Ku koncu roka 2022 je bilancia taká, že zákon o kybernetickej bezpečnosti („ZoKB“) sme na Slovensku novelizovali celkovo sedemkrát. A predvídať vieme aj ďalšiu, relatívne rozsiahlu novelu. Novelu vyvolanú novou Smernicou NIS 2, ktorá by mala vo finálnom znení uzrieť svetlo sveta ešte tento rok.

Smernica NIS 2 nielenže nahradí svoju predchodkyňu z roku 2016, ale významným spôsobom rozšíri okruh povinných osôb, ktoré dnes na Slovensku poznáme pod pojmom prevádzkovateľ základnej služby. Povinné osoby sa po novom budú rozlišovať na dve základné skupiny, a to kľúčové a dôležité subjekty.

Významnejšie je ale rozšírenie oblastí regulácie, kedy oproti súčasnej právnej úprave ZoKB pribudnú nasledovné odvetvia (sektory) a pododvetvia (podsektory):

• Odpadová voda;
• Vesmír;
• Kuriérske služby;
• Odpadové hospodárstvo;
• Výroba, spracovanie a distribúcia potravín;
• Vodík;
• Diaľkové vykurovanie a chladenie;
• Výroba (zdravotnícke pomôcky, počítačové výrobky, elektrické zariadenia, stroje, motorové vozidlá, ostatné dopravné prostriedky a iné.

Zmeny zaznamenávajú aj niektoré už existujúce odvetvia a pododvetvia, kde napríklad v odvetví „Digitálna infraštruktúra“ pribudnú poskytovatelia služieb dátového centra.

Zmena nastáva aj u poskytovateľov digitálnych služieb, kedy sa upúšťa od poskytovateľov služieb cloud computingu. Z nich sa po novom stávajú kľúčové subjekty. Poskytovatelia digitálnych služieb však naďalej zostanú „traja“, nakoľko k súčasným poskytovateľom služieb online trhoviska a internetového vyhľadávača pribudnú poskytovatelia platforiem služieb sociálnej siete.

Je očakávané, že na Slovensku by vďaka tomuto rozšíreniu mohlo odhadom pribudnúť niekoľko stoviek až tisíc nových subjektov. Výsledný rozsah je ťažké predvídať, keďže bude determinovaný nastavením identifikačných kritérií (prahových hodnôt), ktoré si bude Slovenská republika určovať v rámci existujúcej Vyhlášky č. 164/2018 Z. z. a ktoré určia, aký subjekt nám do pôsobnosti ZoKB padne a aký nie. Za všetko napokon hovorí porovnanie národných úprav kybernetickej bezpečnosti u nás a v Českej republike. Po transpozícii rovnakého predpisu (Smernice NIS z roku 2016) máme na Slovensku cca 3000 povinných osôb, zatiaľ čo v Českej republike desaťnásobne menej.

Nakoľko transpozícia Smernice NIS 2 sa vysoko pravdepodobne udeje aj (najmä) prostredníctvom ZoKB, vybrané subjekty vykonávajúce činnosti vo vyššie uvedených odvetviach budú tiež povinné plniť požiadavky ZoKB.

Rozšírenie pôsobnosti ZoKB na nové sektory a podsektory je teda zrejmé. Smernica NIS 2 však oproti svojej predchodkyni prichádza aj s novými požiadavkami, ktoré by sa mali odraziť v národných právnych úpravách členských štátov.

V tejto súvislosti je podstatná otázka, s akými konkrétnymi požiadavkami Smernica NIS 2 vstupuje do platnosti a v akom rozsahu a akým spôsobom sa odrazí vo vnútroštátnom práve. Smernica NIS 2 rovnako ako jej predchodkyňa prichádza len so všeobecným minimálnym bezpečnostným rámcom, ak chceme „must have“ požiadavkami, ktoré sa majú zrkadliť v národných právnych úpravách.

Sú to nasledovné požiadavky:

• Analýza rizík a bezpečnostné politiky informačného systému;
• Riešenie incidentov (predchádzanie incidentom, ich odhaľovanie a reakcia na ne);
• Kontinuita činností a krízové riadenie;
• Bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napr. poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb;
• Bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov vrátane riešenia zraniteľností a zverejňovania informácií o zraniteľnostiach;
• Politiky a postupy (testovanie a audit) na posúdenie účinnosti opatrení na riadenie kyberneticko bezpečnostných rizík;
• Používanie kryptografie a šifrovania.

Z tohto pohľadu môžeme náš slovenský ZoKB hodnotiť ako nadčasový, nakoľko všetky vyššie uvedené požiadavky už máme zahrnuté v dnešnom znení ZoKB. Samozrejme nie je vylúčené, že v rámci transpozície dôjde k ďalším úpravám či rozšíreniam existujúcej právnej úpravy, tieto sa však ťažko predvídajú. Napokon, ani súčasné znenie ZoKB nebolo v celosti vynútené požiadavkami pôvodnej Smernice NIS, kde Slovenská republika išla znením ZoKB na rámec európskych požiadaviek. Preto jedinou istotou dnes je, že so zamýšľanou zmenou ZoKB sa budeme vedieť oboznámiť v rámci legislatívneho procesu, v ktorom plánujeme našu aktívnu účasť.

