Nové požiadavky cyber security v energetike

Nové požiadavky cyber security v energetike

Dňa 01.04.2020 uplynulo dvojročné „prechodné“ obdobie od účinnosti zákona o kybernetickej bezpečnosti (zákon č. 69/2018 Z.z. v znení neskorších predpisov), po uplynutí ktorého sa ustanovenia tohto zákona plne aplikujú v praxi. Avšak ešte aj v dnešných dňoch mnohí výrobcovia elektrickej energie či tepla, prevádzkovatelia riadiacich a informačných systémov (RIS) a dispečingu v energetike, distribučných sústav a sietí alebo aj prenosovej sústavy, dokonca aj organizátor trhu s elektrinou si vôbec nie sú istí aké povinnosti alebo vôbec v ktorých prípadoch pre nich z tohto zákona vyplývajú. V tomto článku Vám poskytujeme základný náhľad na túto komplikovanú a náročnú problematiku.


Kritická infraštruktúra, digitálna a základná služby - kritériá


Jednotlivé kritéria, podľa ktorých sa posudzuje, či energetický podnik alebo prevádzkovateľ dispečingu či RIS v energetike spadajú do ktorejkoľvek kategórie regulovaných subjektov sú pomerne náročne stanovené vo viacerých, zdanlivo na seba nenadväzujúcich, zákonných a podzákonných predpisoch.

Požiadavky na kritickú infraštruktúru sú stanovené jednak v Smernici o európskych kritických infraštruktúrach (smernica Rady 2008/114/ES) a ďalej v našom zákone o kritickej infraštruktúre (zákon č. 45/2011 Z.z. v znení neskorších predpisov). Ďalej požiadavky na digitálnu či základnú službu sú uvedené v Smernici o spoločnej úrovni bezpečnosti sietí a systémov (smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016) ako aj v samotnom zákone o kybernetickej bezpečnosti a jednotlivých vyhláškach vydaných Národným bezpečnostným úradom SR na vykonanie zákona o kybernetickej bezpečnosti.

Z vyššie uvedeného vyplýva, že už samotná presná identifikácia kritérií, podľa ktorých by sa mali vykonať analýza a posúdenie, môže byť pre podnikateľa v sektore energetiky pomerne náročnou a zdĺhavou úlohou.


Interné vyhodnocovanie kritérií


Po sumarizácií všetkých kritérií však prichádzame k najpodstatnejšiemu a zároveň najnáročnejšiemu bodu z celej spleti nových požiadaviek cyber security na oblasť energetiky – a tou je práve vyhodnotenie týchto kritérií. Totižto všetko – celý prípadný postup podnikateľa v energetike, ako aj jeho prípadné nové povinnosti, požiadavky na nové opatrenia či revízie systémov a postupov, hardware a software vybavenia energetického podniku – závisia výlučne od vyhodnotenia sektorových, pod sektorových, prierezových a dopadových kritérií. Tieto kritéria sú stanovené všeobecne, vždy sú preto kľúčové analýza a vyhodnotenie individuálnych podmienok každého subjektu podnikajúceho v energetike na základe povolenia.

V zmysle platnej právnej úpravy je celé bremeno vyhodnotenia v zásade na pleciach energetického podniku. V zmysle ustanovenia § ..... zákona o kyberneteickej bezpečnosti síce Národný bezpečnostný úrad môže rozhodnutím určiť podnikateľovi, že patrí medzi prevádzkovateľov základnej služby alebo prevádzkovateľov digitálnej služby, avšak v takomto prípade by sa zrejme podnikateľ nevyhol niektorej z prísnych pokút stanovených zákonom o kybernetickej bezpečnosti, a to až do výške 1% z celkového obratu dotknutého podnikateľa.

Vyhodnocovanie a posúdenie všetkých sektorových, pod sektorových, prierezových a dopadových kritérií vykonáva dotknutý subjekt interne, bez potreby zverejnenia samotnej analýzy alebo jej záverov. Platná legislatíva nestanovuje záväznú periodicitu prehodnocovania kritérií, avšak toto je plne zo zákona a jeho súvisiacich predpisov zrejmé. Všetky tieto interné posudzovania a vyhodnotenia môžu byť predmetom kontroly zo strany orgánov verejnej moci.


Opatrenia po registrácií


Niektoré nové povinnosti vyplývajúce po registrácií na Národnom bezpečnostnom úrade SR predstavujú vypracovanie kompletnej internej dokumentácie, ďalšie zákonné a podzákonné ustanovenia vyžadujú vykonať audit a up-grade hardware software používaných zariadení. Samostatnou kategóriou nových opatrení je nahlasovanie kybernetických incidentov a audit kybernetickej bezpečnosti.


Ako na ďalšie informácie


Čo všetko pre energetickú prax prinášajú vyššie uvedené nové požiadavky cyber security, najmä ako postupovať sa pri výbere relevantných kritérií, ako správne vyhodnotiť jednotlivých kritérií pre sektor energetiky? Tieto a ďalšie otázky na cyber security pre oblasť energetiky Vám rada zodpovie autorka tohto článku ako advokátka s dlhodobou expertízou v oblasti energetiky. Zastáva totiž názor, že sa všetky osoby podnikajúce v energetike majú jednotlivými povinnosťami zodpovedne a detailne zaoberať, inak sa nemusia vyhnúť nepríjemným kontrolám alebo ešte nepríjemnejším sankciám.