Technická normalizácia v informačnej a kybernetickej bezpečnosti

Spotrebitelia, podniky a regulačné orgány na celom svete chcú dôverovať kupovaným a používaným produktom. V dôsledku toho došlo postupne k nárastu počtu národných a medzinárodných noriem týkajúcich sa posudzovania a hodnotenia výrobkov, procesov a služieb. Technická norma je publikovaný podrobný dokument, výsledok kolektívnej práce odborníkov, celosvetovo, európsky alebo národne uznaný na dobrovoľné používanie, ktorým sa určujú požiadavky na kvalitu, bezpečnosť, dôležité parametre či vlastnosti materiálu, výrobku, jeho súčasti alebo pracovného postupu. Pri správnom použití môžu technické normy urobiť život bezpečnejším a jednoduchším a zároveň umožniť efektívnejšie využívanie zdrojov. Ako prebieha technická normalizácia, ktoré inštitúcie sú zainteresované na príprave a publikovaní technických noriem a ktoré technické normy súvisia s ochranou informačných aktív? Ochranou informačných aktív sa pre potreby tohto článku považuje informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia.

Obsah článku

Čo je technická norma

Právna úprava technickej normalizácie

Organizácie zúčastnené na technickej normalizácii

ÚNMS SR

SNAS

IAF

ISO

IEC

CEN/CENELEC

ETSI

ITU

EA

Tvorba technických noriem

Fázy vývoja technickej normy

Hierarchia technických noriem a právnych predpisov

Záväznosť technických noriem

Možnosti aplikácie technických noriem

Ochrana technických noriem

Plán rozvoja technickej normalizácie

Normy súvisiace s kybernetickou bezpečnosťou

Záver

 

Čo je technická norma

Podľa definície ISO/IEC Guide 2: 2004 (prijatý ako STN EN 45020: 2007) norma je dokument vytvorený na základe dohody a schválený uznaným orgánom, ktorý poskytuje na všeobecné a opakované použitie pravidlá, pokyny, charakteristiky alebo výsledky činností a zameriava sa na dosiahnutie optimálneho stupňa poriadku v danej súvislosti.

Dokument technickej normy:

• je kodifikovanou najlepšou praxou a obsahuje všeobecne uznávané technické riešenia, ktoré sú k dispozícii všetkým zainteresovaným stranám,
• je návodom na efektívne ošetrovanie rizík,
• je nástrojom konkurencieschopnosti pre výrobcov, predajcov a dovozcov,
• prispieva k ochrane spotrebiteľov a
• uľahčuje medzinárodný obchod.

Tieto atribúty môžu byť bezo zvyšku uplatniteľné aj pre oblasť informačnej bezpečnosti, kybernetickej bezpečnosti a ochrany údajov.

Normy však nie sú záväzné. Normy sa považujú iba za minimálne odporúčané technické riešenia, ktorých dodržanie môže vynútiť iba právny predpis prostredníctvom požiadaviek, ktoré z neho vyplývajú.

 

Právna úprava technickej normalizácie

Právna úprava technickej normalizácie v slovenskej legislatíve je ustanovená v nasledujúcich právnych predpisoch:

• Nariadenie (EÚ) č. 1025/2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES,
• zákon č. 56/2018 Z. z. o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu v znení neskorších predpisov,
• zákon č. 55/2018 Z. z. o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru v znení neskorších predpisov,
• zákon č. 60/2018 Z. z. o technickej normalizácii v znení neskorších predpisov.

Norma je podľa Nariadenia č. 1025/2012 o európskej normalizácii technická špecifikácia prijatá uznaným normalizačným orgánom na opakované alebo nepretržité používanie; súlad s ňou nie je povinný a je jednou z nasledujúcich technických špecifikácií:

1. medzinárodná norma je norma prijatá medzinárodným normalizačným orgánom;
2. európska norma je norma prijatá jednou z európskych normalizačných organizácií;
3. harmonizovaná norma je európska norma, ktorá bola prijatá na základe požiadavky Komisie na uplatňovanie harmonizovaných právnych predpisov Únie;
4. národná norma je norma prijatá národným normalizačným orgánom;.

Spať do Obsahu článku

Organizácie zúčastnené na technickej normalizácii

ÚNMS SR

Úrad pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republikyhttps://www.normoff.gov.sk (ďalej len „ÚNMS SR“) bol zriadený zákonom č. 2/1993 Zb. Je ústredným orgánom štátnej správy, ktorý plní kľúčové úlohy v oblasti sprístupňovania technických noriem, metodickej činnosti, skúšania výrobkov, merania a kvality na trhu s technickými výrobkami. ÚNMS SR zároveň zastupuje Slovenskú republiku v medzinárodných organizáciách (podrobnejšie predstavených ďalej):

• v úlohe členského orgánu (member body) Medzinárodnej organizácie pre normalizáciu (ISO)https://www.iso.org/members.html,
• v úlohe národného normalizačného orgánu (National Standardization Body) Európskeho výboru pre normalizáciu (CEN) oznámeného Európskej komisii v súlade s článkom 27 nariadenia EÚ č. 1025/2012 o európskej normalizácii.

ÚNMS oznámením č. 25/2002 Z. z. zriadil príspevkovú organizáciu Slovenský ústav technickej normalizácie (SÚTN) a určil ho ako právnickú osobu na tvorbu, schvaľovanie a vydávanie slovenských technických noriem. Po trinástich rokoch bol SÚTN rozhodnutím predsedu ÚNMS SR č. 28/2013 zrušený a jeho úlohy a záväzky prevzal priamo ÚNMS SR. Slovensko je teda od roku 2014 jedinou krajinou EÚ, v ktorej oblasť technickej normalizácie priamo riadi ústredný orgán štátnej správy, čo znamená, že nie je splnená podmienka politickej a finančnej nezávislosti normalizačného orgánu od štátnej moci.

SNAS

Slovenská národná akreditačná službahttps://www.snas.sk je verejnoprávna inštitúcia zriadená zákonom č. 53/2023 Z. z. o akreditácii orgánov posudzovania zhody. SNAS je v zmysle nariadenia EÚ č. 765/2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh, jediným vnútroštátnym akreditačným orgánom v Slovenskej republike, ktorý vykonáva akreditáciu orgánov posudzovania zhody ako činnosť orgánu verejnej moci uznaným vládou Slovenskej republiky. Úlohy SNAS s normalizačnou činnosťou priamo nesúvisia, avšak ako národný akreditačný orgán plní dôležitú úlohu v národnom systéme posudzovania zhody. Poslaním SNAS, ako jediného národne i medzinárodne uznaného akreditačného orgánu v Slovenskej republike, je vykonávať akreditáciu orgánov posudzovania zhody predovšetkým v Slovenskej republike, plne v zhode s princípmi a kritériami medzinárodnej akreditácie podľa medzinárodných noriem, dokumentov globálnych a regionálnych medzinárodných organizácií, a to tak, aby osvedčenia o akreditácii vydané SNAS boli medzinárodne akceptované a uznávané. Posudzovanie zhody je založené na existencii certifikačných schém a tieto sa väčšinou opierajú o technické normy a technické normalizačné informácie.

