Absencia špecifických sektorových kritérií: vzniká oznamovacia povinnosť PZS? Časť I


Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti (ďalej ako „Zákon“) aj napriek svojmu krátkemu rozsahu obsahuje viacero častí, kde sa názorové spektrum a pohľady odbornej, ale aj laickej verejnosti štiepia. Nie je to len preto, že Zákon je „na svete“ veľmi krátko a skúsenosť ešte nestihla predbehnúť pocity a dojmy. Je tomu tak aj preto, lebo Zákon je čo do záberu významne prierezový, medziodvetvový a interdisciplinárny. Nehovoriac už o tom, že popri právnom rozmere sa vyznačuje aj výrazným technickým presahom, čo napokon napomáha rôznorodým výkladom aj v rámci odborného sveta. Právneho na jednom brehu a technického na tom druhom. V tomto článku by sme Vám radi priblížili ten náš, právny breh a uviedli Vám naše vnímanie problematiky k § 17 ods. 1 Zákona.

V zmysle § 17 ods. 1 Zákona je prevádzkovateľ služby povinný splniť si voči Národnému bezpečnostnému úradu (ďalej ako „Úrad“) oznamovaciu povinnosť, a to v prípade, pokiaľ u neho dôjde k prekročeniu identifikačných kritérií ním prevádzkovanej služby.

Z kontextu § 18 ods. 1 Zákona vyplýva, že identifikačnými kritériami služby sú dopadové kritériá a špecifické sektorové kritériá. Obsahové naplnenie identifikačných kritérií služby však už v Zákone nenájdeme, je potrebné vychádzať z vyhlášky Úradu č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby) (ďalej ako „Vyhláška“).

Hneď z § 2 Vyhlášky vyplýva, že prevádzkovaná služba spĺňa identifikačné kritériá základnej služby len vtedy, ak spĺňa aspoň jedno dopadové kritérium a aspoň jedno špecifické sektorové kritérium. Z uvedeného by teda malo vyplývať, že bez súčasného splnenia aspoň jedného dopadového a aspoň jedného špecifického sektorového kritéria nie je možné hovoriť o naplnení identifikačných kritérií služby, a teda ani o vzniku povinnosti prevádzkovateľa služby podľa § 17 ods. 1 Zákona.

Pokiaľ však nazrieme do Prílohy č. 1 Vyhlášky, ktorá má dané dopadové a špecifické sektorové kritériá identifikovať, zistíme, že nie pre všetky sektory sú špecifické sektorové kritériá dané. Uvedené zistenie okamžite viedlo k presvedčeniu niektorých prevádzkovateľov služieb, že pri absencii špecifického sektorového kritéria v tom jeho sektore predsa objektívne nemôže špecifické sektorové kritérium prekročiť, čoho príjemným následkom je, že nikdy nemôže spĺňať identifikačné kritériá ním prevádzkovanej služby. Teda minimálne do času, kým Úrad nedoplní špecifické sektorové kritérium aj pre jeho sektor. Na vyslovenie nášho záveru preto budeme musieť opustiť gramatický výklad a pokúsiť sa ísť ďalej cestou teleologického výkladu.

Skúsme sa teda trochu poohliadnuť, vrátiť späť v čase a povedať si, že Zákon je potrebné vnímať aj ako transpozičný zákon k Smernici EP a Rady (EÚ) č. 2016/1148 (ďalej ako „Smernica NIS“). Práve Smernica NIS prišla s legislatívnymi pojmami ako prevádzkovateľ základnej služby (ďalej ako „PZS“), poskytovateľ digitálnej služby, jednotka CSIRT a i., práve Smernica NIS od členských štátov požadovala, aby stanovili kritériá na identifikáciu prevádzkovateľov základných služieb.

Smernica NIS sa s identifikáciou PZS v zmysle článku 5 ods. 2 vysporiadala tak, že kritériom na identifikáciu PZS je (okrem iného) poskytovanie služby, ktorá má zásadný význam z hľadiska zachovania kľúčových spoločenských a/alebo hospodárskych činností. Súčasne v zmysle článku 5 ods. 3 stanovila povinnosť, podľa ktorého každý členský štát zostaví zoznam takýchto služieb. To znamená, že Smernica NIS predpokladala, že PZS je každý (samozrejme za splnenia ďalších, v tomto kontexte však nepodstatných kritérií), kto prevádzkuje aspoň jednu službu zo zoznamu služieb zostaveného členským štátom.

Uvedené vnímanie identifikácie PZS Smernicou NIS však nebolo vytesané do kameňa, resp. nebolo jediné možné. Smernica NIS totižto v zmysle článku 5 ods. 7 písm. d) umožnila, aby sa členské štáty popri zozname služieb rozhodli, či identifikácia PZS bude závisieť aj od iných kritérií, napr. počtu používateľov využívajúcich službu alebo významu (dôležitosti) poskytovateľa služieb. Smernica NIS v tomto kontexte explicitne uvádza, že členský štát identifikuje „prípadné prahové hodnoty na určenie príslušnej úrovne poskytovania služby“. Pojmom prípadné je potrebné rozumieť: ak je to možné, relevantné, dôvodné a pod. Nejedná sa o povinnosť, jedná sa o možnosť danú na výber členskému štátu.

