Týka sa kyberzákon aj miest?

15. oct 2019

V poslednom čase sa dosť začalo diskutovať či sa kybernetický zákon týka aj miest a obcí. Podľa nášho názoru áno. Stačí si prejsť pár paragrafov v samotnom zákone a vo vyhláške 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby.

Podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej „kyberzákon“) §3 ods. k) a l) prevádzkovateľom základnej služby je orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu, ktorá je zaradená v zozname základných služieb a:

  • závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1,
  • je informačným systémom verejnej správy, alebo
  • je prvkom kritickej infraštruktúry.

Pričom informačným systémom verejnej správy sa berie informačný systém podľa § 2 ods. 1 písm. b) zákona č. 275/2006 Z. z. a povinné osoby podľa tohto zákona sú aj obce. Zákon síce bol nahradený zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, ale definícia informačného systému verejnej správy, a tiež koho sa týka ostala zachovaná.

Identifikačné kritéria ďalej upresňuje vyhláška 164/2018 Z. z., kde sú kritéria rozdelené do dvoch skupín, sektorové a dopadové. Aby sa subjekt stal prevádzkovateľom základnej služby musí spĺňať minimálne jedno sektorové a jedno dopadové kritérium.

Prevádzkovateľ služieb Špecifické sektorové kritériá (jednotlivo) Dopadové kritériá (jednotlivo). Dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo sieti, na ktorých fungovaní je závislé poskytovanie služby môže spôsobiť:
Orgán verejnej moci. Služba, ktorá je na základe vyhodnotenia rizík v rámci organizácie definovaná ako podstatná služba v jednom podsektore:
a) bezpečnosti,
b) informačných systémov verejnej správy,
c) obrany, d) spravodajské služby, alebo
e) utajovaných skutočností vo vzťahu k fungovaniu príslušného ústredného orgánu podľa zákona.

1. Ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov, alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 1 000 osôb.
2. Obmedzenie či narušenie prevádzky prvku kritickej infraštruktúry.
3. Obmedzenie či narušenie prevádzky siete a informačného systému, ktoré môže mať:

  1. negatívny vplyv na fungovanie orgánu verejnej moci,
  2. vplyv na výkon činnosti orgánu verejnej moci pri zaisťovaní prípravy na krízové situácie,
  3. vplyv na obmedzenie výkonu alebo ohrozenie pôsobnosti orgánu verejnej moci.
4. Viac ako jedna zranená osoba vyžadujúca lekárske ošetrenie.
5. Narušenie verejného poriadku, verejnej bezpečnosti, mimoriadnu udalosť alebo tieseň, ktorá môže vyžadovať vykonanie záchranných prác, alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni.

 

Z priloženej tabuľky jasne vidieť, že mestá spĺňajú, nie jedno, ale hneď viac dopadových kritérií a mali by byť zapísane v registri základných služieb. Podľa §17 kyberzákona „Úrad (NBÚ) v spolupráci s príslušným ústredným orgánom (Úrad podpredsedu vlády SR pre investície a informatizáciu) zaradí základnú službu podľa § 3 písm. k) druhého bodu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb“. Dotazovali sme sa aj na jednom aj druhom úrade, a podľa strohých informácií usudzujeme, že sa tak ešte nestalo.