SNAS zastupuje Slovenskú republiku ako národný akreditačný orgán (National Accreditation Body) v medzinárodných organizáciách (podrobnejšie predstavených ďalej):

• v Medzinárodnom fóre pre akreditáciu (IAF),
• v Európskej spolupráci pre akreditáciu (EA).

V zmysle nariadenia EÚ č. 765/2008 sa SNAS pravidelne podrobuje vzájomnému hodnoteniu zo strany Európskej akreditácie (EA), ktorá preveruje dodržiavanie medzinárodnej normy a pravidiel stanovených pre akreditáciu. Monitorujúcou autoritou je ÚNMS SR.

IAF

Medzinárodné fórum pre akreditáciu (International Accreditation Forum)https://iaf.nu/en/home/ je celosvetové združenie akreditačných orgánov a iných orgánov zainteresovaných na posudzovaní zhody
v oblastiach manažérskych systémov, produktov, procesov, služieb, osôb, ako aj validácie, overovania a iných podobných programov posudzovania zhody.

Členstvo v IAFhttps://iaf.nu/en/accreditation-bodies/ je otvorené pre národné akreditačné orgány, ktoré vedú a spravujú programy, ktorými akreditujú, validujú alebo verifikujú certifikáciu v programoch posudzovania zhody. Člen IAF musí pred vstupom deklarovať svoj zámer pripojiť sa k mnohostrannej dohode o uznávaní IAF (Multilateral Recognition Agreement – MLA), ktorou vyhlási, že uznáva rovnocennosť akreditácií iných signatárov s ich vlastnými akreditáciami.

ISO

Medzinárodná organizácia pre normalizáciu (International Organization for Standardization)https://www.iso.org/ je medzinárodný normalizačný orgán zložený zo zástupcov rôznych národných normalizačných organizácií. ISO koordinuje technickú normalizáciu v medzinárodnom meradle. Vznik ISO bol podnietený na konferencii vnútroštátnych normalizačných orgánov vo februári roku 1946 v Londýne. Sídlom Ústrednej kancelárie ISO (ISO Central Secretariat) sa stala Ženeva vo Švajčiarsku. Medzinárodná organizácia pre normalizáciu bola založená s víziou zasadiť sa o efektívnejšiu koordináciu technických noriem na medzinárodnej úrovni. ISO je schopná celosvetového pokrytia vďaka svojmu fungovaniu v podobe federácie. Členmi v rámci tejto siete sú národné normalizačné organizácie.

IEC

Medzinárodná elektrotechnická komisia (International Electrotechnical Commission)https://www.iec.ch/ je mimovládna nezisková medzinárodná organizácia, ktorej poslaním je dosiahnuť celosvetové používanie medzinárodných noriem a systémov posudzovania zhody s cieľom zabezpečiť bezpečnosť, účinnosť, spoľahlivosť a interoperabilitu elektrických, elektronických a informačných technológií a posilniť medzinárodný obchod.

CEN/CENELEC

Technická normalizácia v Európskej únii je zastrešená Európskym výborom pre normalizáciu (CEN – z francúzskeho „Comité Européen de Normalisation“)https://www.cencenelec.eu. Podobne ako v Medzinárodnej organizácii pre normalizáciu (ISO) sú technické normy v oblasti informačnej a kybernetickej bezpečnosti vydávané spoločne s Medzinárodnou elektrotechnickou komisiou (IEC) s typickým spoločným názvom „ISO/IEC“, sú aj v európskej technickej normalizácii normy pripravované, preberané a publikované spoločne s Európskym výborom pre normalizáciu v elektrotechnike (CENELEC – z francúzskeho „Comité Européen de Normalisation Électrotechnique“). Rovnako ako v ISO/IEC, sa aj CEN/CENELEC opiera o štruktúru technických komisiíhttps://standards.cencenelec.eu/dyn/www/f?p=CEN:6, z ktorých sú pre oblasť informačnej a kybernetickej bezpečnosti podstatné najmä nasledujúce dve:

CEN-CLC/JTC 13 „Kybernetická bezpečnosť a ochrana údajov“ je horizontálna technická komisia, ktorej úlohou je:

• prevziať príslušné medzinárodné normy najmä z technickej komisie ISO/IEC JTC 1 SC 27https://www.iso.org/committee/45306.html a
• vyvinúť vlastné európske normy (EN) na podporu právnych aktov EÚ (napr. GDPR, CSA, CRA, DORA, ePrivacy, DSA, DMA, RED, Chips Act, AI Act, eIDAS, eIDAS2, NIS, NIS2 a mnohých iných).

CEN-CLC/JTC 13 v zmysle svojho plánu činnostihttps://standards.cencenelec.eu/BPCEN/2307986.pdf úzko spolupracuje aj s Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA) v kontexte európskych certifikačných schém a v rámci požiadavky na štandardizáciu v oblasti kybernetickej bezpečnosti podľa Smernice o rádiových zariadeniach (RED) aj s Európskou komisiou.

CLC/TC 65X „Meranie, riadenie a automatizácia priemyselných procesov“ je ďalším hlavným zdrojom technických noriem súvisiacich s kybernetickou bezpečnosťou operačných technológií (OT). Táto technická komisia pripravuje a preberá technické normy pre systémy a prvky používané v automatizácii priemyselných procesov.

V pôsobnosti technickej komisie CLC/TC 65X už bola vytvorená napríklad séria noriem EN IEC 62443 pre operačné technológie, ktoré sa nachádzajú v priemyselných a kritických infraštruktúrach, najmä v energetike, v systémoch vodného hospodárstva, zdravotnej starostlivosti a dopravných systémoch.

ETSI

Európsky inštitút pre telekomunikačné normy (European Telecommunications Standards Institute)https://www.etsi.org je mimovládna nezisková organizácia, ktorá poskytuje svojim členom otvorené kolaboratívne prostredie na podporu vývoja celosvetovo platných noriem pre systémy, aplikácie a služby IKT. ETSI má viac ako 900 členských organizácií po celom svete z viac ako 60 krajín a piatich kontinentov. Členmi ETSI sú diverzifikované skupiny veľkých a malých súkromných spoločností, výskumných subjektov, akademickej obce, vládnych a verejných organizácií.

