýznamebybolomožnépodpojempočítačovákriminalitazahrnúťajtrestnéčinyspáchanéprostredníctvompočítačového systému.
K odseku 2 písm. d)
Opätovnejepotrebnépoukázaťnavýnimkuvustanovení§2písm.d),ktorápredstavuje častopertraktovanéplošnéneuplatňovanieZákonavovzťahuksieťamainformačnýmsystémomaoznamovaniukybernetickýchbezpečnostnýchincidentovvsektorebankovníctva, financií alebo finančného systému.
Jepotrebnéznovuzdôrazniť,ževýnimkazpôsobnostiZákonajedanálenvovzťahu kpožiadavkámtýkajúcimsaopatreníurčenýchnazaručeniebezpečnostisietíainformačnýchsystémovvtomtosektoreaoznamovaniakybernetickýchbezpečnostnýchincidentov.Úmyselneukončujemevetupredčasne,abysmemohliupozorniťnato,ževozvyšných povinnostiachvyplývajúcichzoZákona(napr.identifikáciaprevádzkovateľazákladnej služby)saZákonuplatníajvovzťahuksektorubankovníctva,financiíalebofinančného systému,tedajedanájehopôsobnosť,lebonapr.povinnosťidentifikácieprevádzkovateľa základnejslužbyniejemožnépovažovaťanizapožiadavkutýkajúcusabezpečnostisietí ainformačnýchsystémovvmenovanomsektoreaanizapožiadavkunaoznamovaniekybernetickýchbezpečnostnýchincidentov.Pokiaľbysmetedavýkladzameralinaúmyselne predčasneukončenúvetu„Tentozákonsanevzťahujenapožiadavkytýkajúcesabezpečnostisietíainformačnýchsystémovaoznamovaniakybernetickýchbezpečnostnýchincidentovvsektorebankovníctva,financiíalebofinančnéhosystémupodľaosobitnýchpredpisov.“,niejepodľanášhonázorumožnéjednoduchovyvodiťzáveroplošnomneuplatneníustanoveníZákonavovzťahukmenovanéhosektoru,leboZákon,svýnimkou požiadaviektýkajúcichsaopatrenímajúcichzacieľzaistiťbezpečnosťsietíainformačných systémovapožiadavkyoznamovaniakybernetickýchbezpečnostnýchincidentov,obsahujeajďalšiepožiadavkyzodpovedajúceuloženýmpovinnostiamkonkrétnych,vybraných subjektov.
Pokiaľsapredmetnouvetoubudemezaoberaťďalejadovýkladuzačlenímeajčasť„vrátaneštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnoubankou,Európskymsystémomcentrálnychbánk,Eurosystémomaleboeurópskymiorgánmidohľadu,ak ichúčinokjeaspoňrovnocennýsúčinkompovinnostípodľatohtozákona“,jemožnévysloviťzáver,žeZákonomniesúdotknutélenpožiadavkytýkajúcesabezpečnostisietíainformačnýchsystémovapožiadavkyoznamovaniakybernetickýchbezpečnostnýchincidentovpodľaosobitnéhopredpisu[10],aleajpožiadavkytýkajúcesabezpečnostisietíainformačnýchsystémovapožiadavkyoznamovaniakybernetickýchbezpečnostných incidentovvzmysleštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnou bankou,Európskymsystémomcentrálnychbánk,Eurosystémomaleboeurópskymiorgánmidohľadu.Uvedenédoplnenienámvšaknezúžiloužpredtýmdanévylúčeniepôsobnosti Zákonanapožiadavkytýkajúcesabezpečnostisietíainformačnýchsystémovapožiadavky oznamovaniakybernetickýchbezpečnostnýchincidentov.Zúžilolenzoznamprípadných požiadaviekuplatňujúcichsanasektorbankovníctva,financiíalebofinančnéhosystému,
[10]Napríklad§28c, §28d, §45ods.8 a §64ods.4zákonač.492/2009Z.z. oplatobnýchslužbách aozmeneadoplneníniektorýchzákonov,nariadenieEurópskehoparlamentuaRady(EÚ) č.648/2012zo4.júla2012omimoburzovýchderivátoch,centrálnychprotistranáchaarchívochobchodnýchúdajov(Ú.v.EÚL201,27.7.2012)vplatnomznení, §14zákonač.429/2002Z.z. oburzecennýchpapierovvplatnomznení,delegovanénariadenieKomisie(EÚ)2017/584zo14.júla 2016,ktorýmsadopĺňasmernicaEurópskehoparlamentuaRady2014/65/EÚ,pokiaľideoregulačnétechnicképredpisybližšieurčujúceorganizačnépožiadavkynaobchodnémiesta(Ú.v.EÚL87, 31. 3. 2017).
