Kybernetická bezpečnosť a Vy: Úvod do legislatívy o kybernetickej bezpečnosti 23. máj Peter Bíro (CEO)

Podobné dokumenty
Zákon o kybernetickej bezpečnosti. Identifikácia a povinnosti prevádzkovateľa základnej služby a poskytovateľa digitálnej služby

Príprava zákona o kybernetickej bezpečnosti. mjr. Ing. Ján Hochmann Národný bezpečnostný úrad

Kybernetická bezpečnosť vo svetle novej právnej úpravy

Kyberne'cká bezpečnosť a štát. Ján Hochmann Národný bezpečnostný úrad

Ako postupovať pri spracovaní súboru example_summary_procedure_tem plate_sk.xls

Ochrana osobných údajov v samospráve v kontexte nového zákona o ochrane osobných údajov JUDr. Lucia Kopná

Bezpečnostný projekt egovernmentu

NOVÉ NARIADENIE EÚ O OCHRANE OSOBNÝCH ÚDAJOV v kontexte kybernetickej bezpečnosti. Brno, 31. mája 2017

ECB-PUBLIC ROZHODNUTIE EURÓPSKEJ CENTRÁLNEJ BANKY (EÚ) 2018/[XX*] z 19. apríla 2018 (ECB/2018/12)

Smernica 2012/27/EU o energetickej efektívnosti Vstúpila do platnosti Transpozícia do Nahradí a doplní Nahradí smernice 2004/8/ES a

Ministerstvo zdravotníctva SR

Zmluva o poskytovaní služieb uzatvorená podľa 269 ods.2 zákona č.513/1991 Zb. Obchodný zákonník v znení neskorších zmien

BÁRDI AUTO SLOVAKIA, s.r.o. Gazdovský rad 41, Šamorín, spoločnosť zapísaná v Obchodnom registri OS Trnava, Oddiel: Sro, Vložka číslo: 12744/T

Smernica Fondu na podporu umenia o vnútornej finančnej kontrole

Elektronické jednotné kontaktné miesto v SR. Ministerstvo vnútra SR odbor živnostenského podnikania

Základná škola Ul. 17. novembra 31, Sabinov

GDPR Nové Nariadenie EÚ o ochrane údajov

EÚ a viacjazyčnosť. Digitálny nástroj na prepájanie Európy (CEF) Platforma CEF pre automatizovaný preklad

8 OPATRENIE Národnej banky Slovenska z 1. decembra 2009,

Smernica pre výkon finančnej kontroly na Mestskom úrade v Lipanoch

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Legislatívny rámec. bezpečnej prevádzky civilného letectva (systém manažmentu bezpečnosti)

Správa o výsledku kontroly odstránenia nedostatkov po prijatí opatrení na základe výsledku kontroly NKÚ v roku 2015

Správa o hospodárení s prostriedkami štátneho rozpočtu za rok 2015

Obec Jablonov Obecný úrad Jablonov 165

ľudovej zábavy, zariadenia detských ihrísk a športovo-rekreačné zariadenia Ing. Monika Laurovičová odbor skúšobníctva

Inovácie v sociálnych službách - elektronizácia

Univerzita Komenského v Bratislave. Filozofická fakulta

Správa o hospodárení s prostriedkami štátneho rozpočtu za rok 2016

Register priestorových informácií

Obec Sklené Sklené 97, IČO: , DIČ:

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Metodické usmernenie č. 4/2007 k poskytovaniu informácií prostredníctvom portálu Úradu pre dohľad nad zdravotnou starostlivosťou

Enviroportál a jeho zmeny vyvolané novelou zákona č. 24/2006 Z. z. o posudzovaní vplyvov na životné prostredie

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Smernica Audiovizuálneho fondu o inventarizácii

(Nelegislatívne akty) NARIADENIA

Katalóg cloudových služieb

OSOBITNÉ PODMIENKY NA PODPORU využitia obnoviteľných zdrojov energie v domácnostiach

PRÍLOHY. k návrhu SMERNICE EURÓPSKEHO PARLAMENTU A RADY

Ochrana utajovaných skutočností a ochrana osobných údajov

Návrh, implementácia a prevádzka informačného systému

Výzva na predloženie ponuky ( 9 ods. 9 zákona č. 25/2006 Z. z. )

Usmernenie k zabezpečeniu pohľadávky Poskytovateľa zo Zmluvy o poskytnutí nenávratného finančného príspevku v rámci dopytovo orientovaných projektov

Vyhláš. áška MV SR č.. 523/2006 Z. z. O podrobnostiach na zabezpečenie záchranných prác a organizovania Jednotiek civilnej ochrany

Súhrnný výkaz v roku Ing. Mgr. Martin Tužinký, PhD.

