V nadväznosti na nejasnosti, resp. nesprávne výklady zákona 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „ZoITVS“) zo strany subjektov verejnej správy, ktoré sú Ministerstvu investícií, regionálneho rozvoja a informatizácie SR adresované, uvádzame toto usmernenie k výkladu ZoITVS na úseku bezpečnosti ITVS v spojitosti so zákonom 69/2018 Z. z. o kybernetickej bezpečnosti v znení neskorších predpisov (ďalej len „ZoKB“).

1) Orgán riadenia verzus správca

Orgány riadenia sú ZoITVS taxatívne vymedzené v § 5 ods. 2 písm. a) až h) a to:

„Orgánom riadenia na účely tohto zákona je a) ministerstvo a ostatný ústredný orgán štátnej správy, b) Generálna prokuratúra Slovenskej republiky, Najvyšší kontrolný úrad Slovenskej republiky, Úrad pre dohľad nad zdravotnou starostlivosťou, Úrad na ochranu osobných údajov Slovenskej republiky, Úrad pre reguláciu elektronických komunikácií a poštových služieb, Dopravný úrad, Úrad pre reguláciu sieťových odvetví a iný štátny orgán, c) obec a vyšší územný celok, d) Kancelária Národnej rady Slovenskej republiky, Kancelária prezidenta Slovenskej republiky, Kancelária Ústavného súdu Slovenskej republiky, Kancelária Najvyššieho súdu Slovenskej republiky, Kancelária Najvyššieho správneho súdu Slovenskej republiky, Kancelária Súdnej rady Slovenskej republiky, Kancelária verejného ochrancu práv, Úrad komisára pre deti, Úrad komisára pre osoby so zdravotným postihnutím, Ústav pamäti národa, Sociálna poisťovňa, zdravotné poisťovne, Tlačová agentúra Slovenskej republiky, Rozhlas a televízia Slovenska, Rada pre vysielanie a retransmisiu, e) právnická osoba v zriaďovateľskej pôsobnosti alebo zakladateľskej pôsobnosti orgánu riadenia uvedeného v písmenách a) až d), f) komora regulovanej profesie a komora, na ktorú je prenesený výkon verejnej moci s povinným členstvom, g) osoba neuvedená v písmenách a) až f) okrem Národnej banky Slovenska, na ktorú je prenesený výkon verejnej moci alebo ktorá plní úlohy na úseku preneseného výkonu štátnej správy podľa osobitných predpisov, h) záujmové združenie právnických osôb DataCentrum elektronizácie územnej samosprávy Slovenska, ktorého jedinými členmi sú Ministerstvo financií Slovenskej republiky a Združenie miest a obcí Slovenska.“

Za správcu sa považuje podľa ustanovenia § 2 ods. 5 ZoITVS ten orgán riadenia, ktorého za správcu informačnej technológie verejnej správy ustanoví zákon alebo je ustanovený na základe ZoITVS. Ak zákon vo vzťahu k informačnej technológii verejnej správy správcu neustanovuje, je správcom na účely ZoITVS ten orgán riadenia, ktorý informačnú technológiu verejnej správy používa na účely poskytovania služby verejnej správy, služby vo verejnom záujme alebo verejnej služby; ak je takýchto orgánov riadenia viac a jedným z nich je aj ústredný orgán štátnej správy, správcom je tento ústredný orgán štátnej správy.

V zmysle § 2 ods. 3 ZoITVS je informačnou technológiou verejnej správy, informačná technológia v pôsobnosti správcu podporujúca služby verejnej správy, služby vo verejnom záujme alebo verejné služby. Na účely ZoTVS sa povinnosti v rámci správy informačných technológií verejnej správy vzťahujú aj na údaje, procesné postupy, personálne zabezpečenie a organizačné zabezpečenie, ak tvoria funkčný celok alebo ak samy osebe slúžia na spracúvanie údajov alebo informácií v elektronickej podobe.

