Zákon o kybernetickej bezpečnosti a firmy

20.12.2019

Zákon o kybernetickej bezpečnosti a firmy

Notebook, smart telefón, ale aj hodinky, náramok, či domáci spotrebič. Inteligentné technológie nie sú iba súčasťou pracovného života. Dnes nahrádzajú peňaženky, či doklady. Aj preto sa Európska komisia v posledných rokoch čoraz viac zameriava na čo najvyššiu ochranu používateľov, ktorí vo virtuálnom svete zdieľajú stále vyššie objemy rôznych typov informácií.  

Nemá to vplyv len na používateľov ako spotrebiteľov, ale prirodzene aj na podnikateľov, ktorí inteligentné technológie využívajú ako informačné databázy, marketingové nástroje a platobné kanály.

Podľa údajov Európskej komisie došlo v roku 2018 každý deň k viac ako 4 tisíc ransomware útokom, pričom  s kybernetickým útokom sa stretlo 8 z 10 európskych podnikov. Aby informačná doba neprinášala nárast kriminality a škody ňou spôsobené, do legislatívy členských štátov vrátane Slovenska Európska únia zaviedla systém nariadení a smerníc, ktoré slúžia ako akási záchranná sieť. 

Slovenská republika  za týmto účelom, okrem iných nariadení, transponovala do slovenského právneho poriadku Smernicu o sieťovej a informačnej bezpečnosti (NIS), a prijala zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti.

Ten zavádza celý rad povinností pre prevádzkovateľov základných služiebposkytovateľov digitálnych služieb s cieľom predchádzať a zistiť kybernetické incidenty v informačných systémoch a sieťach. Je zameraný na ochranu informačných systémov a sietí pred ich narušením spôsobeným technickými zariadeniami, údajmi na nich spracúvanými alebo službami, ktoré sú prostredníctvom nich poskytované, ale aj na ochranu samotných zákazníkov. 

Za prevádzkovateľa základných služieb sa považuje verejný orgán alebo osoba prevádzkujúca základnú službu zaradenú v zozname základných služieb a zároveň ktorá

  • závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore a podsektore podľa Prílohy č.1 k zákonu (napr. sektor zdravotníctva, bankovníctva, dopravy, energetiky a i.)
  • je informačným systémom verejnej správy, alebo
  • je prvkom kritickej infraštruktúry (t.j. infraštruktúry, ktorej narušenie by malo závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým aj na kvalitu života obyvateľov). 

Za poskytovateľa digitálnej služby sa považuje právnická osoba alebo fyzická osoba - podnikateľ, ktorá poskytuje digitálnu službu (t.j. online trhovisko, internetový vyhľadávač a služby cloud computingu – IaaS, PaaS, SaaS) a súčasne zamestnáva viac ako 50 zamestnancov, pričom dosahuje ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur. 

V praxi to pre prevádzkovateľov základných služieb, ako aj pre poskytovateľov digitálnych služieb znamená niekoľko zásadných povinností. Dalo by sa povedať, že sa týka  de facto každého veľkého hráča, ktorý prevádzkuje základnú službu alebo poskytuje digitálnu službu. 

Každý subjekt, ktorý sa identifikoval ako prevádzkovateľ základnej služby alebo poskytovateľ digitálnej služby má povinnosť oznámiť Národnému bezpečnostnému úradu (ďalej ako „NBÚ“)

  • prekročenie identifikačných kritérií (počet užívateľov služieb, vplyv na hospodárske a spoločenské záujmy, trhový podiel alebo geografické rozšírenie) v prípade prevádzkovateľa základnej služby do 30 dní odo dňa, keď prekročenie zistil,
  • prekročenie identifikačných kritérií v prípade poskytovateľa digitálnej služby do 30 dní odo dňa začatia poskytovania digitálnej služby. 

Prvoradou povinnosťou prevádzkovateľov ako aj poskytovateľov je prijať a dodržiavať bezpečnostné opatrenia v rozsahu stanovenom zákonom o kybernetickej bezpečnosti. Obaja ich musia zaviesť do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb a do registra poskytovateľov digitálnych služieb. 

O povinnosť navyše má v tomto prípade prevádzkovateľ základnej služby, ktorý je povinný  preveriť účinnosť týchto bezpečnostných opatrení vykonaním auditu kybernetickej bezpečnosti, ktorý musí vykonať do dvoch rokov od zaradenia do registra prevádzkovateľov základných služieb. Záverečná správa o výsledkoch auditu musí byť predložená NBÚ do 30 dní od ukončenia auditu.

V prípade, že prevádzkovateľ základnej služby outsorcuje činnosti priamo súvisiace s prevádzkovaním služby, je podľa zákona povinný uzatvoriť s dodávateľom zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, a to už pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby. Povinnosť uzatvorenia takejto zmluvy sa vzťahuje aj na poskytovateľa digitálnej služby, ak na jej poskytovanie využíva prevádzkovateľa základnej služby. Z toho vyplýva a je potrebné poznamenať, že zákon a povinnosti z neho vyplývajúce sa týkajú aj dodávateľov, ktorí zabezpečujú služby pre poskytovateľov digitálnych služieb alebo prevádzkovateľov základných služieb.

Okrem iného zákon prináša pre prevádzkovateľov aj poskytovateľov aj rôzne notifikačné povinnosti ako napr. povinnosť hlásiť zmeny v údajoch, informovať tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente a i. 

Cieľom uložených povinností zákonom o kybernetickej bezpečnosti je najmä predchádzať a zistiť kybernetické bezpečnostné incidenty (ďalej ako „KBI“) v sieťach a informačných systémoch. Na základe toho ukladá prevádzkovateľom základných služieb a poskytovateľom digitálnych služieb povinnosť riešiť KBI, bezodkladne hlásiť každý takýto závažný KBI, spolupracovať s úradom pri riešení tohto incidentu a zabezpečiť dôkazy na účely trestného konania. 

Za porušenie povinností vyplývajúcich zo zákona o kybernetickej bezpečnosti hrozia prevádzkovateľom základných služieb ako aj poskytovateľom digitálnych služieb vysoké pokuty od 1 % celkového ročného obratu za predchádzajúci účtovný rok, až do výšky 300 000 eur. Pri každom porušení sa posudzuje závažnosť porušenia (spôsob, trvanie, dôsledky), pričom NBÚ môže uložiť pokutu až do 2 rokov od zistenia porušenia povinností, najneskôr až do 4 rokov odo dňa, kedy došlo k porušeniu povinnosti uloženej zákonom.

 

AK máte viac otázok k téme kybernetickej bezpečnosti, náš tím skúsených odborníkov pomáha účinne riadiť a chrániť najcennejšie údaje naprieč širokým spektrom kybernetických hrozieb a scenárov. Neváhajte nás preto kedykoľvek kontaktovať.