LP/2018/402 Návrh Akčného plánu inteligentného priemyslu SR

Naspäť na zoznam pripomienok

Detail pripomienky

Organizácia: NBÚSR (Národný bezpečnostný úrad)
Pripomienka k:
Dátum vytvorenia: 28.06.2018
Zásadná: Áno
Stav: Akceptovaná
Pripomienka:
3. K vlastnému materiálu

Vo vlastnom materiáli na strane 13 v časti 3.2.2. Opatrenia k opatreniu č. 1 žiadame doplniť za slová „Spracovať komplexný materiál popisujúci princípy bezpečnosti“ slová „v súlade s bezpečnostnými opatreniami a bezpečnostnými štandardami v oblasti kybernetickej bezpečnostiy)“ a vypustiť Národný bezpečnostný úrad ako zodpovedný subjekt. 
Poznámka pod čiarou k odkazu y znie: 
„y) § 20 zákona č. 69/2018 Z. z.“.

Odôvodnenie k pripomienkam 3. až 6.: 

Zákon č. 69/2018 Z. z. stanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. V jednoduchosti povedané, ide o stanovenie spoločných požiadaviek na prevádzkovateľov základných služieb (§ 3 písm. l) zákona) a poskytovateľov digitálnych služieb (§ 3 písm. n) zákona), čím sa vytvoril celospoločenský a účinný mechanizmus spolupráce. Minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti v tomto zákone nebránia prevádzkovateľom základných služieb a poskytovateľom digitálnych služieb uplatňovať prísnejšie bezpečnostné opatrenia. Uvedená premisa však úplne absentuje v navrhovanom materiáli. Navrhované pripomienky Národného bezpečnostného úradu (ďalej len „úrad“) tak odstraňujú právne nedostatky navrhovaného textu a v  konečnom pôsobení zjednodušujú jeho praktickú aplikáciu.

Podľa § 8 ods. 1 zákona č. 69/2018 Z. z. jednotný informačný systém kybernetickej bezpečnosti je informačný systém, ktorého správcom a prevádzkovateľom je úrad, a ktorý slúži na efektívne riadenie, koordináciu, evidenciu a kontrolu výkonu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT. Jednotný informačný systém kybernetickej bezpečnosti je určený aj na spracovanie a vyhodnocovanie údajov a informácií o stave kybernetickej bezpečnosti a slúži pri krízovom plánovaní v čase mieru, riadení štátu v krízových situáciách mimo času vojny a vojnového stavu, ako aj na potrebné činnosti v čase vojny alebo vojnového stavu. Podľa § 8 ods. 2 zákona č. 69/2018 Z. z. jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný.

Vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov určuje a definuje bližšie podrobnosti hlásenia kybernetických bezpečnostných incidentov. 

Hlásenie kybernetických bezpečnostných incidentov prebieha v prostredí jednotného informačného systému kybernetickej bezpečnosti, ktorého správcom je úrad. Úloha definovaná v opatrení č. 5 navrhovaného materiálu sa plnohodnotne realizuje na úrovni celého štátu a ďalšie takéto riešenie (duplicitné) odporuje ustanoveniam zákona č. 69/2018 Z. z. a aj jeho účelu.

Jednotný informačný systém kybernetickej bezpečnosti slúži aj na báze dobrovoľného hlásenia kybernetických bezpečnostných incidentov (§ 26 zákona č. 69/2018 Z. z.).

Ministerstvo hospodárstva Slovenskej republiky (ďalej len „ministerstvo hospodárstva“) je ústredným orgánom podľa § 4 písm. b) zákona č. 69/2018 Z. z. Podľa § 9 ods. 1 zákona č. 69/2018 Z. z. ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa prílohy č. 1, zodpovedá za zabezpečenie kybernetickej bezpečnosti.

Podľa § 9 ods. 2 zákona č. 69/2018 Z. z. ústredný orgán na účely plnenia úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa prílohy č. 1 zriaďuje a prevádzkuje akreditovanú jednotku CSIRT alebo na tento účel využíva akreditovanú jednotku CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, ak sa tak dohodnú. Využívanie akreditovanej jednotky CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, sa vykonáva na základe zmluvy.

Úlohy jednotky CSIRT sú definované v § 15 zákona č. 69/2018 Z. z.

Podľa § 10 ods. 1 zákona č. 69/2018 Z. z. na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa § 20.

Podľa § 20 ods. 1 zákona č. 69/2018 Z. z. bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na kontinuitu prevádzkovania služby. Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti podľa prílohy č. 1 a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.

Na základe vyššie uvedeného má teda ministerstvo hospodárstva povinnosť zabezpečiť vo svojom segmente pôsobnosti realizovanie a aplikovanie minimálnych bezpečnostných požiadaviek v zmysle zákona č. 69/2018 Z. z.

Vo vzťahu k úlohám, ktoré sú v návrhu materiálu určené do zodpovednosti úradu, je aj v spojitosti s už uvedeným potrebné rešpektovať úlohy úradu vymedzené v zákone č. 69/2018 Z. z. (§ 5) a úlohy ústredného orgánu (§ 9 ods. 1 zákona č. 69/2018 Z. z.). Zodpovednosť úradu za plnenie úloh ústredného orgánu v rámci navrhovaného textu je teda v priamom rozpore s ustanoveniami zákona č. 69/2018 Z. z. a s navrhovaným textom nemožno súhlasiť (§ 6 ods. 3 zákona č. 69/2018 Z. z.).

Pripomienky 3. až 6. považuje Národný bezpečnostný úrad za zásadné.