o kybernetickej bezpečnosti 27 § 2
atopopritých,ktorévyplývajúzosobitnéhopredpisu[10] arozšíriloichajnapožiadavkyvyplývajúcezoštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnoubankou, Európskymsystémomcentrálnychbánk,Eurosystémomaleboeurópskymiorgánmidohľadu.Zákonvšakzároveňaplikovateľnosťpožiadaviekvzmysleskôrcitovanýchosobitných predpisovaleboiných„zdrojov“zužujenatie,ktorýchúčinokjeaspoňrovnocennýsúčinkompovinnostípodľaZákona.Vzmysleuvedenéhochcemevyjadriťnázor,žeprípadnáaplikáciavýnimkyzpôsobnostiZákonavyžadujeposúdenieúčinkovpožiadavieknabezpečnosťsietíainformačnýchsystémovaoznamovaniekybernetickýchbezpečnostnýchincidentovvzmysleZákonaavzmysleosobitnéhopredpisu[10].Priposudzovaníúčinkovje potrebnézohľadňovaťajúčinkyvyplývajúcezoštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnoubankou,Európskymsystémomcentrálnychbánk,Eurosystémomaleboeurópskymiorgánmidohľaduvovzťahukpožiadavkámnabezpečnosťsietí ainformačnýchsystémovvsektorebankovníctva,financiíalebofinančnéhosystému aoznamovaniekybernetickýchbezpečnostnýchincidentovvtomtosektore.Pokiaľsipredmetnéustanoveniedočítameakocelok,atedadoplnímeajočasť„vrátanerozhodnutí,štandardovazásadvydanýchaleboprijatýchNárodnoubankouSlovenska,akichcieľomjedosiahnuťvyššiuúroveňbezpečnostisietíainformačnýchsystémovakopodľatohtozákona“, opätovnemusímekonštatovať,žetakakovprípadeštandardovazásadvydanýchaleboprijatýchEurópskoucentrálnoubankou,Európskymsystémomcentrálnychbánk,Eurosystémomaleboeurópskymiorgánmidohľadu,takajvprípadeštandardovazásadvydaných aleboprijatýchNárodnoubankouSlovenskanedochádzakrozšíreniupôvodnevylúčenej pôsobnostiZákona,čosajehošpecifickýchpožiadaviektýka,alelenkrozšíreniuzdrojapožiadaviekotie,ktorévyplývajúzoštandardovazásadvydanýchaleboprijatýchNárodnou bankouSlovenska.VzmyslesúčasnéhozneniaZákonaplatí,žecieľompožiadaviekvydanýchaleboprijatýchNárodnoubankouSlovenskamusíbyťdosiahnutievyššej(nierovnocennej)úrovnebezpečnostisietíainformačnýchsystémov,akotostanovujeZákon.Vo vzťahukNárodnejbankeSlovenskajemožnéztextuexplicitnevyvodiť,ževýlukasatýka lenpožiadaviektýkajúcichsavyššejúrovnebezpečnostisietíainformačnýchsystémov.Súčasnejevšakpotrebnédodať,ževzmyslenávrhuzákona,ktorýmsameníadopĺňazákon č.371/2014Z.z.oriešeníkrízovýchsituáciínafinančnomtrhuaozmeneadoplneníniektorýchzákonov,ktorýjevčasepísaniatohtokomentáravlegislatívnomprocese,mádôjsť kdoplneniuslovnéhospojenia„vyššiuúroveňbezpečnostisietíainformačnýchsystémov“ slovom„rovnocennú“.PovyhláseníuvedenéhozneniavZbierkezákonovbytakpožiadavkanaNárodnúbankuSlovenskavzmysle§2ods.2písm.d)Zákonabolazníženávtom zmysle,ženaaplikáciuvylúčeniapôsobnostiZákonavrozsahupodľa§2ods.2písm.d)Zákonabypostačovala„rovnocennáalebovyššiaúroveňbezpečnostisietíainformačných systémov“.Uvedenévšakničnemenínazáverochvyslovenýchvyššie,ateda,žeoprípadnomvylúčeníZákonavzmysle§2ods.2písm.d)Zákonavsektorebankovníctva,financií alebofinančnéhosystémupodľaosobitnéhopredpisu10jemožnéhovoriťlenvtedy,pokiaľ jedanáaspoňrovnocennosťúčinkovpožiadaviektýkajúcichsabezpečnostisietíainformačnýchsystémovaoznamovaniakybernetickýchbezpečnostnýchincidentov.Vopačnomprípade,pokiaľuvedenárovnocennosťdanánieje,vsektorebankovníctva,financií alebofinančnéhosystémupodľaosobitnéhopredpisu10sauplatniavšetkypožiadavkyZákonatýkajúcesabezpečnostisietíainformačnýchsystémovaoznamovaniakybernetických bezpečnostných incidentov.
