Často kladené otázky
Môže byť aj iná forma samohodnotenia ako je predpísaná na stránke NBÚ?
Po úpravách zákona účinných od 1. augusta 2021 Prevádzkovateľ základnej služby môže podľa § 34a ods. 2 zabezpečiť plnenie povinnosti podľa § 29 vykonaním preverenia účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených týmto zákonom formou samohodnotenia. Metodika a formát tohto samohodnotenia je predpísaná na webovom sídle NBÚ.
Samohodnotenie má niekoľko zásadných podmienok:
- môže byť použité iba prevádzkovateľmi základných služieb, ktorí nemajú identifikovanú III. kategóriu informačných systémov,
- môže ho vykonať len manažér kybernetickej bezpečnosti podľa § 20 ods. 4 písm. a) v znení účinnom od 1. augusta 2021
- musí byť vykonané prostredníctvom funkcionality jednotného informačného systému kybernetickej bezpečnosti.
Navyše, táto výnimka platí iba dočasne, v období od 1. augusta 2021 do 31. decembra 2023.
Prevádzkovateľ základnej služby nie je oprávnený vykonať preverenie účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených zákonom inou, než predpísanou formou. Tým samozrejme nie je obmedzené právo prevádzkovateľa vykonať akékoľvek testovanie, alebo posúdenie úrovne kybernetickej bezpečnosti pre vlastnú potrebu.
Je samohodnotenie potrebné pre každú obec?
Auditom kybernetickej bezpečnosti sa v zmysle § 29 ods. 1 zákona č. 69/2018 Z.z. rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre prostriedky, ktoré podporujú základné služby.
Audit kybernetickej bezpečnosti je podľa § 29 ods. 2 zákona č. 69/2018 Z.z. povinnosťou prevádzkovateľa základnej služby. Ak subjekt nie je Prevádzkovateľom základnej služby, nie je povinnou osobou podľa zákona č. 69/2018 Z.z. a teda nie je povinný zabezpečiť audit kybernetickej bezpečnosti. Iné právne predpisy v súčasnosti audit kybernetickej bezpečnosti nevyžadujú.
Ani audit kybernetickej bezpečnosti, ani posúdenie zhody prijatých bezpečnostných opatrení formou samohodnotenia nie sú potrebné pre každú obec – iba pre tie obce, ktoré sú prevádzkovateľom základnej služby.
Má byť samohodnotenie vykonané iba pre obce nad 1000 obyvateľov?
Počet obyvateľov obce nie je rozhodujúcim faktorom toho, či obec je, alebo nie je prevádzkovateľom základnej služby. Identifikačné kritériá prevádzkovanej služby sú stanovené vo vyhláške Národného bezpečnostného úradu č. 164/2018 Z. z. Organizácia je prevádzkovateľom základnej služby ak je uvedená v niektorom zo sektorov podľa prílohy č. 1 zákona č. 69/2018 Z.z. a keď spĺňa aspoň jedno dopadové kritérium a aspoň jedno špecifické sektorové kritérium uvedené v prílohe č. 1 vyhlášky NBÚ č. 164/2018 Z. z.
Samohodnotenie sa bude vykonávať každé 2 roky?
V zmysle § 29 ods. 2 zákona č. 69/2018 Z.z. je prevádzkovateľ základnej služby povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa všeobecne záväzného právneho predpisu, a to v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov po každej zmene majúcej významný vplyv na realizované bezpečnostné opatrenia a v určenom časovom intervale.
Podľa bodu B Prílohy č. 3 k vyhláške č. 436/2019 Z. z. sa audit sa vykonáva:
- každé dva roky a
- pri každej významnej zmene, najneskôr do dvoch mesiacov odkedy má zmena významný vplyv na realizované bezpečnostné opatrenia.
Významným vplyvom sa rozumie najmä:
- vplyv na prijatú klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
- zmena dopadových kritérií základnej služby,
- zmena alebo výmena informačného systému a prevádzkových parametrov základnej služby,
- d) zavedenie novej siete alebo nového informačného systému, od ktorých je závislá základná služba, alebo
- e) zavedenie novej technológie, od ktorej je závislá základná služba.