ITU

Medzinárodná telekomunikačná únia (International Telecommunication Union)https://www.itu.int/ je špecializovanou agentúrou OSN pre informačné a komunikačné technológie.

Založená bola v roku 1865 s cieľom uľahčiť medzinárodnú spoluprácu v oblasti komunikačných sietí. Prideľuje frekvencie v globálnom rádiovom spektre, určuje orbity satelitov a vyvíja technické normy zvané „odporúčania“, ktoré sa týkajú najmä bezproblémového prepájania sietí a technológií.

Členstvo v ITU-T poskytuje exkluzívne práva na prístup k pracovným dokumentom noriem vo vývoji. Prevažná väčšina odporúčaní je po zverejnení konečnej upravenej verzie dostupná v elektronickej forme (PDF) pre všetkých bezplatne. Texty, ktoré nie sú bezplatné, zahŕňajú bežné ITU-T a texty ISO / IEC, pre ktoré existujú osobitné úpravy.

ITU-T Recommendations (ITU-T Recs) sú štandardy definujúce spôsob fungovania a vzájomnej spolupráce telekomunikačných sietí. Preto by sa v súvislosti s technickou normalizáciou v informačnej a kybernetickej bezpečnosti nemali zanedbať. Odporúčania ITU-T sú nezáväzné a nie sú preberané do sústavy STN. ITU vydala viac ako 4 000 platných odporúčaní na témy od definície služieb po sieťovú architektúru a bezpečnosť, od širokopásmového DSL po optické prenosové systémy, siete novej generácie (NGN) a problémy súvisiace s IP. Všetky tieto témy tvoria súčasť základných komponentov dnešných IKT. Kompletný zoznam odporúčaní ITUhttps://www.itu.int/itu-t/recommendations/index.aspx?ser=X je natoľko rozsiahly, že nie je v možnostiach tohto článku uviesť odkazy na všetky relevantné položky zoznamu.

EA

Európska spolupráca pre akreditáciu (European co-operation for Accreditation)https://european-accreditation.org je neziskové združenie registrované v Holandsku. Formálne EA ustanovila Európska komisia v nariadení č. 765/2008, aby vypracovala a udržiavala mnohostrannú dohodu o vzájomnom uznávaní (EA MLA), založenú na harmonizovanej akreditačnej infraštruktúre. Tak ako v IAF musí člen EA pred vstupom deklarovať svoj zámer pripojiť sa k mnohostrannej dohode o uznávaní, ktorou vyhlási, že uznáva rovnocennosť akreditácií iných signatárov s ich vlastnými akreditáciami. Zároveň orgán, ktorý má byť uznaný, uzatvorí dohodu s Európskou komisiou. Táto dohoda vymedzí okrem iného podrobné povinnosti tohto orgánu, podmienky financovania a dohľad nad týmto orgánom.

EA má v súčasnosti 49 členov. Členovia EA sú národné akreditačné orgány, ktoré sú oficiálne uznané ich národnými vládami na posudzovanie a overovanie podľa medzinárodných noriem a organizácie, ktoré vykonávajú činnosti posudzovania zhody, ako je certifikácia, overovanie, inšpekcia, testovanie a kalibrácia.

Organizácie, ktoré posudzujú súlad s normami, musia mať technickú spôsobilosť a integritu na vykonávanie týchto certifikačných služieb. EA hodnotí Národné akreditačné orgány (NAB), ktoré vykonávajú posúdenie certifikačných orgánov, testovacie, medicínske a kalibračné laboratóriá. Ak je orgán posudzovania zhody akreditovaný jedným z členov siete EA, jeho zákazníci môžu mať dôveru v kompetentnosť, nezávislosť a nestrannosť jeho práce pri posudzovaní zhody.

Spať do Obsahu článku

Tvorba technických noriem

Proces tvorby technickej normy v jednotlivých normalizačných organizáciách sa mierne odlišuje.

Pôvodné slovenské technické normy (STN) – ich tvorba prebieha na národnej úrovni v rámci národných technických komisií; technická komisia (ďalej len „TK“) je podľa zákona č. 60/2018 Z. z. o technickej normalizácii odborným poradným orgánom ÚNMS; pre každý sektor existuje práve jedna TK; táto môže byť ďalej členená na subkomisie; TK sa podieľa na tvorbe slovenskej technickej normy, technickej normalizačnej informácie, na pripomienkovaní a ďalších činnostiach, ktoré súvisia s technickou normalizáciou; za prípravu noriem v informačnej a kybernetickej bezpečnosti a ochrane údajov je zodpovedná Technická komisia č. 37 Informačné technológie, jej subkomisia SK27 Bezpečnostné metódy informačných technológií; zvyčajne každá TK má prepojenie na partnerské európske a medzinárodné technické komisie. Pôvodné STN sa prijímajú do sústavy STN v štátnom jazyku.

Európske normy (EN) – preberajú sa do sústavy slovenských technických noriem najneskôr do 6 mesiacov od ich sprístupnenia európskymi normalizačnými orgánmi (CEN a CENELEC). O spôsobe preberania európskych noriem, harmonizačných dokumentov, ako aj ich zmien a opráv rozhoduje ÚNMS SR v spolupráci s príslušnou technickou komisiou, podľa účelu a rozsahu ich predpokladaného využívania. Preberané dokumenty sa do sústavy STN preberajú jedným z týchto spôsobov:

• prekladom do štátneho jazyka,
• prevzatím originálu na priame používanie,
• oznámením vo vestníku ÚNMS SR.

Ak sa norma preberá do sústavy STN prekladom do štátneho jazyka, vecný obsah slovenského prekladu musí vždy zodpovedať vecnému obsahu prekladaného textu.

Pri prevzatí normy do sústavy STN bez prekladu do štátneho jazyka prevzatím originálu na priame používanie musí byť norma opatrená anotáciou a národným predhovorom. Anotácia musí byť v zmysle § 8 ods. 2 zákona č. 60/2018 Z.z. o technickej normalizácii v štátnom jazyku. Názov každej normy preberanej do sústavy STN musí byť zásadne prekladom pôvodného názvu preberaného dokumentu do slovenčiny.

Slovenská republika ako člen CEN a CENELEC má povinnosť prijať všetky európske normy do sústavy STN a zrušiť pôvodné slovenské technické normy, ktoré sú s nimi v rozpore.