Poslednoučasťou,ktorápodľavšetkéhospôsobujenajväčšiekomplikácieprijejvýklade aktorájezrejmepríčinoučastoprezentovanéhonázoruvyňatípôsobnostiZákonaakocelkuvovzťahuksieťamainformačnýmsystémomvsektorebankovníctva,financiíalebofinančnéhosystémubezrozlíšeniahoreuvedenýchšpecifík,ječasťvznení„aaninaplatobnésystémyanasystémyzúčtovaniacennýchpapierovdohliadanéaleboprevádzkované
28 Komentár k zákonu č. 69/2018 Z. z. § 2
EurópskoucentrálnoubankoualeboEurosystémompodľaosobitnýchpredpisov [11]“.Až vtomtokontexte,atovzhľadomnaprepojenieúvodnejčastivety„aanina“vspojenístextovýmúvodom§2ods.2Zákona„Tentozákonsanevzťahujena“,jemožnévyvodiťzáver ocelkovomvyňatípôsobnostiZákonavovzťahukplatobnýmsystémomasystémom zúčtovaniacennýchpapierovdohliadanýchaleboprevádzkovanýchEurópskoucentrálnou bankou alebo Eurosystémom.
Ustanovenie§2ods.2písm.d)Zákonasaodkazujenaosobitnépredpisy,napríkladna zákonč.492/2009Z.z.oplatobnýchslužbách.Akbymalabyťsplnenápodmienka,žesa podľaprávnehoaktušpecifickéhopreurčitéodvetvievyžaduje,abyprevádzkovateliazákladnýchslužiebaleboposkytovateliadigitálnychslužiebzaisťovalibezpečnosťichsietí ainformačnýchsystémov,dalobysalogickyočakávať,žetietoosobitnépredpisyvpríslušnýchustanoveniachurčujúodvetvovošpecificképožiadavkytýkajúcesabezpečnostisietí, infraštruktúryainformačnýchsystémovvsektorebankovníctva,financiíalebofinančného systému.Tovšaktaktiežniejepravdou.Zákonč.492/2009Z.z.oplatobnýchslužbáchstanovujev§28cods.1ibavšeobecnúpožiadavku,abyposkytovateľplatobnýchslužieburčil rámecsvhodnýmiopatreniaminazmiernenieprevádzkovéhorizikaabezpečnostnéhorizikaaskontrolnýmmechanizmomnariadenietýchtorizík,ktorésúvisiasposkytovanímplatobnýchslužieb.Rozhodnutieoprijatívhodnýchopatrenítedazákonč.492/2009Z.z. oplatobnýchslužbáchponechávanaposkytovateľaplatobnýchslužieb.Vtomprípadeje však ustanovenie § 2 ods. 2 písm. d) Zákona rekurzívne.
Akjezároveňpodmienkou,abyúčinokopatrenívyplývajúcichzozákonač.492/2009 Z.z.oplatobnýchslužbáchbolaspoňrovnocennýsúčinkompovinnostípodľaZákonaaleboabyichcieľommalobyťdosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúrainformačnýchsystémovakopodľaZákona,bolobynutnéposudzovaťúčinokopatrenísúčinkompovinnostípodľaZákona.Rovnakotakbybolonutnosťouposudzovaťbezpečnostnécieleastanoviť,čijemožnédosiahnuťrovnocennúalebovyššiu úroveňbezpečnostisietí,infraštruktúrainformačnýchsystémov,akovyžadujeZákon.
Problémomjeto,ženaúčelyposudzovaniaaporovnávaniaúrovníbezpečnostisietíainfraštruktúryinformačnýchsystémovbymuselajestvovaťformálneurčenámetrikaalebospoločnedohodnuté,všeobecneuznanéštandardyposudzovaniatýchtobezpečnostných úrovní,inaknebudemožnéefektívneanalyzovať,čipríslušnépožiadavkyinýchprávnych predpisovmajúšancudosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúrainformačnýchsystémovakopodľaZákona.Zároveňvšakplatí,žepreposúdenie „úrovne“bezpečnostibymalbyťpriposudzovanívyžadovanýanalytickýdetailažnainfraštruktúrnejasieťovejvrstveITarchitektúry.Pokiaľtedabudúvbudúcnostijestvovaťspoločneakceptovanéalebozákonompresadenéštandardyposudzovaniabezpečnostisystémovasietí,potomjemožnéočakávať,žesapodobnéustanovenieazdabudemôcťreálne uplatniťvpraxi.Alternatívouposudzovaniabymohlobyťautoritatívnerozhodnutiekompetentnéhoorgánu,ktorýbymoholrovnocennosť,prevahu,príp.nenaplnenieprevahypožiadaviek vo vzťahu k bezpečnosti na strane osobitného predpisu konštatovať.
Vsúčasnejdobe,takakojenaformulovaný,je§2ods.2písm.d)Zákonapreskutočnú úroveňkybernetickejbezpečnostivsektorebankovníctva,financiíafinančnéhosystémuskôrkontraproduktívny.Prezískaniekomplexnéhopohľadujetuvšakpotrebnépoznamenať,žetotoustanovenienenavrhlipôvodneautorizákona,alevznikloažvrámci
[11]Napríkladčl.3ods.3.1,čl.22Protokolu(č.4)oŠtatúteEurópskehosystémucentrálnychbánk aEurópskejcentrálnejbankyvplatnomznení(Ú.v.EÚC202,7.6.2016),nariadenieEurópskej centrálnejbanky(EÚ)č.795/2014z3.júla2014opožiadavkáchvoblastidohľadunadsystémovo dôležitými platobnými systémami (Ú. v. EÚ L 217, 23. 7. 2014).
o kybernetickej bezpečnosti 29 § 2
medzirezortnéhopripomienkovéhokonanianecitlivýmizásahminiektorýchpovinnepripomienkujúcich subjektov do textu návrhu Zákona.
