ZoKB vs. ZoITVS: Konflikt alebo vzájomná koexistencia právnych predpisov?


Vašej pozornosti určite neuniklo, že mestá a obce sú súčasne regulované dvoma na prvý pohľad konkurenčnými právnymi predpismi vyžadujúcimi to isté, a to ochranu informácií. Jednak zákonom o kybernetickej bezpečnosti („zákon o KB“) a jednak zákonom o informačných technológiách vo verejnej správe („zákon o ITVS“). Preto otázkou na mieste je, ktorým z týchto zákonov a v akom rozsahu sa mesto alebo obec má zaoberať.

Zatiaľ čo zákon o KB zaujímajú len obce nad 1000 obyvateľov, kategorizácia miest a obcí v rámci zákona o ITVS je odlišná. Zákon o ITVS zavádza tri kategórie miest a obcí, tie do 6000 obyvateľov, tie nad 6000 obyvateľov a mestské časti a tretiu a najvyššiu kategóriu reprezentujú krajské mestá a samosprávne kraje.

Zákon o KB je ten z tých známejších právnych predpisov, preto zrejme nebudete prekvapení, pokiaľ si prečítate, že rozsah bezpečnostných opatrení v zmysle zákona o KB je možné identifikovať až po klasifikácii informácií a kategorizácii sietí a informačných systémov prevádzkovateľa základnej služby. To znamená, že každá obec nad 1000 obyvateľov ju musí podstúpiť a na jej podklade implementovať opatrenia pre oblasti identifikované vyhláškou č. 362/2018 Z.z. Logika klasifikácie informácií a kategorizácie sietí a informačných systémov spočíva v tom, že informačný systém chránim podľa toho, aké citlivé informácie sa v ňom nachádzajú.

Aby to však nebolo také jednoduché, aj zákon o ITVS má svoju vlastnú vyhlášku, a to vyhlášku č. 179/2020 Z.z. Táto vyhláška volí úplne iný prístup. Mestá a obce prijímajú opatrenia podľa kategórie, v ktorej sa nachádzajú. To znamená, že vyhláška zákona o ITVS kategorizuje samotné mestá a obce, nie však ich siete a informačné systémy. Vyhláška tak pre každú jednotlivú kategóriu (viď vyššie kategória I. až III.) určuje minimálne bezpečnostné opatrenia, ktoré mesto a obec musí pre tú ktorú oblasť prijať.

Zhrňme si to teda. Zatiaľ čo Zákon o KB vyžaduje kategorizáciu na úrovni informačných systémov, zákon o ITVS na úrovni prevádzkovateľa tohto systému (obce alebo mesta). Je teda zrejmé, že vyhláška k zákonu o ITVS prichádza s iným konceptom kategorizácie, ktorého obsah je v zásade závislý od počtu obyvateľov, čo nepovažujeme za najšťastnejšie a najmä najpresnejšie riešenie.

A teraz to „najlepšie“. Znamená to teda, že mesto a obec, hoci spadajúce pod zákon o KB, už nemusí klasifikáciu informácií a kategorizáciu sietí a informačných systémov robiť, nakoľko jeho citlivosť je daná ním samým (počtom obyvateľov)? Neznamená. Zákon o ITVS sa totižto na klasifikáciu informácií a kategorizáciu sietí a informačných systémov odvoláva, a to spôsobom, že túto rovnako vyžaduje.

Pevne veríme, že v tejto časti článku je už čitateľovi zrejmé, že výstupom prípadného koordinovaného postupu štátnych orgánov by sa dalo takémuto niečomu jednoducho vyhnúť. Koncept dvoch druhov kategorizácie, jedna na úrovni realite bližšej citlivosti sietí a informačných systémov a druhá na úrovni realite vzdialenejšej citlivosti čo do počtu obyvateľov tej ktorej obce, ako keby informácie obcí s menším počtom obyvateľov nemuseli byť až tak chránené, spôsobuje značné komplikácie. A mestá a obce, ktorým sa zrejme chcel uľahčiť život, sa pochopenie tejto problematiky ešte viac vzdialilo.

V závere ostáva už len vysloviť vieru, že rozdielnosť náhľadov na citlivosť predmetov ochrany v oblasti kybernetickej bezpečnosti sa zjednotí. Ideálne tak, aby o bezpečnosti legislatívne „nehovorili“ viaceré štátne orgány súčasne, ono sa potom totižto stáva, že výsledkom súčasného snaženia v zmysle zásady „keď dvaja robia to isté, nie je to vždy to isté“ môžu byť úplne protichodné požiadavky. Pokiaľ by sa táto viera nedočkala naplnenia, potom ostáva odporúčať pred prvým úderom na klávesnicu pripravovaného predpisu otvoriť Slov-Lex a skontrolovať, či daná problematika už náhodou nie je inde a skôr upravená. Ľahšie sa totižto niečo existujúce vylepšuje, ako nanovo a bez kontextu na okolie zavádza.

Vývoj sledujeme a určite Vás budeme informovať o ďalšom vývoji, nakoľko koncept dvoch rozdielnych a súčasne povinných prístupov ku kategorizácii považujeme za nesprávny. Chystá sa však novelizácia zákona o KB, ktorý v tomto môže urobiť poriadok.

©2020 by Bukovinský & Chlipala. Proudly created with Wix.com