V nadväznosti na vyššie uvedené ustanovenia ZoITVS teda možno uviesť, že orgán riadenia bude takmer vždy aj správcom ITVS. Existujú aj prípady kedy orgán riadenia nebude správcom ale stane sa tak iba v ojedinelých prípadoch.

2) Aké bezpečnostné opatrenia na úseku bezpečnosti ITVS sa na mňa ako správcu ITVS vzťahujú

Ste orgánom riadenia, resp. správcom v zmysle ZoITVS, a teda ste povinný plniť ustanovenia, ktoré vám zo ZoITVS a jeho vykonávacích predpisov vyplývajú. Takýmto vykonávacím predpisom je na úseku bezpečnosti informačných technológií verejnej správy vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len „vyhláška 179/2020 Z. z.“).

Vyššie uvedeným však nie je dotknutá povinnosť plniť aj iné právne predpisy na úseku bezpečnosti ITVS. Uvedené vyplýva z § 1 ods. 3 ZoITVS „Tento zákon sa vzťahuje aj na správcov, ktorí sú prevádzkovateľmi základnej služby alebo poskytovateľmi digitálnej služby podľa osobitného predpisu ich povinnosti a oprávnenia podľa osobitného predpisu týmto zákonom nie sú dotknuté“.

Dané ustanovenie odkazuje na ZoKB, v ktorom dávame do pozornosti § 19 ods. 1 ZoKB, podľa ktorého „Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak sú ustanovené;24) povinnosť prijímať opatrenia podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia podľa osobitného predpisu.24a)“.

Z tohto ustanovenia vyplýva, že v prípade ak sú pre prevádzkovateľa základnej služby vydané sektorové bezpečnostné opatrenia, je povinný plniť s výnimkou všeobecných bezpečnostných opatrení ( § 20 ods. 4 ZoKB) iba tieto sektorové opatrenia.

Platí, že prevádzkovateľ základnej služby môže byť zaradený len do jedného sektora a teda byť riadený len jedným ústredným orgánom. Uvedené znamená, že ak konkrétny prevádzkovateľ základnej služby (napr. správca ITVS) bude zaradený napr. do sektora 8.3 (hovoríme o sektore verejná správa príloha č.1 ZoKB), kde je ústredným orgánom MIRRI SR, v takom prípade bude v zmysle § 19 ods. 1 ZoKB povinný plniť iba sektorové opatrenia, ktorými je ZoITVS a jeho vykonávacia vyhláška 179/2020 Z. z. Prevádzkovateľ základnej služby tým pádom nie je povinný plniť všeobecné bezpečnostné opatrenia upravené vyhláškou č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení vydanou Národným bezpečnostným úradom, okrem už spomínaného ustanovenia § 20 ods. 4 ZoKB. Ak však bude subjekt verejnej správy zároveň ako prevádzkovateľ základnej služby zaradený do iného sektora, v ktorom nebude jeho ústredným orgánom MIRRI SR, bude tento prevádzkovateľ základnej služby povinný plniť tak opatrenia stanovené v danom sektore, ako aj ZoITVS. Ostatné zákonné ustanovenia vyplývajúce zo ZoKB musia prevádzkovatelia základných služieb plniť podľa ZoKB.

Zhrnutie:

ZoKB ustanovil, že správca ITVS sa zapisuje do registra prevádzkovateľov základnej služby. Správcovia ITVS teda plnia povinnosti vyplývajúce im ako správcom podľa ZoITVS a taktiež povinnosti vyplývajúce im ako prevádzkovateľom základnej služby zo ZoKB. Ak budú zaradení do sektora 8.3 kde je ústredným orgánom MIRRI SR, sú v zmysle vyššie uvedeného povinní plniť iba bezpečnostné opatrenia ustanovené ZoITVS a jeho vykonávacou vyhláškou 179/2020 Z. z. a všeobecné bezpečnostné opatrenia vydané Národným bezpečnostným úradom ( okrem § 20 ods. 4 ZoKB ) neplnia.