Ako zasiahne kybernetická bezpečnosť subjekty finančného sektora?
Dátum: 26/09/2018Nový zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov („Zákon“), ktorý nadobudol účinnosť 1. apríla 2018, a ktorým sa do slovenského právneho poriadku implementovala smernica EÚ NIS (č. 2016/1148), priniesol niekoľko kľúčových zmien, ktoré sa dotknú do veľkej miery aj subjektov, pôsobiacich vo finančnej sfére. Týka sa to najmä úverových inštitúcií, osôb zabezpečujúcich činnosti Štátnej pokladnice, prevádzkovateľov obchodných miest a centrálnych protistrán na finančných trhoch, ktoré sa v zmysle Zákona klasifikujú ako prevádzkovatelia základnej služby.
Spomínaný vplyv na tieto subjekty, a teda na samotný finančný sektor, má Zákon najmä prostredníctvom povinností, ktoré prevádzkovateľom základnej služby zavádza. V prvom rade je to povinnosť existujúcich prevádzkovateľov základnej služby najneskôr do 1. októbra 2018 podať Národnému bezpečnostnému úradu („NBÚ“) oznámenie o prekročení kritérií stanovených v Zákone a vo vykonávacej vyhláške NBÚ č. 164/2018 Z. z., pričom je potrebné zvážiť stanovené kritériá vo vzťahu ku každej poskytovanej službe.
Ďalej budú musieť dotknuté osoby venovať osobitnú pozornosť zoznamu povinností, ktorý sa nachádza v §19 Zákona.
Toto ustanovenie zavádza prevádzkovateľom základnej služby povinnosť prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa Zákona a sektorové bezpečnostné opatrenia, ak sú prijaté. Prijatie týchto dokumentov musí pri existujúcich poskytovateľoch základnej služby prebehnúť do dvoch rokov od účinnosti Zákona t.j. do 1. apríla 2020 a následne je potrebné bezpečnostnú dokumentáciu udržiavať aktuálnu.
Ďalšia povinnosť sa viaže na situáciu, keď prevádzkovateľ základnej služby nebude v pozícii reálneho prevádzkovateľa sietí a informačných systémov, od ktorých je poskytovanie základnej služby závislé. Pôjde teda o prípad, keď v tomto postavení bude vystupovať externá firma, resp. dodávateľ na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby. S touto treťou stranou musí prevádzkovateľ základnej služby uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, a takto outsourcovať plnenie povinností podľa Zákona.
Zákon zároveň upravuje niekoľko notifikačných povinností. Prevádzkovateľ základnej služby má povinnosť informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí, ku ktorému je sieť alebo informačný systém pripojený, o zaradení do registra prevádzkovateľov základných služieb. Táto povinnosť vzniká ku dňu zaradenia do spomenutého registra. Ďalej je to notifikačná povinnosť voči tretej strane o hlásenom kybernetickom bezpečnostnom incidente. Existencia tejto povinnosti je viazaná na vznik situácie, v ktorej by sa plnenie zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných opatrení stalo nemožným. Tretiu notifikačnú povinnosť predstavuje bezodkladné ohlásenie závažného kybernetického incidentu NBÚ. Ďalšiu informačnú povinnosť predstavuje oznámenie skutočností, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, orgánu činnému v trestnom konaní alebo Policajnému zboru. Táto povinnosť platí len v prípade, že sa prevádzkovateľ základnej služby o spáchaní trestného činu, dozvie hodnoverným spôsobom
Okrem spomenutých povinností, ustanovenie Zákona zavádza pre prevádzkovateľa základnej služby aj povinnosť riešiť kybernetický bezpečnostný incident, prípadne spolupracovať s NBÚ, ako aj s príslušným ústredným orgánom (Ministerstvom financií SR pre finančný sektor) pri riešení hláseného kybernetického bezpečnostného incidentu. Okrem spomenutej súčinnosti je zároveň prevádzkovateľ základnej služby povinný poskytnúť orgánom aj všetky informácie získané z vlastnej činnosti dôležité pre riešenie kybernetického bezpečnostného incidentu. S týmto úzko súvisí povinnosť zabezpečenia dôkazu alebo dôkazového prostriedku počas kybernetického bezpečnostného incidentu, ktorý by mohol byť použitý v trestnom konaní.
Vzhľadom na to, že pokuta za porušenie povinností prevádzkovateľa základnej služby môže dosiahnuť až 300 000 EUR, odporúčame uvedeným povinnostiam venovať náležitú pozornosť.
Mgr. Filip Gašparovič
Junior Lawyer
Revidoval Mgr. Ing. Ján Hanko
Senior Consultant
