Novela zákona o kybernetickej bezpečnosti

Dňa 28. novembra 2024 bol zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti schválený Národnou radou Slovenskej republiky, pričom za návrh zákona hlasovalo 117 poslancov. Zmeny nadobudnú účinnosť 1. januára 2025.

Pre koho budú nové pravidlá záväzné? Aké inštitúcie tam budú z verejnej správy? Kto alebo čo bude v sektoroch bližšie určovať bezpečnostné opatrenia?

Novela prináša najmä tieto úpravy:

• veľké rozšírenie nových subjektov,
• identifikácia regulovaného subjektu na základe jeho zaradenia do sektora,
• nové požiadavky na bezpečnostné opatrenia na základe rizikovej analýzy,
• nové požiadavky na hlásenie incidentov,
• audit a samohodnotenie,
• podrobnejšia úprava oprávnení v rámci úradu,
• úprava bezpečnosti dodávateľského reťazca,
• navýšenie pokút za neplnenie povinností,
• spolupráca medzi všetkými dotknutými subjektami,
• medzinárodná spolupráca.

Predmetom novely zákona nie je kybernetická bezpečnosť vo vzťahu k základným službám, ale kybernetická bezpečnosť a odolnosť kľúčových subjektov a celých sektorov voči aktuálnym kybernetickým hrozbám.

Rozšírenie pôsobnosti zákona a identifikácia subjektov prevádzkovateľov základnej služby

Prevádzkovateľom základnej služby (ďalej len „PZS“) je (bez ohľadu na sektor):

• ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
• kritický subjekt,
• štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• správca pre informačno-technologický verejný systém (ITVS) po predchádzajúcej konzultácii s príslušným ústredným orgánom,
• osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
• tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.

Prevádzkovatelia základnej služby sú subjekty zaradené do sektorov podľa prílohy 1 a 2:

• ak sú minimálne stredným podnikom (min. 50 zamestnancov a obrat alebo súvaha 10 mil. eur a viac),
• bez ohľadu na veľkosť:

• je podnikom poskytujúcim verejnú elektronickú komunikáciu (ďalej len „EK“) sieť alebo verejnú EK službu,
• je poskytovateľom dôveryhodnej služby,
• je správcom TLD (Top Level Domain – správca domény najvyššej úrovne, ktorá je súčasťou systému doménových mien),
• poskytuje službu DNS (Domain Name System – systém pre preklad názvov domén na IP adresy a naopak, umožňujúci identifikáciu a lokalizáciu zariadení na internete),
• je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
• poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celý sektor vykonávanej činnosti, najmä ak by takéto riziko mohlo mať cezhraničný vplyv,
• je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor, alebo
• je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu.

Tab. č. 1: Príloha č. 1 a Príloha č. 2