Na informačnú bezpečnosť nákup “papiera” nestačí

Súdny dvor EÚ zásadne obmedzil prenos osobných údajov do USA
21 júla, 2020

Na informačnú bezpečnosť nákup “papiera” nestačí

Photo by Markus Spiske on Unsplash

Ako čítať vyhlášku k zákonu o informačných technológiách vo verejnej správe. S panikou alebo porozumením?

„Pán doktor, ponúkajú mi tu bezpečnostný projekt za 150 eur. Údajne to musíme mať vypracované, lebo je tu zas nejaká povinnosť podľa zákona. A to iba nedávno sme kupovali GDPR papiere. Musíme kúpiť aj toto?“

Takéto a podobné otázky dostávajú právnici v súvislosti so zavedením kategorizácie informačných technológii vo verejnej správe. Na konci júna tohto roku, presne v posledný deň, totiž vyšla vyhláška, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy. Súvisí aj so zákonom o kybernetickej bezpečnosti a dotýka sa tisícok subjektov na Slovensku, počínajúc úradom vlády a končiac najmenšími obcami a všetkými inštitúciami a podnikmi, ktoré spravujú.

Vyhláška upravuje kategórie  informačných technológií verejnej správy a spôsob, kto a ako je do nich zaradený. Zavádzajú sa tri kategórie, pričom v najvyššej – tretej kategórii sú najmä krajské mestá, samosprávne kraje, ministerstvá. Druhú kategóriu tvoria predovšetkým obce nad šesť tisíc obyvateľov a mestské časti. A napokon prvá kategória zahŕňa mestá a obce do šesťtisíc obyvateľov. Povinné osoby získavajú takto detailný návod, aké opatrenie implementovať. Takže prvým krokom je určiť, do ktorej z definovaných kategórii obec alebo iný subjekt verejnej správy spadá.


Článok vyšiel aj v tlačenom vydaní Hospodárskych novín, 5. august 2020


Prínosom vyhlášky je vymedzenie obsahu bezpečnostných opatrení informačných technológií verejnej správy, čo je dlho a živo diskutovanou otázkou  kybernetickej a informačnej bezpečnosti. Nájdete tu nielen bezpečnostné opatrenia, ale aj obsah a štruktúru bezpečnostného projektu a rozsah opatrení v závislosti od klasifikácie informácií a od kategorizácie sietí a informačných systémov.

Inými slovami, ak máte na starosti kybernetickú a informačnú bezpečnosť v meste s desaťtisíc obyvateľmi, aplikujte minimálne bezpečnostné opatrenia kategórie II. podľa prílohy vyhlášky. Takto aj vypracujte a implementujte politiku kybernetickej bezpečnosti a informačnej bezpečnosti, ktorá bude pre mesto záväzná.

Čo však urobiť, ak je obec aj prevádzkovateľom základných služieb podľa zákona o kybernetickej bezpečnosti? V tom prípade aplikujte bezpečnostné opatrenia primárne podľa oboch zákonov – o kybernetickej bezpečnosti a o informačných systémoch verejnej správy a zároveň aj podľa tejto vyhlášky. Platí to v prípade, ak cieľom opatrení je dosiahnuť vyššiu úroveň bezpečnosti sietí a informačných systémov ako iba podľa zákona o kybernetickej bezpečnosti.

Ak si to zhrnieme, schválená a záväzná vyhláška poskytuje presný návod, čo robiť, aby obce, úrady, inštitúcie a podniky a ďalšie subjekty verejnej správy mohli zabezpečiť informačnú a kybernetickú bezpečnosť. Akýkoľvek návod je však len taký dobrý, ako zdatní a skúsení odborníci ho čítajú. A napokon žiaden ani stopercentne vypracovaný dokument nezvýši bezpečnosť, ak nie je podporený implementáciou, auditom a kontinuálnym zlepšovaním. Vyhláška preto poskytuje dobrý návod aj pre obce, aby zvýšili vedomosti o oblasti informačnej a kybernetickej bezpečnosti a nekupovali predražené papiere. Na informačnú a kybernetickú bezpečnosť nákup „papiera“ nestačí.


Prevádzkujete informačné systémy verejnej správy a nevyznáte sa v bludisku aplikovateľných právnych predpisov? Tím advokátskej kancelárie Nechala & Co. je pripravený Vám poskytnúť plnú podporu.