Ako prebiehala transpozícia NIS1 na Slovensku a v Českej republike?
Ak chceme vysvetliť rozdiely v prístupe k implementácii NIS2 v slovenskom a českom právnom prostredí, na začiatok je potrebné spomenúť aj rozdiely v regulácii kybernetickej bezpečnosti v oboch republikách.
Česká republika v roku 2017 oddelila časť právomocí Národního bezpečnostního úřadu. Zákonom č. 205/2017 Sb., ktorý novelizoval zákon o kybernetickej bezpečnosti a iné súvisiace zákony, vznikol Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Na Slovensku je podľa § 34 zákona č. 575/2001 Z. z., o organizácii činnosti vlády a organizácii ústrednej štátnej správy ústredným orgánom štátnej správy na ochranu utajovaných skutočností, šifrovú službu, kybernetickú bezpečnosť a dôveryhodné služby aj naďalej Národný bezpečnostný úrad ako jediný subjekt.
Národný bezpečnostný úrad v roku 2019 zriadil štátnu príspevkovú organizáciu Kompetenčné a certifikačné centrum kybernetickej bezpečnosti, ktorého základným poslaním je napomáhať k plneniu odborných úloh zriaďovateľa v oblasti kybernetickej bezpečnosti, ochrany utajovaných skutočností, šifrovej ochrany a dôveryhodných služieb. Špecifikom takéhoto subjektu je právo podnikať - hoci to nie je skutočné podnikanie s cieľom tvorby zisku. Samozrejme, príjmy, ktoré štátna príspevková organizácia získa za poskytované služby, môže využiť len na presne vymedzené účely.
Podstatné na implementácii prvej verzie Smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (NIS) je to, že Slovenská republika bola jedným z posledných členských štátov EÚ, ktorý ju transponoval do svojho právneho systému. (Zákon bol v zbierke zákonov vyhlásený 9.3.2018 a členské štáty mali povinnosť implementovať smernicu do 9. 5. 2018).
A ukázalo sa to ako výhoda. Prečo?
Smernice stanovujú ciele, ktoré musia členské štáty dosiahnuť, ale ponechávajú im právnu a technickú voľnosť, ako tieto ciele dosiahnuť. Na rozdiel od nariadenia (regulation) je smernica (directive) takým typom sekundárneho právneho aktu EÚ, pri ktorom na základe princípu „minimálnej harmonizácie“, môžu členské štáty zaviesť prísnejšie požiadavky aj nad rámec požiadaviek konkrétne smernice.
Slovensko reguluje viac sektorov už od roku 2018
Múdri sa učia na chybách iných. Slovensko tak na základe skúseností ostatných štátov aj učinilo počas transpozície NIS1. Trúfam si dokonca tvrdiť, že sme boli jedným z tých členských štátov, ktorý mal najvyšší počet odvetví v prvej verzii Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a tým zároveň aj výrazne vyšší počet prevádzkovateľov základných služieb (PZS) oproti niektorým aj západným štátom Európskej únie. To sa neskôr ukázalo ako výhoda pri transpozícii NIS2.
Z nasledujúcej tabuľky je zrejmé, že prírastok regulovaných odvetví v novelizovanom zákone je de facto polovičný. Zvýši sa celkový počet subjektov, najmä z dôvodu nového prístupu k identifikácii povinných osôb. Tento pomer nebude taký dramatický, ako v iných štátoch, kde si k počtu povinných osôb budú môcť pripísať tri nuly doprava.
Smernica 2016/1148 (NIS) | Zákon č. 69/2018 Z.z. | Smernica 2022/2555 (NIS2) - Kľúčové subjekty | Smernica 2022/2555 (NIS2) - Dôležité subjekty |
---|---|---|---|
Bankovníctvo | Bankovníctvo | Bankovníctvo | |
Dodávka a distribúcia pitnej vody | Dodávka a distribúcia pitnej vody | Dodávka a distribúcia pitnej vody | |
Doprava | Doprava | Doprava | |
Energetika | Energetika | Energetika | |
Infraštruktúra finančných trhov | Infraštruktúra finančných trhov | Infraštruktúra finančných trhov | |
Digitálna infraštruktúra | Digitálna infraštruktúra | Poskytovatelia digitálnych služieb | |
Elektronické komunikácie | Elektronické komunikácie | ||
Pošta | Poštové a kuriérske služby | ||
Priemysel | Priemysel | ||
Verejná správa | Verejná správa | ||
Voda a atmosféra | Voda a atmosféra | ||
Zdravotníctvo | Zdravotníctvo | ||
Odpadová voda | |||
Riadenie služieb IKT | |||
Vesmír | |||
Odpadové hospodárstvo | |||
Výroba | |||
Výskum |
Účinná kontrola dodržiavania predpisov
Implementácia NIS na Slovensku má ešte jedno špecifikum. Týka sa posudzovania súladu. V pôvodnej verzii zákona v roku 2018 zákonodarca zaviedol rámec auditu kybernetickej bezpečnosti, ktorý sa opiera o činnosť komerčných audítorov, ako o koncesovanú živnosť.
Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Certifikáciu audítorov kybernetickej bezpečnosti vykonávajú orgány posudzovania zhody akreditované podľa STN EN ISO/IEC 17024 Posudzovanie zhody - Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb. Právnická osoba zabezpečuje audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora/audítorov kybernetickej bezpečnosti. Zabezpečovanie auditu kybernetickej bezpečnosti právnickou osobou je podnikaním.