Audit kybernetickej bezpečnosti je podľa § 29 ods. 2 zákona č. 69/2018 Z.z. povinnosťou len prevádzkovateľa základnej služby. Ak subjekt nie je Prevádzkovateľom základnej služby, nie je povinnou osobou podľa zákona č. 69/2018 Z.z. a teda nie je povinný zabezpečiť audit kybernetickej bezpečnosti. Iné právne predpisy v súčasnosti audit kybernetickej bezpečnosti nevyžadujú. Teda nevyžaduje sa ani samohodnotenie.
Je potrebné opätovne zdôrazniť, že táto výnimka platí iba dočasne, v období od 1. augusta 2021 do 31. decembra 2023.
Nie sme zapísaný v zozname ZS, ale isto som v kategórii I, musíme mať samohodnotenie?
Audit kybernetickej bezpečnosti je podľa § 29 ods. 2 zákona č. 69/2018 Z.z. povinnosťou len prevádzkovateľa základnej služby. Ak subjekt nie je Prevádzkovateľom základnej služby, nie je povinnou osobou podľa zákona č. 69/2018 Z.z. a teda nie je povinný zabezpečiť audit kybernetickej bezpečnosti. Iné právne predpisy v súčasnosti audit kybernetickej bezpečnosti nevyžadujú. Teda nevyžaduje sa ani samohodnotenie.
Je potrebné uviesť, že možnosť vykonať preverenie účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených zákonom formou samohodnotenia je len dočasným náhradným riešením namiesto vykonania auditu kybernetickej bezpečnosti. Táto výnimka platí iba dočasne, v období od 1. augusta 2021 do 31. decembra 2023.
Kategória I, aké sú minimálne bezpečnostné opatrenia?
Podľa § 17 ods. 1 zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti je každá právnická osoba v Slovenskej patriaca do ľubovoľného sektora alebo podsektora podľa prílohy č. 1 zákona povinná zistiť, či došlo k prekročeniu identifikačných kritérií prevádzkovanej služby. Organizácia prekračuje identifikačné kritériá prevádzkovanej služby ak je uvedená v niektorom zo sektorov podľa prílohy č. 1 zákona č. 69/2018 Z.z. a keď spĺňa aspoň jedno dopadové kritérium a aspoň jedno špecifické sektorové kritérium uvedené v prílohe č. 1 vyhlášky NBÚ č. 164/2018 Z. z.
Ak organizácia zistí, že došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa § 18, je povinná to oznámiť úradu do 30 dní odo dňa, keď prekročenie zistila, najneskôr však do 60 dní, odkedy k prekročeniu došlo.
Vo všeobecnosti platí, že každá organizácia, ktorá je povinnou osobou podľa zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a na ktorú sa vzťahujú minimálne bezpečnostné opatrenia najmenej kategórie I podľa § 3 vyhlášky ÚPVII č. 179/2020 Z.z. prekračuje zároveň aj identifikačné kritériá prevádzkovanej služby uvedené v prílohe č. 1 vyhlášky NBÚ č. 164/2018 Z. z.
Minimálne bezpečnostné opatrenia pre jednotlivé kategórie systémov sú následne určené v prílohe č. 3 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
Pre kategóriu I systémov sú povinné iba opatrenia týkajúce sa spôsobilosti prevádzkovateľa riešiť kybernetické bezpečnostné incidenty. (Tu je potrebné zdôrazniť, že ku dňu platnosti tohto usmernenia nie je novelizovaná vyhláška č. 362/2018 Z. z. a teda štruktúra bezpečnostných opatrení nezodpovedá štruktúre § 20 ods. 3 zákona č. 69/2018 Z.z.v znení účinnom od 1. augusta 2021).
Je potrebná GAP analýza pre obce?
Rozdielová analýza, alebo analýza súladu je jedným z nástrojov, ktorým môže prevádzkovateľ základnej služby identifikovať aktuálny stav nesúladu a preveriť účinnosť prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených zákonom č. 69/2018 Z.z. o kybernetickej bezpečnosti , resp. vykonať posúdenie úrovne kybernetickej bezpečnosti pre vlastnú potrebu. Zákonom však takáto analýza vyžadovaná nie je.
Ak už máme analýzu rizík, musím si ju robiť nanovo?
Národný bezpečnostný úrad nedávno vydal Metodiku analýzy rizík pre uplatnenie v procesoch riadenia rizika v zmysle požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti. Pokiaľ ste vykonali analýzu rizík v súlade s touto metodikou, nanovo ju vykonávať nemusíte.