V oblasti informačných systémov a sietí vyplýva zo zákona o kybernetickej bezpečnosti pre prevádzkovateľov digitálnych služieb viacero nových povinností. Prinášame vám ich súhrn.
Od 1.4.2018 je účinný zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z.z.). Vzhľadom na to, že sa veľká časť života dostala do online sféry a kybernetické útoky sú čoraz rozšírenejšie, je potrebné dbať na kyberbezpečnosť a za týmto účelom prijať opatrenia na minimalizáciu kybernetických útokov a škôd nimi spôsobených.
Cieľom zákona je nielen ochrana informačných systémov a sietí pred narušením, ale aj ochrana samotných zákazníkov. Zákon prináša niekoľko povinností pre prevádzkovateľov základných služieb (ide napr. o oblasť bankovníctva, dopravy, pošty, farmaceutického a zdravotníckeho priemyslu), ale taktiež aj pre poskytovateľov digitálnych služieb.
Povinnosti prevádzkovateľov základných služieb
Na úvod je potrebné uviesť, kto sa považuje za prevádzkovateľa základných služieb. Ním je orgán verejnej moci alebo iný subjekt, ktorý poskytuje aspoň jednu základnú službu uvedenú v zozname základných služieb, ktorý vedie Národný bezpečnostný úrad (patrí tu napríklad poskytovanie bankových produktov, systému doménových mien na internete, poštových služieb) a táto služba:
- závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore podľa prílohy 1 zákona o kybernetickej bezpečnosti (napr. sektor dopravy, energetiky, priemyslu),
- je informačným systémom verejnej správy,
- je prvkom kritickej infraštruktúry – teda infraštruktúry, ktorej narušenie by malo závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým na kvalitu života obyvateľov.
Do októbra 2018 mali tieto subjekty povinnosť oznámiť Národnému bezpečnostnému úradu prekročenie identifikačných kritérií. Ide predovšetkým o počet užívateľov služieb, vplyv na hospodárske a spoločenské záujmy, trhový podiel alebo geografické rozšírenie. Tieto kritéria určili, či sa na nich vzťahuje registračná povinnosť.
Prvoradou povinnosťou prevádzkovateľov je prijať a dodržiavať bezpečnostné opatrenia v rozsahu stanovenom zákonom o kybernetickej bezpečnosti. To musia splniť do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb, najneskôr do dvoch rokov od účinnosti zákona, čiže do 1.4.2020, v prípade, ak boli zaradení do zoznamu úradom podľa § 34 ods. 5 zákona.
Účinnosť týchto bezpečnostných opatrení je prevádzkovateľ povinný preveriť, a to vykonaním auditu kybernetickej bezpečnosti, ktorý musí vykonať do dvoch rokov od zaradenia do registra prevádzkovateľov základných služieb. Záverečná správa o výsledkoch auditu musí byť predložená Národnému bezpečnostnému úradu do 30 dní od ukončenia auditu.
Zákon predpokladá taktiež situácie, kedy prevádzkovateľ základnej služby nie je reálnym prevádzkovateľom informačného systému a sietí, ale využíva na tento účel tretiu osobu - externý subjekt, na ktorý outsourcuje povinnosti. V takomto prípade sú prevádzkovatelia základných služieb povinní uzatvoriť aj zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, a to už pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby.
Príklad na uzatvorenie zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností
Spoločnosť A, s.r.o. spĺňa kritéria a je prevádzkovateľom základnej služby v zmysle zákona o kybernetickej bezpečnosti. Nie je však reálnym prevádzkovateľom siete, od ktorej je poskytovanie jeho služieb závislé. Na prevádzkovanie siete využíva spoločnosť B, s.r.o. V zmysle zákona tak musí A, s.r.o. uzatvoriť s B, s.r.o. zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností. Túto zmluvu musia uzatvoriť už pri podpise zmluvy, na základe ktorej má B, s.r.o. vykonávať prevádzku siete pre A, s.r.o..
Najpočetnejšou skupinou povinností, ktorú prináša zákon pre prevádzkovateľov základných služieb, sú notifikačné povinnosti, medzi ktoré patrí:
- povinnosť informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí, ku ktorému je sieť alebo informačný systém základnej služby pripojená, o zaradení do registra prevádzkovateľov základných služieb,
- povinnosť informovať tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente v prípade, ak plnenie zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností bolo nemožné,
- povinnosť bezodkladne ohlásiť závažný kybernetický bezpečnostný incident,
- povinnosť oznámiť orgánom činným v trestnom konaní skutočnosti nasvedčujúce tomu, že bol spáchaný trestný čin, o ktorom sa dozvedel hodnoverným spôsobom,
- povinnosť hlásiť zmeny v údajoch, a to do 30 dní odo dňa ich vzniku.