Harmonizované normy – európske normy, ktoré sa stávajú harmonizovanými vtedy, keď ich európske normalizačné organizácie oficiálne predložia Európskej Komisii a Európska Komisia ich vyhlási v Úradnom vestníku Európskej únie („Official Journal of the European Union“). Dôvodom je najmä to, aby so zreteľom na právne dôsledky bol stanovený dátum, od ktorého možno zhodu s európskou legislatívou predpokladať a aby všetky hospodárske subjekty v EÚ mali rovnakú východiskovú pozíciu pri využívaní harmonizovaných noriem. Harmonizovanou sa stáva slovenská technická norma, ak úplne preberá harmonizovanú európsku normu, ktorá tvorí predpoklad zhody s technickými požiadavkami príslušnej európskej legislatívy.

Medzinárodné normy (ISO, IEC, ISO/IEC) – sú prijímané do sústavy slovenských technických noriem na základe podnetov odbornej verejnosti, resp. odborových združení, podnikateľských subjektov či orgánov štátnej správy. Slovenská republika ako člen ISO a IEC nemá povinnosť prijať všetky nimi vydané medzinárodné normy.

Tvorba noriem podobne ako na národnej úrovni, aj v ISO prebieha v rámci technických komisiíhttps://www.iso.org/technical-committees.html s tým špecifikom, že pre oblasť informačných technológií je normalizačná činnosť v ISO vykonávaná spoločne s Medzinárodnou elektrotechnickou komisiou (IEC). Z toho dôvodu má táto jediná technická komisia vo svojom názve prívlastok „spojená“ („Joint Technical Committee“ – skratka JTC), konkrétne ISO/IEC JTC 1 Information technology. Vzhľadom na komplexnosť je JTC1 ešte ďalej členená na subkomisie.https://www.iso.org/committee/45020.html

Za oblasť informačnej bezpečnosti, kybernetickej bezpečnosti a ochrany súkromia je zodpovedná subkomisia ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection.https://www.iso.org/committee/45306.html Predmetom činnosti spojenej technickej komisie ISO/IEC JTC 1/SC 27 je vývoj noriem na ochranu informácií a informačných a komunikačných technológií, vrátane metód, návodov a usmernení na riešenie aspektov informačnej a kybernetickej bezpečnosti a ochrany súkromia, najmä:

• metodík určovania bezpečnostných požiadaviek,
• riadenia bezpečnosti informácií a IKT, najmä systémov manažérstva informačnej bezpečnosti, bezpečnostných procesov a bezpečnostných opatrení a služieb,
• kryptografických a iných súvisiacich bezpečnostných mechanizmov, najmä mechanizmov na ochranu dostupnosti, integrity a dôvernosti informácií, ako aj mechanizmov na určovanie zodpovednosti za činnosti v systémoch („accountability“),
• dokumentácie na podporu riadenia bezpečnosti vrátane terminológie, smerníc, ako aj postupov na registráciu bezpečnostných komponentov,
• bezpečnostných aspektov správy identít, biometrie a súkromia,
• posudzovania zhody, požiadaviek na akreditáciu a audit v oblasti systémov manažérstva informačnej bezpečnosti,
• kritérií a metodík hodnotenia bezpečnosti.

Pôvodné ISO/IEC normy sa prijímajú v anglickom, alternatívne nemeckom a francúzskom jazyku.

Pre každú technickú komisiu ISO je za každý štát určený jeden zástupca.

Rozsah pokrytia domén technických noriem ISO, ISO/IEC a CEN/CENELEC je možné prezentovať podľa oblasti pôsobnosti partnerských technických komisií:

Partnerská TK	Anglický názov TK
CEN/TC 224	Personal identification and related personal devices with secure element, systems, operations and privacy in a multi sectorial environment
CEN/TC 225	AIDC technologies
CEN/TC 304	Information and communications technologies – European localization – Requirements
CEN/TC 353	Information and Communication Technologies for Learning, Education and Training
CEN/TC 365	Internet Filtering
CEN/TC 428	ICT Professionalism and Digital Competences
CEN/TC 468	Management and preservation of digital content
CEN/CLC/JTC 13	Cybersecurity and Data Protection
CEN/CLC/JTC 21	Artificial Intelligence
CEN/CLC/JTC 8	Privacy management in products and services
CEN/SS F12	Information Processing Systems
CEN/WS BDA	Big Data
ISO/IEC JTC 1	Information technology
ISO/IEC JTC 1/SC 2	Coded character sets
ISO/IEC JTC 1/SC 6	Telecommunications and information exchange between systems
ISO/IEC JTC 1/SC 7	Software and systems engineering
ISO/IEC JTC 1/SC 17	Cards and security devices for personal identification
ISO/IEC JTC 1/SC 22	Programming languages, their environments and system software interfaces
ISO/IEC JTC 1/SC 23	Digitally Recorded Media for Information Interchange and Storage
ISO/IEC JTC 1/SC 24	Computer graphics, image processing and environmental data representation
ISO/IEC JTC 1/SC 25	Interconnection of information technology equipment
ISO/IEC JTC 1/SC 27	Information security, cybersecurity and privacy protection
ISO/IEC JTC 1/SC 28	Office equipment
ISO/IEC JTC 1/SC 29	Coding of audio, picture, multimedia and hypermedia information
ISO/IEC JTC 1/SC 31	Automatic identification and data capture techniques
ISO/IEC JTC 1/SC 32	Data management and interchange
ISO/IEC JTC 1/SC 34	Document description and processing languages
ISO/IEC JTC 1/SC 35	User interfaces
ISO/IEC JTC 1/SC 36	Information technology for learning, education and training
ISO/IEC JTC 1/SC 37	Biometrics
ISO/IEC JTC 1/SC 38	Cloud computing and distributed platforms
ISO/IEC JTC 1/SC 39	Sustainability, IT & Data Centres
ISO/IEC JTC 1/SC 40	IT Service Management and IT Governance
ISO/IEC JTC 1/SC 41	Internet of Things and Digital Twin
ISO/IEC JTC 1/SC 42	Artificial intelligence
ISO/TC 154	Processes, data elements and documents in commerce, industry and administration
ISO/TC 171	Document management applications
ISO/TC 171/SC 1	Quality, preservation and integrity of information
ISO/TC 171/SC 2	Document file formats, EDMS systems and authenticity of information
ISO/TC 258	Project, programme and portfolio management
ISO/TC 292	Security and resilience
ISO/TC 307	Blockchain and distributed ledger technologies

Spať do Obsahu článku

Fázy vývoja technickej normy

Etapy tvorby normalizačných dokumentov (technických noriem a technických normalizačných informácií) a ich približný časový rámec sú určené v Prílohe č.10 Metodického usmernenia ÚNMS SR č. MP03:2021 Tvorba pôvodných slovenských technických noriem a pôvodných technických normalizačných informácií.https://www.normoff.gov.sk/stranka/134/metodicke-postupy/ Graficky sa dajú tieto etapy znázorniť nasledovne:

Štádiá vývoja technických noriem sú v porovnaní s etapami tvorby normalizačných dokumentov STN výrazne zložitejšou problematikou. Jednotlivé štádiá vývoja majú svoje skratky, napríklad:

• NWIP – New Work Item Proposal (Návrh novej pracovnej položky)
• PWI – Preliminary Work Item (Predbežná pracovná položka)
• AWI – Approved Work Item (Schválená pracovná položka)
• WD – Working Draft (Pracovný koncept)
• CD – Committee Draft (Návrh komisie)
• DIS – Draft International Standard (Návrh medzinárodnej normy)
• FDIS – Final Draft International Standard (Finálny návrh medzinárodnej normy)
• TR – Technical Report (Technická správa)

Kompletná tabuľka jednotlivých fáz vývoja technických noriem je dostupná na webovom portáli ISOhttps://www.iso.org/stage-codes.html. Vzhľadom na to, že na vývoji noriem sa podieľa veľké množstvo expertov v príslušnej oblasti doslova z celého sveta, jednotlivé fázy vývoja a rozhodovanie o zmene fázy vývoja normy nie sú triviálnym procesom. Navyše, kódy fáz vývoja sa medzi jednotlivými normalizačnými organizáciami líšia. ÚNMS SR sa primárne riadi kódovacím systémom vývojových fáz podľa ISO.

Viac informácií o technickej normalizácii, normalizačnej činnosti a o postavení a pôsobnosti normalizačných orgánov je dostupných na webovej stránke ÚNMS SRhttps://www.normoff.gov.sk/stranka/138/zakladne-vzdelavanie-o-technickej-normalizacii/?csrt=5304655720511387266.

Spať do Obsahu článku

Hierarchia technických noriem a právnych predpisov

Slovenské všeobecne záväzné právne predpisy sú prijímané s ohľadom na potrebu vyhovieť najmä aktuálnym politickým požiadavkám, a to na základe aktuálnych prameňov práva. Právne akty Európskej únie majú textáciu navrhovanú ešte všeobecnejším spôsobom, s cieľom okrem politických požiadaviek vyhovieť aj rôznej kultúre a rôznej výkonnosti ekonomík členských štátov EÚ.

Od všeobecne záväzných právnych predpisov, ktorými sa implementujú požiadavky na ochranu súkromia a požiadavky na kybernetickú bezpečnosť, nie je možné efektívne očakávať špecifické technické detaily – to je úlohou technických noriem. Technické normy sú kodifikovanou najlepšou praxou, ktorá je pripravovaná formou širokého konsenzu ako výsledok kolektívnej práce odborníkov v príslušnom odbore a odvetví. Technická norma obsahuje pravidlá, usmernenia, charakteristiky alebo výsledky činností, ktoré sú zamerané na dosiahnutie ich najvhodnejšieho usporiadania v danej oblasti a pri všeobecnom a opakovanom použití.

Skúsme si teda schematicky zobraziť hierarchiu jednotlivých právnych predpisov, technických predpisov a technických noriem na európskej úrovni. Keďže ide o hierarchiu na európskej úrovni, v schéme uvádzame iba technické normy EN ISO/IEC a STN EN ISO/IEC. (Ako už bolo napísané, normy ISO/IEC bez ich prevzatia do sústavy STN nemôžu byť citované v slovenských právnych predpisoch.)

Opíšme túto hierarchiu slovne:

• nariadenie EÚ je priamo vykonateľným sekundárnym právnym aktom EÚ; technické normy EN ISO/IEC sú v nariadeniach EÚ citované veľmi často (tento článok hodnotí pravdaže iba právne akty týkajúce sa kybernetickej bezpečnosti a ochrany údajov), technické normy EN ISO/IEC sú v nariadeniach EÚ priamo citované bežne,
• smernica EÚ je sekundárnym právnym aktom EÚ, ktorý musí byť transponovaný do lokálneho práva členského štátu; technické normy EN ISO/IEC sú v smerniciach EÚ priamo citované bežne,
• zákon NRSR je všeobecne záväzným právnym predpisom prijatým zákonodarným zborom, teda Národnou radou SR; z hľadiska právnej sily sa zákon nachádza pod ústavou, ústavnými zákonmi a niektorými medzinárodnými zmluvami, ale nad podzákonnými predpismi, ako sú napr. vyhláška alebo nariadenie; zákonodarca je pri tvorbe obmedzený len ústavou a medzinárodnými zmluvami so silou vyššou ako zákon, s ktorými sa nemôže dostať do rozporu, inak možno zákonom upraviť akúkoľvek oblasť spoločenských vzťahov; všeobecne platí, že povinnosti možno fyzickým a právnickým osobám ukladať len zákonom; technické normy STN alebo normy STN EN ISO/IEC sú v zákonoch v poznámkach pod čiarou citované bežne,
• vyhláška je všeobecne záväzným podzákonným právnym predpisom; vydáva sa len na základe splnomocnenia na jej vydanie v zákone; príslušný orgán ho vydáva v rámci svojej pôsobnosti; podzákonným právnym predpisom možno ukladať povinnosti len na základe splnomocňovacieho ustanovenia uvedeného v zákone, ale takýmto spôsobom napr. nemožno obmedziť základné práva a slobody; technické normy STN alebo normy STN EN ISO/IEC sú vo vyhláškach pod čiarou citované niekedy,
• nariadenie vlády SR je podzákonným právnym predpisom vydávaným vládou; musí byť v súlade so zákonom a vydané na základe zákonného splnomocnenia; nariadením vlády nie je možné ukladať povinnosti, meniť alebo dopĺňať právnu úpravu nad rámec zákona alebo upravovať spoločenské vzťahy v zákone neupravené; to neplatí, ak ide o nariadenie vlády podľa čl. 120 ods. 2 ústavy (ďalej len „aproximačné nariadenie vlády“); vládnym nariadením sa zvyknú upravovať napríklad spoločenské vzťahy, ktoré podliehajú častým zmenám; technické normy STN alebo normy STN EN ISO/IEC sú v nariadeniach vlády SR pod čiarou citované málokedy.