Slovenská republika túto možnosť využila. Popri zozname základných služieb sa rozhodla, že stanoví aj „prípadné prahové hodnoty“, a to v rámci príslušných sektorov alebo podsektorov. Tieto prahové hodnoty dnes poznáme ako identifikačné kritériá služby v zmysle Zákona a Vyhlášky.

Historický exkurz teda objasnil, že nebola daná povinnosť členských štátov nielen stanoviť pre všetky sektory alebo podsektory prahové hodnoty, resp. identifikačné kritériá, ako ich dnes poznáme, dokonca nebola povinnosť stanoviť prahové hodnoty ako také. Stanovenie prípadných prahových hodnôt bolo teda ponechané na vlastnom uvážení a rozhodnutí členského štátu.

Je potrebné uvedomiť si, že účelom prahových hodnôt rovnako ako identifikačných kritérií bolo a je prípadné spresnenie širokého okruhu poskytovateľov služieb, ktorí v danom sektore alebo podsektore pôsobia – prevádzkujú služby. To znamená, že identifikačné kritériá služby sú určené aj na ohraničenie a zúženie inak daného počtu všetkých prevádzkovateľov služieb v danom sektore alebo podsektore. V prípade, pokiaľ teda členský štát prahové hodnoty určil, súčasne tým dodal, že v danom sektore alebo podsektore sú aj takí prevádzkovatelia služieb, ktorí nie sú z pohľadu ich legislatívy zaujímaví, nakoľko z objektívnych a merateľných dôvodov príslušný prah neprekročia.

Aby sme uvedené vnímanie mali ešte viac rozviesť, v zásade sa dá konštatovať, že špecifické sektorové kritéria je potrebné vnímať ako prostriedok na zúženie počtu PZS v jednotlivých sektoroch alebo podsektoroch. To znamená, že zákonodarca sa v rámci príslušných sektorov alebo podsektorov rozhodol, že je vhodné alebo potrebné regulovať všetky subjekty prevádzkujúce v danom sektore alebo podsektore služby, ktoré splnili len dopadové kritéria (keďže špecifické sektorové kritériá nie sú určené). Zákonodarca teda jednoducho nevyužil ďalšie „zužovacie“ kritérium v podobe špecifických sektorových kritérií. Inými slovami „vyššia karta berie“ alebo absencia špecifických sektorových kritérií znamená, že nie je potreba zužovať počet regulovaných subjektov a stačí „prah“ dopadových kritérií a príslušnosť k sektoru alebo podsektoru.

V kontexte uvedeného preto zastávame názor, že absencia špecifického sektorového kritéria v rámci Vyhlášky nereprezentuje nemožnosť naplnenia identifikačných kritérií služby, ale skutočnosť, že kritickosť, dôležitosť alebo iné parametre príslušného sektoru alebo podsektoru sú natoľko významné, že „prah“ špecifického sektorového kritéria je položený úplne „na zemi“. Alebo inak, že každý prevádzkovateľ služieb v danom sektore alebo podsektore automaticky spĺňa špecifické sektorové kritérium, nakoľko nemusí nič „prekračovať“. Uvedený záver je daný tým, že štát sa pre daný sektor alebo podsektor nerozhodol, že určitú absolútnu množinu prevádzkovateľov služieb v danom sektore alebo podsektore prostredníctvom prahu, teda špecifického sektorového kritéria zúži.

Vzniká teda oznamovacia povinnosť prevádzkovateľovi služieb podľa § 17 ods. 1 Zákona? Podľa nášho názoru áno, pokiaľ súčasne prekračuje aspoň jedno dopadové kritérium. Podmienka prekročenia aspoň jedného dopadového kritéria je daná tým, že Vyhláška určuje dopadové kritériá pre všetky sektory a podsektory podľa prílohy č. 1 Zákona.

Všeobecnej pozornosti však určite neuniklo, že oznamovacia povinnosť v zmysle § 17 ods. 1 Zákona nie je jedinou, ktorá sa na prevádzkovateľa služby v niektorom zo sektorov alebo podsektorov podľa prílohy č. 1 Zákona vzťahuje. Máme tým na mysli najmä § 18 ods. 4 Zákona, v zmysle ktorého má prevádzkovateľ služby oznamovaciu povinnosť voči Úradu aj v prípade, pokiaľ prekročí len špecifické sektorové kritérium bez dopadového kritéria. Aj v tejto súvislosti sa teda naskytuje otázka, či sa oznamovacia povinnosť týka aj tých prevádzkovateľov služieb, ktorých sektor alebo podsektor špecifické sektorové kritériá nemá určené. Práve touto problematikou sa budeme zaoberať v rámci nasledovného článku, v ktorom sa budeme opätovne snažiť náš názor odôvodniť čo do právneho, tak aj aplikačného rozmeru. Ostaňte s nami.

©2020 by Bukovinský & Chlipala. Proudly created with Wix.com