Zle uchopená kybernetická bezpečnosť môže firmu stáť až 300 000 eur

Od apríla tohto roka má Slovensko v platnosti nový zákon o kybernetickej bezpečnosti, ktorý do praxe priniesol niekoľko kľúčových zmien a nových povinností. Začiatkom októbra uplynula prvá zákonná lehota, dokedy mali všetky dotknuté subjekty podať Národnému bezpečnostnému úradu (NBÚ) oznámenia o prekročení kritérií vo vzťahu ku každej vykonávanej službe. Straty z kybernetických útokov dosahujú priam galaktické hodnoty. Počet útokov rastie a ich riziko sa stále zvyšuje.

Zle uchopená kybernetická bezpečnosť môže firmu stáť až 300 000 eur

Ešte donedávna bola celá táto oblasť de facto neregulovaná. Regulácia, ktorej hlavným cieľom je zvýšenie koordinácie medzi členskými štátmi EÚ, a teda ultimatívne zvýšenie bezpečnosti v kybernetickom priestore, zaviedla aj nové povinnosti pre tzv. regulované entity, čiže poskytovateľov základných a digitálnych služieb. V súčasnosti ide, napríklad o poskytovateľov služieb v oblastiach bankovníctva, dopravy, energetiky, farmaceutického, hutníckeho a chemického priemyslu a zdravotníctva. V budúcnosti by sa tieto povinnosti mohli uplatňovať, napríklad aj na automobilový priemysel, ktorý čelí čoraz väčším kybernetickým rizikám. 

Lucie Schweizer, partnerka advokátskej kancelárie Ružička Csekes na margo nového zákona komentuje: „Veľká časť obchodu sa za ostatné desaťročia presunula do online sféry, či už kompletne alebo cez čiastkové úkony. Zvyšovanie úrovne kybernetickej bezpečnosti je preto jednou z agend, ktorej tempo musí byť úmerné tomuto trendu. Nový zákon vyzýva prevádzkovateľov základnej alebo digitálnej služby na zavedenie množstva nových opatrení, ktoré musia mať v ich dennej praxi pevné miesto a pravidelný režim. Inak neohrozia len seba, ale zásadne aj svojich zákazníkov a celý dodávateľský reťazec.“ Štatistický prieskum spoločnosti Ponemon Insitute so vzorkou 3 000 IT odborníkov poukázal na to, že 47 % svetových finančných inštitúcií, ktoré utrpeli prienik do svojich systémov, nemali nainštalované aktualizácie, aj keď boli už v tom čase dostupné. Pritom až 37 % týchto inštitúcií vedelo, že sú zraniteľní.

Lucie Schweizer ďalej radí, aby subjekty, ktorých sa nová kybernetická legislatíva týka, mysleli okrem technických bezpečnostných opatrení na kybernetickú bezpečnosť aj v širšom kontexte interných bezpečnostných predpisov a procesov. Tie by mali správne hodnotiť riziká obchodných partnerov a klientov spoločnosti. Prijaté opatrenia by tiež mali minimalizovať riziká trestnej zodpovednosti právnických osôb, ktorej sa tiež kybernetická bezpečnosť týka. Pokiaľ firma nedisponuje dostatočnými internými kapacitami a know-how na riešenie týchto technicko-právnych rizík, Lucie Schweizer odporúča obrátiť sa na skúsených poradcov, medzi ktorých jednoznačne patrí aj právnik spôsobilý v tejto oblasti. 

Na čo ďalšie sa musia prevádzkovatelia základnej služby sústrediť

Do dvoch rokov od účinnosti zákona, čiže do 1. apríla 2020, majú prevádzkovatelia základnej služby povinnosť prijať a dodržiavať všeobecné bezpečnostné opatrenia. A to najmenej v rozsahu bezpečnostných opatrení zákona a ak sú prijaté, tak aj sektorové bezpečnostné opatrenia. Na prijatie týchto opatrení musia dotknuté subjekty automaticky naviazať aj aktualizáciu všetkej bezpečnostnej dokumentácie.

Ďalšia veľmi dôležitá povinnosť sa viaže na situáciu, keď prevádzkovateľ základnej služby nebude v pozícii reálneho prevádzkovateľa sietí a informačných systémov, od ktorých ale bude poskytovanie jeho služby závislé. Pôjde teda o prípad, keď v tomto postavení bude vystupovať externá firma. S touto treťou stranou musí  prevádzkovateľ základnej služby uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností. Prakticky len outsourcuje povinnosti vyplývajúce zo zákona.

Zákon upravuje aj niekoľko notifikačných povinností:

  1. Prevádzkovateľ základnej služby má povinnosť informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí, ku ktorému je sieť alebo informačný systém pripojený, o zaradení do registra prevádzkovateľov základných služieb. Táto povinnosť vzniká ku dňu zaradenia do spomenutého registra.

  2. Ďalej je to notifikačná povinnosť voči tretej strane o hlásenom kybernetickom bezpečnostnom incidente. Existencia tejto povinnosti je viazaná na vznik situácie, v ktorej by sa plnenie zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných opatrení stalo nemožným.

  3. Tretiu notifikačnú povinnosť predstavuje bezodkladné ohlásenie závažného kybernetického incidentu NBÚ.

  4. Ďalšiu informačnú povinnosť predstavuje oznámenie skutočností, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, orgánu činnému v trestnom konaní alebo Policajnému zboru. Táto povinnosť platí len v prípade, že sa prevádzkovateľ základnej služby o spáchaní trestného činu dozvie hodnoverným spôsobom.

Okrem spomenutých povinností dáva advokátska kancelária Ružička Csekes do pozornosti povinnosť riešiť kybernetický bezpečnostný incident, prípadne spolupracovať s NBÚ a príslušným orgánom pri riešení hláseného kybernetického bezpečnostného incidentu. Lucie Schweizer dodáva: „Okrem spomenutej súčinnosti je subjekt povinný poskytnúť orgánom aj všetky informácie, ktoré získal vlastnou činnosťou a sú pre vyriešenie incidentu dôležité. To sa tiež týka dôkazov alebo dôkazových prostriedkov, ktoré je povinný pripraviť tak, aby tieto boli použiteľné v trestnom konaní. Nemenej dôležitou povinnosťou je oznámenie každej skutočnosti, ktorá zakladá trestný čin, ktorého sa kybernetický bezpečnostný incident týka.“

Lucie Schweizer uzatvára radou, že uvedeným povinnostiam by mali prevádzkovatelia základných služieb venovať náležitú pozornosť, a to aj z dôvodu pokuty, ktorá môže dosiahnuť výšku 300 000 eur pri porušení ustanovení zákona.

Lucie Schweizer nová                       

JUDr. Lucie Schweizer

Partner

Ružička Csekes s.r.o.