Najzásadnejšou zmenou, ktorú Smernica NIS 2 z pohľadu súčasného znenia ZoKB prináša, teda nie sú nové povinnosti, ale počet nových subjektov, ktoré budú povinné plniť už existujúce a výhľadovo ďalšie povinnosti v zmysle ZoKB.

Ak by som mal predsa len predvídať, kde a ako sa ZoKB bude (mal by) meniť, bolo by to nasledovné:

• Doplnenie novej povinnosti popri kybernetických bezpečnostných incidentoch hlásiť aj závažné kybernetické hrozby;
• Doplnenie lehôt v rámci riešenia kybernetických bezpečnostných incidentov (do 24 hodín od zistenia incidentu poskytnúť prvotné oznámenie a najneskôr jeden mesiac po uskutočnení prvotného oznámenia predložiť konečnú správu o riešení incidentu);
• Možnosť dohody s príslušnými orgánmi (napr. jednotkou CSIRT) na predlžení lehôt podľa bodu vyššie;
• Poskytnutie odpovede k prvotnému oznámeniu o incidente vrátane počiatočnej spätnej väzby k incidentu zo strany prijímateľa oznámenia;
• Získanie usmernenia k vykonávaniu možných zmierňujúcich opatrení k hlásenému incidentu (na žiadosť oznamovateľa);
• Zvýšenie pokút až do 10 000 000 EUR alebo najviac 2 % celkového svetového ročného obratu.

V kontexte vyššie uvedených možných vstupov do ZoKB stojí za povšimnutie nižšie uvedené.

Prvým je síce nenápadné, ale veľmi dôležité rozšírenie notifikačných povinností aj o kybernetické hrozby. ZoKB totiž v súčasnom znení pod hrozbou sankcie vyžaduje len to, aby prevádzkovatelia hlásili „až“ tie závažné kybernetické bezpečnostné incidenty, ktorých atribúty (klasifikáciu) stanovuje osobitná vyhláška[1]. Právnym výkladom by sa dalo dospieť k nezmyselnému, no právne súladnému záveru, podľa ktorého prevádzkovateľ „čaká a môže čakať“ na to, kým incident dosiahne aspoň prvý stupeň závažnosti a až následne ho nahlási príslušnému orgánu. Hoci dobrovoľnosť hlásenia tým nie je dotknutá. Tým, že po novom budú povinné osoby musieť hlásiť aj závažné kybernetické hrozby (klasifikácia podľa všetkého pribudne neskôr), odstráni sa tento možno výkladovo udržateľný, ale z praktického, logického a v neposlednom rade bezpečnostného pohľadu nešťastný „vyčkávací“ výklad procesu hlásenia incidentov.

Druhou je časť riešenia incidentov, kedy na strane štátu (najmä jednotkám CSIRT) pribúda explicitná požiadavka na poskytovanie odpovedí, spätných väzieb či usmernení k hláseným incidentom.

Z praxe vieme, že v minulosti nastávali aj také situácie, kedy prevádzkovatelia základných služieb k svojim hláseniam nedostali žiadnu spätnú väzbu, súčinnosť alebo pomoc. Niekedy nezískali ani potvrdenie o prijatí oznámenia. Nie je to ani tak kritika, ale skôr obraz skutočného stavu kapacít štátu, od ktorých nemožno rozumne očakávať, aby sa individuálne venoval každému nahlásenému incidentu.

Nové povinnosti na strane štátu nepochybne prispejú ku rýchlejším či kvalifikovanejším reakciám na incidenty, ktoré by popri povinných osobách riešili aj na to určené expertné zložky štátu. Avšak bez navýšenia kapacít, ako aj dostatočného ohodnotenia aspoň sa približujúceho trhovému priemeru, to nepôjde. Spoliehanie sa na úprimnú motiváciu expertov pomôcť štátu a tvoriť hodnoty vo verejnom záujme nás totiž dostalo tam, kde sme dnes.

Dopady Smernice NIS 2 by tak bolo možné popísať nasledovne: Rozšírenie povinných osôb, potvrdenie smerovania súčasného ZoKB, čo sa požiadaviek týka, a v neposlednom rade zmena slovenského pohľadu na pôsobnosť jednotiek CSIRT pri riešení kybernetických bezpečnostných incidentov.

Pokiaľ ide o poslednú možnosť, želaným dopadom Smernice NIS 2 by mohli byť postupy, vďaka ktorým sa od analýz a zamýšľania posunieme k riešeniu dlhodobého problému, ktorý na Slovensku máme. Tým je budovanie a udržanie expertných kapacít na strane štátu. Konkrétne jednotiek CSIRT s dostatočným personálnym a materiálno technickým zabezpečením. Napokon, zo správy o kybernetickej bezpečnosti v Slovenskej republike v roku 2021 jednoznačne vyplýva, že celkový počet detegovaných a hlásených incidentov presahuje číslo 600 000, čiže práce v tejto oblasti je viac ako dosť. Vývoj u nás pozorne sledujeme a svoje skúsenosti radi odovzdáme ďalej, či už v rámci legislatívneho procesu alebo inak.

[1] Vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov