Zmluvy s tretími stranami po 31. 8. 2025

Na úvod

V § 19 ods. 2 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „Zákon“) je ustanovená zákonná požiadavka: „Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby...“ Vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach (ďalej len „Vyhláška“) v § 8 ustanovuje požiadavku: „Zmluva podľa § 19 ods. 2 zákona uzatvorená do 31. augusta 2025 ostáva v platnosti najneskôr do doby pôvodne v nej dohodnutej; túto dobu nemožno po 31. auguste 2025 predĺžiť, ak už uzatvorená zmluva nie je v súlade s bezpečnostnými opatreniami podľa § 3 až 7.“

Povinnosť zmluvne ošetriť bezpečnostné opatrenia vo vzťahu s tretími stranami je logická. Avšak zákaz predĺženia existujúcich zmlúv v prípade, že nespĺňajú podmienku súladu s bezpečnostnými opatreniami podľa § 3 až 7 Vyhlášky, je sporné ustanovenie, podľa mnohých názorov odborníkov presahujúce rámec zákonného splnomocnenia. Navyše je možné naraziť aj na vážny terminologický problém – kto je oprávnený (a spôsobilý) posúdiť bezpečnostné opatrenia a ich prípadný súlad?

 

Súlad verzus zhoda

Najprv k etymológii výrazu samotného: Na prvý pohľad sa môže zdať zvláštne začínať odborný text o kybernetickej bezpečnosti lingvistickou exkurziou. Avšak presné pochopenie významu slov „zhoda“ a „súlad“ je kľúčové, pretože tieto pojmy sa priamo premietajú do právnych povinností prevádzkovateľov základných služieb ustanovených legislatívou. Rozdiel medzi nimi nie je len jazykovou nuansou – v praxi rozhoduje o tom, či bude zmluva po 31. 8. 2025 platná alebo sa ocitne v nesúlade s Vyhláškou. A to je rozdiel, ktorý pre podniky môže znamenať miliónové dôsledky.

Prejdime k jazykovému a významovému vysvetleniu:

zhoda -y zhôd ž.

1. vzťah súhlasu vo vlastnostiach najmenej dvoch vecí, javov, totožnosť, jednota: úplná, čiastočná z.

2. súlad (význ. 2), harmónia

3. náhodné zoskupenie

Sémanticky je výraz zhoda odvodený od slovesa zhodnúť sa, t. j. „zísť sa v jednom bode“, „mať rovnakosť alebo totožnosť“. Pôvodne vyjadruje presnú identitu alebo jednotu vlastností.

 

súlad -u m.

1. vzájomná vyrovnanosť zložiek celku, súhra, harmónia

2. vzájomné porozumenie, zhoda, harmónia

dať, uviesť do s-u zladiť; v súlade s predl. s I podľa: (konať) v s-e s predpismi;

Výraz súlad je odvodený od slovesa ladiť (so spojkou „s-“ = spolu), t. j. „byť vo vzájomnej harmónii, tvoriť celok“. Etymologicky označuje harmonizáciu, zosúladenie, nie identitu.

 

„Posudzovanie zhody“ je postup preukázania, či boli splnené špecifické požiadavky týkajúce sa výrobku, postupu, služby, systému, osoby alebo orgánu [zákon č. 56/2018 Z. z., resp. nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (text s významom pre EHP) (ďalej len „Nariadenie č. 765/2008“)]. Táto právna definícia je takmer totožná s definíciou v medzinárodnej technickej norme STN EN ISO/IEC 17000 Posudzovanie zhody. Slovník a všeobecné zásady (ISO/IEC 17000: 2020).

„Orgán posudzovania zhody“ je subjekt vykonávajúci činnosti posudzovania zhody vrátane kalibrácie, skúšania, osvedčovania a inšpekcie [zákon č. 56/2018 Z. z., resp. Nariadenie (EÚ) č. 765/2008].

„Súlad“ ako samostatný právny pojem nie je v právnych predpisoch SR definovaný. Jazykový význam slova je prevzatý zo slovenského jazyka, ale právna terminológia ho ponecháva v opisnej rovine, bez samostatnej definície.

Naproti tomu pojem „zhoda“ je v právnych predpisoch SR aj EÚ explicitne definovaný a používaný. Pojem „posudzovanie zhody“ (conformity assessment) je výraz z oblasti akreditácie a certifikácie. Týka sa to aj kybernetickej bezpečnosti; napríklad certifikácie audítorov kybernetickej bezpečnosti, podľa normy STN EN ISO/IEC 17024 Posudzovanie zhody – všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb, alebo certifikácie systémov manažérstva podľa normy STN EN ISO/IEC 17021-1 Posudzovanie zhody – Požiadavky na orgány vykonávajúce audit a certifikáciu systémov manažérstva – Časť 1: Požiadavky, alebo certifikácie produktov podľa normy STN EN ISO/IEC 17065 Posudzovanie zhody – Požiadavky na orgány vykonávajúce certifikáciu výrobkov, procesov a služieb.

Samozrejme, ide aj o posudzovanie zhody prijatých bezpečnostných opatrení – či už formou auditu kybernetickej bezpečnosti podľa § 29 Zákona, alebo certifikačného auditu, ktorý je súčasťou certifikačnej služby, napríklad pri certifikácii systémov manažérstva informačnej bezpečnosti podľa STN EN ISO/IEC 27001 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Systémy manažérstva informačnej bezpečnosti – Požiadavky.