SOCIÁLNY ASPEKT VO VEREJNOM OBSTARÁVANÍ : SKÚSENOSTI ZO SLOVENSKA

Referenčná ponuka na virtuálny lokálny uvoľnený prístup. Príloha 1 Definície, výklad pojmov a zoznam skratiek

Cenový výmer č. 11/2015

OCHRANA INOVÁCIÍ PROSTREDNÍCTVOM OBCHODNÝCH TAJOMSTIEV A PATENTOV: DETERMINANTY PRE FIRMY EURÓPSKEJ ÚNIE ZHRNUTIE

Implementácia v Slovenskej republike

Správu o výsledku kontroly vybavovania sťažností a petícií za rok 2015

Kombinovaný úhradový mechanizmus (KUM) pre poskytovateľov ŠAS. Ciele, metodika výpočtu úhrad v novom systéme a zmluvné úpravy

Návod na používanie Centrálnej úradnej elektronickej tabule (CUET)

č. 16/2008 o dani za predajné automaty a nevýherné hracie prístroje

O B V O D N Ý Ú R A D Ž I L I N A Janka Kráľa 4, Žilina

Legislatíva a princípy verejného obstarávania v školách

Referenčná ponuka na prístup ku káblovodom a infraštruktúre. Príloha 7 Poplatky a ceny

Povinnosti zamestnávateľa v ochrane zdravia pri práci, ktoré boli zákonom č. 289/2017 Z. z. zmenené

Na rokovanie obecného zastupiteľstva dňa

ZÁSADY SPRACOVANIA OSOBNÝCH ÚDAJOV DODAVATEĽOV SPOLOČNOSTI 2people s.r.o.

O b e c R o z h a n o v c e

Príloha č. 2: Legislatívny rámec LSPP

(Text s významom pre EHP)

Energetický audit od decembra po novom

Prideľovanie frekvencií pre lokálne digitálne TV vysielanie z hľadiska ZEK a digitálneho zákona

POŽIADAVKA NA REKVALIFIKÁCIU

OBEC SNEŽNICA NÁVRH. Všeobecne záväzné nariadenie č. 4/2018

Povolenie na predaj spotrebiteľského balenia v daňovom voľnom obehu

Osoba podľa 8 zákona finančné limity, pravidlá a postupy platné od

Návrh postupu pre stanovenie počtu odborných zástupcov na prevádzkovanie verejných vodovodov a verejných kanalizácií v správe vodárenských spoločnosti

Zásady manipulácie, zberu, prepravy a nakladania s VŽP. Vedľajší živočíšny produkt kuchynský odpad materiál kategórie 3

Kúpna zmluva č. Z _Z Uzatvorená v zmysle 409 a nasl. Obchodného zákonníka

Zákon o energetickej hospodárnosti budov a smernica 2010/31/EÚ

Ministerstvo vnútra Slovenskej republiky Prezídium Hasičského a záchranného zboru

VÝZVA NA PREDLOŽENIE CENOVEJ PONUKY V ZADÁVANÍ ZÁKAZKY S NÍZKOU HODNOTOU

Využívanie portálu e-vuc v KSK. Predstavenie jednotlivých funkcionalít e-vuc, práca s registrom povolení poskytovateľov zdravotnej starostlivosti.

Cenový výmer č. 14/2015

Ministerstvo školstva Slovenskej republiky

VZOR OZNÁMENIE O ZARADENÍ PODNIKU PODĽA 5 ZÁKONA

Hlavný kontrolór Obce Teplička nad Váhom Ing. Eva Milová. Stanovisko

Expozičný scenár. Príloha KBU

Nový zákon o odpadoch - nové povinnosti pre obce a mestá

Zdravotné postihnutie verzus kúpa osobného motorového vozidla

S T A N O V I S K O hlavného kontrolóra obce k návrhu rozpočtu Obce Staškovce na rok 2016, viacročného rozpočtu na roky

Manažment environmentálnych záťaži. Ing. Katarína Paluchová, SAŽP

Zabezpečenie priebehu volieb a ochrana osobných údajov dotknutých osôb. Prevádzkovateľ: Obec Beňuš Adresa: Beňuš 355 Beňuš, IČO:

PREBERACÍ PROTOKOL O ODOVZDANÍ A PREVZATÍ VEREJNEJ PRÁCE (alebo jej dokončenej časti)

Obec Chorvátsky Grob. Platnosť od: Účinnosť: (15-tym dňom od zverejnenia na úradnej tabuli po vyvesení:

Centrálny GIS MV SR. Ing. Kamil FAKO, PhD. OA, SITB MV SR

SLOVENSKEJ REPUBLIKY

vydáva VŠEOBECNE ZÁVÄZNÉ NARIADENIE číslo.../2016

Výzva na predloženie ponuky ( 9 ods. 9 zákona č. 25/2006 Z. z. )

ŽIADOSŤ O GRANT. Zaradenie projektu do oblasti. Názov projektu. Žiadateľ. Číslo projektu

A. VÝCHODISKÁ SPRACOVANIA STANOVISKA :

CHL a P Novinky v legislatíve. VOC, aerosóly, harmonizovaná klasifikácia

Vyhlásenie o dodržiavaní zásad Kódexu správy a riadenia spoločností na Slovensku

Ochrana osobných údajov v spoločnosti HYDAC, s.r.o.

NOVÉ NORMY ISO 2016 INTEGROVANÝ SYSTÉM MANAŽÉRSTVA. Kontakt:

Zavedenie eura v SR. Princípy, termíny, úlohy... Hotel Carlton 13. novembra

Transkript:

Kybernetická bezpečnosť a Vy: Úvod do legislatívy o kybernetickej bezpečnosti 23. máj 2018 Peter Bíro (CEO)

Obsah seminára 1. Kybernetická bezpečnosť a Vy: Úvod do legislatívy o kybernetickej bezpečnosti P. Bíro (SK-NIC, a.s.) 2. Praktické nastavenia pri plnení povinností podľa zákona o kybernetickej bezpečnosti R. Janota (NBÚ) 10:00 12:30 2

3

1: Úvod a definície

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti 1. apríl 2018 = účinnosť Transpozícia smernice EÚ o NIS Čo by mohlo byť lepšie Paralelne ku zákonu o kritickej infraštruktúre aj legislatíve ohľadom GDPR a rôznym iným bezp. legislatívam (zákon 275/2006 o IS VS, zákon 305/2013 o e-governmente, zákon 351/2011 o el. komunikáciách) požiadavky sa bohužiaľ navzájom neharmonizujú ani nerozoznávajú, ale duplikujú 5

Definície ( 3) a) sieť a informačný systém elektronická komunikačná sieť, informačný systém (extenzívne = aj listinný), každé zariadenie a komunikačný systém (extenzívne = aj dymový či morzeovka, NIS iba ak automatické spracúvanie digi-údajov) alebo údaje, ktoré sú v nich vytvárané, ukladané, spracúvané, získavané alebo prenášané prostredníctvom elektronickej komunikačnej siete alebo informačného systému, na účely prevádzkovania, používania, ochrany a udržiavania týchto sietí a systémov b) kybernetický priestor globálny (úrad aj tu) dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky (?) kybernetického priestoru (rekurzia), osoby vykonávajúce aktivity v tomto systéme (osoby nemôžu byť kyber. priestorom) a vzťahy (extenzívne = matka) a interakcie (extenzívne = nákup) medzi nimi 6

Definície ( 3) j) kybernetický bezp. incident akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému, alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť (táto je zadefinovaná celkom dobre) alebo ktorej následkom je strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému, obmedzenie alebo odmietnutie dostupnosti základnej služby al. digitálnej služby, vysoká pravdepodobnosť (?) kompromitácie činností základnej služby alebo digitálnej služby alebo, ohrozenie bezpečnosti informácií (ATP?). Čl. 4 (7) NIS: incident je každá udalosť, ktorá má skutočne nepriaznivý vplyv na bezpečnosť sietí a informačných systémov 7

Definície ( 3) k) základná služba služba, ktorá je zaradená v zozname základných služieb a závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1 je informačným systémom verejnej správy 8), alebo je prvkom kritickej infraštruktúry 9), l) prevádzkovateľ základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena k) m) digitálna služba služba, ktorej druh je uvedený prílohe č. 2 n) poskytovateľ digitálnej služby PO al. FO podnikateľ, kt. poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur 8

