Dátum publikácie:12. 9. 2025
„Trišesťdvojka“ končí. Po siedmich rokoch. Od septembra ju nahradí vyhláška Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach. Chcem čitateľom priblížiť, čo nová vyhláška prináša, kde posúva latku vyššie, ale aj kde podľa mňa zmenila kontext menej než vhodným spôsobom.
Úvod
Prvý návrh legislatívneho textu pripravila skupina – a teraz mierne ironicky – nielen vekom seniorných profesionálov. Mal som možnosť byť pri tom. Po trištvrte roku práce a po uzavretí legislatívneho procesu teda disponujem dostatočným množstvom interných poznatkov, aby som ponúkol stručné zhrnutie nového predpisu. Nevynechám ani tie časti, kde sa so znením nestotožňujem.
Na úvod si vyžaduje pochvalu aspoň názov predpisu. Tentoraz je konečne stručný a racionálny. Pôvodný názov znel: „Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení“. To bol inštitucionálny jazyk v plnej sile. Po siedmich rokoch aplikačnej praxe sme sa už zrejme všetci zhodli na tom, že bezpečnostná dokumentácia je jednoducho súčasťou opatrení – organizačných aj technických. Bezpečnostná dokumentácia si ale zaslúži samostatný článok, preto jej v tomto texte nebudem venovať detailnejšiu pozornosť. Nový názov právneho predpisu znie: vyhláška Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach (ďalej len „Vyhláška“).
Text, ktorý sme odovzdali Sekcii regulácie a dohľadu NBÚ, vznikal s dôslednou presnosťou. Vážilo sa každé slovo aj každý odborný pojem. Potom šiel materiál do Medzirezortného pripomienkového konania (MPK). Zverejnená verzia je už mierne odlišný príbeh. Úrad do nej v rámci MPK zapracoval viaceré úpravy, ktoré ťažko vysvetliť len legislatívno-technickými potrebami.
To však neznamená, že treba automaticky ukazovať prstom na Národný bezpečnostný úrad. Aby bolo jasné, prečo to tvrdím, je vhodné najskôr vysvetliť základné princípy tvorby vykonávacích predpisov – teda „vyhlášok“ k zákonom.
Štruktúra bezpečnostných opatrení
Princípy tvorby právnych predpisov sú upravené v zákone č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a vo vyššom detaile ďalej v legislatívnych pravidlách vlády SR schválených uznesením vlády č. 512/2001.
Základným pravidlom legislatívneho procesu je princíp zákonnej rezervácie. Podľa čl. 13 ods. 1 písm. a) Ústavy SR povinnosti možno ukladať zákonom alebo na základe zákona, v jeho medziach a pri zachovaní základných práv a slobôd. Vykonávací právny predpis, ako je vyhláška, nesmie vytvárať nové povinnosti pre subjekty práva nad rámec zákonom ustanoveného splnomocnenia. Môže iba konkretizovať, technicky rozpracovať alebo špecifikovať povinnosti, ktoré už zákon predpokladá.
Pre oblasť kybernetickej bezpečnosti zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení účinnom od 1. januára 2025 (ďalej len „Zákon“) v § 32 ods. 1 písm. b) výslovne splnomocňuje NBÚ, aby vyhláškou ustanovil obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Vyhláška preto môže ukladať podrobnosti len v rámci týchto mantinelov, nie však nové povinnosti, ktoré by zákon v hraniciach zákonného splnomocnenia nepredvídal.
Preto boli mnohé diskusie odbornej komunity o tom, čo všetko by sme ešte mali do vyhlášky doplniť, viac akademickým cvičením než reálnou možnosťou. Aj keby bol zo strany odbornej verejnosti úprimný záujem „napraviť“ nedostatky Zákona, vyhláškou to nie je možné – tá je viazaná znením Zákona a aj jeho slabiny musí verne kopírovať.
Zákon v znení účinnom od 1. januára 2025 v § 20 ods. 2 taxatívne určuje štruktúru oblastí bezpečnostných opatrení. Vyhláška musela túto štruktúru rešpektovať a v prílohe č. 1 rozpracúva bezpečnostné opatrenia práve podľa tohto rámca.
Tu už však prišlo k nedorozumeniam. Pôvodný zámer bol kopírovať štruktúru bezpečnostných opatrení podľa technických noriem. Ideálnu príležitosť na zosúladenie štruktúry s najlepšou praxou ponúkala nová verzia normy STN EN ISO/IEC 27002:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Riadenie informačnej bezpečnosti (ISO/IEC 27002:2022), čerstvo prevzatá do sústavy STN. Realita je však taká, že táto príležitosť zostala nevyužitá. Štruktúra opatrení v Zákone sa od ISO/IEC 27002 líši a bola predmetom zdĺhavých úvah, či je rozumnejšie kopírovať osvedčený rámec, než znovu vymýšľať koleso. Prečo sa nakoniec zákon vybral inou cestou, nechám teraz bokom.
