Blog

Povinnosti v zmysle novely zákona o Kybernetickej bezpečnosti

28. jan 2025

Novela zákona o Kybernetickej bezpečnosti po transformácií smernice NIS2 do našej legislatívy priniesla od 1.1.2025 mnoho povinností. Týkajú sa prevažne nových poskytovateľov základnej služby. Mali by ich splniť v určených časových intervaloch:

Do 60 dní (najneskôr do 2.3.2025) od platnosti novelizovaného zákona vyplniť Oznámenie o zápise do registra prevádzkovateľov základnej služby a súčasne určiť Manažéra kybernetickej bezpečnosti, ktorý nesmie byť v konflikte záujmov a mal by spĺňať znalostné štandardy v oblasti kybernetickej bezpečnosti určené vyhláškou č. 492/2022 Z. z., §17 ods. 2 zákona,

Do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby (PZS) v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia v rozsahu podľa §20 zákona a zdokumentovať tieto prijaté bezpečnostné opatrenia formou bezpečnostnej dokumentácie,

Do 24 mesiacov odo dňa zápisu do registra PZS je prevádzkovateľ základnej služby povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti. Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti. Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, môže zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti vykonaním samohodnotenia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti. Takýto prevádzkovateľ základnej služby je ale povinný podrobiť sa auditu kybernetickej bezpečnosti certifikovaným audítorom do piatich rokov odo dňa zaradenia do registra prevádzkovateľov základnej služby.

Pre subjekty, ktoré sú už zapísané v registri prevádzkovateľov základnej služby sa toho až tak veľa nemení. Pribudli však povinnosti, ktoré si musia splniť aj tieto subjekty. V prvom rade je potrebné vykonať analýzu rizík, aby boli schopné prijať bezpečnostné opatrenia v súlade s §20 zákona. Zoznam opatrení nájdete na konci tohto článku.

Tiež sú povinní pokračovať v periodicite auditov, ktorá bola určená už pred novelou zákona. Tá je každé dva roky. Ak spadali do kategórie I. a II., tak môžu v rokoch 2025 a 2026 vykonať audit opäť prostredníctvom samohodnotenia, a to aj napriek tomu, že by patrili do kategórie s vysokou úrovňou kritickosti. Týka sa to najmä verejnej správy. Rozdelenie sektorov podľa kritickosti nájdete v prílohách novely zákona.

Sektory s vysokou úrovňou kritickosti https://www.zakonypreludi.sk/disk/zz/file/2018/2018c000z0069_p01.pdf

Iné kritické sektory https://www.zakonypreludi.sk/disk/zz/file/2018/2018c000z0069_2024c000z0366p002.pdf

Bezpečnostné opatrenia podľa §20 zákona a bezpečnostná dokumentácia

organizácia a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti
správa zraniteľností a kybernetických hrozieb
správa aktív a riadenie kybernetických hrozieb a rizík
riadenie udalostí a kybernetických bezpečnostných incidentov
riadenie kontinuity činností, zálohovanie, obnova systémov po havárii a krízové riadenie
bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií
a konfigurácií
postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti
kryptografické opatrenia a zásady používania kryptografie
bezpečnosť a spôsobilosť ľudských zdrojov

správa identít a prístupov
bezpečnosť pri prevádzke sietí
a informačných systémov
ochrana proti škodlivému kódu
a nežiaducemu obsahu
systémová bezpečnosť, sieťová bezpečnosť a komunikačná bezpečnosť
monitorovanie, zaznamenávanie
a hlásenie udalostí
fyzická bezpečnosť, bezpečnosť prostredia a správa koncových zariadení
ochrana záznamov, súkromia
a označovanie informácií
dodávateľský reťazec
obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT

RNDr. Daniel Schikor

Manažér kybernetickej bezpečnosti