Možné formy preukázania výsledku posúdenia zhody sú stanovené technickou normou STN EN ISO/IEC 17000. Môže to byť:

• protokol o skúške – ak sa robí testovanie produktu alebo systému;
• správa z inšpekcie – ak sa robí inšpekcia alebo kontrola;
• certifikát o zhode – ak sa uplatňuje certifikačná schéma;
• vyhlásenie o zhode (Supplier’s Declaration of Conformity, SDoC) – ak výrobca alebo dodávateľ prehlási, že produkt spĺňa stanovené požiadavky.

Naproti tému posúdenie súladu (compliance assessment) nezvykne mať stanovený jednotný formát potvrdenia výsledku. Závisí to od právneho rámca alebo od usmernenia regulačného orgánu.

 

V čom spočíva problém?

Terminologicky problematická časť Vyhlášky je: ... túto dobu nemožno po 31. auguste 2025 predĺžiť, ak už uzatvorená zmluva nie je v súlade s bezpečnostnými opatreniami podľa § 3 až 7... (§ 8 Vyhlášky 227/2025 Z. z.).

Podľa § 29 ods. 1 Zákona: „Auditom kybernetickej bezpečnosti sa rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov...“

Z toho vyplýva, že v kontexte Vyhlášky posúdenie súladu s bezpečnostnými opatreniami = posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami Zákona a Vyhlášky. V jazyku sú tieto dve slová synonymá. Ide o rovnaký význam s mierne odlišnou váhou. Výraz „zhoda“ sa používa v striktnom význame – ako splnenie špecifických požiadaviek týkajúcich sa výrobku, postupu, služby, systému, osoby alebo orgánu. Naproti tomu „súlad“ funguje skôr ako soft spojenie – vyjadruje harmonizáciu či zladenie, nie bezpodmienečne presnú identitu vlastností alebo požiadaviek. Napriek tomu, ako aj § 8 Vyhlášky ukazuje, v právnej praxi sú to blízke, aj keď nie vždy zameniteľné pojmy. Normy ISO/IEC ich používajú striktne, slovenská legislatíva nie. V praxi táto diskrepancia môže spôsobiť odlišný výklad, ako sa to aj deje.

Podľa § 8 Vyhlášky je cieľom posúdenie súladu teda preveriť, či sú dodržané požiadavky právneho predpisu. V tomto prípade požiadavky na bezpečnostné opatrenia tretej strany, zvyčajne poskytovateľa outsourcingu. Z kontextu a cieľa ustanovenia možno usudzovať, že implicitnou požiadavkou § 8 Vyhlášky je posúdenie nezávislou, nestrannou a dôveryhodnou formou a subjektom, ktorý je k uvedenému oprávnený.

Spomenuté pojmy úzko súvisia s problematikou akreditácie a posudzovania zhody. Podľa STN EN ISO/IEC 17000:

Nestrannosť je objektivita vzhľadom na výsledok činnosti posudzovania zhody (nestrannosť možno chápať ako nezávislosť od zaujatosti alebo nezávislosť od konfliktu záujmov) (čl. 5.3 STN EN ISO/IEC 17000).

Nezávislosť je sloboda osoby alebo organizácie od nadriadenosti alebo autority iného subjektu (napr. orgán posudzovania zhody funguje bez väzby na predmet posudzovania). (čl. 5.4 STN EN ISO/IEC 17000).

Tieto pojmy tvoria základ metodiky pre posudzovanie zhody v rôznych oblastiach, a to vrátane kybernetickej bezpečnosti.

Norma rozlišuje medzi posúdením prvou, druhou a treťou stranou. Posúdenie prvou stranou je interné samohodnotenie, ktoré vykonáva organizácia na vlastný účet a riziko. Posúdenie druhou stranou znamená hodnotenie zo strany obchodného partnera alebo zákazníka, ktorý má priamy záujem na výsledku. Posúdenie treťou stranou zabezpečuje nezávislý subjekt bez priameho záujmu, štandardne ide o akreditovaný orgán alebo audítora, a preto má najvyššiu dôveryhodnosť. Na tomto mieste je čas zdôrazniť, že aj audit kybernetickej bezpečnosti podľa § 29 Zákona je posúdenie zhody treťou stranou. Posúdenie síce nevykonáva právnická osoba, ktorou je akreditovaný orgán posudzovania zhody, ale aj sám audítor musí byť certifikovanou osobou, prostredníctvom akreditovaného orgánu posudzovania zhody.

V prípade požiadavky § 8 Vyhlášky by sa dalo uvažovať o posúdení prvou stranou, t. j. uplatnení vhodnej metódy samohodnotenia (bližšie vysvetlím v nasledujúcom texte).