Medzirezortné pripomienkové konanie
Zákony a vyhlášky majú odlišný legislatívny proces, ale spája ich jeden prvok – medzirezortné pripomienkové konanie (MPK). Rozdiel je v adresátovi: zákon po MPK smeruje do vlády a parlamentu, vyhláška po schválení vládou putuje priamo do Zbierky zákonov.
Podstata MPK je jednoduchá: návrh sa zverejní na portáli Slov-Lex a otvára sa k nemu možnosť podávať pripomienky. Urobiť tak môže ktokoľvek – ministerstvá, profesijné organizácie aj jednotlivci. V praxi sa teda k textu dostanú nielen právnici a úradníci, ale aj odborná komunita, ktorej sa pripravovaná regulácia priamo týka.
Pripomienky majú dva režimy – bežné a zásadné. Ak predkladateľ zásadnú pripomienku neprijme, nasleduje rozporové konanie. To je povinné rokovanie, ktorého výsledok musí byť zaznamenaný. Teória je jasná. Prax ukazuje, že rozporové konanie účinkuje len pri pragmatických partneroch. Niektorí pripomienkujúci trvajú aj na očividne nezmyselných návrhoch a úrad sa potom snaží aspoň čiastočne vyhovieť, aby sa rozpor neposunul až na rokovanie vlády. Tam už odbornosť nehrá rolu – rozhoduje politika.
Dôsledok? Vďaka neodborným zásadným pripomienkam sa vo finálnom texte často objavia zmeny, nad ktorými odborníci iba krútia hlavou. Pri sledovaní rozporových konaní sa mi vždy vybaví Murphyho-Tuckerov zákon, ktorý som si dovolil parafrázovať: „Život, sloboda a majetok ľudí nie sú v bezpečí počas legislatívneho procesu.“
A áno – aj keď skupina odborníkov predloží kvalitný technický návrh právneho predpisu, v legislatíve to ešte nič neznamená. Výsledok môže byť, a zvyčajne aj je, výrazne odlišný.
Doktrinálne rozpory
Vzťah vyhlášky a všeobecnej dobrej praxe
Draft pred MPK obsahoval odkaz na „najlepšiu prax, bezpečnostné metodiky a politiky NBÚ“. Doslova: „Bezpečnostné opatrenia sa prijímajú a realizujú na základe vykonanej analýzy rizík, v súlade s bezpečnostnými štandardmi a medzinárodnými technickými normami pre bezpečnosť sietí a informačných systémov [napríklad STN EN ISO/IEC 27002 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Riadenie informačnej bezpečnosti (ISO/IEC 27002: 2022)] a operačných technológií (napríklad STN EN IEC 62443 Informačná bezpečnosť priemyselných automatizačných a riadiacich systémov), s prihliadnutím na bezpečnostné metodiky a politiky úradu, najlepšiu prax, alebo iné vecne obdobné postupy a metódy, v rozsahu podľa prílohy č. 2 a prílohy č. 3.“
Výsledná Vyhláška však rámec výrazne zúžila. V § 7 ods. 1 uvádza: „Bezpečnostné opatrenia sa navrhujú, prijímajú a vykonávajú tak, aby ošetrili všetky riziká identifikované v rámci vykonanej analýzy rizík, naplnili požiadavky stratégie kybernetickej bezpečnosti, bezpečnostnej politiky a bezpečnostných opatrení podľa § 3 až 6.“
Časť ustanovenia „aby (bezpečnostné opatrenia) ošetrili všetky riziká“ radšej prehliadnem. Inak by som musel pripomenúť, že v kyberbezpečnosti platí známy fakt: nulové riziko neexistuje. Preto nemožno nariaďovať ošetrenie všetkých rizík. Navyše zákonodarca akoby zabudol na možnosť akceptácie zvyškového rizika – téma, ktorej sa ešte budem venovať.
V § 20 ods. 1 Zákona síce stojí: „Bezpečnostné opatrenia sú realizované na základe vykonanej analýzy rizík, s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardmi v oblasti kybernetickej bezpečnosti.“ To je však len všeobecné konštatovanie. Práve vykonávací predpis mal odkazovať na väčší detail. Lenže vo vyhláške boli, žiaľ, vypustené všetky odkazy na technické normy. Technické normy sú kodifikovanou dobrou praxou, výsledkom práce tisícov odborníkov z celého sveta. Žiaden legislatívec ich nepopíše lepšie.
Navyše legislatívne pravidlá vlády výslovne pripúšťajú odkazy na normy, ak sú prevzaté do sústavy STN. Ustanovenie 23.8 znie: „Ak je to potrebné vzhľadom na technický charakter právneho predpisu alebo ak ide o právny predpis, ktorým sa do právneho poriadku Slovenskej republiky preberá právne záväzný akt Európskej únie, ktorý odkazuje na technické normy, možno v poznámke pod čiarou odkazovať na technické normy. V poznámke pod čiarou sa uvedie označenie, číslo a názov technickej normy a triediaci znak technickej normy v zátvorke v súlade s platnou sústavou slovenských technických noriem s použitím nedatovaných odkazov na technické normy.“ V drafte vyhlášky spomínané normy do sústavy STN prevzaté boli (čo je zrejmé už zo skratky „STN“ v názve).