Pokiaľideoodkaznaustanovenie§28dzákonač.492/2009Z.z.oplatobnýchslužbách,tujevytvorenápožiadavkanabezodkladnéoznamovanieincidentovzostranyposkytovateľovplatobnýchslužiebdoNárodnejbankySlovenska.Samotnéoznamovanieidentifikovanýchincidentovjevproceseriešeniaincidentovdôležitouúlohou,avšaktútojemožnéplniťlenzapodmienky,žeincidentyjevôbeckomuoznamovať.Vkontextepožiadavky §28dzákonač.492/2009Z.z.oplatobnýchslužbáchnabezodkladnéinformovanieNárodnejbankySlovenskaoincidente,ktorávyplývazustanovenia§2ods.2písm.d)Zákona, všaktátopodmienka,žiaľ,vsúčasnejdobeniejesplnená,keďžeNárodnábankaSlovenska dodnesnezabezpečilatechnické,technologickéapersonálnevybavenievlastnejjednotky preriešeniekybernetickýchbezpečnostnýchincidentov.Zároveňsapočascelejprípravy ZákonaNárodnábankaSlovenskaefektívnevyhlatomu,abysaprihlásilakúloheústrednéhoorgánupresektorBankovníctvo,ktorýmjepodľaprílohyč.1ZákonaMinisterstvofinancií Slovenskej republiky.
K odseku 2 písm. e)
ĎalšiavýnimkazpôsobnostiZákonasaopätovnevzťahujenapožiadavkynazabezpečeniesietíainformačnýchsystémov,atovsektorepodľaosobitnéhopredpisu.[12] Zákon predmetnúvýnimkuviaževýlučnenadvaexplicitnestanovenéprávnepredpisyaneumožňujepoužitieďalšíchprávnychpredpisov.Priposudzovanímožnostiaplikáciepredmetnej výnimkyjenevyhnutnébraťnazreteľvyhodnoteniepožiadavieknazabezpečeniesietíainformačnýchsystémovzhľadiskaichvplyvunadosiahnutúúroveňbezpečnostisietíainformačnýchsystémovpodľaosobitnéhopredpisuapodľaZákona.Lenvprípade,pokiaľcieľompožiadaviekpodľaosobitnéhopredpisujezabezpečeniesietíainformačnýchsystémov navyššejúrovnibezpečnostisietíainformačnýchsystémovvporovnanísoZákonom,je možnétútovýnimkuzpôsobnostiZákonauplatniť.Zároveňvšakmusímeupozorniť,žeaj vprípadelegálnehouplatneniatejtovýnimkypôsobnosťZákonaniejedanálenvrozsahu požiadaviekZákonatýkajúcichsabezpečnostisietíainformačnýchsystémov,nieostatnýchpožiadaviek,ktoréZákonobsahuje.Zákonodarcavtomtoprípadevyžadujesplnenie podmienky,abycieľompožiadavieknazabezpečeniesietíainformačnýchsystémovvyplývajúcichzosobitnéhopredpisubolodosiahnutievyššejúrovnebezpečnostisietíainformačnýchsystémovvporovnaníscieľompožiadaviekvzmysleZákona.Pretokonštatácia alebovyhodnotenievzájomnejrovnocennostipožiadaviekvzmysleporovnávanýchprávnychpredpisovnebudepostačujúca.PožiadavkynabezpečnosťsietíainformačnýchsystémovvzmysleZákonavyplývajú,resp.súdanépožiadavkaminaprijatiebezpečnostných opatrenívzmysle§20ZákonavspojenísvyhláškouNárodnéhobezpečnostnéhoúradu č.362/2018Z.z.,ktorousaustanovujeobsahbezpečnostnýchopatrení,obsahaštruktúra bezpečnostnejdokumentáciearozsahvšeobecnýchbezpečnostnýchopatrení.Zuvedenéhodôvoduzastávamenázor,žepokiaľexistujezáujemoaplikáciuvýnimkyvzmysle§2 ods.2písm.e)Zákona,jenevyhnutnéuskutočniťkomparáciuželanýchúčinkovpožiadaviektakvzmysleZákona,akoajosobitnéhopredpisuavyhodnotenie,žeúčinkypožiadaviekvzmysleosobitnéhopredpisu(pokiaľideoúroveňbezpečnosti)prevažujúnad účinkamipožiadaviekvzmysleZákona.InaksauplatniapožiadavkyZákonaapôsobnosť Zákonajedanávrozsahujehopožiadavieknazabezpečeniesietíainformačnýchsystémov vsektorochpodľaosobitnéhopredpisu.Viemepripustiť,žeposúdeniecieľovbymohlobyť nahradené a potvrdené autoritatívnym rozhodnutím orgánu s príslušnou právomocou.