Posúdenie druhou stranou je pre tento prípad irelevantné, pretože ide o hodnotenie zmlúv o činnostiach, ktoré sú PZS vykonávané dodávateľským spôsobom a obchodný partner alebo zákazník PZS, ktorý by mal priamy záujem na výsledku v tomto vzťahu, neexistuje, resp. zrejme nemá logický vzťah k predmetu posúdenia. Pacient nemocnice zrejme nie je ten, kto má vykonávať posudzovanie kyberbezpečnosti dodávateľa nemocničného informačného systému. Koncový spotrebiteľ energie nemá možnosť ani právne postavenie posudzovať kybernetickú bezpečnosť SCADA systémov distribučnej spoločnosti. Taktiež – klient banky má prístup k elektronickému bankovníctvu, no nemá oprávnenie posudzovať bezpečnosť cloudovej služby, ktorú si banka outsourcuje.

Zostáva teda posúdenie treťou stranou. A to je podstata problému v kontexte § 8 Vyhlášky. Pokúsim sa vzťahy v procesoch posudzovania zhody pre tri vyššie uvedené metódy posudzovania vysvetliť graficky.

Posúdenie prvou stranou (samohodnotenie) si vyžaduje pre tento prípad dve rôzne schémy. Pretože (ako vysvetlím neskôr) samohodnotenie môže vykonať dodávateľ nad vlastným plnením, ale aj PZS nad odoberaným plnením.

 

 

Ak odhliadneme od možnosti certifikácie kybernetickej bezpečnosti ako posúdenia akreditovanou treťou stranou, audit kybernetickej bezpečnosti predstavuje dostupnejší a menej nákladný, no stále dostatočne spoľahlivý treťostranný spôsob posúdenia zhody (resp. súladu) bezpečnostných opatrení s právnymi požiadavkami.

Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby... (§ 29 ods. 3 Zákona).

 

Čo sú to opatrenia?

Všeobecný pojem „opatrenia“ nie je možné úzko obmedziť len na implementáciu bezpečnostných technológií, ale na druhej strane – pojem taktiež nevymedzuje iba konanie v právnej rovine.

Pri vysvetlení pojmu si opäť možno pomôcť slovníkmi Jazykovedného ústavu Ľ Štúra SAV.

 

Krátky slovník slovenského jazyka 4 z r. 2003:

opatrenie -ia s. zákrok na zabezpečenie niečoho: ochranné, hospodárske, protipožiarne o.; nariadiť potrebné o-ia; súbor o-í; urobiť o.

 

Veľmi podobne to slovo definuje aj Synonymický slovník slovenčiny z r. 2004:

opatrenie zákrok na dosiahnutie istého cieľa, výsledku a pod. krok: bolo nevyhnutné urobiť sériu ochranných opatrení, krokov; zákrok, zásah: nevyhnutné zákroky, zásahy; p. aj zákrok

 

Zákon správne v § 20 ods. 1 uvádza detailnejšie: „Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov a operačných technológií.“

Bezpečnostné alebo ochranné opatrenia (z anglického: „measures“ alebo „controls“) – je výraz používaný pre praktiky, postupy, procedúry a mechanizmy technického alebo procesného charakteru, ktoré môžu pomôcť znížiť známe zraniteľnosti, chrániť systém alebo organizáciu pred kybernetickými hrozbami. V prípade, že sa hrozba už uplatnila a spôsobila malígnu udalosť, majú bezpečnostné opatrenia túto udalosť odhaliť a obmedziť jej vplyv. Následné bezpečnostné opatrenia majú umožniť zotavenie systému alebo organizácie zo škodlivej udalosti, resp. incidentu. Pojem opatrenia sa nepochybne používa aj v zmysle právneho konania, ktoré potenciálne zaručí odškodnenie strát vyvolaných škodlivou udalosťou vo vzťahu k definovanému alebo nárok si uplatňujúcemu subjektu.

 

Deklarácia alebo posúdenie?

Pre profesionálov v kybernetickej bezpečnosti opatrenia znamenajú zákroky na dosiahnutie cieľa, ktorým je ochrana informačných aktív. Pod pojmom opatrenia kybernetickej bezpečnosti sú prirodzene predpokladané praktické zásahy, ktorých účelom je aktívne upraviť procesné, fyzické a technologické prostredie sietí a informačných systémov a operačných technológií s cieľom dosiahnuť, zaručiť a udržať kybernetickú bezpečnosť. Tu sa zhodneme, že reálna úprava prostredia nenastane iba samotným písomným konštatovaním, že požiadavka na takúto úpravu je splnená.

V právnej praxi sa, naopak, často uplatňuje výklad, podľa ktorého sa opatrenia redukujú na formálne vyhlásené kroky, zachytené v podobe dokumentácie alebo zápisu.

Paradoxne, je to zo strany právnickej verejnosti celkom pochopiteľný prístup. Listinná forma dôkazu je totiž jednou z hlavných zákonom uznaných dôkazných foriem v civilnom aj trestnom konaní. Pojem „listinný dôkaz“ je procesným označením pre dôkaz vykonaný prostredníctvom listiny, teda dokumentu inej formalizovanej písomnosti. Hoci presná definícia listinného dôkazu v slovenskom právnom poriadku neexistuje – jeho obsah je ustálený najmä súdnou praxou a právnou doktrínou. Za listinný dôkaz sa považuje písomný dokument, či už úradná alebo súkromná listina, v papierovej alebo elektronickej podobe, ktorý má preukazovať určitú skutočnosť významnú pre konanie.