Podľa § 19 ods. 6 písm. g) Zákona: „Prevádzkovateľ základnej služby je ďalej povinný prijať, dodržiavať a vykonávať bezpečnostné opatrenia s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy, príklady dobrej praxe a medzinárodné normy.“
Preto nespomenutie explicitných technických noriem v texte vykonávacieho predpisu hodnotím ako premárnenú príležitosť, ako priblížiť legislatívu k reálnej dobrej praxi.
Vzťah vyhlášky a metodík úradu
Pokiaľ ide o metodiky, je to iný príbeh než technické normy. Metodiky NBÚ sú dokumenty s charakterom odporúčaní či návodov. Fungujú ako „soft law“ – vyplňujú priestor medzi právnym predpisom a technickou praxou. Nie sú všeobecne záväzné, NBÚ ich nemôže vydávať ako právny predpis na základe zákonného splnomocnenia. Preto metodiky ani nenájdeme v legislatívnych pravidlách vlády, lebo by šlo o neprípustnú tvorbu práva mimo rámca zákona. Ak by mali mať metodiky právnu záväznosť, museli by byť vydané ako vyhláška v Zbierke zákonov.
Formát metodík – štruktúra, forma či obsah – taktiež nie je určený žiadnym právnym predpisom. V tomto prípade možno našťastie.
Vyhláška v § 5 ods. 1 písm. c) odkazuje na akúsi „bezpečnostnú metodiku“, údajne zverejnenú na webovom sídle úradu. A tiež v § 4 ods. 1 písm. c) odkazuje na klasifikačnú schému v Prílohe č. 2. Ten výraz „bezpečnostná metodika“ je zrejme iba preklep. Taká totiž neexistuje. Na webe úradu sú zverejnené iba tri metodiky, ktoré priamo či nepriamo súvisia s bezpečnostnými opatreniami:
Metodika klasifikácie neexistuje a odkaz na prílohu vyhlášky zrejme nie je zamýšľaným typom dokumentu „metodika“.
Vyhláška určuje, že ak prevádzkovateľ používa vlastnú metodiku, musí ju zosúladiť s metodikou NBÚ alebo aspoň premapovať jej výstupy na úrovne uvedené v dokumente úradu. Takto sa metodika stáva fakticky záväznou, hoci formálne nie. A chcem vidieť toho audítora alebo kontrolóra, ktorý by vedel efektívne posúdiť vyspelosť takéhoto „mapovania“ podľa § 5 ods. 1 písm. c) alebo podľa § 4 ods. 1 písm. c).
Tu sa otvára šedá zóna. Metodiky nie sú právne záväzné, ale (aj nejasné odkazy vo vyhláške) im túto záväznosť v praxi dodávajú. Vzniká tak stav, keď dokument označený ako „odporúčanie“ reálne funguje ako povinný štandard. V praxi metodiky NBÚ fungujú ako referenčný rámec, ktorý poskytuje jednotný a konsolidovaný postup. Samy osebe nepredstavujú právnu povinnosť, ale prostredníctvom odkazu vo vyhláške a vágnej formulácie v Zákone sa menia na záväzný štandard – napríklad pri analýze rizík, klasifikácii informácií alebo hodnotení spôsobilosti manažéra kybernetickej bezpečnosti.
Definičné problémy
Riadenie aktív
Draft vyhlášky pred MPK v samostatnej prílohe navrhoval nomenklatúru aktív, a to vrátane príkladov. Definoval požiadavky na riadenie aktív:
- Všetky aktíva sú identifikované a inventár týchto aktív musí byť zaznamenaný a riadený. Zoznam aktív sa môže skladať z textovej, tabuľkovej alebo grafickej časti tak, že sú jednoznačne definované hranice jednotlivých sietí a informačných systémov, rozhrania medzi definovanými hranicami Súčasťou zoznamu aktív môže byť aj popis bezpečnostných funkcií podporných aktív alebo odkazy na príslušnú časť bezpečnostnej dokumentácie týchto funkcií.
- Zoznam aktív je spravidla rozdelený do typov aktív. Základné typy aktív sú uvedené v Prílohe č. 1.
- Hlavným cieľom riadenia kybernetickej bezpečnosti je zabezpečiť ochranu aktív v súlade s ich hodnotou. Pri ochrane primárnych aktív a prijímaní a realizácii opatrení sa preto musí prihliadať na ich súčasnú, alebo potenciálnu hodnotu.
- Procesy riadenia aktív musia obsahovať identifikáciu a evidenciu všetkých:
- primárnych aktív,
- podporných aktív,
- vlastníkov aktív,
- zodpovedných osôb za identifikáciu a evidenciu aktív.