Audítori sú certifikovaní podľa certifikačnej schémy overovania odbornej spôsobilosti audítora kybernetickej bezpečnosti, ktorej vlastníkom je Národný bezpečnostný úrad. Tým je zaručené, že NBÚ má plnú kontrolu nad kvalifikáciou audítorov. Na certifikát nie je právny nárok a v prípade závažných porušení metodiky auditu, alebo etického kódexu je orgán posudzovania zhody povinný audítorovi certifikát pozastaviť, alebo aj odobrať.
Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa Vyhlášky Národného bezpečnostného úradu 493/2022 Z. z., o audite kybernetickej bezpečnosti. Audit sa vykonáva po každej majoritnej zmene, majúcej významný vplyv na realizované bezpečnostné opatrenia, alebo v časovom intervale 2 roky. Audit si objednáva (a náklady znáša) prevádzkovateľ základnej služby. Audítor nie je oprávnený odovzdať záverečnú správu inej osobe, než štatutárovi organizácie, alebo ním splnomocnenému zamestnancovi. Správu neposkytne ani Národnému bezpečnostnému úradu. Následne až prevádzkovateľ základnej služby predloží záverečnú správu o výsledkoch auditu úradu spolu s opatreniami na nápravu a s lehotami na ich odstránenie a to do 30 dní od ukončenia auditu.
Tým sa kruh uzatvára. NBÚ má prehľad o tom, aký je stav kybernetickej bezpečnosti u povinných osôb. Bez priamych nákladov. A ponechal si samozrejme právomoc výkonu kontroly a správneho konania.
A čo s tým má spoločné Kompetenčné centrum? Predovšetkým je orgánom posudzovania zhody pre viaceré typy objektov posudzovania, najmä však pre audítorov a manažérov kybernetickej bezpečnosti. Je akreditovanou inštitúciou vzdelávania dospelých a znaleckou organizáciou zapísanou v zozname znalcov Ministerstva spravodlivosti. Popri tom napomáha Úradu aj legislatívnych činnostiach a zvyšovaní bezpečnostného povedomia. A zo zákona je poverené plnením úloh Národného koordinačného centra v Slovenskej republike v zmysle nariadenia EÚ 2021/887, ktoré vytvorilo Európske kompetenčné centrum v oblasti kybernetickej bezpečnosti ECCC a sieť národných NCC.
Evolúcia, nie revolúcia v oblasti regulácie kybernetickej bezpečnosti
Pokiaľ ide o transpozíciu NIS2, vzhľadom na vyššie uvedené, novela zákona o kybernetickej bezpečnosti na Slovensku nie je revolúcia, ale evolúcia.
Platná Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, je inšpirovaná uznanými technickými normami (najmä EN ISO/IEC 27002:2022). Nič nové pre slovenský trh. Iste, novelizáciou nastanú určité zmeny, nie však natoľko zásadné, aby to menilo regulované prostredie.
Pozitíva novely v kontexte bezpečnostných opatrení:
Zdôrazňujú sa špecifiká odvetví - po novele zákona sa výraznejšie presadí právna doktrína „Lex specialis derogat legi generali“. Platná bola aj doteraz, de facto sa však neuplatnila v aplikačnej praxi. (Podľa § 19 (1): Prevádzkovateľ základnej služby je povinný prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu všeobecných bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.)
Zmení sa spôsob identifikácie povinných osôb. Úprava identifikuje prevádzkovateľov základnej služby podľa kritéria veľkosti a obratu, alebo rozpočtu. Pôsobnosť zákona sa rozšíri o nové sektory (odvetvia) a nové regulované služby.
Definuje aj kritickú základnú službu, ako novú hodnotu pre posúdenie rizikovosti a kritickosti subjektu. Od toho sa budú odvíjať povinnosti, bezpečnostné opatrenia, audity aj kontrola.
Ruší sa prístup cez klasifikáciu informácií. Nahradí ich analýza rizík ako univerzálny nástroj pre stanovenie rozsahu opatrení.
Rozšírením pôsobnosti zákona na dodávateľské reťazce sa zvýši celková úroveň odolnosti voči hrozbám.
Zvýši sa miera kooperácie a komunikácie. Zavádza sa koordinované zverejňovanie zraniteľností, zefektívni sa hlásenie hrozieb, udalostí odvrátených na poslednú chvíľu a kybernetických bezpečnostných incidentov. Prispeje to k zvýšenej informovanosti o kybernetických hrozbách, čo zase zvýši schopnosť subjektov predchádzať tomu, aby sa takéto hrozby stali incidentmi.
Zavádzajú sa mechanizmy bezpečnostnej certifikácie výrobkov, procesov a služieb.
Zmeny zasiahnu aj sankčný mechanizmus, čím sa docieli zefektívnenie vynucovanie pokút a zavedenie novej formy správneho sankcionovania.
Aby som citoval klasika: „Kyberbezpečnosť nemá byť požiadavkou zákona, ale pudom sebazáchovy!“ (credentials: Aleš Špidla). Trúfam si vyhlásiť, že na Slovensku má k tomuto stavu už väčšina stakeholderov blízko. Prevádzkovatelia od roku 2018 vykonávajú audity. Kooperovali pri príprave novely. Zásadných pripomienok k novele bolo minimum. Rozporové konania prebehli hladko a k obojstrannej spokojnosti. A poslanci novelu schválili osemdesiatimi percentami hlasov. Slovensko sa tak tentokrát stalo štvrtým členským štátom EÚ, ktorý transponoval Smernicu NIS2.
Ja si už dám len kávičku. A spolu s kolegami dokončím draft novej vyhlášky o bezpečnostných opatreniach...