Dňa 19.12.2024 bol v Zbierke zákonov Slovenskej republiky zverejnený zákon č. 366/2024 Z. z., ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony.

S účinnosťou od 1. januára 2025 uvedeným zákonom nastávajú niektoré zmeny týkajúce sa aj audítorov kybernetickej bezpečnosti, a to najmä:

• Mení sa 29 ods. 3 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, podľa ktorého je audit kybernetickej bezpečnosti oprávnený vykonať výlučne audítor kybernetickej bezpečnosti certifikovaný subjektom verejnej správy.
• Súčasne sa dopĺňa príloha č. 2 zákona č. 455/1991 Zb. o živnostenskom podnikaní v znení neskorších predpisov v skupine 214 o poradové číslo 99 – certifikovaný audítor kybernetickej bezpečnosti.

Čo tieto zmeny znamenajú v praxi?

Audit kybernetickej bezpečnosti sa stáva viazanou živnosťou

Živnostenský register, resp. Obchodný register SR nezapíšu predmet činnosti “audit kybetnetickej bezpečnosti” pre subjekt, ktorý nepreukáže plnenie požiadavky podľa § 29 ods. 3 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, podľa ktorého audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti. Tým môže byť fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Zabezpečovanie auditu kybernetickej bezpečnosti právnickou osobou je podnikaním podľa osobitného predpisu. Právnická osoba vykonáva audit kybernetickej bezpečnosti prostredníctvom jedného alebo viacerých certifikovaných audítorov.

Fyzické a právnické osoby, ktoré vykonávajú audit kybernetickej bezpečnosti, by mali
z vlastnej iniciatívy získať oprávnenie na vykonávanie viazanej živnosti certifikovaný audítor kybernetickej bezpečnosti. Právnické osoby by mali následne navrhnúť zápis zmeny Obchodnému registru SR pre príslušný predmet podnikania.

V prípade prevádzkovania viazanej živnosti bez živnostnenského oprávnenia sa subjekt vystavuje riziku pokuty od živnostenského úradu. Za určitých okolností môže takéto konanie naplniť aj skutkovú podstatu trestného činu neoprávneného podnikania podľa § 251 TZ.

Jeden orgán posudzovania zhody

Ďalšou závažnou zmenou v zákone je, že od 1.1.2025 má spôsobilosť na výkon certifikácie audítorov kybernetickej bezpečnosti už iba subjekt verejnej správy. To znamená, že akreditačné požiadavky normy ISO/IEC 17024: 2012 k dnešnému dátumu plní už len Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

To sa samozrejme týka nielen certifikácie, ale aj re-certifikácie audítorov. Národný bezpečnostný úrad vydal upravenú certifikačnú schému overovania odbornej spôsobilosti audítora kybernetickej bezpečnosti (ďalej len “certifikačná schéma”). Táto certifikačná schéma zavádza nasledujúce zmeny a prechodné ustanovenia:

KCCKB ako orgán posudzovania zhody je oprávnené do 31.03.2025 vykonávať overenie odbornej spôsobilosti audítora kybernetickej bezpečnosti podľa certifikačnej schémy účinnej do 31.12.2024.

Všetky platné certifikáty audítora kybernetickej bezpečnosti vydané do 31.12.2024 orgánom posudzovania zhody, ktorý nie je orgánom verejnej správy podľa osobitného predpisu, sa považujú za vydané v súlade s certifikačnou schémou len do 31.05.2025. Audítor kybernetickej bezpečnosti, ktorému bol vydaný certifikát audítora kybernetickej bezpečnosti do 31.12.2024 orgánom posudzovania zhody, ktorý nie je orgánom verejnej správy podľa osobitného predpisu, je do 31.05.2025 oprávnený požiadať KCCKB o prevydanie certifikátu audítora kybernetickej bezpečnosti.

KCCKB posúdi, či certifikovaný audítor kybernetickej bezpečnosti spĺňa požiadavky certifikačnej schémy. Odborná skúška sa na účel prevydania certifikátu nevykonáva a prevydaný certifikát sa vydáva na dobu platnosti pôvodného certifikátu.

Podrobnejšie informácie budú poskytnuté na nadchádzajúcom stretnutí certifikovaných audítorov kybernetickej bezpečnosti.

Ivan Kopáčik

Riaditeľ odboru certifikácie