- Na podporné aktíva tvoriace hranicu medzi aktívami s rozdielnou hodnotou sa prihliada ako na aktíva s najvyššou hodnotou z príslušných aktív.
- Na podporné aktíva, ktoré pomáhajú funkciám primárnych aktív, sa prihliada ako na aktíva s najvyššou hodnotou zo súvisiacich primárnych aktív.
Výsledok: Vyhláška oproti minulosti aspoň definuje základné pojmy. Finálna verzia však odstránila prílohu s typológiou aktív a vypustila princíp „ochrana podľa hodnoty“ – ktorý racionálne uvažujúci PZS budú uplatňovať aj bez zákonnej povinnosti.
Definícia v § 2 je technicky správna, no menej ambiciózna: „primárnym aktívom aktívum, ktoré je nevyhnutné na dosiahnutie cieľov prevádzkovateľa základnej služby, podporným aktívom aktívum, na ktorom je závislé jedno alebo viacero primárnych aktív“. Terminologicky je táto definícia zrozumiteľná pre profesionálov. Obávam sa však, že bez typológie zostane právne chápanie aktív zúžené len na „veci“. To prehliada fakt, že najhodnotnejším informačným aktívom sú ľudia – prostredníctvom rolí, znalostí a zručností.
Negatívnym dôsledkom zjednodušenej definície a chýbajúcej typológie budú rôzne laické výklady týkajúce sa aktív a opatrení.
„Odôvodnenie neprijatých opatrení“ podľa § 5 ods. 1 písm. e) je nový, no neštandardný artefakt bezpečnostnej dokumentácie. Nahrádza štandardný proces akceptácie rizika, ktorý je súčasťou dobrej praxe od vydania normy ISO/IEC 27005:2008.
Vyhláška stanovuje povinnú centrálnu evidenciu aktív a centralizované riadenie. To môže byť problém. V niektorých auditoch sa objavila svojvoľná interpretácia, že ak systém pre asset management nie je jediný a centralizovaný, nemožno hovoriť o súlade s požiadavkou vyhlášky č. 362/2018 Z. z.: „Všetky aktíva súvisiace so zariadeniami na spracovanie informácií a informačnými prostriedkami sú identifikované a inventár týchto aktív je centrálne zaznamenaný a riadený.“
Takto to nikdy nebolo myslené. Podstatné je, aby mal PZS konsolidovaný prehľad nad aktívami – nie to, či je tento prehľad „centrálny“.
Riadenie rizík a výnimka z bezpečnostných opatrení
V návrhu Vyhláška pripúšťala možnosť neimplementovať opatrenie, ak bolo riziko dostatočne ošetrené tzv. kompenzačným opatrením. Kompenzačné opatrenie je alternatívne riešenie, ktoré síce nemusí plne napĺňať požiadavky pôvodne predpísaného opatrenia, ale poskytuje porovnateľnú alebo primeranú úroveň ochrany. Používa sa vtedy, keď implementácia primárneho opatrenia nie je možná – či už z technických, organizačných alebo finančných dôvodov. Aj príslušné technické normy pripúšťajú alternatívne bezpečnostné mechanizmy, pokiaľ preukázateľne znižujú riziko na akceptovateľnú úroveň.
Vo finálnej verzii sa táto výnimka stratila. Je to problém, pretože podľa dobrej praxe riadenia rizík má akceptácia rizika svoje miesto – je právom vlastníka informačných aktív. V praxi ide práve o výnimku z implementácie opatrenia, samozrejme, za predpokladu, že je riadne zdôvodnená a schválená na úrovni štatutárneho vedenia.
Porovnanie návrhu a finálneho znenia ukazuje viacero posunov. Návrh začínal všeobecnou „učebnicovou“ definíciou riadenia rizík ako systematického uplatňovania politík, procedúr a postupov. Finálny text už prechádza priamo k povinnostiam – vymenúva identifikáciu aktív a rizík, analýzu, hodnotenie, prijímanie opatrení a pravidelné preskúmanie.
Zmenil sa aj začiatok procesu: pôvodne sa vychádzalo z identifikácie rizík, aktíva boli riešené v samostatnom ustanovení, dnes je identifikácia aktív zaradená ako prvý krok procesu riadenia rizík a je prepojená na § 6. Túto zmenu kvitujem, keďže z aplikačnej praxe vyplýva, že mnohí dodnes PZS nechápu význam riadenia aktív a dôležitosť tohto procesu v kontexte riadenia rizík. Ak neviete, aké komponenty informačnej architektúry prevádzkujete, ťažko zvládnete riadenie rizík týchto komponentov.
Ďalším rozdielom je schvaľovanie výsledkov analýzy rizík a návrhov bezpečnostných opatrení v nadväznosti na identifikované riziká. Návrh hovoril, že musia byť preskúmané a schválené vedením, finálna verzia v § 5 ods. 7 stanovuje, že ich preukázateľne schvaľuje osoba podľa § 20 ods. 4 písm. h) Zákona. Schvaľovanie sa tým formalizovalo a viaže sa na zákonom určenú rolu, čím sa odstránila vágnosť pojmu „vedenie“. Problémom v tejto veci je, že niektoré rozhodnutia v kyberbezpečnosti musí vykonať štatutárny orgán – a akceptácia rizík je jedným z týchto rozhodnutí.
Vo finálnej podobe vyhlášky vypadol aj princíp tzv. najhoršieho scenára. Z pôvodnej požiadavky na identifikáciu rizík podľa najhoršieho scenára zostal len stručný odkaz na pravidlá pre určenie úrovne rizika. Avšak princíp „najhoršieho scenára“ je oveľa zložitejší koncept. „Worst case scenario“ predstavuje štandardný postup pri stanovovaní priorít ošetrovania rizík. Bez neho sa riskuje, že organizácia bude riešiť drobnosti a prehliadne vážne hrozby. V kybernetickej bezpečnosti totiž platí jednoduchá logika: nedá sa zachrániť celý vesmír v jednom kroku – a práve preto sa musia zdroje sústrediť najprv na zvládnutie najhorších možných dopadov.
Z finálneho znenia vypadol pojem „vlastníci rizík“ aj samotná „komunikácia rizika“. Technické normy pritom tlačia presne opačným smerom – na jednoznačné priradenie zodpovednosti konkrétnym osobám a na povinnosť riziká vysvetľovať. Komunikácia, či už interná alebo externá, je nevyhnutnou súčasťou riadenia hrozieb a rizík. Lebo ako sa hovorí: nemému ani vlastná mater nerozumie. Pri rizikách to platí dvojnásobne.
Analýzu funkčného vplyvu (Business Impact Analysis – BIA) textová časť návrhu vyhlášky špecificky neobsahovala. Požiadavka na vykonanie analýzy funkčného vplyvu bola uvedené v prílohe ako jedno z opatrení v rámci procesov riadenia kontinuity činností (BCM) podľa § 20 ods. 2 písm. e) Zákona. To predstavuje úplne nový štandard, ktorý prevádzkovateľov núti formálne zaradiť Analýzu funkčného vplyvu do procesov riadenia rizika.
Finálna Vyhláška je v časti riadenia rizík možno právne presnejšia, no menej detailná – čo je pri nízkej vyspelosti riadenia kybernetickej bezpečnosti a nedostatku kvalifikovaných profesionálov premárnená šanca na zlepšenie regulovaného prostredia. Rigidný právny text má byť v zákone. Vykonávacie predpisy sú na to, aby určovali detaily.
Určovanie rozsahu opatrení klasifikáciou?
Najväčším prekvapením novej vyhlášky je nelogický návrat ku klasifikácii. Celý rok Úrad presviedčal odbornú komunitu: končíme s „classification-based“ prístupom a že sa posunieme k „risk-based“ modelu.
Pôvodné znenie § 20 ods. 1 zákona (do 31. 12. 2024) znelo: „Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov…“ A § 20 ods. 2 dopĺňal: „Klasifikácia informácií a kategorizácia sietí a informačných systémov podľa odseku 1 sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov…“ To bol model postavený na klasifikácii.
Novela tieto odkazy vyhodila. V § 20 ods. 1 dnes stojí: „Bezpečnostné opatrenia sú realizované na základe vykonanej analýzy rizík…“ – teda už nie v závislosti od klasifikácie informácií. Je to správny posun k risk-based prístupu, na ktorý tlačia aj mnohé európske právne predpisy, NIS2 nevynímajúc.
A potom príde Vyhláška s absurdným paradoxom: podľa § 4 ods. 1 písm. c) musí bezpečnostná dokumentácia obsahovať „vykonanú klasifikáciu informácií podľa prílohy č. 2“. Lenže zákon pojem „klasifikácia“ už medzitým vôbec nepozná.
Ak má PZS podľa § 20 ods. 1 Zákona rozhodovať o opatreniach na základe vykonanej analýzy rizík, aký je vo Vyhláške zmysel prílohy s klasifikáciou informácií? A prečo musí bezpečnostná dokumentácia podľa § 4 ods. 1 písm. c) Vyhlášky obsahovať vykonanú klasifikáciu informácií? Bude to len formálny dokument bez väzby na rozhodovanie o opatreniach, teda bez praktickej potreby pre PZS.
Kategórie systémov I, II a III sa zrušili bez náhrady – čo je úplne v poriadku. Výsledky klasifikácie sa vzhľadom na to neviažu na kritickosť systémov, ani na rozhodovanie o opatreniach. Zákon jasne hovorí: „Bezpečnostné opatrenia sú realizované na základe vykonanej analýzy rizík…“ Vyhláška to ignoruje a vracia späť formálnu povinnosť, ktorú Zákon vypustil.