V neposlednom rade je povinnosťou prevádzkovateľov základných služieb vyriešiť vzniknutý kybernetický bezpečnostný incident, spolupracovať s úradom pri riešení tohto incidentu a zabezpečiť dôkazy na účely trestného konania.
Povinnosti poskytovateľov digitálnych služieb v oblasti kybernetickej bezpečnosti
Za poskytovateľa digitálnych služieb sa v zmysle zákona o kybernetickej bezpečnosti považuje právnická osoba alebo fyzická osoba-podnikateľ, ktorá poskytuje digitálnu službu (online trhovisko, internetový vyhľadávač alebo cloud computing) a súčasne zamestnáva viac ako 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur.
Poskytovateľ digitálnych služieb je povinný oznámiť národnému bezpečnostnému úradu začatie poskytovania digitálnych služieb, a to do 30 dní od začatia poskytovania služby. Konkrétne musí oznámiť názov, sídlo, kontaktné údaje, poskytovanú službu a údaje o zástupcov. Na základe tohto oznámenia bude zaradený do registra poskytovateľov digitálnych služieb.
Aj poskytovatelia majú povinnosť prijať bezpečnostné opatrenia, a to do šiestich mesiacov odo dňa oznámenia o zaradení do registra poskytovateľov digitálnych služieb, najneskôr však do 1.4.2020, v prípade, ak boli zaradení do zoznamu úradom podľa § 34 ods. 5 zákona. Za účelom splnenia tejto povinnosti musí poskytovateľ posudzovať najmä bezpečnosť sietí a informačného systému a jeho schopnosť predchádzať a riešiť kybernetický bezpečnostný incident, ale aj súlad sietí a informačného systému s bezpečnostnými štandardmi.
Rovnako sa na nich vzťahuje povinnosť vyriešiť kybernetický bezpečnostný incident a povinnosť spolupracovať s úradom pri riešení hláseného incidentu. Ak poskytovateľ digitálnej služby využíva na poskytovanie svojej služby prevádzkovateľa základnej služby, je povinný uzatvoriť s ním zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností. V neposlednom rade majú aj oni notifikačné povinnosti, ktoré spočívajú v povinnosti hlásiť každý kybernetický bezpečnostný incident, a to aj tie, ktoré postihli poskytovateľa základnej služby, ak tento využíva na poskytovanie základnej služby poskytovateľa digitálnej služby.
Sankcie za porušenie povinností vyplývajúcich zo zákona o kybernetickej bezpečnosti
Kontrolu nad dodržiavaním zákona o kybernetickej bezpečnosti vykonáva Národný bezpečnostný úrad. Za porušenie povinnosti uložených zákonom (napr. za porušenie povinnosti udržiavať bezpečnostnú komunikáciu, nahlásiť závažný kybernetický bezpečnostný incident, vykonať ochranné opatrenie) hrozia vysoké pokuty. Najnižšia hranica pokuty začína na 300 eur, pričom sa môže vyšplhať až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur.
Hľadiskom pre určenie výšky pokuty je závažnosť správneho deliktu, najmä spôsob jeho spáchania, trvanie, následky a okolnosti, za ktorých bol spáchaný. Národný bezpečnostný úrad môže uložiť pokutu do dvoch rokov od zistenia porušenia povinností, najneskôr až do štyroch rokov odo dňa, kedy došlo k porušeniu povinnosti uloženej zákonom.
Zhrnutie na záver
Útoky pomocou počítačovej techniky a počítačovej siete sú v dnešnej dobe viac využívané a predstavujú čoraz väčšie nebezpečenstvo. Za účelom predchádzania vzniku škôd a ich minimalizácie prijala NR SR zákon o kybernetickej bezpečnosti. Ten zavádza celý rad povinností pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb s cieľom predchádzať a zistiť kybernetické incidenty v informačných systémoch a sieťach.
Okrem oznamovacích povinností zákon ukladá prevádzkovateľom základných služieb a poskytovateľom digitálnych služieb aj povinnosti v oblasti odstránenia kybernetických incidentov, ako aj povinnosť poskytnúť príslušným štátnym orgánom vyžadovanú súčinnosť.
Za porušenie, resp. nesplnenie si týchto povinností hrozia vysoké pokuty, a to až do výšky 300 000 eur. Preto by osoby, na ktoré sa vzťahujú tieto povinnosti, mali zákonu venovať náležitú pozornosť a dbať na dodržiavanie vyššie uvedených povinností.