Procesnoprávny rámec vedie k tomu, že realita sa vníma predovšetkým prostredníctvom dokumentov, keďže listiny sú tradične najčastejším dôkazným prostriedkom. V súvislosti s kybernetickou bezpečnosťou by to však bol príliš zjednodušujúci pohľad. Opatrenia v kybernetickej bezpečnosti ani zďaleka nie sú len textom v právnom predpise, v zmluve, jej dodatku či v zápise. Opatrenia sú každodenne sa meniacou realitou vo fyzickom prostredí – procesy, organizačné kroky, konfigurácie systémov, IT architektúra, sieťová topológia, riadenie identít, monitorovacie mechanizmy a množstvo ďalších kategórií.

To, že opatrenia sú papierovo zachytené, ešte vôbec neznamená, že naozaj existujú alebo že sú funkčné. Je to nakoniec jasne zdôraznené aj v § 29 ods. 2 Zákona, podľa ktorého: „Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti...“ Ak by bolo povinnosťou PZS iba skontrolovať, či je nejaké opatrenie správne písomne deklarované, nespomínalo by sa v tomto ustanovení PREVERENIE ÚČINNOSTI prijatých bezpečnostných opatrení. Tu si teda položme otázku – ako sa dá účinnosť bezpečnostného opatrenia preveriť iba posúdením formulácie ustanovenia v zmluve? Prihlási sa dobrovoľne nejaký právnik, ktorý to bude vedieť odbornej verejnosti názorne ukázať?

Úrad zvolil terminologicky menej jednoznačný výraz „súlad“ namiesto „zhoda“.
V kontexte § 8 Vyhlášky to vyvolalo odbornú diskusiu a množstvo výkladov: či ide len o kontrolu formálnych náležitostí zmlúv voči požiadavkám právnych predpisov, alebo vice versa, o prísne posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami zákona a ich účinnosti zo strany certifikovaného audítora kybernetickej bezpečnosti.

Pri tvorbe právnych predpisov sa vyžaduje, aby právne normy boli jasné, určité a zrozumiteľné. Ústavný súd SR opakovane konštatuje, že adresát musí byť schopný zo samotného znenia normy predvídať svoje povinnosti a následky ich porušenia (napr. PL. ÚS 15/98, II. ÚS 236/08-23, II. ÚS 442/2021-41). Ak teda tvorca predpisu myslel audit podľa § 29 ods. 1 Zákona, mal spôsob overenia návrhu, prijímania a vykonávania bezpečnostných opatrení pomenovať audit kybernetickej bezpečnosti. Ak myslel samohodnotenie podľa § 29 ods. 8 Zákona, mal spôsob overenia návrhu, prijímania a vykonávania bezpečnostných opatrení pomenovať, napr. samohodnotenie prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Ak myslel čestné vyhlásenie, má to byť výslovne uvedené. Bolo by logické, aby Úrad formuloval ustanovenia tak, ako ich aj zamýšľal – bez nutnosti následných interpretačných sporov s potenciálom vzniku problémov v aplikačnej praxi, ktoré si dodatočnú interpretáciu tak ako tak vyžiadajú. Odchýlka od tejto zásady otvára priestor na nejednoznačné výklady a prenáša riziká, právne aj finančné, na adresátov právnej normy, povinné subjekty.

Počas nedávneho verejného stretnutia s úradom zaznel aj názor, že súlad zmlúv s bezpečnostnými opatreniami by sa mohol posudzovať ex post, pričom už uzatvorené zmluvy by mohli byť spätne považované za neplatné. Takýto extrémny výklad je právne aj prakticky problematický, až absurdný a hraničiaci so zákonnosťou a nemôže predstavovať majoritnú názorovú líniu. Neplatnosť zmluvy je sankcia alebo zákonom konkrétne ustanovený stav majúci svoje presné podmienky, ktorá musí byť výslovne ustanovená zákonom, nie odvodená následným gestorským výkladom podzákonnej právnej normy, ktorá má len spresňovať zákonnú dikciu, z ktorej vychádza. Navyše, ex post zásah do platnosti právneho úkonu by bol v rozpore so zásadou predvídateľnosti práva a právnej istoty ako takej. To, že vôbec vznikol priestor na takýto výklad, však ilustruje podstatu problému, ktorým je, že § 8 Vyhlášky ide nad rámec zákonného splnomocnenia. Zákon s možnosťou spätnej neplatnosti vôbec neuvažuje a nejasná formulácia Vyhlášky preto vytvára normatívnu nejasnosť, ktorá povedie do aplikačného chaosu. Ak by mala byť dôsledkom nesúladu sankcia vo forme neplatnosti Zmluvy, musí to byť jednoznačne a výslovne vyjadrené v Zákone, nie iba odvodené (a rôznym spôsobom vykladané) z nepresnej formulácie Vyhlášky. Tu by sa dalo pravdepodobne oprieť aj o ustanovenie § 39 Občianskeho zákonníka, podľa ktorého: „Neplatný je právny úkon, ktorý svojím obsahom alebo účelom odporuje zákonu alebo ho obchádza alebo sa prieči dobrým mravom.“ Všeobecný pojem „zákon“ sa v tomto kontexte vykladá široko: zahŕňa nielen samotný Zákon v užšom zmysle, ale aj právne predpisy vydané na jeho vykonanie, teda vyhlášky.