Spať do Obsahu článku

Záväznosť technických noriem

Technická norma je dokument vo všeobecnosti určený na dobrovoľné používanie. Plnenie požiadaviek technických noriem na rozdiel od požiadaviek všeobecne záväzných právnych predpisov (napr. zákonov) nie je povinné. Paradoxne, technické normy a technické normalizačné informácie boli na Slovensku záväzné. Podnikatelia a orgány štátnej správy boli povinné riadiť sa ustanoveniami slovenských technických noriem. Tento stav sa zmenil po novelizácii zákona č. 264/1999 Z.z. o technických požiadavkách na výrobky a o posudzovaní zhody a od 1.1.2001 prestali byť STN od záväzné. To platilo až do minulého roka, keď novelizáciou zákona č. 60/2018 Z.z. o technickej normalizácii možnosť zozáväznenia technických noriem bola opätovne umožnená, hoci iba nepriamo.

Orgán štátnej správy môže uviesť odkaz na slovenskú technickú normu alebo technickú normalizačnú informáciu v texte návrhu všeobecne záväzného právneho predpisu. V takom prípade sa požiadavky normy stanú záväznými práve prostredníctvom príslušného všeobecne záväzného právneho predpisu.

Avšak pred prijatím všeobecne záväzného právneho predpisu, v ktorom by mala byť citovaná technická norma, musia byť splnené nasledujúce podmienky:

• ak predkladateľ všeobecne záväzného právneho predpisu uvádza odkaz na slovenskú technickú normu v texte návrhu všeobecne záväzného právneho predpisu, je podľa § 3 ods. 14 zákona č. 60/2018 Z. z. o technickej normalizácii povinný na túto skutočnosť písomne upozorniť slovenský národný normalizačný orgán – a to najneskôr pred prijatím všeobecne záväzného právneho predpisu,
• v zmysle § 4 ods. 1 písm. c) bod 2 zákona č. 55/2018 Z. z. o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru zodpovedný orgán vopred doručí ÚNMS SR slovenskú technickú normu a odôvodnenie potreby jej prijatia,
• výdavky na spracovanie slovenskej technickej normy v štátnom jazyku, ktorá sa uvádza priamo v texte všeobecne záväzného právneho predpisu, ako aj výdavky na každé poskytnutie slovenskej technickej normy, ktorá sa uvádza priamo v texte všeobecne záväzného právneho predpisu, podľa § 12 ods. 2 zákona č. 60/2018 Z. z. o technickej normalizácii uhrádza orgán štátnej správy, ktorý je zodpovedným predkladateľom návrhu všeobecne záväzného právneho predpisu,
• technická norma je alebo bude prevzatá do sústavy STN (pozn.: podľa možnosti prekladom do štátneho jazyka – ďalej k tomu nižšie),
• slovenská technická norma, ktorá má byť citovaná vo všeobecne záväzných právnych predpisoch, musí vyhovovať prijatým a zverejneným kritériám podľa § 4a písm. c) zákona č. 60/2018 Z. z. o technickej normalizácii, t.j., že sú vyhotovené v štátnom jazyku a sú verejne prístupné na webovom sídle Slovenského národného normalizačného orgánu.

Oznámenia o prijatí alebo zrušení slovenskej technickej normy a jej oprave, o prijatí alebo zrušení technickej normalizačnej informácie a jej oprave a o slovenskej technickej norme vhodnej na posudzovanie zhody uverejňuje úrad podľa § 4 písm. d) zákona vo Vestníku ÚNMS SR. Úrad po dohode s určenou právnickou osobou uverejní oprávnenie na ich rozmnožovanie.

V zmysle legislatívnych pravidiel vlády SR platí, že ak je to potrebné vzhľadom na technický charakter právneho predpisu alebo ak ide o právny predpis, ktorým sa do právneho poriadku Slovenskej republiky preberá právne záväzný akt Európskej únie, ktorý odkazuje na technické normy, odkazovať sa na ne možno iba v poznámke pod čiarou. V poznámke pod čiarou sa uvedie označenie, číslo a názov technickej normy a triediaci znak technickej normy v zátvorke v súlade s platnou sústavou slovenských technických noriem s použitím nedatovaných odkazov na technické normy. Podmienkou takejto citácie medzinárodnej alebo európskej technickej normy je, že norma je prevzatá do sústavy STN.

Zároveň, podľa § 3 ods. 7 zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky platí, že cudzie pojmy možno použiť len výnimočne, ak ich použitie nie je na úkor všeobecnej zrozumiteľnosti právneho predpisu a:

1. sú už súčasťou ustálenej právnej terminológie,
2. používajú sa bežne v upravovanom odvetví alebo
3. nemožno ich nahradiť vhodným a rovnocenným pojmom v štátnom jazyku.

Tiež podľa § 16 tohto zákona sa zbierka zákonov vydáva v štátnom jazyku.

Slovenský národný normalizačný orgán podľa § 4a písm. c) zákona č. 60/2018 Z. z. o technickej normalizácii zverejňuje na svojom webovom sídle kritériá na tvorbu slovenskej technickej normy a technickej normalizačnej informácie v štátnom jazyku a podľa § 4a písm. m) zodpovedá za jazykovú a terminologickú správnosť prijatej pôvodnej slovenskej technickej normy a pôvodnej technickej normalizačnej informácie v štátnom jazyku.

Z vyššie uvedených ustanovení možno usudzovať, že citácia cudzích pojmov v právnom predpise môže byť vykonaná len v štátnom jazyku a že teda prevzatie normy, pri ktorej sa predpokladá citovanie vo všeobecne záväznom právnom predpise, by malo byť vykonané prekladom do slovenského jazyka.

Avšak v tomto existuje určitá nejednoznačnosť vo výklade legislatívnych pravidiel, pokiaľ ide o harmonizované technické normy. Ako už bolo uvedené inde, so zreteľom na právne dôsledky všetky hospodárske subjekty v EÚ by mali mať rovnakú východiskovú pozíciu pri využívaní harmonizovaných noriem.