[12]Zákonč.541/2004Z.z.omierovomvyužívaníjadrovejenergie(atómovýzákon)aozmeneadoplnení niektorých zákonov v platnom znení; Zákon o ISVS.
30 Komentár k zákonu č. 69/2018 Z. z. § 2
Vsúvislostisozabezpečenímsietíainformačnýchsystémovpodľaosobitnéhopredpisu,[13] vspojenís§2ods.2písm.e)Zákonasíceplatí,žeustanoveniatohtoosobitného predpisumajúprednosťpredZákonom,akcieľompožiadaviekvzmysleosobitnéhopredpisujedosiahnutievyššejúrovnebezpečnostisietíainformačnýchsystémovpodľaZákona,súčasnevšakplatí,žeposúdenieaporovnaniezamýšľanejúrovnebezpečnostisietíainformačnýchsystémovvzmysleZákonaavzmysleosobitnéhopredpisumôžebyťkomplikovanéarovnakoniejezrejmé,ktotakétoposúdenievykonáajeoprávnenýzhodnotiť vyššiezamýšľanúúroveňbezpečnostinajednejalebodruhejstrane.Autoritohtokomentárazastávajúnázor,žeajnapriekpochybnostiamotom,ktojespôsobilýnaposúdenieasúčasnéporovnaniepožiadaviekvzmysleZákonaaosobitnéhopredpisuzpohľaduvýslednej (zamýšľanej)úrovnebezpečnostisietíainformačnýchsystémov,jemožnévysloviťpochybnosťovyššejúrovnibezpečnostinastranepožiadaviekvzmysleosobitnéhopredpisu[12]
vporovnaníspožiadavkamivzmysleZákona.Uvedenápochybnosťjedanánajmä tým,žeZákonajvzmysle§20Zákonavyžadujevykonanieklasifikácieinformáciíakategorizáciesietíainformačnýchsystémov,ktorúvZákoneoISVSvspojenísVýnosomoštandardochnenájdeme.Súčasneplatí,žepožiadavkyZákonavyplývajúzozákladnýchštandardovinformačnejbezpečnosti, [14] priktorýchnietpochýb(čosaaktuálnehovedeckého poznaniatýka)oúrovnibezpečnostizpohľadujednotlivýchpožiadaviek.Ďalšímšpecifikom§20jeto,žetentonestanovujekonkrétnepožiadavkynabezpečnosťsietíainformačnýchsystémov,alelenvymenúvaoblasti,prektorésamajúbezpečnostnéopatreniaprijímať.Zuvedenéhodôvoduniejemožnévnímať§20ZákonaizolovaneodvyhláškyNBÚ č.362/2018Z.z.vydanejpodľa§32ods.1písm.c)Zákona,leboprávetentoosobitnýprávnypredpisobsahujekonkrétneopatrenianaidentifikáciuoblastívrámci§20ods.3Zákona,ktoréjepotrebnéprijaťvcelomrozsahu,vprípadeústrednýchorgánovainýchorgánov štátnejsprávyvrozsahuprimeranom.Akbysmeajboliochotníbezakejkoľvekhlbšejanajmäkvalifikovanejanalýzyuviesť,žecieľompožiadaviekosobitnéhopredpisujevyššiaúroveňbezpečnostisietíainformačnýchsystémovvzmysleZákona,netrebazabúdaťnato,že nievšetkysieteainformačnésystémyústrednýchorgánovainýchorgánovštátnejsprávy spadajúpoddefiničnévymedzenieinformačnéhosystémuverejnejsprávypodľaosobitnéhopredpisu,atedanievšetkysieteainformačnésystémyústrednýchorgánovainýchorgánovštátnejsprávyjemožnépovažovaťzainformačnésystémyvpôsobnostipovinnejosoby (správcainformačnéhosystémuverejnejsprávy)podporujúceslužbyverejnejsprávy,službyvoverejnomzáujmeaverejnéslužby.Vzmysleuvedenéhojepretomožnévyvodiťzáver,žeústrednýorgánainýorgánštátnejsprávyjepovinnýminimálnevovzťahuktýmsieťamainformačnýmsystémom,ktoréniesúinformačnýmisystémamiverejnejsprávyna účelyzaisteniakontinuity,riadeniarizíkariešeniakybernetickýchbezpečnostnýchincidentov, prijať primerané a vhodné bezpečnostné opatrenia podľa § 20 Zákona.
UvedenúnejednoznačnosťaplikáciealebovýlukyzaplikácieZákonavzmysle§2ods.2 ZákonabybolomožnévyriešiťnaúrovnisamotnéhoÚradualeboinéhokompetentnéhoorgánu,ktorýbyakoústrednýorgánštátnejsprávypreoblasťkybernetickejbezpečnosti vspoluprácispríslušnýmústrednýmorgánomštátnejsprávy,vktoréhogesciipríslušný osobitnýpredpisje,moholrovnocennosť,prevahu,príp.nenaplnenieprevahypožiadaviek vovzťahukbezpečnostinastraneosobitnéhopredpisukonštatovať.Vopačnomprípade smetohonázoru,ževoľba,podľaustanoveníktoréhopredpisubudepríslušnýústrednýorgánaleboinýorgánštátnejsprávypostupovať,jenarozhodnutísamotnéhoorgánu,pričom jevhodnézdôrazniť,žeprípadnýnesúladústrednéhoorgánualeboinéhoorgánuštátnej správy podľa § 10 Zákona nie je možné v zmysle Zákona Úradom sankcionovať.
