Nové legislatívne bezpečnostné požiadavky na ochranu kritickej infraštruktúry

Po 13 rokoch došlo k významnej zmene zákona o kritickej infraštruktúre, ktorý reagoval na novú smernicu Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES o identifikácii a označení európskych kritických infraštruktúr, ktorú sú štáty Európskej únie povinné transponovať a implementovať do svojho vnútroštátneho práva. Došlo k zmene filozofie z ochrany prvkov kritickej infraštruktúry na odolnosť kritických subjektov prevádzkujúcich kritickú infraštruktúru a poskytujúcich základnú službu.

V starom zákone č. 45/2011 Z. z. bola kritická infraštruktúra definovaná ako systém, ktorý sa člení na sektory a prvky, pričom prvkom kritickej infraštruktúry (KI) je najmä inžinierska stavba, služba vo verejnom záujme a informačný systém v sektore kritickej infraštruktúry, ktorých narušenie alebo zničenie by malo podľa sektorových kritérií a prierezových kritérií závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým na kvalitu života obyvateľov z hľadiska ochrany ich života, zdravia, bezpečnosti, majetku, ako aj životného prostredia. Uvedená definícia nebola najvhodnejšie formulovaná, keďže prvok KI mohla byť stavba, služba alebo systém, čo nie je úplne koherentné. V súčasnosti platnom zákone č. 367/2024 Z. z. o kritickej infraštruktúre (Zákon o KI) je kritickou infraštruktúrou „všetko“, čo je nevyhnutné na poskytovanie základnej služby. „Všetkým“ sa myslí zariadenie, vybavenie, sieť alebo systém, alebo iné aktívum, resp. jeho časť. Najvšeobecnejšia definícia aktíva (angl. Asset) je, že aktívum je všetko, čo má pre organizáciu hodnotu (STN ISO/IEC 27002:2023). V tomto prípade je akákoľvek infraštruktúra naviazaná na proces – službu. Toto umožňuje dekompozíciu tejto služby na súvisiacu podpornú infraštruktúru, resp. podporné aktíva. Základnou službou sa chápe služba (činnosť) kritického subjektu, ktorá má zásadný význam z hľadiska zachovania životne dôležitých spoločenských funkcií alebo hospodárskych činností, vrátane ochrany verejného zdravia, bezpečnosti alebo životného prostredia. Zoznam služieb je uvedený v prílohe č. 1 zákona. Ide napríklad o dodávku elektriny, poskytovanie úverov, služby leteckej dopravy, poskytovanie verejných elektronických komunikačných služieb alebo služby, ktoré poskytujú subjekty verejnej správy na úrovni ústrednej štátnej správy. Kritickým subjektom je právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje základnú službu. Zákon sa nevzťahuje na činnosti na úseku obrany SR, na vyšetrovanie, odhaľovanie a stíhanie trestných činov, na platobné systémy, systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom.

Ako už bolo vyššie uvedené, došlo aj k posunu od ochrany (angl. Protection) kritickej infraštruktúry k odolnosti (angl. Resilience) kritickej infraštruktúry. Ochranou prvku KI sa chápalo zabezpečenie funkčnosti, integrity a kontinuity činnosti prvku s cieľom predísť, odvrátiť alebo zmierniť hrozbu jeho narušenia alebo zničenia, zatiaľ čo odolnosťou sa chápe schopnosť predchádzať incidentu, chrániť sa pred incidentom a reagovať naň, odolávať mu, zmierňovať ho, absorbovať ho, prispôsobiť sa mu a zotaviť sa z neho. V akademických kruhoch je odolnosť chápaná v širších súvislostiach a ochrana je jeho parciálna súčasť zabezpečovaná prvkami systému ochrany (napr. mechanické zábranné prostriedky, technické zabezpečovacie prostriedky/poplachové systémy, fyzická ochrana, režimové opatrenia), i keď zákonná definícia ochrany prvku KI išla nad rámec svojho významu, keďže zahŕňala aj kontinuitu činností. Pravdepodobne preto došlo ku korekcii nielen definície, ale aj samotného termínu.

Jednou z kľúčových požiadaviek pre kritické subjekty sú opatrenia na zabezpečenie odolnosti kritických subjektov. Kritický subjekt musí prijať a následne dodržiavať bezpečnostný plán, ktorý obsahuje popis a umiestnenie kritickej infraštruktúry prostredníctvom GPS súradníc a technické opatrenia, organizačné opatrenia, personálne opatrenia a kontrolné opatrenia na zabezpečenie odolnosti kritickej infraštruktúry, najmä opatrenia potrebné na:

1. predchádzanie vzniku incidentov s náležitým zohľadnením opatrení na znižovanie rizika katastrof a adaptáciu na zmenu klímy,
2. zabezpečenie primeranej fyzickej ochrany a ochrany prostredníctvom mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov,
3. reakciu na incidenty, odolávanie incidentom a zmierňovanie ich následkov vrátane protokolov riadenia rizík a krízového riadenia a postupov spojených s bezpečnostnými varovaniami,
4. zotavenie sa z incidentov s náležitým zohľadnením opatrení na zabezpečenie kontinuity činností a identifikácie alternatívnych dodávateľských reťazcov na obnovenie plynulého poskytovania základnej služby.

Ak tieto nové opatrenia porovnáme s bezpečnostnými opatreniami podľa starého zákona o KI, medzi ktoré patria:

1. mechanické zábranné prostriedky,
2. technické zabezpečovacie prostriedky,
3. bezpečnostné prvky informačných systémov (v § 10 uvedené ako bezpečnostné opatrenia podľa osobitného predpisu, § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti),
4. organizačné opatrenia s dôrazom na postup pri vyrozumení a varovaní, ako aj na krízové riadenie,
5. odborná príprava osôb, ktoré zabezpečujú ochranu prvku,
6. kontrolné opatrenia na dodržiavanie bezpečnostných opatrení,

tak sa zvýšil dôraz na opatrenia súvisiace s incident manažmentom a manažmentom kontinuity činností, ktoré boli pôvodne iba čiastočne vyžadované v písmene d) (a to aj iba na vyrozumenie/varovanie a krízové riadenie zamerané na bezprostrednú reakciu). Zároveň v novom zákone vypadla explicitná povinnosť prijať bezpečnostné opatrenia podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (Zákon o KB).

Autor: prof. Ing. Tomáš Loveček, PhD.