Z vyššie uvedenej argumentácie vyplýva, že z hľadiska dobrej praxe kybernetickej bezpečnosti aj z hľadiska legislatívno-technického je ustanovenie § 8 Vyhlášky chybné, právne nepresné a mätúce. Zároveň je však potrebné zdôrazniť, že cieľ toho ustanovenia § 8 je ustanovený správne; úmyslom zákonodarcu bolo zaručiť, že každá tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, navrhla, prijala a vykonáva bezpečnostné opatrenia. To je úplne legitímna požiadavka, vyplývajúca nielen zo Zákona, ale priamo zo Smernice NIS2, ktorá týmto zatlačila na zvýšenie bezpečnosti dodávateľského reťazca naprieč všetkými členskými štátmi EÚ. Kto však má pri uplatnení § 8 Vyhlášky objektívne posúdiť bezpečnostné opatrenia dodávateľského reťazca?

 

Ako vykonať objektívne posúdenie

Žiaľ, v § 8 Vyhlášky nielenže nie je proces ustanovený, ale terminologickou chybou sa do Vyhlášky vniesla nejednoznačnosť, ktorá komplikuje praktickú aplikáciu tohto ustanovenia.

Základným princípom posudzovania zhody je nestrannosť osoby alebo subjektu, ktorý posúdenie vykonáva. Tento princíp by sa mal primerane uplatniť aj na posudzovanie zhody, resp. súladu zmlúv s bezpečnostnými opatreniami podľa § 3 až 7; ak posúdenie nie je vykonané nestranne, nemožno ho považovať za dôveryhodné a nemožno ním preukazovať splnenie povinností ani prenášať zodpovednosť. Ak „súlad“ skonštatuje PZS sám, ide len o interné sebahodnotenie bez právnej relevancie. Takéto vyhlásenie nie je možné považovať za objektívny dôkaz splnenia povinností podľa zákona a už vôbec nie za podklad na prenos zodpovednosti.

Ak Úrad výslovne nestanoví, že požiadavka podľa § 8 Vyhlášky sa má naplniť prvostranovým posúdením, napríklad formou čestného vyhlásenia dodávateľa, potom nemožno výraz „zmluva je v súlade s bezpečnostnými opatreniami podľa § 3 až 7“ vykladať inak, ako že ide o posúdenie, ktoré môže vykonať len kvalifikovaná a nestranná osoba. Osobami, ktoré majú priamo zo Zákona oprávnenie konštatovať, či sú bezpečnostné opatrenia v súlade s požiadavkami Zákona, sú iba certifikovaný audítor kybernetickej bezpečnosti, resp. kontrola Úradu. Akékoľvek samohodnotenie prevádzkovateľa alebo dodávateľa má len interný význam a zrejme nebude môcť slúžiť na účely preukázania súladu voči dohľadu či na súde.

Audit kybernetickej bezpečnosti (t. j. overenie plnenia povinností podľa Zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa Zákona a osobitných predpisov a preverenie účinnosti prijatých bezpečnostných opatrení) je možné vykonávať výhradne prostredníctvom certifikovaného audítora kybernetickej bezpečnosti. Okrem iného aj preto, lebo iné profesie nemajú zručnosti a vedomosti na odborné posúdenie toho, či nejaké bezpečnostné opatrenia sú alebo nie sú reálne implementované, ani aká je ich skutočná účinnosť.

 

Praktické dôsledky pre PZS

Prevádzkovateľ základnej služby sa pri tejto legislatívnej konštrukcii dostáva do pomerne absurdnej situácie. Ak má byť posúdenie „súladu“ chápané ako audit, nastáva problém jeho faktického zabezpečenia.

Na trhu je obmedzený počet certifikovaných audítorov kybernetickej bezpečnosti a ich kapacity sú už dnes napäté. Objednanie audítora bude znamenať nielen časové prieťahy, ale aj problémy s cenou. Otvára sa tým priestor na vznik sekundárneho trhu audítorských služieb – tentoraz s dumpingovými cenami od pochybných spoločností, ktorých je, žiaľ, na tomto trhu viac než dosť. V každom prípade však toto jedno ustanovenie vo Vyhláške bude pre PZS alebo pre tretie strany znamenať dodatočné náklady.

Na druhej strane, ak si PZS riskne overiť tieto zmluvy interne (bez audítora), nemá žiadnu istotu, že pri najbližšom audite alebo kontrole úradu nebude konštatované neplnenie požiadavky § 8. Výsledok? Prevádzkovateľ síce ušetrí pár tisíc eur na nevykonanom audite, ale zároveň riskuje, že jeho zmluvy nesplnia zákonné náležitosti. Takéto riziko si môže dovoliť len ten, kto je pripravený na následky – čo v praxi znamená ďalšie sankcie a reputačné škody.

Problémy sa dotknú aj obstarávania. Už v inom článku som naznačil, že zákaz predĺženia platnosti zmlúv bude v praxi znamenať nový proces obstarávania. To však v štandardných obchodných vzťahoch nie je vždy cieľom – napríklad preto, že cena poskytovanej služby môže byť pre PZS dlhodobo výhodná. Zo skúseností z korporátnej praxe viem, že odbory obstarávania často odmietajú diskutovať o otvorení zmluvy, kým sa nepriblíži dátum jej skončenia.

