Odborné stanovisko Asociácie kritickej infraštruktúry SR (AKI SR) k zákonu č. 318/2025 Z. z. a implementácii nariadenia Cyber Resilience Act (CRA)
Asociácia kritickej infraštruktúry SR považuje prijatie zákona č. 318/2025 Z. z. za zásadný krok v oblasti kybernetickej bezpečnosti Slovenskej republiky. Tento právny predpis prvýkrát systematicky implementuje európske nariadenie Cyber Resilience Act a upravuje spôsob, akým budú digitálne produkty – od softvéru, cez IoT zariadenia až po špecializované technológie používané v priemysle – uvádzané na trh a kontrolované z pohľadu kybernetickej odolnosti.
Zákon zároveň mení postavenie Národného bezpečnostného úradu, ktorý sa stáva orgánom dohľadu nad trhom pre produkty s digitálnymi prvkami. Je to výrazné posilnenie kapacít štátu v oblasti, kde doteraz chýbal jasný a jednoznačný kompetenčný rámec. NBÚ bude po novom môcť preverovať bezpečnostné vlastnosti digitálnych produktov, nariaďovať výrobcovi alebo distribútorovi odstránenie zistených nedostatkov, v prípade potreby zakázať uvádzanie nevyhovujúcich technológií na trh a zasahovať aj v online prostredí voči ponukám, ktoré ohrozujú bezpečnosť používateľov. Ide o reakciu na dlhodobý trend, kedy sa čoraz viac digitálnych komponentov – vrátane tých, ktoré neskôr končia v kritických systémoch – nakupuje prostredníctvom globálnych online platforiem bez dostatočnej kontroly pôvodu či kvality.
Cyber Resilience Act zavádza u výrobcov a dovozcov digitálnych produktov rozsiahle a doteraz neexistujúce povinnosti. Výrobca bude niesť zodpovednosť za bezpečnosť produktu počas celého jeho životného cyklu, bude musieť zabezpečiť procesy na manažment zraniteľností, poskytovať opravné aktualizácie, vypracovať technickú dokumentáciu ku zhode a transparentne informovať o bezpečnostných incidentoch. Novela zákona premieta tieto pravidlá do slovenského právneho rámca a vytvára základ na ich praktické vymáhanie.
Mimoriadne dôležitou novinkou je aj digitálny pas výrobku, ktorý má priniesť prehľad o bezpečnostných vlastnostiach, technickej špecifikácii, súlade s predpismi a histórii aktualizácií. Pre prevádzkovateľov kritickej infraštruktúry to znamená oveľa vyššiu úroveň transparentnosti vo vzťahu k technológiám, ktoré používajú vo svojich kľúčových systémoch. Z dlhodobého hľadiska to podporí aj lepšie riadenie rizík a efektívnejšiu identifikáciu slabých miest v dodávateľských reťazcoch.
Z pohľadu bezpečnosti energetiky, dopravy, zdravotníctva, výrobných odvetví alebo telekomunikačných sietí ide o legislatívny krok, ktorý jasne posúva Slovensko bližšie k moderným európskym štandardom kybernetickej odolnosti. Kritická infraštruktúra je dnes vystavená vysoko sofistikovaným útokom, ktoré často zneužívajú zraniteľnosti v bežných komerčných produktoch. Kým doteraz bolo možné uvádzať na trh aj produkty s minimálnymi bezpečnostnými štandardmi, nový právny rámec umožní štátu takéto technológie efektívne zastaviť už v momente, keď sa objavia na slovenskom trhu.
Asociácia kritickej infraštruktúry SR považuje túto legislatívnu úpravu za krok správnym smerom. Zároveň vnímame potrebu, aby štát pripravil jasné metodické usmernenia pre prevádzkovateľov kritickej infraštruktúry, orgány verejnej moci aj podniky, ktoré budú musieť plniť povinnosti podľa CRA. So zavedením nariadenia bude súvisieť aj potreba posilnenia odborných kapacít NBÚ, ako aj lepšej koordinácie medzi jednotlivými štátnymi orgánmi.
AKI SR je pripravená aktívne spolupracovať s NBÚ, ministerstvami aj odbornou komunitou pri zavádzaní tejto právnej úpravy do praxe. Veríme, že nový rámec prispeje k zvýšeniu bezpečnosti digitálnych technológií používaných na Slovensku a posilní ochranu systémov, ktoré sú nevyhnutné pre fungovanie spoločnosti, ekonomiky a štátu.