Z § 4 ods. 1 písm. c) Vyhlášky nevyplýva, ako by mal prevádzkovateľ na základe klasifikačných stupňov určiť rozsah opatrení. Povinná dokumentácia síce podľa § 4 ods. 1 písm. d) obsahuje „určenie príslušnej kategórie sietí a informačných systémov a operačných technológií“, ale návrh kategórií v samotnej Vyhláške absentuje. Nie je žiadna príloha, ktorá by odpovedala na jednoduchú otázku: „Čo ďalej, keď už sme vykonali klasifikáciu?“ Povinnosť vykonať klasifikáciu tu je, ale tým sa celý proces končí. Aby som opäť citoval klasika: „Laudo Laudare… Co s tím? Ve šroubárně…“
Formulácia v § 4 ods. 1 písm. d) „v prípade nejednoznačnosti rozhodne o určení kategórie prevádzkovateľ základnej služby“ pôsobí skôr ako zbytočné slovné cvičenie. O akej nejednoznačnosti sa tu hovorí? Na prijatie opatrení si PZS žiadne kategórie aktív navrhovať nemusí – rozhoduje predsa analýza rizík. Celá pasáž o klasifikácii a kategorizácii tak pôsobí ako slepá ulička. By-pass, bez nadväznosti a bez praktického významu. Inak povedané: čistý legislatívny balast.
Rok diskusií o prístupe založenom na riadení rizík sa tak skončil v aplikačnej praxi povinnou klasifikáciou, ktorá bude musieť byť vykonávaná bez akéhokoľvek racionálneho účelu. A znova zdôrazním: ak niektorý PZS chce v rámci svojej organizačnej kultúry vykonávať klasifikáciu aktív, bráni mu v tom niečo? Nie. Klasifikácia je však nezmyselne povinná pre všetkých PZS.
Zmluvy s dodávateľmi
Detaily a spôsob riešenia vzťahov s tretími stranami ponechával Zákon na prevádzkovateľoch. Povinnosť uzatvoriť zmluvu je jasne daná v § 19 ods. 2 Zákona:
„Prevádzkovateľ základnej služby je povinný pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík. Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. … Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.“
Čiže žiadne ďalšie detaily vo vyhláške neboli potrebné – ak zmluvy nemajú brániť hospodárskej súťaži, Zákon v súvislosti so zmluvami zaviedol všetky podstatné povinnosti.
Výsledok: Vyhláška v § 8 zakázala predlžovanie zmlúv s tretími stranami. Regulátor tým de facto nariaďuje PZS, ako majú manažovať svoje obchodné vzťahy: „Zmluva podľa § 19 ods. 2 zákona uzatvorená do 31. augusta 2025 ostáva v platnosti najneskôr do doby pôvodne v nej dohodnutej; túto dobu nemožno po 31. auguste 2025 predĺžiť, ak už uzatvorená zmluva nie je v súlade s bezpečnostnými opatreniami podľa § 3 až 7. Týmto ustanovením nie je dotknutý § 34b ods. 5 Zákona.“
Vyhláška v § 7 ods. 2 zároveň určila konkrétny rámec pre obsah zmluvy:
„Zmluva podľa § 19 ods. 2 Zákona obsahuje najmä:
- záväzok dodávateľa … dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby,
- vyjadrenie súhlasu tretej strany s uvedenými bezpečnostnými politikami,
- ustanovenie o rozsahu, spôsobe a možnosti vykonávania kontrolných činností a auditu,
- ustanovenie o povinnosti informovať o incidente a poskytnúť súčinnosť pri jeho riešení.“
Samotný § 7 ods. 2 by bol ešte znesiteľný – povinnosť zmluvne ošetriť bezpečnostné opatrenia vo vzťahu s tretími stranami je logická. A na bezpečnosť tretích strán a dodávateľského reťazca tlačila aj NIS2. Ale zákaz predĺženia existujúcich zmlúv je sporné ustanovenie presahujúce rámec zákonného splnomocnenia.
Koniec koncov, v súlade s čím majú byť tieto zmluvy? Ako a kto to posúdi? O rozsahu opatrení rozhoduje PZS na základe analýzy rizík. Zakázať predĺženie zmluvy dodatkom, hoci dodatok by ju vedel dať do súladu, je právny nezmysel. V praxi by to znamenalo, že každé predĺženie = nové obstarávanie. To však nie je vždy cieľom. Čo ak je cena služby výhodná? Obstarávači vám jasne povedia: zmluvu neotvoríme, kým neskončí.
Špeciálny prípad „zabetónovaných“ zmlúv je stav, keď ide o tzv. „vendor lock-in“. PZS skôr vyrokuje dodatok k zmluve než novú zmluvu s dodávateľom, ktorý je vzhľadom na technológiu unikátny alebo ktorý je na trhu jediný.
A to sa ani nezamýšľam nad zmluvami na dobu neurčitú. Aký dátum by mal byť určený ako rozhodný pre „pôvodný dátum“?