[13]Zákon o ISVS
[14]ISO 2700x
o kybernetickej bezpečnosti 31 § 2
PokiaľbysmesamalihlbšiezameraťnapožiadavkyzákonaoISVS,takvzmyslejeho§1 ods.1písm.b)upravujezákladnépodmienkynazabezpečenieintegrovateľnostiabezpečnostiinformačnýchsystémovverejnejsprávy.ZákonoISVSneurčuježiadnepožiadavkyna zaručeniekybernetickejbezpečnostianinevyžaduježiadneopatreniakybernetickejbezpečnosti.PodľaZákonaoISVSsúpovinnéosoby,ktorésúsprávcami,povinnézabezpečovaťplynulú,bezpečnúaspoľahlivúprevádzkuinformačnýchsystémovverejnejsprávy, ktorésúvichspráve,vrátaneorganizačného,odbornéhoatechnickéhozabezpečeniaazabezpečovaťinformačnýsystémverejnejsprávyprotizneužitiu.Tátopožiadavkanabezpečnosťjenatoľkovšeobecná,ženiejeaniefektívnemožnévyžadovaťposúdenie,čijeúčinok nejakýchopatreníaspoňrovnocennýsúčinkompovinnostípodľaZákona,alebočijeich cieľomdosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúryinformačnýchsystémovakopodľaZákona.Podľa§4ods.2písm.d)zákonaoISVSministerstvo kontrolujedodržiavaniepovinnostíustanovenýchtýmtozákonom,pričomvykonávaním niektorýchčinnostíprikontroledodržiavaniaštandardov,svýnimkoukontrolydodržiavaniaštandardovtýkajúcichsabezpečnosti,môžeministerstvopoveriťinúfyzickúosobualeboprávnickúosobu,pričomrozsahtýchtočinnostíministerstvourčívpoverenívrámci svojich právomocí.
VzákoneoISVSvšakjestvujeprepojenieprostredníctvomsplnomocňovaciehoustanoveniav§13ods.1písm.a)navzákonebližšieneurčenéštandardy.Takýmtoštandardomje vkonečnomdôsledkuVýnosoštandardochprijatýažomnohorokovneskôr.Jezjavné,že vtomtoštandardepoužilijehoautorištruktúruinšpirujúcsamedzinárodnoutechnickou normou ISO/IEC 27001.
Štruktúrabezpečnostnýchcieľov,resp.návrhubezpečnostnýchopatrenívZákone,rovnakoakoajštruktúrabezpečnostnýchcieľovVýnosuoštandardochvychádzajúzrovnakej technickejnormy,atedadásatvrdiť,žesúveľmipodobné,aknietotožné.Ztohosavkonečnomdôsledkudávyvodiťzáver,žepodmienkaustanovenia§2ods.2písm.e)Zákona oneuplatnenípožiadaviekZákonavprípade,žecieľomosobitnéhopredpisujedosiahnuť vyššiuúroveňbezpečnostisietíainformačnýchsystémovakopodľaZákona,nemôže nastať. Bezpečnostné ciele budú totožné v oboch prípadoch.
Čosatýkazákonač.541/2004Z.z.omierovomvyužívaníjadrovejenergie(atómovýzákon),niejemožnésúhlasiťsniektorýminázormi,ženazabezpečeniesietíainformačných systémovvrámcipôsobnostitohtozákonasapaušálneuplatniavýhradneustanoveniatohtoosobitnéhopredpisu.Základnýmrozporomtotižje,žezákonč.541/2004Z.z.omierovomvyužívaníjadrovejenergienestanovuježiadne,resp.ibanepriameaveľmivšeobecné požiadavkynazaisteniebezpečnostisietíainformačnýchsystémov,atoprostredníctvom požiadavieknabezpečnosťkomponentovjadrovéhozariadenia.Isteže,primierovomvyužívaníjadrovejenergiezohrávajúsieteainformačnésystémyaslužbykľúčovúúlohu.Avšakzkontextuzákonač.541/2004Z.z.jezrejmé,žejehocieľomjenajmäzaisteniebezpečnéhonakladaniasrádioaktívnymodpadomasvyhoretýmjadrovýmpalivomaochrana predionizujúcimžiarenímvsúvislostisprevádzkoujadrovýchzariadení,niesamotnákybernetickábezpečnosť.Cielevsúvislostiskybernetickoualeboinformačnoubezpečnosťou vzákoneč.541/2004Z.z.priamospomenuténiesúanijedenkrát,pričomakékoľvekpožiadavkynaopatreniavoblastikybernetickejbezpečnostivzákoneč.541/2004Z.z.absentujúúplne.Sinformačnouakybernetickoubezpečnosťounepriamosúvisiaibaniektoréustanoveniazákonač.541/2004Z.z.,ktoréošetrujúpostupyvoblastifyzickejaobjektovejbezpečnostiahavarijnomplánovaní.Fakt,žetietoparciálneustanoveniavychádzajú zrovnakýchzákladovakopožiadavkynazabezpečeniekybernetickejbezpečnostiupravenévZákone,niejedostatočnýmdôvodom,abyproblematikamierovéhovyužívaniajadrovejenergieúplneobchádzalapožiadavkynazaistenievysokejspoločnejúrovnebezpečnostisietíainformačnýchsystémovvEurópskejúnii.Ajvtomtoprípadeplatí,žeakbyzo
