Terminologické zmeny v novele zákona o kybernetickej bezpečnosti
27. februára 2025
Článok prináša detailný prehľad 32 nových terminologických úprav vyplývajúcich z novely zákona o kybernetickej bezpečnosti. V nasledujúcom texte sú systematicky zhrnuté všetky terminologické zmeny, pričom k niektorým z nich sú pripojené podrobné komentáre, ktoré vysvetľujú účel vykonaných úprav a význam novozavedených pojmov.
Novela zákona č.
69/2018 Z. z.
o kybernetickej bezpečnosti zákonom č.
366/2024 Z. z.
(ďalej len „Zákon“) v znení účinnom od 1.1.2025 okrem rôznych zmien v povinnostiach prichádza aj s niektorými zmenami v definíciách. Tie sú v oboch verziách uvedené konkrétne v
§ 3
Vymedzenie základných pojmov.
Novela Zákona je transpozíciou smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (ďalej len „Smernica“ alebo „NIS 2“).
V nasledujúcom texte sú zhrnuté všetky terminologické úpravy, v niektorých prípadoch s komentárom k príslušnej vykonanej zmene alebo novozavedenému pojmu.
Podľa § 3 ods. 1 sa na účely tohto Zákona rozumie:
Sieť Znenie do 31. 12. 2024: a) sieťou elektronická komunikačná sieť podľa osobitného predpisu Znenie od 1. 1. 2025: Bez zmeny V tejto definícii siete sa v oboch verziách Zákona zákonodarca odkazuje na zákon č. 351/2011 Z. z. o elektronických komunikáciách. Lenže zákon č. 351/2011 Z. z. o elektronických komunikáciách bol zrušený a nahradený predpisom 452/2021 Z. z.
Paradoxne, definícia pojmu „sieť“ je v ustanovení § 2 ods. 1 nového zákona č. 452/2021 Z. z. o elektronických komunikáciách presnejšia. Na rozdiel od pôvodnej definície táto zahŕňa aj rádiofrekvenčné a iné bezdrôtové siete, a to bez ohľadu na formát dát a na prenosový protokol. Pokiaľ bude zákonodarca vykonávať technickú novelizáciu Zákona, bolo by vhodné odkaz na už neplatný právny predpis napraviť.
Informačný systém Znenie do 31. 12. 2024: b) informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov Znenie od 1. 1. 2025: Bez zmeny Definícia informačného systému sa líši medzi rôznymi rámcami, právnymi predpismi a technickými normami. Každá z definícií sa prispôsobuje účelu konkrétneho rámca či predpisu – od kybernetickej bezpečnosti až po riadenie IT služieb. Napríklad: „funkčný celok zabezpečujúci cieľavedomú a systematickú informačnú činnosť prostredníctvom technických prostriedkov a programových prostriedkov“ (zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe), „ľudia, dáta, procesy a technológie na správu informácií“ (STN EN ISO/IEC 2382-37: 2022), „infraštruktúra + aplikácie + procesy“ (ITIL4), „kombinácia prevádzkovej, dátovej, aplikačnej a technologickej architektúry“ (TOGAF9), „IT komponenty, procesy a dáta umožňujúce podnikové operácie“ (COBIT2019), „hardvér, softvér, dáta, siete a ľudia na podporu cieľov“ (NIST SP 800-53).
Zákonná definícia pojmu informačný systém má zrejme najbližšie k definícii v čl. 3.35 technickej normy STN EN ISO/IEC 27000:2023 Informačné technológie – Bezpečnostné metódy – Systém manažérstva informačnej bezpečnosti – Prehľad a slovník (ďalej len ako „ISO/IEC 27000“), podľa ktorej: „Informačný systém je súbor aplikácií, služieb, aktív informačných technológií alebo iných komponentov na spracovanie informácií.“
Zákonom stanovenej definícii pojmu „informačný systém“ niet čo vyčítať.
Kybernetický priestor Znenie do 31. 12. 2024: c) kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi Znenie od 1. 1. 2025: Bez zmeny Jestvuje mnoho rôznych definícií kybernetického priestoru. Zrejme prvou všeobecnou definíciou sa stala tá, ktorú použil v roku 1984 vo svojom kyberpunkovom sci-fi románe Neuromancer 1) americký spisovateľ William Ford Gibbson. V nasledujúcich rokoch sa tento výraz identifikoval najmä s počítačovými hrami a postupne prepájanými počítačovými sieťami. Časť románu Neuromancer, ktorá je zvyčajne citovaná v uvedenom kontexte, je nasledujúca: „Kybernetický priestor. Hromadná halucinácia, ktorú denne prežívajú miliardy oprávnených v každom z národov, v ktorých sa deti učia matematické pojmy... Grafické zobrazenie údajov získaných z každého počítača v ľudskom systéme. Nepredstaviteľná zložitosť. Riadky svetla rozprestierajúce sa v medzipriestore mysle, zhlukov a súhvezdí dát. Ako ustupujúce svetlá miest.“
Takýto opis je, samozrejme, len umeleckou predstavou spisovateľa, navždy mu však bude patriť historické, „čestné“ miesto medzi definíciami kybernetického priestoru. V legislatíve je iste vhodnejšie použiť formálne, technické definície. V technických profesiách, ktorou nepochybne kybernetická bezpečnosť je, sa profesionáli opierajú o terminológiu, ktorá je dohodnutá na úrovni medzinárodnej normalizačnej organizácie ISO. Podľa čl. 4.21 medzinárodnej technickej normy STN ISO/IEC 27032:2024 Kyberbezpečnosť – Usmernenia pre internetovú bezpečnosť je kyberpriestor definovaný ako „komplexné prostredie, ktoré je výsledkom interakcie ľudí, softvéru a služieb na internete prostredníctvom technologických zariadení a sietí naň pripojených, ktoré neexistuje v akejkoľvek fyzickej podobe“. Z technicky jednoznačných definícií je vhodné spomenúť ešte definíciu Medzinárodnej telekomunikačnej únie (ITU). Tá v rovnakom význame používa namiesto výrazu „kybernetický priestor“ termín „kybernetické prostredie“, a to nasledujúcim spôsobom: „Kybernetické prostredie zahŕňa používateľov, siete, zariadenia, všetok softvér, procesy, informácie, a to uložené alebo počas prenosu, aplikácie, služby a systémy, ktoré môžu byť pripojené priamo alebo nepriamo do siete“.
Pokiaľ sa pozrieme na definície ISO, ITU alebo mnohé iné definície, nezostane než konštatovať, že definícia kybernetického priestoru použitá v Zákone nie je menšinová a obstojí aj v porovnaní s inou než slovenskou legislatívou a technickou normalizáciou.
Kontinuita Znenie do 31. 12. 2024: d) kontinuitou strategická a taktická schopnosť organizácie plánovať a reagovať na udalosti a incidenty s cieľom pokračovať vo výkone činností na prijateľnej, vopred stanovenej úrovni Znenie od 1. 1. 2025: Bez zmeny
Podľa čl. 3.24 technickej normy ISO 22300:2018 Bezpečnosť a odolnosť – Slovník ide o „schopnosť organizácie pokračovať v dodávaní produktov alebo služieb na prijateľných, vopred definovaných úrovniach aj v prípade narušenia“.
Zákonom stanovená definícia pojmu sa správne zameriava na výkon činností všeobecne, čím abstrahuje od dodávania produktov či služieb a uplatniteľná je aj na organizácie, ktoré nie sú výrobcami produktov alebo poskytovateľmi služieb.
Dôvernosť Znenie do 31. 12. 2024: e) dôvernosťou záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom Znenie od 1. 1. 2025: Bez zmeny Ide o takmer presnú citáciu čl. 3.10 technickej normy ISO/IEC 27000, podľa ktorej „dôvernosť je vlastnosť, že informácie nie sú sprístupnené alebo zverejnené neoprávneným osobám, subjektom alebo procesom“. Jedinou zmenou je zmena výrazu „vlastnosť“ za výraz „záruka“.
Etymologický význam slova „vlastnosť“ označuje niečo, čo je jeho charakteristickou črtou alebo podstatnou kvalitou. V prenesenom význame sa slovo používa na označenie charakteristík osôb, vecí alebo javov. Slovo „záruka“ má etymologický základ v staroslovanskom slovese „ručiti“, ktoré znamenalo dávať ruku na niečo, poskytovať záväzok alebo zodpovednosť. Tento výraz je spätý s gestom podania ruky ako znaku dohody či sľubu. Význam slova „záruka“ sa teda vyvinul do významu garancie, záväzku alebo istoty, že niečo bude splnené. Slovo „záruka“ súvisí s tradičným chápaním osobnej zodpovednosti a dôvery, keď bol sľub často spečatený fyzickým gestom, napríklad podaním ruky.
Výraz „záruka“ v zákone správne nahradzuje výraz „vlastnosť“ z jednoduchého dôvodu – kým technické normy nie sú záväzné a navrhujú iba odporúčania, všeobecne záväzný právny predpis určuje povinnosti subjektom práva.
Dostupnosť Znenie do 31. 12. 2024: f) dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná Znenie od 1. 1. 2025: Bez zmeny Opäť ide o rozšírenú citáciu čl. 3.7 technickej normy ISO/IEC 27000, podľa ktorého: „dostupnosť je vlastnosť byť prístupný a použiteľný na požiadanie oprávneného subjektu“.
Zákonom stanovená definícia pojmu upresňuje entity, pre ktoré má byť táto vlastnosť zaručená. A tak ako v predchádzajúcom prípade výraz „vlastnosť“ správne nahradzuje za výraz „záruka“, ergo – povinnosť.
Integrita Znenie do 31. 12. 2024: g) integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené Znenie od 1. 1. 2025: Bez zmeny Podľa čl. 3.36 technickej normy ISO/IEC 27000 ide o „vlastnosť presnosti a úplnosti“.
Zákonom stanovená definícia pojmu s cieľom vyhnúť sa rôznym výkladom opisuje vlastnosť integrity oveľa detailnejšie. A taktiež nahradzuje výraz „vlastnosť“ za výraz „záruka“.
Kybernetická bezpečnosť Znenie do 31. 12. 2024: h) kybernetickou bezpečnosťou stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov Znenie od 1. 1. 2025: Bez zmeny Kybernetická bezpečnosť sa týka opatrení, ktoré by zainteresované strany mali podniknúť na zaručenie bezpečnosti informačných aktív. Zároveň ide o manažérstvo procesov, ktoré by mali byť vykonávané s cieľom dosiahnuť, zaručiť a udržať bezpečnosť aktív a ich odolnosť voči hrozbám počas celého životného cyklu sietí a informačných systémov a operačných technológií.
Vo všeobecnosti by zákonom navrhnutá komplexná definícia kybernetickej bezpečnosti mohla byť akceptovateľná. Problematickým v tejto definícii zostáva videnie kybernetickej bezpečnosti ako stavu. Implicitne podľa tejto definície – hypoteticky dosiahnuteľného stavu. Avšak bezpečnosť v žiadnom prípade nie je cieľový stav, ale cyklický proces.
Prístup k manažérstvu bezpečnosti prostredníctvom Demingovho cyklu „PDCA“ (Plan, Do, Check, Act) je oddávna uvedený ako vzor pre uplatňovanie ochrany informačných aktív. Konkrétne, v detaile ho uvádza technická norma STN EN ISO/IEC 27001:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Systémy manažérstva informačnej bezpečnosti – Požiadavky. Táto norma stanovuje požiadavky na systém manažérstva informačnej bezpečnosti (ISMS) a odporúča uplatňovanie PDCA cyklu ako základného mechanizmu na neustále zlepšovanie procesov v oblasti informačnej bezpečnosti. Práve Demingov cyklus je dôležitým konceptom v systéme manažérstva bezpečnosti, ktorý pomáha organizáciám zabezpečiť kontinuálne zlepšovanie bezpečnostných opatrení a procesov ochrany informačných aktív. Bezpečnosť nie je stav, ale (nikdy nekončiaci) proces .
Riziko Znenie do 31. 12. 2024: i) rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami Znenie od 1. 1. 2025: i) rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu Zákonodarca prevzal definíciu zo Smernice. Zákonodarcovi preto niet čo vyčítať. To, žiaľ, neplatí pre legislatívcov v Bruseli a Luxemburgu.
Nevedno, čo viedlo európskych zákonodarcov k takejto formulácii. V technických normách sa totiž typicky používa výraz „následok“ („consequence“), prípadne „dopad“ („impact“), nie „strata“ ( „loss“), dokonca ani nie „narušenie“ („disruption“).
Vzťahovať dopady na stratu je skresľujúce, najmä vzhľadom na vnímanie výrazu „strata“ ako finančnej straty, ceny veci alebo straty hodnoty. Cena alebo hodnota v riadení rizík nie sú jedinými atribútmi, cez ktoré je možné všeobecne kvantifikovať negatívne vplyvy. V kybernetickej bezpečnosti a ochrane informačných aktív všeobecne existujú aj „mäkké“, finančne iba ťažko vyčísliteľné vplyvy (napr. prevádzkový dopad, reputačný dopad, negatívny vplyv na súlad, na dostupnosť, na spôsobilosť, na odolnosť atď.). Pre mnohé negatívne vplyvy sú v odbornej praxi zaužívané aj iné metriky s inými atribútmi – napríklad čas, početnosť, interval, zníženie stupňa odolnosti, zvýšenie stupňa kritickosti atď.
Že strata nie je vhodným atribútom pre určenie miery dopadu, potvrdzuje aj definícia kybernetickej hrozby v Smernici, pre ktorú je použité širšie pokrytie: „poškodenie, narušenie alebo iný negatívny vplyv“ – nie však „strata“. Vhodnejším výrazom v Smernici aj v Zákone by bola „škoda“, keďže škodou sa podľa § 124 zákona č. 300/2005 Z. z. Trestného zákona v platnom znení (ďalej len „ Trestný zákon “) rozumie nielen škoda hmotná, ale aj nehmotná, napr. aj získanie prospechu, škoda na právach poškodeného alebo iná ujma bez ohľadu na to, či ide o škodu na veci alebo na právach.
Hrozba Znenie do 31. 12. 2024: j) hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť Znenie od 1. 1. 2025: j) kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) [ďalej len „nariadenie (EÚ) 2019/881“]
Podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 , na ktorý § 3 písm. j) odkazuje, „kybernetická hrozba je každá potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo inak negatívne ovplyvniť siete a informačné systémy, užívateľov takýchto systémov a iné osoby“.
Táto definícia prevzatá aj do Zákona je odborne korektná a niet jej čo vyčítať.
Významná kybernetická hrozba Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: k) významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že má potenciál spôsobiť závažný kybernetický bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu Ide o nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Odkaz smeruje na definíciu značnej škody podľa § 125 ods. 1 Trestného zákona , podľa ktorého: „Škodou malou sa rozumie škoda prevyšujúca sumu 700 eur. Škodou väčšou sa rozumie škoda prevyšujúca sumu 20 000 eur. Značnou škodou sa rozumie škoda prevyšujúca sumu 250 000 eur. Škodou veľkého rozsahu sa rozumie škoda prevyšujúca sumu 650 000 eur. Tieto hľadiská sa použijú rovnako na určenie výšky prospechu, hodnoty veci a rozsahu činu.“
Aj v tomto prípade platí, že vzťahovať významnosť vplyvu na stratu vyčísliteľnú konkrétnou škodou je skresľujúce. Smernica v čl. 6 ods. 11 v definícii významnej hrozby správne referuje aj na nehmotné vplyvy: „významná kybernetická hrozba je kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že má potenciál mať závažný vplyv na sieť a informačné systémy subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú hmotnú alebo nehmotnú ujmu“. Keďže v slovenskom právnom poriadku nie je definované, čo sa považuje za „značnú hmotnú alebo nehmotnú“ ujmu, musela by sa zaviesť nová definícia len špecificky pre Zákon.
Odkaz zo Zákona do režimu Trestného zákona nedáva zmysel z toho dôvodu, že ani Smernica nenavrhuje ohraničenie výšky škody. Nepochybne tak európsky zákonodarca postupoval z vyššie uvedených dôvodov, keď hranica závažného incidentu nemusí by determinovaná výškou finančnej či inej hmotnej škody. Najvážnejšou výhradou voči takémuto ohraničeniu škody prostredníctvom definície v Trestnom zákone je to, že aj keby išlo skutočne o hmotnú škodu, za „závažný“ incident môže byť považovaný aj incident s oveľa nižšou výškou škody či ujmy, ako je 250 000 eur.
Kybernetická kríza Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: l) kybernetickou krízou obdobie, počas ktorého bezprostredne hrozí vznik rozsiahleho kybernetického bezpečnostného incidentu alebo trvá rozsiahly kybernetický bezpečnostný incident Kybernetická kríza je nový pojem, ktorý sa nenachádza v pôvodnej verzii Zákona. S definíciou sa dá súhlasiť.
Kybernetický bezpečnostný incident Znenie do 31. 12. 2024: k) kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je: 1. strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému, 2. obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby, 3. vysoká pravdepodobnosť kompromitácie činností základnej služby alebo digitálnej služby alebo 4. ohrozenie bezpečnosti informácií Znenie od 1. 1. 2025: m) kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov Upravená definícia, ktorá je výrazne bližšie dobrej praxi, než bola pôvodná. V pôvodnej definícii sa nachádzali aj duplicitné konštatovania, napríklad: · „zničenie údajov“ má rovnaký význam „narušenie integrity“, · „vysoká pravdepodobnosť kompromitácie činností“ je typickým priamym dôsledkom „porušenia bezpečnostnej politiky alebo záväznej metodiky“, · „ohrozenie bezpečnosti informácií“ má rovnaký význam ako „negatívny vplyv na kybernetickú bezpečnosť“.
Nová definícia je týchto nedostatkov zbavená. Oceňujem, že medzi atribúty spoľahlivosti sa doplnila aj pravosť, keďže tento atribút je zvyčajne ovplyvnený pri incidentoch týkajúcich sa identity.
Na škodu veci, ani európski legislatívci nepoužili pre výraz „udalosť“ množné číslo, ktoré je typicky používané v definíciách incidentu v technických normách, pretože v realite ide skutočne väčšinou o zreťazené udalosti. Podľa ISO/IEC 27005 napr. „jedna alebo viacero nežiaducich alebo neočakávaných udalostí“ („single or a series of unwanted or unexpected information security events“).
Základná služba Znenie do 31. 12. 2024: l) základnou službou služba, ktorá je zaradená v zozname základných služieb a 1. závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1, alebo 2. je prvkom kritickej infraštruktúry znenie od 1. 1. 2025: Vypúšťa sa Termín sa vypúšťa, keďže povinné osoby sa už neidentifikujú podľa poskytovanej základnej služby, ale veľkostných kritérií a zaradenia do príslušného odvetvia.
Tu je v kontexte používania výrazu „prevádzkovateľ“ v zachovanom názve subjektu „prevádzkovateľ základnej služby“ (ďalej aj len „PZS“) priestor spomenúť, že služba sa POSKYTUJE, nie PREVÁDZKUJE. Výraz „poskytovanie“ je podstatné meno odvodené od slovesa „poskytovať“, ktoré znamená dávať k dispozícii, zabezpečovať alebo sprostredkovať niečo niekomu. V kontexte základných služieb (ako modelu platného do 31.12.2024) sa „poskytovanie služieb“ vzťahuje na činnosť, pri ktorej sú zo strany PZS zabezpečované určité služby pre tretie strany. Hoci už nehovoríme o základnej službe, ale o celkovej činnosti PZS ako takej, s tou fikciou, že výsledkom tejto činnosti je poskytovanie výstupného produktu s pridanou hodnotou tretím stranám.
Podľa Slovníka súčasného slovenského jazyka (2006) „poskytovanie služieb“ znamená proces alebo činnosť, pri ktorej sa služby dávajú k dispozícii alebo zabezpečujú pre iných, s uvedením nasledovných príkladov použitia slovesa „poskytovať“: · poskytovať pomoc: dávať k dispozícii, zabezpečovať pomoc, · poskytovať služby: dávať k dispozícii, zabezpečovať služby.
Už pôvodný výraz „prevádzkovateľ základnej služby“ bol z hľadiska prekladu, takpovediac, procesný nezmysel. Prvá verzia smernice používala výraz „operator of essential services“. Podľa Oxford Advanced Learner's Dictionary (ISBN-13: 978-0194798488) výraz „operator“ v uvedenom kontexte znamená: „a person or company that runs a particular business“, pričom výraz „that runs“ v preklade znamená: „ktorá prevádzkuje“, „ktorá vykonáva“ alebo „ktorá vedie“, nie „ktorá poskytuje“.
Tu je potrebné uviesť, že za mnohokrát chybné preklady európskych právnych aktov nezodpovedá Národný bezpečnostný úrad (ďalej len „Úrad“), pretože preklady vykonávajú prekladateľské jednotky Európskej komisie (ďalej len „EK“). Zákonodarca má len minimálne možnosti pre jazykové úpravy, dokonca ani keď sa chyba prekladu objaví ešte počas legislatívneho procesu. Európska komisia nemá verejne dostupné pravidlá týkajúce sa jazykových korekcií. Ovplyvniť opravu chybne preloženého výrazu pri rigidnom prístupe prekladateľov EK je takmer nemožné.
V novej verzii zákona zostáva zachovaný názov subjektu prevádzkovateľ základnej služby – zrejme s úmyslom zákonodarcu zachovať absolútnu kontinuitu registra prevádzkovateľov základných služieb. Snáď sa niekedy neskôr nájde príležitosť na vhodnú terminologickú úpravu.
Prevádzkovateľ základnej služby Znenie do 31. 12. 2024: m) prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena l) Znenie od 1. 1. 2025: prevádzkovateľom základnej služby je ten, kto je zapísaný v registri prevádzkovateľov základnej služby Termín je ošetrený v § 3 ods. 2 Zákona. Žiaľ, tautologickým spôsobom. Tautológia vo výrokovej logike znamená definíciu kruhom, resp. dôkaz dokazovaným, alebo vyjadrenie obsahu pojmu rovnakými či podobnými slovami. 2) Dôvody, pre ktoré je subjekt povinnou osobou zo zákona, by nemali byť rekurzívne zdôvodňované len samotným faktom, že sa subjekt ocitne v nejakom registri.
Zároveň sa takouto definíciou prevádzkovateľa základnej služby podmienenej zápisom v registri prevádzkovateľov základnej služby vytvára legislatívna medzera, keďže na subjekt, ktorý nie je zapísaný v registri, sa podľa tejto definície zákon podľa všetkého nevzťahuje, napriek tomu, že bude potenciálne spĺňať všetky podmienky na zápis.
Digitálna služba Znenie do 31. 12. 2024: n) digitálnou službou služba, ktorej druh je uvedený prílohe č. 2 Znenie od 1. 1. 2025: Vypúšťa sa Termín sa vypúšťa, avšak možno na škodu veci, keďže aj Smernica ho definuje a aj používa v texte predpisu.
„Digitálna služba“ je služba s odkazom z čl. 6 ods. 23 Smernice vymedzená v článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 , ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti, podľa ktorej „služba je každá služba poskytovaná informačnou spoločnosťou, to jest každá služba, ktorá sa bežne poskytuje za odmenu, na diaľku, elektronickým spôsobom a na základe individuálnej žiadosti príjemcu služieb“.
Pokiaľ by bola v Zákone aplikované použitie výrazu „digitálna služba“, dalo sa vyhnúť zbytočne komplikovaným definíciám pojmov v § 3 ods. 1 písm. v) a písm. w) Zákona.
Poskytovateľ digitálnej služby Znenie do 31. 12. 2024: o) poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur Znenie od 1. 1. 2025: Vypúšťa sa Typ subjektu „poskytovateľ digitálnej služby“ v novej verzii zákona prestal existovať a jeho definícia už nedáva zmysel.
Rozsiahly kybernetický bezpečnostný incident Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: n) rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť Slovenskej republiky naň reagovať, alebo ktorý má významný vplyv aspoň na dva členské štáty Európskej únie Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Ide o transpozíciu z čl. 6 ods. 7 Smernice: „Rozsiahly kybernetický incident je incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť členského štátu naň reagovať alebo ktorý má významný vplyv aspoň na dva členské štáty.“
Riešenie kybernetického bezpečnostného incidentu Znenie do 31. 12. 2024: p) riešením kybernetického bezpečnostného incidentu všetky postupy súvisiace s oznamovaním, odhaľovaním, analýzou a reakciou na kybernetický bezpečnostný incident a s obmedzením jeho následkov Znenie od 1. 1. 2025: o) riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo na reakciu naň a zotavenie z neho Pôvodný pojem precizovaný podľa čl. 6 ods. 8 Smernice: „Riešenie incidentov sú akékoľvek kroky a postupy zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie incidentov alebo na reakciu na incident a zotavenie z neho.“
Udalosť odvrátená v poslednej chvíli Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: p) udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo Definícia udalosti odvrátenej v poslednej chvíli („near miss event“) je nová, ale veľmi potrebná. Je to doslovná transpozícia čl. 6 ods. 5 Smernice.
Ide o to, že v mnohých polemikách najmä s právnickou verejnosťou sa oponenti často pýtali, či skutkovú podstatu incidentu nie je možné považovať za naplnenú až vo chvíli, keď je udalosť dokonaná. Na to som vždy odpovedal protiotázkou, či za incident budeme považovať až ten stav, v ktorom hacker napríklad vypustí Vážsku kaskádu, alebo či je incidentom už aj neoprávnený prienik do jej riadiaceho systému. Pretože „B“ je správne“. A Smernica to len potvrdila.
Mimochodom – výraz „udalosť odvrátená v poslednej chvíli“ úzko súvisí s vyššie opísaným problémom vnímania rizika len ako potenciálnej (finančnej) straty podľa § 3 ods. 1 písm. i) . Ak nastane udalosť, ktorú PZS odvráti v poslednej chvíli, strata vôbec nemusí nastať. Incident to však, samozrejme, bude.
Zraniteľnosť Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: q) zraniteľnosťou akýkoľvek nežiaduci stav alebo chyba technického prostriedku alebo programového prostriedku, alebo nedostatok procesu vrátane nesprávnej bezpečnostnej konfigurácie, ktorá môže byť zneužitá kybernetickou hrozbou V pôvodnej verzii zákona táto definícia chýbala. Žiaľ, nová slovenská definícia podľa dobrej praxe nie je úplne správna. Zraniteľnosť nie je stav, ale objekt alebo skutočnosť.
V Smernici je definícia bezchybná: „Zraniteľnosť je slabá stránka, náchylnosť alebo chyba produktov IKT alebo služieb IKT, ktorá môže byť zneužitá kybernetickou hrozbou.“ Podľa STN ISO/IEC 27005:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Usmernenie k riadeniu rizík informačnej bezpečnosti je „zraniteľnosťou slabé miesto aktíva alebo opatrenia, ktoré môže byť zneužité tak, že nastane udalosť s negatívny následkom“. (V Smernici: „weakness of an asset or control that can be exploited so that an event with a negative consequence occurs“).
Definícia zraniteľnosti je veľmi podstatná, keďže Smernica zavádza požiadavku na koordinované zverejňovanie zraniteľností. Vzhľadom na rozsiahlosť problematiky bude vo vyhláške táto požiadavka riešená zrejme odkazom na technickú normu STN EN ISO/IEC 29147:2024 Informačné technológie – Bezpečnostné metódy – Zverejňovanie zraniteľností, ktorá bola minulý rok prevzatá do sústavy STN prekladom do slovenského jazyka.
Produkt Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: r) produktom IKT produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881 „produkt IKT je prvok alebo skupina prvkov siete alebo informačného systému“.
Služba IKT Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: s) službou IKT služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881 „služba IKT je služba pozostávajúca úplne alebo prevažne z prenosu, ukladania, získavania alebo spracúvania informácií prostredníctvom sietí a informačných systémov“.
Proces IKT Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: t) procesom IKT proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881 „proces IKT je súbor činností vykonávaných pre navrhnutie, vyvinutie, poskytnutie alebo údržbu produktu IKT alebo služby IKT“.
Európsky certifikát kybernetickej bezpečnosti Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: u) európskym certifikátom kybernetickej bezpečnosti európsky certifikát kybernetickej bezpečnosti podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881
Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881 „európsky certifikát kybernetickej bezpečnosti je dokument, ktorý vydal príslušný orgán a ktorým sa potvrdzuje, že daný produkt IKT, služba IKT alebo proces IKT bol predmetom hodnotenia, pokiaľ ide o súlad s konkrétnymi bezpečnostnými požiadavkami stanovenými v európskom systéme certifikácie kybernetickej bezpečnosti“.
Aj podľa dlho presadzovaných cieľov Európskej komisie sa bude certifikácia kybernetickej bezpečnosti uplatňovať čoraz intenzívnejšie. Nateraz jej širšej aplikácii v praxi bráni najmä fakt meškajúcich certifikačných schém. Vysvetlenie tejto problematiky prekračuje rámec možností tohto článku a venovať sa mu budem v samostatných analýzach. Novela Zákona správne pripravila právny základ na reálne uplatnenie certifikácie kybernetickej bezpečnosti.
Správca TLD Znenie do 31 .12. 2024: N/A Znenie od 1. 1. 2025: v) správcom TLD osoba, ktorej bola pridelená osobitná doména najvyššej úrovne (TLD) a ktorá je zodpovedná za správu TLD vrátane registrácie názvov domén v rámci TLD a za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva sama alebo prostredníctvom inej osoby Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. TLD (Top-Level Domain) alebo doména najvyššej úrovne je posledná časť doménového mena, ktorá sa nachádza za poslednou bodkou (napr. .com, .org, .sk, .gov). TLD sú spravované organizáciou ICANN (Internet Corporation for Assigned Names and Numbers) a jej podriadenými registrátormi. Kybernetická bezpečnosť domén najvyššej úrovne je kľúčová, pretože domény sú základným prvkom internetu a zneužitie TLD môže viesť k vážnym bezpečnostným incidentom.
Bezpečná prevádzka TLD je natoľko dôležitá, že Európska komisia k tomu vydala už aj implementačný akt, ktorý je považovaný za sektorový predpis o bezpečnostných opatreniach. Konkrétne – Vykonávacie nariadenie Komisie (EÚ) 2024/2690 , ktorým sa stanovujú pravidlá uplatňovania smernice (EÚ) 2022/2555 , pokiaľ ide o technické a metodické požiadavky na opatrenia na riadenie kybernetických rizík a o bližšie určenie prípadov, v ktorých sa incident považuje za významný, vo vzťahu k poskytovateľom služieb DNS, správcom názvov TLD, poskytovateľom služieb cloud computingu, poskytovateľom služieb dátového centra, poskytovateľom sietí na sprístupňovanie obsahu, poskytovateľom riadených služieb, poskytovateľom riadených bezpečnostných služieb, poskytovateľom online trhov, internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovateľom dôveryhodných služieb. Áno, tento právny akt má skutočne takýto dlhý názov. Ale prehnaná komplexnosť, unikátny legislatívny jazyk a tým spôsobená neprehľadnosť sú tiež špecifikami legislatívy EÚ.
Služba DNS Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: w) službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Služba DNS (Domain Name System) je systém, ktorý prekladá ľudsky čitateľné doménové mená (napr. www.google.com) na konkrétne IP adresy, ktoré sú použiteľné pre reálnu sieťovú komunikáciu. DNS obrazne povedané funguje ako „telefónny zoznam“ internetu, umožňujúci zariadeniam nájsť a komunikovať so správnymi servermi. Bezpečná prevádzka DNS je mimoriadne dôležitá a na bezpečnosť DNS sa tiež uplatňuje vykonávacie nariadenie Komisie (EÚ) 2024/2690 .
Lokálnym problémom, ktorý už začína byť pravidelným predmetom diskusií so zákonodarcom, sú malí poskytovatelia služieb DNS. Títo sa podľa zákonnej definície služby DNS stávajú povinnými osobami, čo však z praktického hľadiska nedáva zmysel. V tom kontexte by zrejme bola vhodná úprava ustanovenia § 17 ods. 1 písm. c) bod 4 , podľa ktorého „do registra prevádzkovateľov základnej služby sa zapisuje osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá poskytuje službu DNS“. Toto ustanovenie by mohlo po novelizácii precizovať veľkostnú kategóriu poskytovateľov služieb DNS a zároveň vylúčiť služby DNS poskytované neverejne, t. j. pre internú potrebu organizácií.
Služba registrácie názvu domény Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: x) službou registrácie názvu domény služba, ktorú vykonáva registrátor alebo zástupca konajúci v mene registrátora, ktorej cieľom je vznik práva na využívanie domény druhej úrovne držiteľom domény v dohodnutom rozsahu, na dohodnuté časové obdobie a za dohodnutých podmienok Nový pojem, ktorý sa nenachádza v pôvodnej verzii zákona. Definícia služby registrácie domén sa bude v aplikačnej praxi stretávať s rovnakým problémom ako definícia služieb DNS podľa písm. w) , teda uplatňovanie povinností pre malých poskytovateľov služieb.
Kľúčová služba Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: y) kľúčovou službou služba pre zachovanie dôležitých spoločenských oblastí alebo hospodárskych činností, pri ktorej dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť
1. ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb,
2. obmedzenie alebo narušenie kritického subjektu, jeho základnej služby alebo kritickej infraštruktúry,
3. hospodársku stratu vyššiu ako 0,1 % hrubého domáceho produktu podľa údajov z bezprostredne predchádzajúceho rozpočtového roka, alebo
4. hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur V pôvodnej verzii Zákona sa tento pojem nenachádza, zavádza ho až novela. Smernica extenzívne používa výraz „kľúčové subjekty“, nie však „kľúčová služba“. Termín „kľúčové subjekty“ používaný pre povinné osoby je rozsiahlo definovaný v čl. 3 Smernice. Hranica „kľúčovosti“ pre služby je samostatnou iniciatívou Zákona a tak trochu sa v tom dá čítať inšpirácia z novelizáciou zrušenej vyhlášky Národného bezpečnostného úradu č. 164/2018 Z. z. , ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby).
Podľa môjho názoru by v kontexte digitálnej služby pre účely vymedzenia kritickosti subjektu v zákone postačovala aplikácia výrazu „významná kybernetická hrozba“. Nadužívanie niektorých pojmov v konečnom dôsledku pôsobí zmätočne. Výrazy ako kľúčová služba, kľúčové subjekty, kritická služba, kritická osoba... atď. zavádzajú nežiaducu neprehľadnosť v nomenklatúre, ktorá tak umožní zbytočne chybné laické výklady.
Významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: z) významným vplyvom na verejný poriadok, bezpečnosť alebo verejné zdravie vplyv, pri ktorom dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť narušenie verejného poriadku, bezpečnosti, ohrozenie verejného zdravia, mimoriadnu udalosť alebo tieseň, ktorá môže Nový pojem, ktorý sa nenachádza v pôvodnej verzii zákona. V tomto prípade sa zákonodarca snažil kompenzovať nedostatok Smernice, v ktorej je tento výraz používaný, avšak bez definície.
Významné systémové riziko Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: aa) významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky Nový termín, ktorý sa nenachádza v pôvodnej verzii Zákona. Nie je jasné, odkiaľ táto definícia pochádza a aký je jej účel. V Smernici sa taký výraz nenachádza a nepoužíva sa. Pokiaľ ide o definíciu PZS podľa § 17 ods. 1 písm. c) bod 7 , podľa ktorého do registra prevádzkovateľov základnej služby sa zapisuje osoba, ktorá poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko najmä v sektore, v ktorom by takéto narušenie alebo zásah mohli mať cezhraničný vplyv, pre tento účel Smernica pozná výraz „významná kybernetická hrozba“, čo by pre účely zákona malo byť postačujúce. Terminologicky jasne nevysvetlený a nezdôvodnený výraz umožní zbytočne chybné výklady.
Osoba, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: ab) osobou, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická osoba, ktorej narušenie z dôvodu kybernetického bezpečnostného incidentu môže vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni Nový termín, ktorý sa nenachádza v pôvodnej verzii Zákona. Mohlo by sa zdať, že táto definícia nemá z právneho hľadiska význam a že je nadbytočná, avšak súvisí s identifikáciou PZS podľa § 17 ods. 1 písm. c) bod 8 . Touto definíciou sú dané hranice, kto sa za PZS tohto typu považuje.
Záver Úrad zásadnejšie terminologické nepresnosti do Zákona nevniesol alebo iba ak vtedy, ak sa nechal inšpirovať európskymi definíciami, pričom práve z nich sú niektoré v rozpore s dobrou praxou.
Počet chýbajúcich definícií pojmov použitých v texte zákona a nevymedzených v § 3 je iba okrajový. Väčšina z nich je prípadne definovaná v iných právnych predpisoch alebo je ich definícia plánovaná vo vykonávacích predpisoch. Ide napríklad o výrazy: · bezpečnostná dokumentácia – zmieňuje sa v súvislosti s bezpečnostnými opatreniami; · jednotka CSIRT – tento pojem sa používa v kontexte riešenia kybernetických bezpečnostných incidentov. V zákone je výraz hojne používaný. Napriek tomu zostáva definícia a model týchto jednotiek predmetom rozsiahlych diskusií a polemík v odbornej verejnosti; · hybridné hrozby – v texte sa spomína v súvislosti s kybernetickou bezpečnosťou, ale definícia alebo odkaz chýbajú; · objekty osobitnej dôležitosti – používané v kontexte kybernetickej obrany a kritickej infraštruktúry, no bez definície v § 3 a bez odkazu na osobitný predpis; · závažné dezinformácie – pojem sa používa pri opise škodlivých aktivít, avšak bez definície v § 3 a bez odkazu na definíciu v osobitnom predpise.
Ak sa zákonodarca vyhol definícii týchto ustanovení a tieto nie sú definované v iných právnych predpisoch, môže to viesť k ich dezinterpretácii.
Úrad odviedol v terminologickej rovine dobrú prácu, hoci by sa mu dalo vyčítať, že pri definíciách odborných výrazov intenzívnejšie nekomunikoval s odbornou komunitou. Nepochybne by to prispelo k vyššej kvalite výsledného textu – aj v ostatných častiach Zákona.
Autor: Ing. Ivan Makatura, CRISC, CDPSE Zdroj: Makatura, Ivan. “Terminologické Zmeny v Novele Zákona o Kybernetickej Bezpečnosti.” bezpecnostvpraxi.sk, February 24, 2025. https://www.bezpecnostvpraxi.sk/odborny-clanok/terminologicke-zmeny-v-novele-zakona-o-kybernetickej-bezpecnosti.htm Dostupné na: https://www.bezpecnostvpraxi.sk/odborny-clanok/terminologicke-zmeny-v-novele-zakona-o-kybernetickej-bezpecnosti.htm
Novela Zákona je transpozíciou smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (ďalej len „Smernica“ alebo „NIS 2“).
V nasledujúcom texte sú zhrnuté všetky terminologické úpravy, v niektorých prípadoch s komentárom k príslušnej vykonanej zmene alebo novozavedenému pojmu.
Podľa § 3 ods. 1 sa na účely tohto Zákona rozumie:
Sieť Znenie do 31. 12. 2024: a) sieťou elektronická komunikačná sieť podľa osobitného predpisu Znenie od 1. 1. 2025: Bez zmeny V tejto definícii siete sa v oboch verziách Zákona zákonodarca odkazuje na zákon č. 351/2011 Z. z. o elektronických komunikáciách. Lenže zákon č. 351/2011 Z. z. o elektronických komunikáciách bol zrušený a nahradený predpisom 452/2021 Z. z.
Paradoxne, definícia pojmu „sieť“ je v ustanovení § 2 ods. 1 nového zákona č. 452/2021 Z. z. o elektronických komunikáciách presnejšia. Na rozdiel od pôvodnej definície táto zahŕňa aj rádiofrekvenčné a iné bezdrôtové siete, a to bez ohľadu na formát dát a na prenosový protokol. Pokiaľ bude zákonodarca vykonávať technickú novelizáciu Zákona, bolo by vhodné odkaz na už neplatný právny predpis napraviť.
Informačný systém Znenie do 31. 12. 2024: b) informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov Znenie od 1. 1. 2025: Bez zmeny Definícia informačného systému sa líši medzi rôznymi rámcami, právnymi predpismi a technickými normami. Každá z definícií sa prispôsobuje účelu konkrétneho rámca či predpisu – od kybernetickej bezpečnosti až po riadenie IT služieb. Napríklad: „funkčný celok zabezpečujúci cieľavedomú a systematickú informačnú činnosť prostredníctvom technických prostriedkov a programových prostriedkov“ (zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe), „ľudia, dáta, procesy a technológie na správu informácií“ (STN EN ISO/IEC 2382-37: 2022), „infraštruktúra + aplikácie + procesy“ (ITIL4), „kombinácia prevádzkovej, dátovej, aplikačnej a technologickej architektúry“ (TOGAF9), „IT komponenty, procesy a dáta umožňujúce podnikové operácie“ (COBIT2019), „hardvér, softvér, dáta, siete a ľudia na podporu cieľov“ (NIST SP 800-53).
Zákonná definícia pojmu informačný systém má zrejme najbližšie k definícii v čl. 3.35 technickej normy STN EN ISO/IEC 27000:2023 Informačné technológie – Bezpečnostné metódy – Systém manažérstva informačnej bezpečnosti – Prehľad a slovník (ďalej len ako „ISO/IEC 27000“), podľa ktorej: „Informačný systém je súbor aplikácií, služieb, aktív informačných technológií alebo iných komponentov na spracovanie informácií.“
Zákonom stanovenej definícii pojmu „informačný systém“ niet čo vyčítať.
Kybernetický priestor Znenie do 31. 12. 2024: c) kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi Znenie od 1. 1. 2025: Bez zmeny Jestvuje mnoho rôznych definícií kybernetického priestoru. Zrejme prvou všeobecnou definíciou sa stala tá, ktorú použil v roku 1984 vo svojom kyberpunkovom sci-fi románe Neuromancer 1) americký spisovateľ William Ford Gibbson. V nasledujúcich rokoch sa tento výraz identifikoval najmä s počítačovými hrami a postupne prepájanými počítačovými sieťami. Časť románu Neuromancer, ktorá je zvyčajne citovaná v uvedenom kontexte, je nasledujúca: „Kybernetický priestor. Hromadná halucinácia, ktorú denne prežívajú miliardy oprávnených v každom z národov, v ktorých sa deti učia matematické pojmy... Grafické zobrazenie údajov získaných z každého počítača v ľudskom systéme. Nepredstaviteľná zložitosť. Riadky svetla rozprestierajúce sa v medzipriestore mysle, zhlukov a súhvezdí dát. Ako ustupujúce svetlá miest.“
Takýto opis je, samozrejme, len umeleckou predstavou spisovateľa, navždy mu však bude patriť historické, „čestné“ miesto medzi definíciami kybernetického priestoru. V legislatíve je iste vhodnejšie použiť formálne, technické definície. V technických profesiách, ktorou nepochybne kybernetická bezpečnosť je, sa profesionáli opierajú o terminológiu, ktorá je dohodnutá na úrovni medzinárodnej normalizačnej organizácie ISO. Podľa čl. 4.21 medzinárodnej technickej normy STN ISO/IEC 27032:2024 Kyberbezpečnosť – Usmernenia pre internetovú bezpečnosť je kyberpriestor definovaný ako „komplexné prostredie, ktoré je výsledkom interakcie ľudí, softvéru a služieb na internete prostredníctvom technologických zariadení a sietí naň pripojených, ktoré neexistuje v akejkoľvek fyzickej podobe“. Z technicky jednoznačných definícií je vhodné spomenúť ešte definíciu Medzinárodnej telekomunikačnej únie (ITU). Tá v rovnakom význame používa namiesto výrazu „kybernetický priestor“ termín „kybernetické prostredie“, a to nasledujúcim spôsobom: „Kybernetické prostredie zahŕňa používateľov, siete, zariadenia, všetok softvér, procesy, informácie, a to uložené alebo počas prenosu, aplikácie, služby a systémy, ktoré môžu byť pripojené priamo alebo nepriamo do siete“.
Pokiaľ sa pozrieme na definície ISO, ITU alebo mnohé iné definície, nezostane než konštatovať, že definícia kybernetického priestoru použitá v Zákone nie je menšinová a obstojí aj v porovnaní s inou než slovenskou legislatívou a technickou normalizáciou.
Kontinuita Znenie do 31. 12. 2024: d) kontinuitou strategická a taktická schopnosť organizácie plánovať a reagovať na udalosti a incidenty s cieľom pokračovať vo výkone činností na prijateľnej, vopred stanovenej úrovni Znenie od 1. 1. 2025: Bez zmeny
Podľa čl. 3.24 technickej normy ISO 22300:2018 Bezpečnosť a odolnosť – Slovník ide o „schopnosť organizácie pokračovať v dodávaní produktov alebo služieb na prijateľných, vopred definovaných úrovniach aj v prípade narušenia“.
Zákonom stanovená definícia pojmu sa správne zameriava na výkon činností všeobecne, čím abstrahuje od dodávania produktov či služieb a uplatniteľná je aj na organizácie, ktoré nie sú výrobcami produktov alebo poskytovateľmi služieb.
Dôvernosť Znenie do 31. 12. 2024: e) dôvernosťou záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom Znenie od 1. 1. 2025: Bez zmeny Ide o takmer presnú citáciu čl. 3.10 technickej normy ISO/IEC 27000, podľa ktorej „dôvernosť je vlastnosť, že informácie nie sú sprístupnené alebo zverejnené neoprávneným osobám, subjektom alebo procesom“. Jedinou zmenou je zmena výrazu „vlastnosť“ za výraz „záruka“.
Etymologický význam slova „vlastnosť“ označuje niečo, čo je jeho charakteristickou črtou alebo podstatnou kvalitou. V prenesenom význame sa slovo používa na označenie charakteristík osôb, vecí alebo javov. Slovo „záruka“ má etymologický základ v staroslovanskom slovese „ručiti“, ktoré znamenalo dávať ruku na niečo, poskytovať záväzok alebo zodpovednosť. Tento výraz je spätý s gestom podania ruky ako znaku dohody či sľubu. Význam slova „záruka“ sa teda vyvinul do významu garancie, záväzku alebo istoty, že niečo bude splnené. Slovo „záruka“ súvisí s tradičným chápaním osobnej zodpovednosti a dôvery, keď bol sľub často spečatený fyzickým gestom, napríklad podaním ruky.
Výraz „záruka“ v zákone správne nahradzuje výraz „vlastnosť“ z jednoduchého dôvodu – kým technické normy nie sú záväzné a navrhujú iba odporúčania, všeobecne záväzný právny predpis určuje povinnosti subjektom práva.
Dostupnosť Znenie do 31. 12. 2024: f) dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná Znenie od 1. 1. 2025: Bez zmeny Opäť ide o rozšírenú citáciu čl. 3.7 technickej normy ISO/IEC 27000, podľa ktorého: „dostupnosť je vlastnosť byť prístupný a použiteľný na požiadanie oprávneného subjektu“.
Zákonom stanovená definícia pojmu upresňuje entity, pre ktoré má byť táto vlastnosť zaručená. A tak ako v predchádzajúcom prípade výraz „vlastnosť“ správne nahradzuje za výraz „záruka“, ergo – povinnosť.
Integrita Znenie do 31. 12. 2024: g) integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené Znenie od 1. 1. 2025: Bez zmeny Podľa čl. 3.36 technickej normy ISO/IEC 27000 ide o „vlastnosť presnosti a úplnosti“.
Zákonom stanovená definícia pojmu s cieľom vyhnúť sa rôznym výkladom opisuje vlastnosť integrity oveľa detailnejšie. A taktiež nahradzuje výraz „vlastnosť“ za výraz „záruka“.
Kybernetická bezpečnosť Znenie do 31. 12. 2024: h) kybernetickou bezpečnosťou stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov Znenie od 1. 1. 2025: Bez zmeny Kybernetická bezpečnosť sa týka opatrení, ktoré by zainteresované strany mali podniknúť na zaručenie bezpečnosti informačných aktív. Zároveň ide o manažérstvo procesov, ktoré by mali byť vykonávané s cieľom dosiahnuť, zaručiť a udržať bezpečnosť aktív a ich odolnosť voči hrozbám počas celého životného cyklu sietí a informačných systémov a operačných technológií.
Vo všeobecnosti by zákonom navrhnutá komplexná definícia kybernetickej bezpečnosti mohla byť akceptovateľná. Problematickým v tejto definícii zostáva videnie kybernetickej bezpečnosti ako stavu. Implicitne podľa tejto definície – hypoteticky dosiahnuteľného stavu. Avšak bezpečnosť v žiadnom prípade nie je cieľový stav, ale cyklický proces.
Prístup k manažérstvu bezpečnosti prostredníctvom Demingovho cyklu „PDCA“ (Plan, Do, Check, Act) je oddávna uvedený ako vzor pre uplatňovanie ochrany informačných aktív. Konkrétne, v detaile ho uvádza technická norma STN EN ISO/IEC 27001:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Systémy manažérstva informačnej bezpečnosti – Požiadavky. Táto norma stanovuje požiadavky na systém manažérstva informačnej bezpečnosti (ISMS) a odporúča uplatňovanie PDCA cyklu ako základného mechanizmu na neustále zlepšovanie procesov v oblasti informačnej bezpečnosti. Práve Demingov cyklus je dôležitým konceptom v systéme manažérstva bezpečnosti, ktorý pomáha organizáciám zabezpečiť kontinuálne zlepšovanie bezpečnostných opatrení a procesov ochrany informačných aktív. Bezpečnosť nie je stav, ale (nikdy nekončiaci) proces .
Riziko Znenie do 31. 12. 2024: i) rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami Znenie od 1. 1. 2025: i) rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu Zákonodarca prevzal definíciu zo Smernice. Zákonodarcovi preto niet čo vyčítať. To, žiaľ, neplatí pre legislatívcov v Bruseli a Luxemburgu.
Nevedno, čo viedlo európskych zákonodarcov k takejto formulácii. V technických normách sa totiž typicky používa výraz „následok“ („consequence“), prípadne „dopad“ („impact“), nie „strata“ ( „loss“), dokonca ani nie „narušenie“ („disruption“).
Vzťahovať dopady na stratu je skresľujúce, najmä vzhľadom na vnímanie výrazu „strata“ ako finančnej straty, ceny veci alebo straty hodnoty. Cena alebo hodnota v riadení rizík nie sú jedinými atribútmi, cez ktoré je možné všeobecne kvantifikovať negatívne vplyvy. V kybernetickej bezpečnosti a ochrane informačných aktív všeobecne existujú aj „mäkké“, finančne iba ťažko vyčísliteľné vplyvy (napr. prevádzkový dopad, reputačný dopad, negatívny vplyv na súlad, na dostupnosť, na spôsobilosť, na odolnosť atď.). Pre mnohé negatívne vplyvy sú v odbornej praxi zaužívané aj iné metriky s inými atribútmi – napríklad čas, početnosť, interval, zníženie stupňa odolnosti, zvýšenie stupňa kritickosti atď.
Že strata nie je vhodným atribútom pre určenie miery dopadu, potvrdzuje aj definícia kybernetickej hrozby v Smernici, pre ktorú je použité širšie pokrytie: „poškodenie, narušenie alebo iný negatívny vplyv“ – nie však „strata“. Vhodnejším výrazom v Smernici aj v Zákone by bola „škoda“, keďže škodou sa podľa § 124 zákona č. 300/2005 Z. z. Trestného zákona v platnom znení (ďalej len „ Trestný zákon “) rozumie nielen škoda hmotná, ale aj nehmotná, napr. aj získanie prospechu, škoda na právach poškodeného alebo iná ujma bez ohľadu na to, či ide o škodu na veci alebo na právach.
Hrozba Znenie do 31. 12. 2024: j) hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť Znenie od 1. 1. 2025: j) kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) [ďalej len „nariadenie (EÚ) 2019/881“]
Podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 , na ktorý § 3 písm. j) odkazuje, „kybernetická hrozba je každá potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo inak negatívne ovplyvniť siete a informačné systémy, užívateľov takýchto systémov a iné osoby“.
Táto definícia prevzatá aj do Zákona je odborne korektná a niet jej čo vyčítať.
Významná kybernetická hrozba Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: k) významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že má potenciál spôsobiť závažný kybernetický bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu Ide o nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Odkaz smeruje na definíciu značnej škody podľa § 125 ods. 1 Trestného zákona , podľa ktorého: „Škodou malou sa rozumie škoda prevyšujúca sumu 700 eur. Škodou väčšou sa rozumie škoda prevyšujúca sumu 20 000 eur. Značnou škodou sa rozumie škoda prevyšujúca sumu 250 000 eur. Škodou veľkého rozsahu sa rozumie škoda prevyšujúca sumu 650 000 eur. Tieto hľadiská sa použijú rovnako na určenie výšky prospechu, hodnoty veci a rozsahu činu.“
Aj v tomto prípade platí, že vzťahovať významnosť vplyvu na stratu vyčísliteľnú konkrétnou škodou je skresľujúce. Smernica v čl. 6 ods. 11 v definícii významnej hrozby správne referuje aj na nehmotné vplyvy: „významná kybernetická hrozba je kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že má potenciál mať závažný vplyv na sieť a informačné systémy subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú hmotnú alebo nehmotnú ujmu“. Keďže v slovenskom právnom poriadku nie je definované, čo sa považuje za „značnú hmotnú alebo nehmotnú“ ujmu, musela by sa zaviesť nová definícia len špecificky pre Zákon.
Odkaz zo Zákona do režimu Trestného zákona nedáva zmysel z toho dôvodu, že ani Smernica nenavrhuje ohraničenie výšky škody. Nepochybne tak európsky zákonodarca postupoval z vyššie uvedených dôvodov, keď hranica závažného incidentu nemusí by determinovaná výškou finančnej či inej hmotnej škody. Najvážnejšou výhradou voči takémuto ohraničeniu škody prostredníctvom definície v Trestnom zákone je to, že aj keby išlo skutočne o hmotnú škodu, za „závažný“ incident môže byť považovaný aj incident s oveľa nižšou výškou škody či ujmy, ako je 250 000 eur.
Kybernetická kríza Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: l) kybernetickou krízou obdobie, počas ktorého bezprostredne hrozí vznik rozsiahleho kybernetického bezpečnostného incidentu alebo trvá rozsiahly kybernetický bezpečnostný incident Kybernetická kríza je nový pojem, ktorý sa nenachádza v pôvodnej verzii Zákona. S definíciou sa dá súhlasiť.
Kybernetický bezpečnostný incident Znenie do 31. 12. 2024: k) kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je: 1. strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému, 2. obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby, 3. vysoká pravdepodobnosť kompromitácie činností základnej služby alebo digitálnej služby alebo 4. ohrozenie bezpečnosti informácií Znenie od 1. 1. 2025: m) kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov Upravená definícia, ktorá je výrazne bližšie dobrej praxi, než bola pôvodná. V pôvodnej definícii sa nachádzali aj duplicitné konštatovania, napríklad: · „zničenie údajov“ má rovnaký význam „narušenie integrity“, · „vysoká pravdepodobnosť kompromitácie činností“ je typickým priamym dôsledkom „porušenia bezpečnostnej politiky alebo záväznej metodiky“, · „ohrozenie bezpečnosti informácií“ má rovnaký význam ako „negatívny vplyv na kybernetickú bezpečnosť“.
Nová definícia je týchto nedostatkov zbavená. Oceňujem, že medzi atribúty spoľahlivosti sa doplnila aj pravosť, keďže tento atribút je zvyčajne ovplyvnený pri incidentoch týkajúcich sa identity.
Na škodu veci, ani európski legislatívci nepoužili pre výraz „udalosť“ množné číslo, ktoré je typicky používané v definíciách incidentu v technických normách, pretože v realite ide skutočne väčšinou o zreťazené udalosti. Podľa ISO/IEC 27005 napr. „jedna alebo viacero nežiaducich alebo neočakávaných udalostí“ („single or a series of unwanted or unexpected information security events“).
Základná služba Znenie do 31. 12. 2024: l) základnou službou služba, ktorá je zaradená v zozname základných služieb a 1. závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1, alebo 2. je prvkom kritickej infraštruktúry znenie od 1. 1. 2025: Vypúšťa sa Termín sa vypúšťa, keďže povinné osoby sa už neidentifikujú podľa poskytovanej základnej služby, ale veľkostných kritérií a zaradenia do príslušného odvetvia.
Tu je v kontexte používania výrazu „prevádzkovateľ“ v zachovanom názve subjektu „prevádzkovateľ základnej služby“ (ďalej aj len „PZS“) priestor spomenúť, že služba sa POSKYTUJE, nie PREVÁDZKUJE. Výraz „poskytovanie“ je podstatné meno odvodené od slovesa „poskytovať“, ktoré znamená dávať k dispozícii, zabezpečovať alebo sprostredkovať niečo niekomu. V kontexte základných služieb (ako modelu platného do 31.12.2024) sa „poskytovanie služieb“ vzťahuje na činnosť, pri ktorej sú zo strany PZS zabezpečované určité služby pre tretie strany. Hoci už nehovoríme o základnej službe, ale o celkovej činnosti PZS ako takej, s tou fikciou, že výsledkom tejto činnosti je poskytovanie výstupného produktu s pridanou hodnotou tretím stranám.
Podľa Slovníka súčasného slovenského jazyka (2006) „poskytovanie služieb“ znamená proces alebo činnosť, pri ktorej sa služby dávajú k dispozícii alebo zabezpečujú pre iných, s uvedením nasledovných príkladov použitia slovesa „poskytovať“: · poskytovať pomoc: dávať k dispozícii, zabezpečovať pomoc, · poskytovať služby: dávať k dispozícii, zabezpečovať služby.
Už pôvodný výraz „prevádzkovateľ základnej služby“ bol z hľadiska prekladu, takpovediac, procesný nezmysel. Prvá verzia smernice používala výraz „operator of essential services“. Podľa Oxford Advanced Learner's Dictionary (ISBN-13: 978-0194798488) výraz „operator“ v uvedenom kontexte znamená: „a person or company that runs a particular business“, pričom výraz „that runs“ v preklade znamená: „ktorá prevádzkuje“, „ktorá vykonáva“ alebo „ktorá vedie“, nie „ktorá poskytuje“.
Tu je potrebné uviesť, že za mnohokrát chybné preklady európskych právnych aktov nezodpovedá Národný bezpečnostný úrad (ďalej len „Úrad“), pretože preklady vykonávajú prekladateľské jednotky Európskej komisie (ďalej len „EK“). Zákonodarca má len minimálne možnosti pre jazykové úpravy, dokonca ani keď sa chyba prekladu objaví ešte počas legislatívneho procesu. Európska komisia nemá verejne dostupné pravidlá týkajúce sa jazykových korekcií. Ovplyvniť opravu chybne preloženého výrazu pri rigidnom prístupe prekladateľov EK je takmer nemožné.
V novej verzii zákona zostáva zachovaný názov subjektu prevádzkovateľ základnej služby – zrejme s úmyslom zákonodarcu zachovať absolútnu kontinuitu registra prevádzkovateľov základných služieb. Snáď sa niekedy neskôr nájde príležitosť na vhodnú terminologickú úpravu.
Prevádzkovateľ základnej služby Znenie do 31. 12. 2024: m) prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena l) Znenie od 1. 1. 2025: prevádzkovateľom základnej služby je ten, kto je zapísaný v registri prevádzkovateľov základnej služby Termín je ošetrený v § 3 ods. 2 Zákona. Žiaľ, tautologickým spôsobom. Tautológia vo výrokovej logike znamená definíciu kruhom, resp. dôkaz dokazovaným, alebo vyjadrenie obsahu pojmu rovnakými či podobnými slovami. 2) Dôvody, pre ktoré je subjekt povinnou osobou zo zákona, by nemali byť rekurzívne zdôvodňované len samotným faktom, že sa subjekt ocitne v nejakom registri.
Zároveň sa takouto definíciou prevádzkovateľa základnej služby podmienenej zápisom v registri prevádzkovateľov základnej služby vytvára legislatívna medzera, keďže na subjekt, ktorý nie je zapísaný v registri, sa podľa tejto definície zákon podľa všetkého nevzťahuje, napriek tomu, že bude potenciálne spĺňať všetky podmienky na zápis.
Digitálna služba Znenie do 31. 12. 2024: n) digitálnou službou služba, ktorej druh je uvedený prílohe č. 2 Znenie od 1. 1. 2025: Vypúšťa sa Termín sa vypúšťa, avšak možno na škodu veci, keďže aj Smernica ho definuje a aj používa v texte predpisu.
„Digitálna služba“ je služba s odkazom z čl. 6 ods. 23 Smernice vymedzená v článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 , ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti, podľa ktorej „služba je každá služba poskytovaná informačnou spoločnosťou, to jest každá služba, ktorá sa bežne poskytuje za odmenu, na diaľku, elektronickým spôsobom a na základe individuálnej žiadosti príjemcu služieb“.
Pokiaľ by bola v Zákone aplikované použitie výrazu „digitálna služba“, dalo sa vyhnúť zbytočne komplikovaným definíciám pojmov v § 3 ods. 1 písm. v) a písm. w) Zákona.
Poskytovateľ digitálnej služby Znenie do 31. 12. 2024: o) poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur Znenie od 1. 1. 2025: Vypúšťa sa Typ subjektu „poskytovateľ digitálnej služby“ v novej verzii zákona prestal existovať a jeho definícia už nedáva zmysel.
Rozsiahly kybernetický bezpečnostný incident Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: n) rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť Slovenskej republiky naň reagovať, alebo ktorý má významný vplyv aspoň na dva členské štáty Európskej únie Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Ide o transpozíciu z čl. 6 ods. 7 Smernice: „Rozsiahly kybernetický incident je incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť členského štátu naň reagovať alebo ktorý má významný vplyv aspoň na dva členské štáty.“
Riešenie kybernetického bezpečnostného incidentu Znenie do 31. 12. 2024: p) riešením kybernetického bezpečnostného incidentu všetky postupy súvisiace s oznamovaním, odhaľovaním, analýzou a reakciou na kybernetický bezpečnostný incident a s obmedzením jeho následkov Znenie od 1. 1. 2025: o) riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo na reakciu naň a zotavenie z neho Pôvodný pojem precizovaný podľa čl. 6 ods. 8 Smernice: „Riešenie incidentov sú akékoľvek kroky a postupy zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie incidentov alebo na reakciu na incident a zotavenie z neho.“
Udalosť odvrátená v poslednej chvíli Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: p) udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo Definícia udalosti odvrátenej v poslednej chvíli („near miss event“) je nová, ale veľmi potrebná. Je to doslovná transpozícia čl. 6 ods. 5 Smernice.
Ide o to, že v mnohých polemikách najmä s právnickou verejnosťou sa oponenti často pýtali, či skutkovú podstatu incidentu nie je možné považovať za naplnenú až vo chvíli, keď je udalosť dokonaná. Na to som vždy odpovedal protiotázkou, či za incident budeme považovať až ten stav, v ktorom hacker napríklad vypustí Vážsku kaskádu, alebo či je incidentom už aj neoprávnený prienik do jej riadiaceho systému. Pretože „B“ je správne“. A Smernica to len potvrdila.
Mimochodom – výraz „udalosť odvrátená v poslednej chvíli“ úzko súvisí s vyššie opísaným problémom vnímania rizika len ako potenciálnej (finančnej) straty podľa § 3 ods. 1 písm. i) . Ak nastane udalosť, ktorú PZS odvráti v poslednej chvíli, strata vôbec nemusí nastať. Incident to však, samozrejme, bude.
Zraniteľnosť Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: q) zraniteľnosťou akýkoľvek nežiaduci stav alebo chyba technického prostriedku alebo programového prostriedku, alebo nedostatok procesu vrátane nesprávnej bezpečnostnej konfigurácie, ktorá môže byť zneužitá kybernetickou hrozbou V pôvodnej verzii zákona táto definícia chýbala. Žiaľ, nová slovenská definícia podľa dobrej praxe nie je úplne správna. Zraniteľnosť nie je stav, ale objekt alebo skutočnosť.
V Smernici je definícia bezchybná: „Zraniteľnosť je slabá stránka, náchylnosť alebo chyba produktov IKT alebo služieb IKT, ktorá môže byť zneužitá kybernetickou hrozbou.“ Podľa STN ISO/IEC 27005:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Usmernenie k riadeniu rizík informačnej bezpečnosti je „zraniteľnosťou slabé miesto aktíva alebo opatrenia, ktoré môže byť zneužité tak, že nastane udalosť s negatívny následkom“. (V Smernici: „weakness of an asset or control that can be exploited so that an event with a negative consequence occurs“).
Definícia zraniteľnosti je veľmi podstatná, keďže Smernica zavádza požiadavku na koordinované zverejňovanie zraniteľností. Vzhľadom na rozsiahlosť problematiky bude vo vyhláške táto požiadavka riešená zrejme odkazom na technickú normu STN EN ISO/IEC 29147:2024 Informačné technológie – Bezpečnostné metódy – Zverejňovanie zraniteľností, ktorá bola minulý rok prevzatá do sústavy STN prekladom do slovenského jazyka.
Produkt Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: r) produktom IKT produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881 „produkt IKT je prvok alebo skupina prvkov siete alebo informačného systému“.
Služba IKT Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: s) službou IKT služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881 „služba IKT je služba pozostávajúca úplne alebo prevažne z prenosu, ukladania, získavania alebo spracúvania informácií prostredníctvom sietí a informačných systémov“.
Proces IKT Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: t) procesom IKT proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881 Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881 „proces IKT je súbor činností vykonávaných pre navrhnutie, vyvinutie, poskytnutie alebo údržbu produktu IKT alebo služby IKT“.
Európsky certifikát kybernetickej bezpečnosti Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: u) európskym certifikátom kybernetickej bezpečnosti európsky certifikát kybernetickej bezpečnosti podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881
Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881 „európsky certifikát kybernetickej bezpečnosti je dokument, ktorý vydal príslušný orgán a ktorým sa potvrdzuje, že daný produkt IKT, služba IKT alebo proces IKT bol predmetom hodnotenia, pokiaľ ide o súlad s konkrétnymi bezpečnostnými požiadavkami stanovenými v európskom systéme certifikácie kybernetickej bezpečnosti“.
Aj podľa dlho presadzovaných cieľov Európskej komisie sa bude certifikácia kybernetickej bezpečnosti uplatňovať čoraz intenzívnejšie. Nateraz jej širšej aplikácii v praxi bráni najmä fakt meškajúcich certifikačných schém. Vysvetlenie tejto problematiky prekračuje rámec možností tohto článku a venovať sa mu budem v samostatných analýzach. Novela Zákona správne pripravila právny základ na reálne uplatnenie certifikácie kybernetickej bezpečnosti.
Správca TLD Znenie do 31 .12. 2024: N/A Znenie od 1. 1. 2025: v) správcom TLD osoba, ktorej bola pridelená osobitná doména najvyššej úrovne (TLD) a ktorá je zodpovedná za správu TLD vrátane registrácie názvov domén v rámci TLD a za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva sama alebo prostredníctvom inej osoby Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. TLD (Top-Level Domain) alebo doména najvyššej úrovne je posledná časť doménového mena, ktorá sa nachádza za poslednou bodkou (napr. .com, .org, .sk, .gov). TLD sú spravované organizáciou ICANN (Internet Corporation for Assigned Names and Numbers) a jej podriadenými registrátormi. Kybernetická bezpečnosť domén najvyššej úrovne je kľúčová, pretože domény sú základným prvkom internetu a zneužitie TLD môže viesť k vážnym bezpečnostným incidentom.
Bezpečná prevádzka TLD je natoľko dôležitá, že Európska komisia k tomu vydala už aj implementačný akt, ktorý je považovaný za sektorový predpis o bezpečnostných opatreniach. Konkrétne – Vykonávacie nariadenie Komisie (EÚ) 2024/2690 , ktorým sa stanovujú pravidlá uplatňovania smernice (EÚ) 2022/2555 , pokiaľ ide o technické a metodické požiadavky na opatrenia na riadenie kybernetických rizík a o bližšie určenie prípadov, v ktorých sa incident považuje za významný, vo vzťahu k poskytovateľom služieb DNS, správcom názvov TLD, poskytovateľom služieb cloud computingu, poskytovateľom služieb dátového centra, poskytovateľom sietí na sprístupňovanie obsahu, poskytovateľom riadených služieb, poskytovateľom riadených bezpečnostných služieb, poskytovateľom online trhov, internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovateľom dôveryhodných služieb. Áno, tento právny akt má skutočne takýto dlhý názov. Ale prehnaná komplexnosť, unikátny legislatívny jazyk a tým spôsobená neprehľadnosť sú tiež špecifikami legislatívy EÚ.
Služba DNS Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: w) službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom Nový termín, ktorý sa nenachádza v pôvodnej verzii zákona. Služba DNS (Domain Name System) je systém, ktorý prekladá ľudsky čitateľné doménové mená (napr. www.google.com) na konkrétne IP adresy, ktoré sú použiteľné pre reálnu sieťovú komunikáciu. DNS obrazne povedané funguje ako „telefónny zoznam“ internetu, umožňujúci zariadeniam nájsť a komunikovať so správnymi servermi. Bezpečná prevádzka DNS je mimoriadne dôležitá a na bezpečnosť DNS sa tiež uplatňuje vykonávacie nariadenie Komisie (EÚ) 2024/2690 .
Lokálnym problémom, ktorý už začína byť pravidelným predmetom diskusií so zákonodarcom, sú malí poskytovatelia služieb DNS. Títo sa podľa zákonnej definície služby DNS stávajú povinnými osobami, čo však z praktického hľadiska nedáva zmysel. V tom kontexte by zrejme bola vhodná úprava ustanovenia § 17 ods. 1 písm. c) bod 4 , podľa ktorého „do registra prevádzkovateľov základnej služby sa zapisuje osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá poskytuje službu DNS“. Toto ustanovenie by mohlo po novelizácii precizovať veľkostnú kategóriu poskytovateľov služieb DNS a zároveň vylúčiť služby DNS poskytované neverejne, t. j. pre internú potrebu organizácií.
Služba registrácie názvu domény Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: x) službou registrácie názvu domény služba, ktorú vykonáva registrátor alebo zástupca konajúci v mene registrátora, ktorej cieľom je vznik práva na využívanie domény druhej úrovne držiteľom domény v dohodnutom rozsahu, na dohodnuté časové obdobie a za dohodnutých podmienok Nový pojem, ktorý sa nenachádza v pôvodnej verzii zákona. Definícia služby registrácie domén sa bude v aplikačnej praxi stretávať s rovnakým problémom ako definícia služieb DNS podľa písm. w) , teda uplatňovanie povinností pre malých poskytovateľov služieb.
Kľúčová služba Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: y) kľúčovou službou služba pre zachovanie dôležitých spoločenských oblastí alebo hospodárskych činností, pri ktorej dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť
1. ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb,
2. obmedzenie alebo narušenie kritického subjektu, jeho základnej služby alebo kritickej infraštruktúry,
3. hospodársku stratu vyššiu ako 0,1 % hrubého domáceho produktu podľa údajov z bezprostredne predchádzajúceho rozpočtového roka, alebo
4. hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur V pôvodnej verzii Zákona sa tento pojem nenachádza, zavádza ho až novela. Smernica extenzívne používa výraz „kľúčové subjekty“, nie však „kľúčová služba“. Termín „kľúčové subjekty“ používaný pre povinné osoby je rozsiahlo definovaný v čl. 3 Smernice. Hranica „kľúčovosti“ pre služby je samostatnou iniciatívou Zákona a tak trochu sa v tom dá čítať inšpirácia z novelizáciou zrušenej vyhlášky Národného bezpečnostného úradu č. 164/2018 Z. z. , ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby).
Podľa môjho názoru by v kontexte digitálnej služby pre účely vymedzenia kritickosti subjektu v zákone postačovala aplikácia výrazu „významná kybernetická hrozba“. Nadužívanie niektorých pojmov v konečnom dôsledku pôsobí zmätočne. Výrazy ako kľúčová služba, kľúčové subjekty, kritická služba, kritická osoba... atď. zavádzajú nežiaducu neprehľadnosť v nomenklatúre, ktorá tak umožní zbytočne chybné laické výklady.
Významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: z) významným vplyvom na verejný poriadok, bezpečnosť alebo verejné zdravie vplyv, pri ktorom dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť narušenie verejného poriadku, bezpečnosti, ohrozenie verejného zdravia, mimoriadnu udalosť alebo tieseň, ktorá môže Nový pojem, ktorý sa nenachádza v pôvodnej verzii zákona. V tomto prípade sa zákonodarca snažil kompenzovať nedostatok Smernice, v ktorej je tento výraz používaný, avšak bez definície.
Významné systémové riziko Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: aa) významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky Nový termín, ktorý sa nenachádza v pôvodnej verzii Zákona. Nie je jasné, odkiaľ táto definícia pochádza a aký je jej účel. V Smernici sa taký výraz nenachádza a nepoužíva sa. Pokiaľ ide o definíciu PZS podľa § 17 ods. 1 písm. c) bod 7 , podľa ktorého do registra prevádzkovateľov základnej služby sa zapisuje osoba, ktorá poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko najmä v sektore, v ktorom by takéto narušenie alebo zásah mohli mať cezhraničný vplyv, pre tento účel Smernica pozná výraz „významná kybernetická hrozba“, čo by pre účely zákona malo byť postačujúce. Terminologicky jasne nevysvetlený a nezdôvodnený výraz umožní zbytočne chybné výklady.
Osoba, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická Znenie do 31. 12. 2024: N/A Znenie od 1. 1. 2025: ab) osobou, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická osoba, ktorej narušenie z dôvodu kybernetického bezpečnostného incidentu môže vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni Nový termín, ktorý sa nenachádza v pôvodnej verzii Zákona. Mohlo by sa zdať, že táto definícia nemá z právneho hľadiska význam a že je nadbytočná, avšak súvisí s identifikáciou PZS podľa § 17 ods. 1 písm. c) bod 8 . Touto definíciou sú dané hranice, kto sa za PZS tohto typu považuje.
Záver Úrad zásadnejšie terminologické nepresnosti do Zákona nevniesol alebo iba ak vtedy, ak sa nechal inšpirovať európskymi definíciami, pričom práve z nich sú niektoré v rozpore s dobrou praxou.
Počet chýbajúcich definícií pojmov použitých v texte zákona a nevymedzených v § 3 je iba okrajový. Väčšina z nich je prípadne definovaná v iných právnych predpisoch alebo je ich definícia plánovaná vo vykonávacích predpisoch. Ide napríklad o výrazy: · bezpečnostná dokumentácia – zmieňuje sa v súvislosti s bezpečnostnými opatreniami; · jednotka CSIRT – tento pojem sa používa v kontexte riešenia kybernetických bezpečnostných incidentov. V zákone je výraz hojne používaný. Napriek tomu zostáva definícia a model týchto jednotiek predmetom rozsiahlych diskusií a polemík v odbornej verejnosti; · hybridné hrozby – v texte sa spomína v súvislosti s kybernetickou bezpečnosťou, ale definícia alebo odkaz chýbajú; · objekty osobitnej dôležitosti – používané v kontexte kybernetickej obrany a kritickej infraštruktúry, no bez definície v § 3 a bez odkazu na osobitný predpis; · závažné dezinformácie – pojem sa používa pri opise škodlivých aktivít, avšak bez definície v § 3 a bez odkazu na definíciu v osobitnom predpise.
Ak sa zákonodarca vyhol definícii týchto ustanovení a tieto nie sú definované v iných právnych predpisoch, môže to viesť k ich dezinterpretácii.
Úrad odviedol v terminologickej rovine dobrú prácu, hoci by sa mu dalo vyčítať, že pri definíciách odborných výrazov intenzívnejšie nekomunikoval s odbornou komunitou. Nepochybne by to prispelo k vyššej kvalite výsledného textu – aj v ostatných častiach Zákona.
Autor: Ing. Ivan Makatura, CRISC, CDPSE Zdroj: Makatura, Ivan. “Terminologické Zmeny v Novele Zákona o Kybernetickej Bezpečnosti.” bezpecnostvpraxi.sk, February 24, 2025. https://www.bezpecnostvpraxi.sk/odborny-clanok/terminologicke-zmeny-v-novele-zakona-o-kybernetickej-bezpecnosti.htm Dostupné na: https://www.bezpecnostvpraxi.sk/odborny-clanok/terminologicke-zmeny-v-novele-zakona-o-kybernetickej-bezpecnosti.htm
Cameras, sensors, meters, smart devices. They are already in energy, transportation, healthcare, in small and large companies. Tiny IoT boxes can mean big problems.
Kamery, senzory, merače, smart zariadenia. Sú už v energetike, doprave, zdravotníctve, v malých aj veľkých firmách. Malinké IoT krabičky môžu znamenať veľké problémy.
Critical Infrastructure Association of the Slovak Republic (AKI) has recently implemented an RSS feed for its News section, providing streamlined access to important updates about critical infrastructure developments in Slovakia.
Asociácia kritickej infraštruktúry Slovenskej republiky (AKI) nedávno implementovala RSS feed pre svoju sekciu Novinky, ktorý poskytuje zjednodušený prístup k dôležitým aktualizáciám o vývoji kritickej infraštruktúry na Slovensku.
Post-quantum cryptography refers to cryptographic algorithms designed to protect against attacks from quantum computers.
Postkvantová kryptografia sú kryptografické algoritmy, ktoré sú navrhnuté tak, aby chránili pred útokmi kvantových počítačov.
Critical Infrastructure Protection at the European Union Level
Ochrana kritickej infraštruktúry na úrovni Európskej únie
Yesterday, April 10, 2025, the General Assembly of the Critical Infrastructure Association of the Slovak Republic took place in Bratislava, attended by key experts and representatives of companies active in the field of critical infrastructure protection. The main agenda items included the election of association bodies, acceptance of new members, and discussion on the further strategic direction of the association's activities.
Včera 10. apríla 2025 sa v Bratislave uskutočnilo valné zhromaždenie Asociácie kritickej infraštruktúry Slovenskej republiky, na ktorom sa zúčastnili kľúčoví odborníci a zástupcovia spoločností pôsobiacich v oblasti ochrany kritickej infraštruktúry. Hlavnými bodmi programu bolo zvolenie orgánov asociácie, prijatie nových členov a diskusia o ďalšom strategickom smerovaní činnosti asociácie.