Technické normy sa do sústavy STN môžu preberať aj na priame používanie, bez prekladu do štátneho jazyka, len s anotáciou v štátnom jazyku. Ak je podľa čl. 23.10 legislatívnych pravidiel vlády SR jedinou možnosťou citácie technickej normy v právnom predpise iba poznámka pod čiarou, pričom táto norma musí byť v súlade s platnou sústavou STN, implikuje to aj možnosť, že v právnom predpise by sa malo dať odkazovať aj na technické normy prevzaté do sústavy STN na priame použitie, bez prekladu. Vzhľadom na nedostatočnú mieru adopcie špecializovaných technických noriem do sústavy STN je pre tvorbu právnych predpisov v kybernetickej bezpečnosti a ochrane údajov táto možnosť nespornou výhodou. Bolo by to však v nesúlade s požiadavkou § 3 ods. 7 zákona č. 400/2015 Z. z. o tvorbe právnych predpisov, podľa ktorého cudzie pojmy možno použiť len výnimočne. Legislatívna rada vlády, ktorá je ultimátnym orgánom zodpovedným za posúdenie návrhov právnych predpisov a rozhodnutie o pokračovaní legislatívneho procesu, typicky nie je prístupná výnimkám. Na výnimočné použitie cudzích pojmov v právnom predpise sa preto nemožno spoliehať.

Záväznosť technických noriem vo všeobecne záväzných právnych predpisoch sa riadi vyššie uvedenými pravidlami. Samozrejme, technické normy sa môžu stať záväznými aj v rámci zmluvných vzťahov, napríklad v obchodných zmluvách medzi dodávateľom a odberateľom alebo v dohodách o úrovni služieb (SLA).

Spať do Obsahu článku

Možnosti aplikácie technických noriem

Spôsobov, ako sa subjekt môže dobrovoľne riadiť alebo ako je subjekt povinný sa riadiť požiadavkami technickej normy, je niekoľko:

1. Subjekt použije iné riešenie, ako popisuje technická norma.
2. Subjekt dobrovoľne dodržuje technickú normu.
3. Subjekt dodržuje národnú harmonizovanú technickú normu v rámci zmluvného záväzku.
4. Požiadavky národnej harmonizovanej technickej normy majú odporúčací charakter v rovine všeobecnej požiadavky stanovenej právnym predpisom.
5. Požiadavky národnej harmonizovanej technickej normy sú nepriamo prevzaté do textu právneho predpisu.
6. Plnenie požiadaviek STN je ustanovené všeobecne záväzným právnym predpisom, formou odkazu na STN ako na jediné zákonom uznané riešenie splnenia požiadaviek všeobecne záväzného právneho predpisu. (Táto možnosť je vzhľadom na vyššie uvedené prinajmenšom problematická.)

Spať do Obsahu článku

Ochrana technických noriem

Na technické́ normy sa neuplatňuje autorský zákon. Rozšírenie, rozmnoženie alebo citácia z technických noriem sú možné len so súhlasom ÚNMS SR.

V zmysle § 14 ods. 1 zákona č. 60/2018 Z. z. sa názov slovenská technická norma, značka „STN“, názov predbežná́ slovenská́ technická́ norma, značka „STN P“, názov technická normalizačná informácia a značka „TNI“ nesmú použiť na označenie iného dokumentu.

Normy sa okrem osobitných prípadov poskytujú za úhradu (osobitné prípady aj bez úhrady). Oprava normy sa poskytuje bezodplatne. Poplatky sú určené vyhláškou ÚNMS SR č. 76/2019 Z. z. o výške úhrady za poskytovanie technickej normy.

Spať do Obsahu článku

Plán rozvoja technickej normalizácie

ÚNMS pripravuje koncom každého kalendárneho roka tzv. plán rozvoja technickej normalizácie.

V pláne programu rozvoja technickej normalizácie ÚNMS SR pre nasledujúce obdobie v kontexte informačnej a kybernetickej bezpečnosti a ochrany údajov sú zahrnuté viaceré technické normy, napríklad:

• STN EN ISO/IEC 27013 Informačné technológie. Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Návod na spoločnú implementáciu ISO/IEC 27001 a ISO/IEC 20000-1 (EN ISO/IEC 27013:2021),
• STN EN ISO/IEC 27037 Informačné technológie. Bezpečnostné metódy. Návod na identifikáciu, zber, získavanie a uchovávanie digitálnych dôkazov (ISO/IEC 27037: 2012),
• FprCEN/TR 17982 Normy európskej identity digitálnej peňaženky. Rozdielová analýza,
• prEN ISO/IEC 2382-37 rev Biometrická viacjazyčná slovná zásoba založená na anglickej verzii ISO/IEC 2382-37: 2012,
• STN ISO/IEC 27032 Kyberbezpečnosť. Usmernenia pre internetovú bezpečnosť (ISO/IEC 27032: 2023).

Nedávno boli prekladom prevzaté nasledujúce technické normy:

• STN EN ISO/IEC 27001 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Systémy manažérstva informačnej bezpečnosti. Požiadavky (ISO/IEC 27001: 2022)
• STN EN ISO/IEC 27032:2023 Informačné technológie. Bezpečnostné metódy. Návod na kyberbezpečnosť (ISO/IEC 27032: 2012),
• STN EN ISO/IEC 27002:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Riadenie informačnej bezpečnosti (ISO/IEC 27002: 2022),
• STN ISO/IEC 27005:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Usmernenie k riadeniu rizík informačnej bezpečnosti,
• STN EN ISO/IEC 27701:2022 Bezpečnostné metódy. Rozšírenie noriem ISO/IEC 27001 a ISO/IEC 27002 o riadenie bezpečnosti osobných údajov. Požiadavky a usmernenia (ISO/IEC 27701: 2019).

Trieda 27xxx pozostáva z niekoľkých desiatok noriem. Niektoré z nich sú prevzaté do sústavy STN, či už prekladom, alebo v origináli. Treba tiež zdôrazniť, že kybernetickou odolnosťou alebo ochranou údajov sa zaoberajú aj normy v iných triedach, predovšetkým 29xxx, 24xxx, alebo 20xxx. Za zmienku stoja napríklad normy prevzaté do STN:

• STN EN ISO/IEC 29147:2020 Informačné technológie. Bezpečnostné metódy. Odhaľovanie zraniteľností (ISO/IEC 29147: 2018) alebo
• STN EN ISO/IEC 29100:2020 Informačné technológie. Bezpečnostné metódy. Rámec ochrany osobných údajov (ISO/IEC 29100: 2011),

ale aj normy ISO/IEC, ISO alebo EN, ktoré po dohode v technickej komisii TK37 bude môcť ÚNMS SR potenciálne zaradiť do plánu rozvoja technickej normalizácie, napríklad:

• ISO/IEC 27557:2022 Information security, cybersecurity and privacy protection — Application of ISO 31000:2018 for organizational privacy risk management (Informačné technológie. Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Riadenie rizika ochrany súkromia v organizáciách),
• prEN 17926 Privacy Information Management System per ISO/IEC 27701 – Refinements in European context. (Systém riadenia osobných údajov podľa ISO/IEC 27701 – Upresnenia v európskom kontexte),
• ISO/IEC 42001:2023 – Information technology – Artificial intelligence – Management system (Informačné technológie. Umelá inteligencia. Systém manažérstva).