Obchodné vzťahy v regulácii bezpečnostných opatrení? To už nie je kybernetická bezpečnosť, to je neprimeraný zásah do zmluvnej autonómie.
IT verzus OT
Vo Vyhláške sa objavuje delenie bezpečnostných opatrení na IKT (informačno-komunikačné technológie) a OT (operačné technológie). Ide o prvok, ktorý bol pridaný najmä v prílohách, kde sa uvádza relevancia opatrení pre „IKT/OT“ prevádzkovateľov. Problém je, že Zákon ani Vyhláška OT ako pojem nikde nedefinujú. Výraz „operačné technológie“ sa objaví len v systematike, ale absentuje jeho presné vymedzenie.
Z hľadiska legislatívnej techniky to vyvoláva otázku: ako má povinná osoba interpretovať požiadavky, ktoré sú rozlíšené podľa kategórie IKT/OT, ak pojem OT nie je zakotvený? V praxi si síce vieme pomôcť priemyselnými normami (napr. séria IEC 62443 pracuje s industrial automation and control systems), avšak „OT“ ako legislatívny termín neexistuje. Ani európska smernica NIS2 tento pojem nepoužíva – pozná len network and information systems.
Vyhláška tak vytvára umelú dichotómiu. Keby sa orgán chcel oprieť o technické štandardy, bolo by potrebné pracovať s presnejším pojmom priemyselné automatizačné a riadiace systémy (IACS) alebo ICS (industrial control systems), ktoré majú v medzinárodných normách jasné ukotvenie.
Otvorenou zostáva praktická otázka: budú sa audítori a dohľad NBÚ riadiť tým, že „OT“ znamená to, čo pod tým chápe IEC 62443 (automatizačné a procesné technológie), alebo ponechajú výklad na prevádzkovateľov? To je rizikový moment, pretože rozdiel v interpretácii môže mať dopad na to, ktoré opatrenia sa budú považovať za povinné a ktoré nie.
Tiež je to však téma na samostatný článok.
Pozitíva novej vyhlášky
Najzásadnejším prínosom je zmena doktríny rozhodovania o opatreniach. Prevádzkovatelia základných služieb už nemajú povinnosť vyberať si zo zoznamu opatrení podľa kategórie systému I, II alebo III, ako to bolo v prílohe č. 3 k vyhláške č. 362/2018 Z. z. Opatrenia sa prijímajú na základe identifikovaných rizík a je výhradne na prevádzkovateľovi, ktoré z nich považuje za primerané. Aj keď v texte novej vyhlášky ostal „kaz“ v podobe povinnej klasifikácie v bezpečnostnej dokumentácii, základný princíp „risk-based“ rozhodovania zostal zachovaný.
Je jasne badateľný aj posun k väčšej previazanosti asset managementu a risk managementu.
Oproti predchádzajúcej úprave je jasnejšie vymedzená štruktúra bezpečnostnej dokumentácie. Dokumentácia má byť praktickejšia a musí byť jednoznačne naviazaná na konkrétne prostredie prevádzkovateľa. Tým sa končí éra univerzálnych „šablón“, ktoré nezohľadňovali reálne podmienky u PZS.
Pozitívom je aj rozlíšenie prostredí IKT a OT, hoci samotný pojem „OT“ môže byť terminologicky sporný. V prílohe č. 1 vyhlášky je rozsah opatrení rozdelený podľa typu technológie, čím sa reflektujú odlišné potreby infraštruktúry. Predchádzajúca vyhláška priemyselné riadiace systémy vôbec nerozlišovala. Podstatným rozdielom „OT“ oproti štandardnému svetu „IKT“ je, že priemyselné riadiace systémy priamo ovplyvňujú fyzický svet – výrobnú linku, distribúciu energie či dopravu. Preto je prioritou bezpečnosti OT najmä dostupnosť a prevádzková bezpečnosť, menej dôvernosť dát.
Napokon, nová vyhláška akcentuje kybernetickú odolnosť. Analýza rizík musí byť previazaná s analýzou funkčného vplyvu, čím sa pozornosť posúva od čisto technickej ochrany aktív k zabezpečeniu kontinuity poskytovaných služieb podľa ich kritičnosti.
Odporúčania pre PZS
Prevádzkovatelia by mali zosúladiť bezpečnostnú dokumentáciu podľa štruktúry § 20 ods. 2 Zákona, § 4 a Prílohy č. 1 Vyhlášky. K tejto téme sa určite vrátim v samostatnom článku.
Dovtedy však odporúčam držať sa ďalej od konzultantov, ktorí vám budú sľubovať „kompletný balík bezpečnostnej dokumentácie“ za „Baťovskú“ cenu. Taká dokumentácia má síce príjemný cenník, ale v praxi má aj veľmi krátky životný cyklus – zvyčajne do prvého auditu, po ktorom končí v koši. A cena lacno zakúpenej dokumentácie sa rádovo predraží – o pokutu.
