V prvej časti seriálu o aktuálnych požiadavkách na zabezpečenie kybernetickej bezpečnosti vo verejnej správe sme priblížili základné pojmy kybernetickej bezpečnosti a zároveň sme predstavili kľúčové legislatívne zmeny, ktoré vstúpili do platnosti 1. januára 2025. V druhej časti seriálu sa zameriame na zmluvné požiadavky na manažéra kybernetickej bezpečnosti, na kroky pri zavádzaní kybernetickej bezpečnosti, ako aj na identifikáciu tretích strán.
Základné zmluvné požiadavky na manažéra kybernetickej bezpečnosti
Oblasť kybernetickej bezpečnosti je rozsiahla nielen z hľadiska legislatívy, ale aj z pohľadu chápania súvislostí potrebných pri praktickom výkone bezpečnostných opatrení a stanovovaní požiadaviek na zavádzanie nových procesov, ktoré sú nevyhnutné pre úspešnú implementáciu legislatívnych a technických požiadaviek. Kľúčovú úlohu pritom zohráva správne a cielené vzdelávanie pracovníkov v súlade s aktuálne platnými požiadavkami.
______________________________
Významnú podporu v tejto oblasti poskytuje práve manažér kybernetickej bezpečnosti (ďalej len „manažér KB“), na ktorého odbornú spôsobilosť sa kladenú špecifické požiadavky. Tieto sú podrobne definované vo vyhláške Národného bezpečnostného úradu SR č. 492/2022 Z.z., ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti, konkrétne v jej prílohe č. 5. Za overenie splnenia uvedených požiadaviek zodpovedá štatutárny orgán - starosta obce alebo primátor mesta.
______________________________
Základom úspešnej implementácie opatrení v oblasti kybernetickej bezpečnosti je nielen výber odborne spôsobilého manažéra KB, ale aj správne formulované zmluvné ustanovenia upravujúce výkon tejto funkcie. Predmetné ustanovenia by mali zabezpečiť jednoznačné vymedzenie povinností jednotlivých strán, či už orgánu verejnej správy alebo povereného manažéra KB, ako aj jasne stanoviť nevyhnutné oprávnenia manažéra KB, ktoré vyplývajú aj priamo z legislatívnych predpisov.
V zmluve o výkone služieb manažéra KB by mali byť preto, z hľadiska implementácie opatrení kybernetickej bezpečnosti, jasne definované hlavne nasledujúce ustanovenia:
Špecifikácia predmetu plnenia
Je nevyhnutné jednoznačne definovať povinnosti manažéra kybernetickej bezpečnosti, aby sa predišlo nejasnostiam pri ich plnení. Tieto povinnosti vychádzajú najmä z príslušných legislatívnych predpisov (napríklad zákon č. 69/2018 Z.z., vyhláška č. 362/2018 Z.z., zákon č. 95/2019 Z.z., vyhláška č. 179/2020 Z.z., vyhláška č. 78/2020 Z.z.). Zmluva môže tieto povinnosti uvádzať všeobecne s odkazom na príslu