Kybernetická bezpečnosť

14. 8. 2023

Kedy je firma povinná riešiť informačnú a kybernetickú bezpečnosť?

Kedy je firma povinná riešiť informačnú a kybernetickú bezpečnosť?

Povinnosti vyplývajúce z právnych úprav v oblasti informačnej a kybernetickej bezpečnosti na Slovensku dostali za posledné roky reálne kontúry najmä prostredníctvom Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „ZoKB“), ktorý vstúpil do účinnosti od 1.4.2018. O tom, čo predstavuje pojem kybernetická bezpečnosť sme vás informovali v dávnejšom blogu.

Cieľom ZoKB je zabezpečiť koordinovanú ochranu sietí a informačných systémov, zaviesť základné bezpečnostné požiadavky a opatrenia a vynútiť dodržiavanie konkrétnych bezpečnostných procesov a princípov. Tieto povinnosti sa vzťahujú na prevádzkovateľa základnej služby a poskytovateľa digitálnej služby.

Povinnosti prevádzkovateľa základnej služby

Na úvod si definujme, kto je prevádzkovateľ základnej služby (ďalej len „PZS“) – je ním subjekt, ktorý prevádzkuje aspoň jednu základnú službu uvedenú v zozname základných služieb (tento zoznam vedie NBÚ).

Táto služba zároveň:

  1. závisí od sietí a informačných systémov a je vykonávaná aspoň v jednom z jedenástich sektorov alebo podsektorov, akými sú napríklad bankovníctvo, energetika, verejná správa, telekomunikácie a pod.
  2. je prvkom kritickej infraštruktúry podľa Zákona č. 45/2011 Z. z. o kritickej infraštruktúre

Identifikačné kritériá základnej služby a jej prevádzkovateľov sú uvedené vo vykonávacom nariadení NBÚ, a to konkrétne vo vyhláške č. 164/2018 Z.z.

Ak subjekt presahuje identifikačné kritériá stanovené vyhláškou, je povinný informovať NBÚ do 30 dní odo dňa, kedy túto skutočnosť zistil. NBÚ následne zaradí tohto prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.

PZS je podľa § 19 ods. 1 ZoKB povinný do 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia minimálne v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.

Ďalej, v prípade, že PZS využíva tretiu stranu, ako dodávateľa či prevádzkovateľa informačných systémov, infraštruktúry a pod., je povinný uzavrieť zmluvu s týmto dodávateľom o zabezpečení dodržiavania bezpečnostných opatrení a notifikačných povinností počas celej doby platnosti dodávateľskej zmluvy.

Okrem dodržiavania bezpečnostných opatrení ZoKB prináša aj rad notifikačných povinností:

  • povinnosť bezodkladne ohlásiť závažný kybernetický bezpečnostný incident,
  • povinnosť informovať tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente v prípade, ak plnenie zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností nebolo možné,
  • povinnosť informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí, ku ktorému sú sieť alebo informačný systém základnej služby pripojené, o zaradení do registra prevádzkovateľov základných služieb,
  • povinnosť oznámiť orgánom činným v trestnom konaní skutočnosti nasvedčujúce tomu, že bol spáchaný trestný čin, o ktorom sa prevádzkovateľ dozvedel hodnoverným spôsobom,
  • povinnosť hlásiť zmeny v údajoch, a to do 30 dní odo dňa ich vzniku.

Ďalšou hlavnou povinnosťou je aj podľa § 19 ods. 7 riešiť kybernetický bezpečnostný incident, poskytnúť potrebnú súčinnosť NBÚ a ústredným orgánom pri jeho riešení a zabezpečiť dôkazy a dôkazné prostriedky tak, aby mohli byť použité v trestnom konaní.

Povinnosti poskytovateľa digitálnej služby

Rovnako ako pri PZS, ZoKB definuje digitálnu službu a jej poskytovateľa. Digitálne služby zahŕňajú on-line trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou – podnikateľom, ktorý zároveň zamestnáva najmenej 50 zamestnancov a má ročný obrat alebo ročnú bilanciu viac ako 10.000.000 eur.

Ak začne subjekt poskytovať niektorú z týchto digitálnych služieb, je povinný túto skutočnosť do 30 dní od začatia poskytovania služby oznámiť NBÚ. Na základe tohto oznámenia bude digitálna služba zaradená do zoznamu digitálnych služieb a jej poskytovateľ do registra poskytovateľov digitálnych služieb.

Bezpečnostné opatrenia, ktoré musí poskytovateľ digitálnej služby plniť, sa týkajú najmä riadenia rizík súvisiacich s ohrozením kontinuity digitálnych služieb a procesu riešenia kybernetických bezpečnostných incidentov, ako napríklad schopnosť predchádzať kybernetickým bezpečnostným incidentom a riešiť ich, a spôsoby zachovania kontinuity a prevádzky digitálnej služby v prípade kybernetického bezpečnostného incidentu.

Podobne ako pri PZS, každý kybernetický bezpečnostný incident musí byť hlásený, riešený a od poskytovateľa sa požaduje súčinnosť s úradom.

Kybernetická bezpečnosť – Sankcie za porušenie povinností

Kontrolu nad dodržiavaním zákona o kybernetickej bezpečnosti vykonáva Národný bezpečnostný úrad. Ten za porušenie povinností uložených ZoKB môže uložiť sankciu vo výške od 300 eur pričom sa suma môže vyšplhať až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však do výšky 300 000 eur.

NBÚ zohľadňuje závažnosť správneho deliktu, spôsob jeho spáchania, jeho trvanie, vzniknuté následky a okolnosti, za ktorých bol spáchaný. Nezabudnime, že NBÚ môže uložiť pokutu aj spätne, a to do dvoch rokov od zistenia porušenia povinností, najneskôr až do štyroch rokov odo dňa, kedy došlo k porušeniu povinnosti.

Kybernetická bezpečnosť – Záver

Kybernetická bezpečnosť by mala byť vo firme na prvom mieste. Sme v dobe, kedy počítačová kriminalita rastie raketovým tempom a ochrana pred kybernetickými útokmi by nemala byť len povinnosťou danou zákonom, ale bežnou praxou každej firmy, ktorá si váži svoje aktíva, najmä pokiaľ ide o údaje o svojich zákazníkoch či iné dôverné informácie, ktoré spracúva vo svojich informačných systémoch.

Je naivné si myslieť, že týmto hrozbám čelia len veľké firmy a korporátne spoločnosti. Zraniteľný je každý z nás.

Potrebujete poradiť v oblasti informačnej či kybernetickej bezpečnosti alebo zistiť ktoré bezpečnostné opatrenia by ste mali plniť? Chcete znížiť pravdepodobnosť kybernetického bezpečnostného incidentu?

Obráťte sa na nás a chráňte svoju firmu efektívne.

gdpr-poradenstvo-securion

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Tagy článku -

GDPR online

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.