Spať do Obsahu článku

Normy súvisiace s kybernetickou bezpečnosťou

Existuje nemalé množstvo noriem, ktoré súvisia s použitím v oblasti informačnej a kybernetickej bezpečnosti, ochrany údajov a v súvisiacich doménach, napríklad v manažérstve IT služieb, manažérstve kontinuity činností, riadení životného cyklu systémov, riadení životného cyklu vývoja softvéru, riadení projektov.

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti udržuje na svojom webovom portáli zoznam niektorých vybraných technických noriem.

Tento zoznam technických noriem v žiadnom prípade nie je možné považovať za vyčerpávajúci. Ako bolo uvedené na inom mieste, plány technickej normalizácie v ISO/IEC, v CEN/CENELEC, ako aj v ÚNMS SR sa neustále vyvíjajú a dopĺňajú, najmä s ohľadom na rýchlo sa rozvíjajúce technológie.

Spať do Obsahu článku

Záver

Služby informačných a komunikačných technológií a s nimi aj objem automatizovane spracúvaných údajov, vrátane použitia umelej inteligencie v posledných rokoch exponenciálne narastajú. To sa, prirodzene, týka aj zvýšenej potreby ochrany informačných aktív.

Aj v recitáloch niekoľkých právnych aktov EÚ sa často zdôrazňuje, že je nevyhnutné zabezpečiť, aby výrobky požívajúce výhodu voľného pohybu tovaru v rámci EÚ spĺňali požiadavky poskytujúce vysokú úroveň ochrany verejných záujmov, napríklad aj v oblasti informačnej a kybernetickej bezpečnosti alebo ochrany spotrebiteľov. Z toho dôvodu je nevyhnutné stanoviť celkový rámec pravidiel a zásad vo vzťahu k akreditácii a dohľadu nad trhom. Rámec akreditácie orgánov posudzovania zhody, ako aj certifikácie v kybernetickej bezpečnosti a ochrane údajov by nemal mať dosah na hmotnoprávne pravidlá platných právnych predpisov, ale mal by mať za cieľ zlepšiť ich fungovanie.

Je veľmi ťažké prijať pre každý produkt, proces alebo službu samostatné právne predpisy, ktoré by v dostatočnom detaile opísali požiadavky na nich kladené. Práve preto je detaily vhodné ponechávať výhradne na technické normy a v rámci legislatívneho procesu nepodľahnúť neprimeraným očakávaniam, že podrobnosti, ktoré prináležia technickým normám, je možné ošetriť vo forme všeobecne záväzných právnych predpisov. Aj keď je pravdou, že najmä európska legislatíva má v posledných rokoch tendenciu zachádzať v právnych aktoch EÚ do detailov obvyklých donedávna iba pre technické normy. Ukážkovým príkladom tejto nevhodnej legislatívnej praxe je napríklad „Delegované nariadenie Komisie (EÚ) 2023/1717, ktorým sa mení smernica Európskeho parlamentu a Rady 2014/53/EÚ, pokiaľ ide o technické špecifikácie nabíjacieho portu a komunikačného protokolu nabíjania pre všetky kategórie alebo triedy rádiových zariadení, ktoré možno nabíjať cez kábel.“

Tu je potrebné zdôrazniť rozdielnosť oproti legislatívnym pravidlám Európskej únie, pretože, kým v slovenskom práve je možné odkazovať sa na normy výhradne iba v poznámke pod čiarou, v právnych predpisoch EÚ sú názvy technických noriem EN ISO/IEC priamo citované v paragrafovom znení. To následne spôsobuje aj nemalé problémy s ich interpretáciou. Nariadenia Európskeho parlamentu a Rady („Regulations of the European parliament and of the Council“) sú priamo vykonateľnými sekundárnymi právnymi aktmi Európskej únie a ako také už v rámci slovenskej legislatívy ich finálny text nie je možné akokoľvek pozmeňovať. Z toho dôvodu sa Slovensko bude zrejme musieť vysporiadať s touto nezrovnalosťou v legislatívnych pravidlách vlády SR.

V súvislosti s aplikovaním noriem v legislatíve jestvuje ďalší problém. Technické normy citované v technických predpisoch musia byť verejne prístupné, pričom, ak predkladateľ všeobecne záväzného právneho predpisu uvádza odkaz na slovenskú technickú normu v texte návrhu všeobecne záväzného právneho predpisu, uhrádza výdavky na spracovanie slovenskej technickej normy v štátnom jazyku, ako aj výdavky na každé poskytnutie slovenskej technickej normy. Na jednej strane – vzhľadom na poplatky, ktoré je ÚNMS SR povinný uhrádzať medzinárodným normalizačným organizáciám za publikovanie noriem, ako aj v súvislosti so všetkými nákladmi procesu tvorby a publikovania noriem, je táto prax pochopiteľná. Pre zvýšenie efektivity by však bolo účelné prehodnotiť celý proces uhrádzania poplatkov a zvážiť prípadne aj iné formy krytia výdavkov, napríklad zahrnutím tejto položky v rámci plánovania štátneho rozpočtu.

V zmysle článku 14 ods. 5 nariadenia č. 765/2008 Komisia v danom čase môže uznať iba jeden národný akreditačný orgán za každý členský štát. Uvedené podľa môjho názoru uzatvára polemiky v súvislosti s článkom 43 GDPR, podľa ktorého by certifikačné subjekty mohli byť na základe rozhodnutia členského štátu akreditované nielen národným akreditačným orgánom vymenovaným v súlade s nariadením č. 765/2008, v súlade s akreditačnou normou EN-ISO/IEC 17065:2012, ale alternatívne aj samotným dozorným orgánom v oblasti ochrany osobných údajov daného členského štátu.

Je zjavné, že technická normalizácia trpí mnohými nedostatkami a nevyjasnenými pravidlami. Politické programy neobchádzajú ani túto oblasť života spoločnosti. Technické normy sú však naďalej objektívnym a dôveryhodným zdrojom informácií o najlepšej praxi pre potreby znalostného manažmentu.

Spať do Obsahu článku

 

§ 1 zákona č. 60/2018 Z. z.

§ 3 ods. 11 zákona č. 60/2018 Z. z.

§ 4 ods. 1 písm. c) bod 2 zákona č. 55/2018 Z. z.

§ 1 zákona č. 56/2018 Z. z.

§ 1 vyhlášky č. 76/2019 Z. z.

Autor: Ing. Ivan Makatura, CRISC, CDPSE