Problematické sú aj zmluvy, v ktorých predmet plnenia vytvára tzv. vendor lock-in.
V takom prípade PZS zvyčajne volí dodatok k zmluve, nie úplne novú zmluvu s iným dodávateľom – a to najmä v situácii, keď je dodávateľ technologicky unikátny alebo na trhu jediný. Z pohľadu kybernetickej bezpečnosti je navyše výhodnejšie udržať kontinuitu plnenia než riskovať, že plnenie bude prerušené z umelo vytvorených dôvodov.

Osobitnou kategóriou sú zmluvy na dobu neurčitú. Nie je pri nich jasné, aký dátum sa má považovať za „dobu pôvodne v zmluve dohodnutú“. Podobný problém nastáva aj pri zmluvách s automatickým predlžovaním, kde nie je jasná hranica, od ktorej by sa mala aplikovať zákonná bariéra predĺženia. Ak by sa povinnosť interpretovala striktne, znamenalo by to preniesť na vlastníkov procesov ďalšiu formálnu zodpovednosť, ktorú si nevyžaduje ani logika kybernetickej bezpečnosti. V konečnom dôsledku by to bola pre bezpečnosť skôr medvedia služba.

V neposlednom rade v praxi znamená zákaz predlžovania zmlúv nutnosť opakovaného obstarávania. Každý takýto proces však generuje cenové riziko. Dodávateľ môže využiť situáciu a pri novej súťaži nastaviť výrazne vyššiu cenu, než akú mal v pôvodnej zmluve. Pre PZS to znamená, že povinnosť vyplývajúca z Vyhlášky môže byť priamo v rozpore s princípom hospodárnosti, ktorý by inak bol pri riadnom obstarávaní základným kritériom.

 

Koľko to bude stáť?

Analýza vplyvov, ktorú Úrad predložil v rámci MPK, hodnotí len všeobecné náklady vyplývajúce z implementácie smernice NIS2 – teda nové povinnosti pre stredné a veľké podniky, prípravu bezpečnostnej dokumentácie, analýzu rizík, BCP a podobne. Sú tam dopočítané priemerné náklady na 1 subjekt (25 000 eur pre stredné podniky bez dokumentácie, 45 000 eur pre veľké podniky bez dokumentácie atď.) a z toho odvodený agregát 14,35 mil. ročne. Ani slovom sa však nevenuje zákazom predlžovania zmlúv po 31. 8. 2025 a finančným dopadom, ktoré môžu pre PZS nastať.

O koľko by sa táto analýza zvýšila, ak by brala do úvahy zvýšené náklady v súvislosti s posudzovaním zmlúv formou auditu a zároveň očakávateľného zvýšenia pôvodných cien obstarávaných služieb? Predovšetkým musíme vychádzať z počtu PZS, ktorých sa môže týkať potreba zmien v dodávateľských zmluvách.  

Na základe verejne dostupných údajov z Jednotného informačného systému kybernetickej bezpečnosti (JISKB) som vykonal štatistickú analýzu zmlúv, ktoré môže po 31. 8. 2025 fakticky „zneplatniť“ § 8 Vyhlášky.

V registri je zapísaných 1 397 prevádzkovateľov základných služieb (PZS) mimo verejnej správy, teda výlučne komerčné subjekty. Každý PZS má bežne 3 – 10 kritických dodávateľov (najmä IT infraštruktúra, riadené bezpečnostné služby, cloudové služby, IT služby, prevádzkové technológie). Veľké PZS, ako banky, telekomunikačné či energetické spoločnosti, môžu mať až stovky zmlúv.

Keďže presné údaje nie sú k dispozícii, výpočty vychádzajú z priemerov a konzervatívnych odhadov. Pre účely analýzy rátam s 10 – 15 dodávateľskými zmluvami na jedného PZS, čo znamená 14 000 až 21 000 zmlúv celkovo.

 

Scenáre nesúladu:

• optimistický (30 % nesúlad): 4 200 – 6 300 zmlúv,
• realistický (50 % nesúlad): 7 000 – 10 500 zmlúv,
• pesimistický (70 % nesúlad): 9 800 – 14 700 zmlúv.

 

Ekonomické dopady

Vzorec by bol nasledovný:

Dodatočné náklady = (počet dotknutých zmlúv × cena auditu/kontrakt) + (počet dotknutých zmlúv × podiel re-tendrovaných × priem. hodnota × % navýšenia).

Dosaďme si údaje:

• konzervatívny scenár: 4 200 zmlúv → +4,79 mil. eur → nový celok ≈ 19,1 mil. eur/rok,
• realistický scenár: 8 750 zmlúv → +19,7 mil. eur → nový celok ≈ 34,0 mil. eur/rok,
• pesimistický scenár: 14 700 zmlúv → +63,5 mil. eur → nový celok ≈ 77,9 mil. eur/rok.

Po 31. 8. 2025 sa v realistickom scenári dostalo do nesúladu 7 000 – 10 000 zmlúv, prevažne v sektoroch s dlhodobými kontraktmi bez klauzúl o kybernetickej bezpečnosti. Kapacitne situáciu komplikuje aj obmedzený počet audítorov (cca 100) a neprehľadný trh certifikátov MKB (odhadom až 500 vydaných, často však s nízkou pridanou hodnotou).

Je logické, že každý zákonodarca pripravuje analýzu vplyvov tak, aby si nekomplikoval legislatívny proces. Ak by analýza otvorene priznala prudký nárast nákladov pre podnikateľov, v MPK by sa okamžite zdvihla vlna odporu – najmä zo strany zamestnávateľských zväzov a veľkých podnikov, ktoré by takýto návrh rozmetali ešte pred schválením. Preto sa v oficiálnych podkladoch o skutočných dôsledkoch zvyčajne mlčí. Nič však nebránilo Úradu, aby si urobil poctivo domácu úlohu: buď realisticky dopočítať tieto náklady už v drafte analýzy vplyvov, alebo si minimálne vyžiadať odborné stanoviská od komunity. V takom prípade by som dnes o § 8 vôbec nepísal, žiaden problém by neexistoval.

 

Ako vyriešiť problém?

V anglickej odbornej terminológii na podobný spôsob posúdenia úrovne bezpečnostných opatrení existuje oveľa jednoznačnejší výraz „uistenie sa“ („assurance“). Ten by bol vyriešil celú túto polemiku o tom, aké slovo bolo potrebné použiť v § 8 Vyhlášky. Právomoc zmeniť text Vyhlášky má iba úrad. Či a kedy to spraví, a ako kvalitne, zostáva na jeho rozhodnutí.

Možno zákonodarca mal v úmysle požadovať len samohodnotenie podľa § 29 ods. 8 Zákona alebo posúdenie zhody prvou stranou, t. j. posúdenie, ktoré vykonáva osoba alebo organizácia poskytujúca objekt (definícia z STN EN ISO/IEC 17000). Teda len formálne overiť, že dodávateľ implementoval bezpečnostné opatrenia podľa § 3 až 7, mal sa tak vyhnúť výrazu „súlad“ (ale paradoxne aj výrazu „zhoda“). A ustanovenie § 8 Vyhlášky by mohlo znieť inak, napríklad:

„Zmluva podľa § 19 ods. 2 zákona uzatvorená do 31. augusta 2025 ostáva v platnosti najneskôr do doby pôvodne v nej dohodnutej; túto dobu možno po 31. auguste 2025 predĺžiť iba vtedy, ak sa dodávateľ zmluvne zaviaže, že prijal, dodržiava a vykonáva bezpečnostné opatrenia podľa § 3 až 7. Na účely tohto ustanovenia sa za preukázanie súladu považuje aj čestné vyhlásenie dodávateľa.“

Navrhovaná verzia by stanovila, že postačuje subjektívne vyhlásenie dodávateľa, bez povinnosti nezávislého overenia.

Ak forma preverenia plnenia bezpečnostných opatrení nie je určená, v praxi sa očakáva audit kybernetickej bezpečnosti. Alebo kontrola zo strany úradu. (Mimochodom – úrad si pri technicky zameraných kontrolách typicky zvykol v zmysle § 29g ods. 1 Zákona prizývať ku kontrole niektorého certifikovaného audítora kybernetickej bezpečnosti. Prečo asi...?)

Berúc do úvahy nejasné ustanovenie § 8 Vyhlášky, predpokladaný zámer tohto ustanovenia a možnosti jeho naplnenia, zostáva mi len jediné dostupné racionálne odporúčanie:

vykonajte posúdenie samohodnotením podľa § 29 ods. 8 Zákona, a to prostredníctvom JISKB.

Toto samohodnotenie nech vykoná váš manažér kybernetickej bezpečnosti alebo manažér kybernetickej bezpečnosti tretej strany. Aj tak však rátajte s tým, že Úrad alebo audítor kybernetickej bezpečnosti môže spochybniť kvalitu aj dôveryhodnosť takéhoto posúdenia. Následne vám úrad môže uložiť povinnosť vykonať audit kybernetickej bezpečnosti [§ 29j ods. 1 písm. a) Zákona] a uložiť pokutu za priestupok [§ 30 ods. 1 písm. c) Zákona]. Audit sa vám tým výrazne predraží. Istejšie bude rovno ho objednať.

Ak ide o tretiu stranu, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, požiadajte ju, aby vám pri uzatváraní Zmluvy dala na nahliadnutie záverečnú správu auditu kybernetickej bezpečnosti. Tú si bude musieť dať vykonať na svoje náklady, pretože sa auditu kybernetickej bezpečnosti tak či tak nevyhne. Totiž podľa § 17 ods. 1 písm. i) Zákona sa do registra prevádzkovateľov základnej služby zapisuje aj tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu. To znamená, že v čase, keď bude tretia strana s vami ako s PZS uzatvárať zmluvu, s najväčšou pravdepodobnosťou už bude sama v postavení prevádzkovateľa základnej služby. Alebo sa ním stane v najbližšom čase, a to práve na základe podpisu zmluvy.