32 Komentár k zákonu č. 69/2018 Z. z. § 2
zákonač.541/2004Z.z.omierovomvyužívaníjadrovejenergievyplývaliakékoľvekkonkrétnepožiadavkynaopatreniavkybernetickejbezpečnosti,bolobynajprvpotrebnéposúdiť,čijeúčinoktýchtoopatreníaspoňrovnocennýsúčinkompovinnostípodľaZákona,alebočijeichcieľomdosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúrainformačnýchsystémovakopodľaZákona.Zároveňbybolonutnosťouposudzovať bezpečnostnécieleastanoviť,čiuplatnenímustanovenízákonač.541/2004Z.z.jemožné dosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúrainformačných systémov,akovyžadujeZákon.Tubyvšakrovnakoakoprespornépožiadavkyustanovenia§2ods.2písm.d)Zákonabypreúčelyposudzovaniaaporovnávaniaúrovníbezpečnostisietíainfraštruktúryinformačnýchsystémovmuselajestvovaťformálneurčenámetrika alebospoločnedohodnuté,všeobecneuznanéštandardyposudzovaniatýchtobezpečnostnýchúrovní.Vopačnomprípadenebudemožnéefektívneanalyzovať,čipožiadavkyzákonač.541/2004Z.z.môžudosiahnuťrovnocennúalebovyššiuúroveňbezpečnostisietí,infraštruktúr a informačných systémov ako podľa Zákona.
K odseku 2 písm. f)
PoslednouvýnimkouzpôsobnostiZákonajevyňatiejehopôsobnostivovzťahukneurčitémuajednoznačnenevymedzenémuokruhuosobitnýchpredpisov(výpočetosobitných predpisovjelenexemplifikatívny).Vzmysle§2ods.2písm.f)platí,žeZákonsanevzťahujenaosobitnépredpisy,pričomsanepožadujeanikomparáciazamýšľanýchcieľovpožiadaviekkonkrétnehoosobitnéhopredpisuspožiadavkamiZákona.Idetakojednoznačné aabsolútnevyňatiepôsobnostiZákonavovzťahukexemplifikatívnemuvýpočtuosobitnýchpredpisov,ktorýchrozsahmôžebyťoprotitomuvypočítanémuZákonomsamotným širší.
PokiaľideonariadenieeIDAS,jemožnévysloviťzáver,žepôsobnosťZákonaniejedaná priposkytovanídôveryhodnýchslužieb,atoanivtedy,pokiaľsútietoslužbyposkytované prevádzkovateľomzákladnejslužbyaleboposkytovateľomdigitálnejslužby.Dôvodomje skutočnosť,žeposkytovateliadôveryhodnýchslužieb(kvalifikovaníanekvalifikovaní)sú povinnívzmyslečl.19sohľadomnarizikázaistiťprostredníctvomvhodnýchtechnických aorganizačnýchopatrenínariadenietýchtorizíkprimeranúúroveňbezpečnosti,najmä opatrenianaprevenciuaminimalizáciuvplyvubezpečnostnýchincidentovanaoznámenie nepriaznivých účinkov všetkých takýchto incidentov zainteresovaným stranám.
Zákonč.166/2003Z.z.oochranesúkromiapredneoprávnenýmpoužitíminformačno-technickýchprostriedkovaozmeneadoplneníniektorýchzákonov(zákonoochrane predodpočúvaním)ustanovujepodmienky,zaakýchmožnopoužiťinformačno-technické prostriedkybezsúhlasutoho,vočiktorémusainformačno-technicképrostriedkymajúpoužiť,aurčujepresnýrozsahsubjektov,ktorésúoprávnenéinformačno-technicképrostriedkypoužívať(Policajnýzbor,Slovenskáinformačnáslužba,Vojenskéspravodajstvo, ZborväzenskejajustičnejstrážeaColnáspráva)spovinnosťoupoužitiaúdajovzískaných informačno-technickýmiprostriedkamivýlučnenadosiahnutieúčelupriplneníúlohštátu, spĺňajúcichpodmienkunevyhnutnostipoužitiainformačno-technickýchprostriedkov,ato nevyhnutnosťpoužitiainformačno-technickýchprostriedkovnazabezpečenieochrany ústavnéhozriadenia,vnútornéhoporiadkuazahraničnopolitickýchzáujmovštátu,bezpečnostiaobranyštátu,nazískavanieinformáciízozahraničnýchzdrojov,predchádzanie aobjasňovanietrestnejčinnostialebonaochranuprávaslobôdinýchaakdosiahnutietohto účelu inak by bolo neúčinné alebo podstatne sťažené.
PokiaľideoZákonoelektronickýchkomunikáciách,výlukapôsobnostiZákonajedaná ajvovzťahukprevádzkovateľomzákladnýchslužiebaposkytovateľomdigitálnychslužieb poskytujúcichvzmyslezákonaoelektronickýchkomunikáciáchelektronickékomunikačnésietealeboelektronickékomunikačnéslužby.Zákonoelektronickýchkomunikáciách
o kybernetickej bezpečnosti 33 § 2
vosvojom§64ustanovuje,žekaždýpodnikposkytujúciverejnésietealeboverejnéslužby jepovinnýprijaťzodpovedajúcetechnickéaorganizačnéopatrenianaochranubezpečnosti svojichsietíaslužieb,ktorésohľadomnastavtechnikymusiazabezpečiťúroveňbezpečnosti,ktorájeprimeranáexistujúcemuriziku.Podnikposkytujúciverejnésietealeboslužbyjepovinnýprijaťopatreniascieľompredchádzaťbezpečnostnýmincidentomaminimalizovaťvplyvbezpečnostnýchincidentovnaužívateľovavzájomneprepojenésiete,udržiavaťintegritusvojichsietíscieľomzaručiťkontinuituposkytovaniaslužiebprostredníctvom týchtosietí,bezodkladneinformovaťÚradprereguláciuelektronickýchkomunikáciíapoštovýchslužieb(ďalejvtomtoodsekuako„úrad“)onarušeníbezpečnostialebointegrity, ktorémalivýznamnývplyvnaprevádzkusietíaleboslužieb,umožniťbezpečnostnýaudit vykonanýbuďúradom,alebonímurčenoukvalifikovanouosoboučispolupracovaťsúradom.Podnikposkytujúciverejnésieteapridruženéprostriedkyjesúčasnepovinnýzabezpečiť,abyjehosieťapridruženéprostriedkyzodpovedalitechnickýmnormámatechnickýmšpecifikáciámpresietealeboslužby(zabezpečeniezhodystechnickýminormami atechnickýmišpecifikáciamipresieteaslužby)zhľadiskabezpečnostiprevádzkysiete, udržiavania integrity siete, interoperability služieb a pripojenia koncových zariadení.
PriuplatňovanípôsobnostiÚraduprereguláciuelektronickýchkomunikáciíapoštovýchslužiebvymedzenejzákonomoelektronickýchkomunikáciáchapôsobnostiNárodnéhobezpečnostnéhoúradupodľaZákonaplatí,žesitietoúradyvzmysle§8ods.3zákona oelektronickýchkomunikáciáchvymieňajúinformácieapodkladydôležiténazabezpečeniekybernetickejbezpečnostivrozsahuaspôsobomustanovenýmnazákladeuzatvorenýchdohôdospolupráci.Vprípadevýmenyinformáciíprijímajúciúradzabezpečírovnakú úroveň dôvernosti ako úrad, ktorý informáciu poskytne.
§ 3
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a)sieťouainformačnýmsystémomelektronickákomunikačnásieť,informačnýsystém, každézariadenieakomunikačnýsystémaleboúdaje,ktorésúvnichvytvárané,ukladané,spracúvané,získavanéaleboprenášanéprostredníctvomelektronickejkomunikačnejsietealeboinformačnéhosystému,naúčelyprevádzkovania,používania,ochrany a udržiavania týchto sietí a systémov,
b)kybernetickýmpriestoromglobálnydynamickýotvorenýsystémsietíainformačných systémov,ktorýtvoriaaktivovanéprvkykybernetickéhopriestoru,osobyvykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi,
c)kontinuitoustrategickáataktickáschopnosťorganizácieplánovaťareagovaťnaudalosti aincidentyscieľompokračovaťvovýkonečinnostínaprijateľnej,vopredstanovenej úrovni,
d)dôvernosťouzáruka,žeúdajaleboinformácianiejeprezradenáneoprávnenýmsubjektom alebo procesom,
e)dostupnosťouzáruka,žeúdajaleboinformáciajeprepoužívateľa,informačnýsystém, sieťalebozariadenieprístupnévochvíli,keďjeúdajainformáciapotrebnáapožadovaná, f)integritouzáruka,žebezchybnosť,úplnosťalebosprávnosťinformácienebolinarušené, g)kybernetickoubezpečnosťoustav,vktoromsúsieteainformačnésystémyschopné odolávaťnaurčitomstupnispoľahlivostiakémukoľvekkonaniu,ktoréohrozujedostupnosť,pravosť,integritualebodôvernosťuchovávaných,prenášanýchalebospracúvanýchúdajovalebosúvisiacichslužiebposkytovanýchaleboprístupnýchprostredníctvom týchto sietí a informačných systémov,
34 Komentár k zákonu č. 69/2018 Z. z. § 3
