Bezpečnostné opatrenia v zmysle novej vyhlášky

Od 1. septembra platí nová vyhláška č. 227/2025 Z. z. Národného bezpečnostného úradu o bezpečnostných opatreniach (ďalej „vyhláška“). Vyhláška reflektuje na novelu zákona č. 69/2018 Z .z. o kybernetickej bezpečnosti (ďalej „zákon“), ktorý platí od 1.1.2025 a zavádza nové bezpečnostné opatrenia pre kybernetickú bezpečnosť. Vyhláška reflektuje aj na nové bezpečnostné štandardy v informačnej a kybernetickej bezpečnosti. 

Vyhláška zásadne posilňuje využívanie analýzy rizík ako nástoja pre aplikáciu bezpečnostných opatrení pre oblasti kybernetickej bezpečnosti v zmysle § 20 ods. 2 zákona. Rozsah všeobecných bezpečnostných opatrení, ktorý sa určuje je uvedený v prílohe č. 1 vyhlášky a navrhujú, prijímajú a vykonávajú sa tak, aby ošetrili všetky riziká identifikované v rámci vykonanej analýzy rizík.

Všetky prijaté bezpečnostné opatrenia musia byť zdokumentované v bezpečnostnej dokumentácií ako centrálny zdroj informácií. Jej súčasťou sú tiež schválené bezpečnostné politiky pre jednotlivé oblasti riadenia kybernetickej bezpečnosti, vrátane opisu procesov a väzieb, pracovných rolí, zodpovednosti a delenia právomocí a opisu rámca riadenia bezpečnostných rizík. 

Vzhľadom na to, že analýza rizík je základom pre prijatie bezpečnostných opatrení, je potrebné v zmysle vyhlášky preskúmanie identifikovaných rizík najmenej raz ročne a v závislosti od výsledkov aj aktualizáciu rizík a revíziu prijatých bezpečnostných opatrení. Tiež je potrebné najmenej raz ročne vykonávať pravidelné posudzovanie zraniteľností. Pri prevádzkovateľoch kritickej základnej služby je táto povinnosť raz za 6 mesiacov.

Navrhovanie vhodných bezpečnostných opatrení na znižovanie rizík podľa prílohy č. 1 k vyhláške je v kompetencií manažéra kybernetickej bezpečnosti, pričom o ich schválení má preukázateľne rozhodnúť na to určená osoba, ktorá by nemala zároveň zastávať rolu manažéra kybernetickej bezpečnosti. Je preto potrebné určenie konkrétnej osoby alebo konkrétnych osôb v organizácii zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie.

Prevádzkovatelia, ktorí boli zapísaní do registra prevádzkovateľov základnej služby (ďalej „register“) v roku 2025 sú povinní začať aplikovať bezpečnostné opatrenia v zmysle tejto vyhlášky. Majú na to 12 mesiacov od zápisu do registra. 

Prevádzkovatelia zapísaní do registra pred 31. decembrom 2024, môžu do 31. decembra 2026 prijímať a realizovať bezpečnostné opatrenia podľa predpisov účinných od 1. januára 2025 aj prijímaním a realizovaním bezpečnostných opatrení podľa predpisov účinných do 31. decembra 2024. To ale znamená, že aj tak musia mať bezpečnostné opatrenia v zmysle vyhlášky pripravené do konca roka 2026 tak, aby podľa nich mohli od 1. januára 2027 fungovať. Preto odporúčam začať sa venovať analýze rizík už v roku 2026 a na jej základe prijímať v priebehu roka bezpečnostné opatrenia už v zmysle novej vyhlášky.