Bezpečnosť a integrita verejných sietí a služieb


V súvislosti s implementáciou Smernice Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa stanovuje európsky kódex elektronických komunikácií prebrala Slovenská republika do § 103 až § 107 zákona č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov požiadavky, ktoré sa týkajú integrity a bezpečnosti sietí a služieb spojených s povinnosťou ohlasovania bezpečnostných incidentov.

Už od roku 2010 začali Agentúra pre bezpečnosť a integritu sietí (v súčasnosti premenovaná na Agentúru pre kybernetickú bezpečnosť), Európska komisia (EK), ministerstvá a telekomunikačné národné regulačné orgány (NRA) sériu pravidelných stretnutí (workshopy, konferenčné hovory) a rôzne aktivity v súvislosti so zabezpečovaním bezpečnosti a integrity sietí a služieb vo verejnej elektronickej komunikačnej sieti na národnej ako aj medzinárodnej úrovni.

Agentúra pre kybernetickú bezpečnosť (ENISA) po udelení mandátu Európskou komisiou aj pre oblasť kybernetickej bezpečnosti v spolupráci s odborníkmi skupiny ECASEC ( European Competent Authorities for Secure Electronic Communications ), ktorých členom je aj Úrad pre reguláciu elektronických komunikácií a poštových služieb, vypracovala celý rad technických usmernení pre národné regulačné orgány ohľadom zabezpečovania bezpečnosti a integrity sietí a služieb podnikov poskytujúcich verejné elektronické komunikačné siete a služby. Agentúra ENISA konzultovala návrhy príslušných usmernení s odborníkmi z odvetvia telekomunikácií, niekedy priamo, niekedy prostredníctvom národných regulačných orgánov.

Agentúra ENISA v spolupráci s odborníkmi pracovnej skupiny ECASEC pravidelne vypracováva a zverejňuje technické usmernenia pre národné regulačné orgány a iné zodpovedné inštitúcie pre oblasť bezpečnosti a integrity sietí ako aj kybernetickej bezpečnosti na svojom webovom sídle : https://www.enisa.europa.eu v sekcii „Publications“.

Dôležitými technickými usmerneniami agentúry ENISA pre oblasť bezpečnosti a integrity sietí sú najmä technické usmernenia pre posúdenia rizík, nahlasovanie významných bezpečnostných incidentov a prijatie bezpečnostných opatrení podnikmi, podľa ktorých sa má riadiť podnik, ktorý poskytuje verejné elektronické komunikačné siete a služby ako aj ich zapracovania do jeho interných smerníc pre nastavenie jeho interných bezpečnostných politík v tejto oblasti:

  1. Risk management.
  2. Incident reporting( napr. Technical Guideline on Incident Reporting under the EECC)
  3. Security measures.

Podnik, ktorý poskytuje verejné elektronické komunikačné siete a služby, nahlasuje významné bezpečnostné incidenty, ktoré vznikli v jeho sieti podľa § 104 zákona č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov. Podniky pri posudzovaní významnosti bezpečnostných incidentov môžu vychádzať z technických usmernení vydaných a publikovaných agentúrou ENISA na jej webovom sídle.

Podľa § 104 ods. 6 zákona č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov je úrad povinný informovať o významnom bezpečnostnom incidente národné regulačné orgány ostatných členských štátov a agentúru ENISA a predkladať raz ročne Európskej komisii a agentúre ENISA súhrnnú správu o prijatých oznámeniach o narušení bezpečnosti alebo strate integrity.