Pre tretiu stranu, ktorá je PZS, sa uplatní ustanovenie § 29 ods. 2 Zákona, podľa ktorého: „Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad, a to po každej zmene majúcej významný vplyv na realizované bezpečnostné opatrenia a v určenom časovom intervale.“

 

Záver

Jednoznačné vyjadrenie o zhode PZS s požiadavkami Zákona v kontexte bezpečnostných opatrení je ultimátne oprávnený vysloviť len certifikovaný audítor kybernetickej bezpečnosti. A to vykonaním auditu kybernetickej bezpečnosti v zmysle § 29 ods. 1 Zákona, postupom podľa Vyhlášky Národného bezpečnostného úradu č. 493/2022 Z. z. o audite kybernetickej bezpečnosti a podľa platnej Metodiky auditu zverejnenej na stránke úradu. Ak úrad v § 8 Vyhlášky myslel posúdenie zhody, potom samohodnotenie nie je dostatočne dôveryhodným posúdením zhody pre tento účel.

V tej súvislosti mám vecné výhrady aj voči kvalite, dôveryhodnosti a spôsobu vykonávania auditu kybernetickej bezpečnosti vykonaním samohodnotenia podľa § 29 ods. 8 Zákona. Predovšetkým – samohodnotenie nie je audit. Ak si niekto myslí, že samohodnotenie alebo akési čestné vyhlásenie o kybernetickej bezpečnosti stačí, môže rovno vyhlásiť, že jeho servery sú neviditeľné pre hackerov. To je však na osobitnú úvahu.

Ustanovenie § 8 Vyhlášky zostáva naďalej sporné. V praxi vyvoláva viac otázok než jasných riešení. Dotýka sa totiž priamo zmluvnej autonómie, najmä v prostredí súkromných spoločností. Rozhodovanie o tom, či a kedy predĺžiť konkrétnu zmluvu, by malo patriť predovšetkým do kompetencie vlastníkov alebo manažmentu podniku, nie do rámca regulácie prostredníctvom podzákonného predpisu. Takto formulované ustanovenie posúva hranice zákonného splnomocnenia a prináša do aplikačnej praxe právnu neistotu. Následkom sú dodatočné finančné náklady a riziko, že prevádzkovatelia budú v neistote, aký postup je v súlade s očakávaniami dohľadu.

To, že ustanovenie § 8 Vyhlášky je nešťastne formulované, potvrdzuje aj normatívny paradox:

• v § 34a ods. 3 Zákona sa ustanovuje, že zmluvy uzatvorené podľa staršieho znenia (§ 9 ods. 3 v znení účinnom do 31. júla 2021) sa automaticky považujú za zmluvy uzatvorené v súlade s novým režimom (§ 9 ods. 2 v znení účinnom od 1. augusta 2021) až do konca obdobia, na ktoré boli uzatvorené. Zákonodarca tu teda zvolil princíp kontinuity a právnej istoty – zachoval platnosť existujúcich zmlúv bez ďalších podmienok;
• Naopak, § 8 Vyhlášky č. 227/2025 Z. z. stanovuje, že zmluvu podľa § 19 ods. 2 zákona nemožno po 31. auguste 2025 predĺžiť, ak nie je v súlade s bezpečnostnými opatreniami. Tento prístup reprezentuje princíp diskontinuity a podmieneného trvania – pokračovanie zmluvy je viazané na posúdenie súladu (resp. zhody) opatrení.

Zákon ponecháva staršie zmluvy v platnosti až do konca dohodnutého obdobia, a tým chráni adresátov pred právnou neistotou. Vyhláška zavádza mechanizmus, ktorý môže viesť k zneplatneniu alebo neprípustnosti predĺženia zmluvy, ak neprejde posúdením súladu.

Neverím, že tento stav mohol byť spôsobený vedomým úmyslom. A budem to považovať len za preklep legislatívcov v časovej tiesni. Možné dôsledky platnosti § 8 Vyhlášky v praxi sú jasné:

• prevádzkovateľ základnej služby nevie, či má dôverovať princípu kontinuity vyjadrenému v zákone alebo reštriktívnemu režimu Vyhlášky;
• jedna norma garantuje zachovanie platnosti, druhá otvára možnosť diskontinuity a dodatočného posudzovania;
• tento rozpor vedie k aplikačnému chaosu a znižuje predvídateľnosť práva.

Ak § 8 vyhlášky odkazuje na § 19 ods. 2 zákona, mal by rešpektovať aj filozofiu § 34a ods. 3, teda princíp právnej istoty pri trvaní už uzatvorených zmlúv. Princíp kontinuity podľa § 34a ods. 3 zákona by mal byť vodidlom pri výklade § 8 vyhlášky.

Pokiaľ sa ponechá súčasný stav, adresáti právnej úpravy ostávajú v neistote, či ich zmluvy budú považované za súladné do konca platnosti, alebo budú podliehať dodatočnému posudzovaniu a hrozbe nepredĺženia.

Ustanovenie § 8 Vyhlášky je dobrým kandidátom buď na metodické usmernenie Úradu, alebo rovno na legislatívnu korekciu, ktorá odstráni túto dvojkoľajnosť.

 

Poznámka redakcie:

§ 8 vyhlášky č. 227/2025 Z. z.

§ 19 ods. 2 zákona č. 69/2018 Z. z.

Autor: Ing. Ivan Makatura, BSc. CRISC, CDPSE, CCISO