Definície ( 3) Príloha č. 1: NBÚ: Sektor: 3. digitálna infraštruktúra, podsektor -, prevádzkovateľ služieb: poskytovateľ služby výmenného uzla internetu na účel prepájania sietí, ktoré sú z technického a organizačného pohľadu oddelené poskytovateľ služieb systému doménových mien na internete subjekt spravujúci alebo prevádzkujúci register internetových domén najvyššej úrovne ÚPVII: Sektor: 10. verejná správa, podsektor: informačné systémy verejnej správy, prevádzkovateľ služieb: 1. správcovia a prevádzkovatelia sietí a IS VS a 2. správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sú prvkom kritickej infraštruktúry podľa zákona č. 45/2011 Z. z. o kritickej infraštruktúre, alebo sú k nemu priamo pripojené (? webhosting ministerstvu!) 9

Definície ( 3) Vyhláška: (MPK: neuzavreté) Digitálna infraštruktúra Poskytovateľ služieb systému doménových mien na internete. Špecifické sektorové kritériá: a) Poskytovanie autoritatívnych odpovedí na svojich DNS serveroch pre najmenej 1 000 rôznych domén druhej úrovne b) Celkový počet DNS dopytov, na ktoré odpovedajú všetky DNS servery organizácie, je najmenej 3 000 000 za 24 hodín. Tento ukazovateľ je počítaný za 7 po sebe nasledujúcich dní a zahŕňa aj rekurzívne dopyty, ale nezahŕňa dopyty na lokálne domény organizácie (DNS). 10

Definície ( 3) Poskytovateľ služieb systému doménových mien na internete. Dopadové kritériá: Ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a IS, ktoré postihuje viac ako 25 000 osôb. Obmedzenie či narušenie prevádzky inej ZS alebo prvku kritickej infraštruktúry. Hospodársku stratu alebo hmotnú škodu najmenej 1 užívateľovi viac ako 250 000 eur. Narušenie verejného poriadku, verejnej bezpečnosti, mimoriadnu udalosť alebo tieseň, ktorá by si mohla vyžadovať vykonanie záchranných prác, alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni. 11

Definície ( 3) Jednotný IS kyber. bezpečnosti komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov centrálny systém včasného varovania verejná a neverejná časť, prístup bezodplatný K neverejnej časti má prístup aj prevádzkovateľ základnej služby a poskytovateľ digitálnej služby Oznamovanie skutočnosti bezodkladne (!) (na rozdiel napr. od 78hod podľa GDPR) 12

2: Základná služba a digitálna služba

Zaradenie do zoznamu ZS ( 17) Ods. 1) - Zoznam základných / digitálnych služieb oznámenie do 30 dní od zistenia prekročenia identifikačných kritérií, ÚOŠS alebo iniciatívne NBÚ ale podľa 34 (2) do 6 mesiacov Ods. 5) - Oznámenie musí obsahovať názov a sídlo + kontaktné údaje Zoznam služieb, ktorých sa prekročenie týka Informáciu o možnom alebo cezhraničnom presahu služby (?) Percentuálny podiel na trhu (neobmedzené na.sk =??) Geografické rozšírenie služby Informáciu o alternatívnych možnostiach zachovania služby v prípade incidentu (?) 14

Povinnosti prevádzkovateľa základnej služby ( 19) Ods. 1) - Do 6 mesiacov splniť opatrenia podľa par. 20 a sektorové opatrenia, ak existujú / ak zaradený úradom do 9.11.2018 podľa 34, tak do 2 rokov (ods. 6) Ods. 2) - Pri zmluve s dodávateľom s činnosťami, kt. priamo súvisia so sieťami a IS povinná zmluva o zabezpečení plnenia bezp. opatrení a notifikačných povinností podľa zákona Ods. 3) - Dňom zaradenia do registra informovať podnik poskytujúci internet pre základnú službu (elektronické komunikačné služby a siete podľa telco zákona) Ods. 4) - Povinnosť informovať tretiu stranu (akú?), ak by bezp. kyber. incident znemožnil plnenie zmluvy podľa ods. 2, tým nedotknutá mlčanlivosť (?) Ods. 5) - Ak poskytuje službu aj v inom ČŠ, úrad & 2. úrad rozhodnú, podľa kritérií kt. ČŠ bude identifikovaný 15

Povinnosti prevádzkovateľa základnej služby ( 19) Ods. 7) - Povinnosť oznamovať zmeny do 30 dní (prostredníctvom jednotného IS) názov a sídlo (zákon o egov?) + kontaktné údaje zoznam služieb, ktorých sa prekročenie týka informáciu o možnom alebo cezhraničnom presahu služby percentuálny podiel na trhu (zohľadnenie dynamiky vývoja??) geografické rozšírenie služby informáciu o alternatívnych možnostiach zachovania služby v prípade incidentu (zmena BP? Každá zmena spôsobu zálohovania?) 16

Bezpečnostné opatrenia ( 20) Ods. 1-2) - Povinná klasifikácia informácií a kategorizácia sietí a IS - na základe významnosti, funkcie a účelu informácií a IS s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť Ods. 3-4) - Povinné opatrenia pre oblasti cca podľa STN ISO 27001 (organizácia IB, riadenie rizík, personálna bezp., riadenie prístupov, riešenie bezp. incidentov, kontinuita...) + detekcia, evidencia, postupy riešenia a riešenie bezp. incidentov kontaktná osoba pre prijímanie a evidenciu hlásení (akých?) pripojenie do jednotného systému Ods. 5) - Povinná aktuálna dokumentácia zodpovedajúca reálnemu stavu 17

Poskytovateľ digitálnej služby ( 21) Digitálna služba (príloha 2, podľa NIS) - 3 n) PO alebo živnostník s 50+ zamestnancami a ročným obratom al. celkovou ročnou bilanciou viac ako 10 mil. EUR. Online trhovisko - digitálna služba (rekurzia), ktorá umožňuje spotrebiteľom alebo podnikateľom uzatvárať online kúpne zmluvy (akýkoľvek e-shop) alebo zmluvy o službách s podnikateľmi buď na webovom sídle online trhoviska, alebo na webovom sídle podnikateľa, ktoré využíva počítačové služby poskytované online trhoviskom (aká externá služba umožňuje priamo uzatvárať zmluvy na webe podnikateľa??) Internetový vyhľadávač - digitálna služba, ktorá umožňuje používateľom vyhľadávať v zásade na všetkých web. sídlach (také neexistuje a akékoľvek zúženie je ľubovoľne zúžiteľné ďalej) alebo na web. sídlach v konkrétnom jazyku (?) informácie o akejkoľvek téme na základe kľúčového slova, vety alebo iných zadaných údajov, pričom jeho výsledkom sú linky, prostredníctvom ktorých možno nájsť informácie súvisiace s požadovaným obsahom 18

Poskytovateľ digitálnej služby ( 21) Služba v oblasti cloud computingu - digitálna služba (rekurzia), ktorá umožňuje prístup ku škálovateľnému a pružnému (??) súboru počítačových zdrojov (??), ktoré možno zdieľať. (toto spĺňa aj MS Active Directory) vs Výnos MF SR č. 55/2014 o štandardoch pre IS VS ( 2) x) cloud computingom model umožňujúci jednoduchý samoobslužný sieťový prístup k službám informačných technológií na vyžiadanie, poskytovaným vo virtuálnom prostredí konfigurovateľných výpočtových zdrojov, ktoré môžu byť pridelené alebo uvoľnené s minimálnym úsilím a časovým obmedzením, a to na základe voliteľného škálovania a navyšovania, nezávisle od lokality zdrojov alebo lokality prístupu k nim a bez osobného kontaktu s poskytovateľom cloudovej služby, pričom využitie týchto služieb je merané a hodnotené podľa ich skutočného využitia (vychádza z def. NIST) y) cloudovou službou ľubovoľný prostriedok alebo zdroj cloud computingu, poskytovaný vzdialeným prístupom na základe podmienok dohodnutých v dohode o poskytovanej úrovni cloudových služieb 19

Poskytovateľ digitálnej služby ( 21) 3 n) poskytovateľ = PO alebo živnostník s 50+ zamestnancami a ročným obratom alebo celkovou ročnou bilanciou viac ako 10 mil. EUR. 20

Zaradenie do zoznamu digitálnych služieb ( 21) Ods. 1) - Zoznam základných / digitálnych služieb oznámenie do 30 dní od začatia poskytovania digitálnej služby (kontra 34 prechodné osoba existujúca ku dňu účinnosti zákona oznámiť informácie podľa ods. 1 do 6 mesiacov aká osoba??) (platia súčasne) alebo iniciatívne NBÚ Oznámenie musí obsahovať názov a sídlo + kontaktné údaje (a) a b)) poskytovanú službu (pravdepodobne digitálnu) (c) názov, sídlo a kontaktné údaje zástupcu podľa 23 (d) (v princípe na účely ak nie je v EÚ, ale načo uvádzať, ak je v SR) 21

Povinnosti poskytovateľa digitálnej služby ( 22) Ods. 1) - Do 6 mesiacov splniť opatrenia podľa osobitného predpisu (Vykonávacie nariadenie Komisie (EÚ) 2018/151 k smernici o NIS) + na tento účel je poskytovateľ digitálnej služby povinný vyčleniť dostatočné personálne, materiálno-technické, časové a finančné zdroje s cieľom zabezpečenia kontinuity digitálnej služby (kedy nastáva splniteľnosť tohto?) Ods. 2) - Pri posudzovaní splnenia posudzuje najmä Bezpečnosť sietí a IS (ktorých?) a schopnosť predchádzať a riešiť kyb. bezp. incident Spôsob zachovania kontinuity pri kyb. bezp. incidente Súlad sietí a IS s bezp. štandardmi v oblasti kyb. bezp. (to sú ktoré? Napr. 27001 je IB) 22

Povinnosti poskytovateľa digitálnej služby ( 22) Ods. 3) - je povinný hlásiť každý kyb. bezp. incident, ak disponuje informáciami, na základe ktorých je spôsobilý identifikovať, či má tento kyb. bezp. incident podstatný vplyv podľa osobitného predpisu (Vykonávacie nariadenie Komisie (EÚ) 2018/151 k smernici o NIS), a to bezodkladne po jeho zistení riešiť kyb. bezp. incident a spolupracovať pri tom s NBÚ Ods. 4) - Ak na poskytovanie digi-služby využíva služby prevádzkovateľa ZS, povinná vzájomná zmluva o zabezpečení plnenia bezp. opatrení a notifikácií (= každý web s digislužbou (!)) Ods. 5) - Povinnosť informovať tretiu stranu (akú?), ak by kyb. bezp. incident znemožnil plnenie zmluvy (ktorej?), tým nedotknutá mlčanlivosť (?) 23

3: Hlásenie incidentov, kontrola a sankcie

Hlásenie a riešenie bezp. incidentov ( 24-26) 24-26 - Hlásenie kyb. bezp. incidentov podľa vykonávacieho predpisu 3 stupne geografický SR = 3! 24 ods. 3) - Ak prevádzkovateľ zákl. služby využíva na to digi-službu, hlási aj závažný kyb. bezp. incident prevádzkovateľa digi-služby (duplicita, v princípe iba cloud, ale pozor napr. na integrované Google) Hlásenie prostredníctvom jednotného IS (ale úrad sprístupní do 18 mesiacov) ( 34) 27 ods. 1) - NBÚ môže uložiť povinnosť vykonať v prípade závažného kyb. bezp. incidentu reaktívne opatrenie (primeranosť?) a požadovať návrh opatrení a ich vykonanie na zabránenie opakovania incidentu 25

Kontrola a audit ( 28-29) 28 - Kontrola ako kontrola v štátnej správe 29 - Audit (iba pre prevádzkovaľa ZS) podľa vykonávacieho predpisu, povinne do 2 rokov od zaradenia, po každej významnej zmene (!!) a po každej určenej perióde (!) Vykonať môže iba akreditovaný orgán posudzovania zhody (3) Povinne do 30 dní od ukončenia správu NBÚ aj s opatreniami na nápravu a lehotami (4) Aj NBÚ môže nariadiť audit (5) Náklady na audit 2 rokov znáša prevádzkovateľ ZS, nariadený NBÚ znáša NBÚ, ostatné nevedno, takže prevádzkovateľ... (6) 26

Sankcie ( 30-31) 30 - Priestupok FO (100-5000 EUR): porušenie mlčanlivosti naveky zbavuje riaditeľ NBÚ nepravdivé údaje pri oznámení prevádzkovateľa (??!) poruší povinnosti prevádzkovateľa ZS (??!) neprijme bezp. dokumentáciu prevádzkovateľa ZS (??!) nepostupovala v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom základnej služby (???! extenzívne protiústavné NBÚ nereguluje personálne ani pracovné právo) 31 - Správne delikty 300 EUR - 1 % celkového ročného obratu za predchádzajúci účtovný rok (do 300.000 EUR) napr. aj neohlásenie incidentu či nevykonanie opatrenia na nápravu v lehote podľa záverečnej správy o výsledkoch auditu 27

OTÁZKY? Peter Bíro (CEO)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář