Výklad k zákonu č. 367/2024 Z. z. - Zákon o kritickej infraštruktúre
JUDr. Renáta Považanová, Zdroj: Verlag Dashöfer
S príchodom nového roku nadobudol účinnosť aj nový predpis, ktorým je zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov, ktorého cieľom je transpozícia a implementácia právnych predpisov Európskej únie.
V prvom rade ide o transpozíciu smernice Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES . Zároveň sa zabezpečuje implementácia delegovaného nariadenia Komisie (EÚ) 2023/2450 zo 25. júla 2023 , ktorým sa dopĺňa smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 stanovením zoznamu základných služieb (Ú. v. EÚ L, 2023/2450, 30.10.2023).
Doterajšia smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu bola transponovaná do zákona č. 45/2011 Z. z. o kritickej infraštruktúre.
Cesta kreovania legislatívnych a koncepčných dokumentov na úseku kritickej infraštruktúry bola ovplyvnená medzinárodnými bezpečnostnými udalosťami, najmä sériou koordinovaných útokov na Svetové obchodné centrum v New Yorku v roku 2001, následné teroristickými akciami na železnice v Madride v roku 2004 a útokmi na dopravu v Londýne 2005. Preto sa v dokumentoch spája ochrana kritickej infraštruktúry v prvom rade s obranou proti terorizmu. Ďalší vývoj koncepčných a strategických dokumentov, ako je Bezpečnostná stratégia SR z roku 2005, považuje za najväčšiu hrozbu použitie zbraní hromadného ničenia a niektorých ich nosičov teroristickými skupinami, prípadne tzv. „zlyhávajúcimi štátmi”. Prioritám dominuje boj proti terorizmu aj v Európskej bezpečnostnej stratégií z roku 2009, do popredia sa dostávajú témy ako je zmena klímy a kybernetická bezpečnosť. Následná obsahová terminológia ako terorizmus, kybernetické alebo informačné operácie sa spojili do termínu asymetrické hrozby. Z terminologického významu existuje množstvo definícií asymetrických hrozieb, ktoré sa snažia zachytiť špecifickú povahu nových druhov hrozieb pre bezpečnosť a stabilitu štátu, ktoré koordinovane a plánovito využívajú rôzni aktéri. V tejto súvislosti sa najčastejšie hovorí o hybridných hrozbách (hybrid threats) a hybridných spôsoboch vedenia vojny (hybrid warfare).
Na pôde Európskej únie sa problematike hybridných hrozieb venuje značná pozornosť a od roku 2016 bolo prijatých viacero verejných politík a dokumentov dotýkajúcich sa tejto oblasti.
V súčasnom geopolitickom kontexte je zákon č. 45/2011 Z. z. o kritickej infraštruktúre, ktorý vymedzoval ochranu len prvkov kritickej infraštruktúry, už prekonaný. Uvedený predpis sa zaoberá len problematikou identifikácie kritickej infraštruktúry z hľadiska hospodárskych záujmov SR. Ustanovuje organizáciu a pôsobnosť iba orgánov štátnej správy na úseku kritickej infraštruktúry. Neustanovuje nástroje na ochranu prvkov.
Nový zákon má priame väzby a je v súlade s ostatnými legislatívnymi zámermi v oblasti zvýšenia odolnosti civilnej ochrany, priamych zahraničných investícií, kybernetickej bezpečnosti, acquis v oblasti finančných služieb a posilnenia odolnosti a zníženia zraniteľností na zmenu klímy. Jeho cieľom je zabezpečiť, aby ústredné orgány určené podľa tohto zákona a orgány určené podľa zákona, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti prijali doplnkové opatrenia a podľa potreby si vymieňali informácie, pokiaľ ide o kybernetickú a nekybernetickú odolnosť, a aby subjekty, ktoré sa podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti považujú za „kľúčové”, takisto podliehali povinnostiam súvisiacim so všeobecnejším zvyšovaním odolnosti s cieľom riešiť nekybernetické riziká. Fyzická bezpečnosť sietí a informačných systémov subjektov v sektore digitálnej infraštruktúry sa komplexne rieši v smernici Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii , ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) ako súčasť povinností týchto subjektov v oblasti riadenia kybernetických rizík a oznamovania.
Ďalším opatrením na zabezpečenie odolnosti kritických subjektov je otázka personálnej bezpečnosti. Kvalifikovaný personál môže byť v kritických subjektoch prínosom a zároveň potenciálnou zraniteľnosťou. Zavedenie opatrení personálnej bezpečnosti, ako sú napríklad preverenie zamestnancov, protokoly kontroly prístupu a školenia o bezpečnostnom povedomí, zabezpečuje, že osoby zapojené do systému sú dôveryhodné a spoľahlivé. Personál, ktorý má zabezpečený priamy alebo diaľkový prístup do priestorov kritického subjektu ku kritickej infraštruktúre, k limitovaným informáciám alebo ku kontrolným systémom musí byť preverený a bezúhonný. Za bezúhonnú osobu sa na účely tohto zákona považuje fyzická osoba, ktorá nebola právoplatne odsúdená za úmyselný trestný čin.
Ďalším aspektom reakcie na bezpečnostné prostredie je vytvorenie systému zdieľania informácií a spolupráce. Nový zákon zavádza povinnosť nahlasovania incidentov na úseku kritickej infraštruktúry kritickými subjektmi a následne zdieľania informácií s príslušnými sektorovými ministerstvami, ministerstvom vnútra a ďalšími bezpečnostnými zložkami štátu. Ministerstvo vnútra SR ako predkladateľ tohto návrhu zákona bude plniť úlohy jednotného kontaktného bodu pre kritickú infraštruktúru SR a zároveň notifikačné a komunikačné povinnosti voči Európskej komisii.
Na dosiahnutie vyššie uvedených cieľov sa preto v zákone o kritickej infraštruktúre a doplnení niektorých zákonov ustanovuje stanovenie priorít celkovej odolnosti, ktorými môžu kritické subjekty zmierniť riziká, ochrániť kritické aktíva a udržať bezpečné a stabilné prevádzkové prostredie.