Klasifikácia informácií je vo finálnom texte povinnou súčasťou bezpečnostnej dokumentácie. Aj ak má organizácia vlastnú metodiku, musí vykonať mapovanie na klasifikačné stupne uvedené v prílohe. Taktiež téma na samostatnú úvahu.
Na dôsledné uplatnenie požiadavky § 7 ods. 1 – implementovať bezpečnostné opatrenia, ktoré by ošetrili VŠETKY riziká, radšej ani nepomýšľajte. Implementovať treba PRIMERANÉ opatrenia a rozhodnutie o primeranosti je právom PZS.
Vyhláška oproti pôvodnej minimalizuje požiadavky na obsah zmlúv s tretími stranami. Ale zavádza zákaz predlžovania platnosti starých zmlúv po 31. 8. 2025, ak nie sú v súlade s novými požiadavkami. Preto sa PZS nevyhnú prinajmenšom revízii existujúcich kontraktov a možno aj príprave dodatkov alebo nových zmlúv v súlade s prechodným ustanovením. Táto požiadavka bude musieť byť ešte predmetom právnych analýz. Najmä z dôvodu problematického „zákazu“ predlžovania zmlúv. Ale vzhľadom na to, že Vyhláška nie príliš presne určuje, aký detail má byť predmetom zmluvy, je toto cvičenie zvládnuteľné.
V tomto kontexte vedľajšie odporúčanie: zmluvy sú, samozrejme, práca pre právnikov. Ale návrhy textov zmlúv vo fáze prípravy konzultujte aj so svojím manažérom kybernetickej bezpečnosti a tiež so šéfom informatiky. A zároveň vyslovene žiadam prevádzkovateľov základných služieb, aby implementovali bezpečnostné opatrenia podľa vyhlášky č. 227/2025 Z. z., a to v rozsahu určenom na základe analýzy rizík a podľa prílohy č. 1 tejto vyhlášky.
Záver
Jeden citát Járy Cimrmana znie: „Můžeme o tom vést spory, můžeme o tom vést dlouhé diskuse, můžeme s tím i nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat.“
Vyhláška je účinná. Je aká je. Zverejnené znenie sa odlišuje od draftu, čo je legitímnym právom zákonodarcu. Na škodu veci však úrad pri finalizácii textu nevyužil konzultáciu s pôvodnými autormi a s ostatnou odbornou komunitou.
Proces prípravy Vyhlášky preukázal typické problémy MPK. Odborný návrh bol v niektorých častiach zjednodušený alebo pozmenený, veľmi pravdepodobne pod tlakom zásadných pripomienok. Prijaté úpravy zahŕňajú aj prvky, ktoré pôsobia odtrhnuto od technických noriem a dobrej praxe. Tieto môžu vytvárať interpretačné nejasnosti a posúvať časť povinností z technickej do formálnej roviny.
Zákon smeroval k prístupu založenému na riziku, vyhláška však vrátila klasifikáciu, a to dokonca ako povinný dokument. Vznikol tým hybrid, ktorý bude metodicky ťažšie uchopiteľný.
Zákaz predlžovania starých zmlúv je zásah aj do obchodných vzťahov, čo presahuje štandardný rámec bezpečnostných opatrení. Používa sa pojem „OT“, ktorý nie je definovaný ani v zákone, ani v smernici NIS2.
Vyhláška odkazuje na metodiky iba v jedinom prípade – navyše pod nesprávnym názvom. Aby som to uviedol na pravú mieru, ide o nedávno vydanú novú verziu Metodiky analýzy rizíkhttps://www.nbu.gov.sk/metodika-analyzy-rizik/. Nová metodika opravila nedostatky predchádzajúcej a postupne tlačí na aplikáciu kvantitatívnych metód analýzy oproti doterajším kvalitatívnym metódam.
Asi jediné, čo si teraz prajem, je, aby sa k zverejnenej Vyhláške nezačali hromadne objavovať laické „výklady“. Lebo tie budú mať k odbornej presnosti rovnako ďaleko ako k technologickej realite. A vykladačov písma už v kyberbezpečnosti naozaj nepotrebujeme.
Čoskoro sa nepochybne dočkáme aj „komentárovej literatúry“, ktorá aj bez informácií z vykonaného legislatívneho procesu bude objasňovať, čo tým NBÚ chcel vlastne povedať. Pravdepodobnosť výskytu neovplyvním. Ale aby som prispel k „zníženiu následkov“ tejto hrozby, v nasledujúcich týždňoch budem na portáli www.bezpecnostvpraxi.sk postupne publikovať sériu článkov k jednotlivým kategóriám bezpečnostných opatrení a k požiadavkám vyhlášky tak, ako som to v spolupráci s Poradcom podnikateľa učinil aj v roku 2019 a 2020.
Pôvodnú sériu po dohode so šéfredaktorkou ponecháme pre zachovanie historického kontextu.
Autor: Ing. Ivan Makatura, BSc. CRISC, CDPSE, CCISO
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies