Bezpečnosť a integrita verejných sietí a služieb


V súvislosti s implementáciou Smernice Európskeho parlamentu a Rady 2009/140/ES článku 13a a 13b prebrala Slovenská republika do zákona č. 351/2011 Z.z. o elektronických komunikáciách požiadavky, ktoré sa týkajú integrity a bezpečnosti sietí a služieb spojených s povinnosťou ohlasovania bezpečnostných incidentov.

Záväzný predpis pre túto oblasť je Opatrenie Telekomunikačného úradu Slovenskej republiky z 18. mája 2012, č.O-30/2012, ktorým sa upravujú podrobnosti o udržiavaní bezpečnosti a integrity verejných komunikačných sietí alebo verejných elektronických komunikačných služieb.

V roku 2010 začali ENISA, Európska komisia (EK), ministerstvá a telekomunikačné národné regulačné orgány (NRO) sériu stretnutí (workshopy, konferenčné hovory) na podporu harmonizovaného vykonávania článku 13a. Harmonizované vykonávanie ustanovení článku 13a o bezpečnostných opatreniach a hlásení incidentov je dôležité realizovať za rovnakých podmienok v rámci celej EÚ, na celom telekomunikačnom trhu a zjednodušiť tým poskytovanie telekomunikačných služieb operátorom pôsobiacim cez hranice jednotlivých štátov.

Hlavnými cieľmi expertnej skupiny Article 13a sú:

  1. zapojiť všetky členské štáty EÚ do otvorenej diskusie o článku 13a, diskutovať o realizácii, zdieľaní vedomostí a výmene názorov,
  2. dohodnúť sa a zaviesť systém odovzdávania správ medzi ENISA, EK, a telekomunikačnými regulátormi v členských štátoch pre ad-hoc vykazovania cezhraničných incidentov a ročné súhrnné správy,
  3. podporiť vnútroštátne regulačné orgány vo všetkých členských štátoch Európskej únie s dohľadom a vykonávaním činnosti podľa článku 13a (systém vyhodnocovania národných incidentov, hodnotenie rizík zo strany poskytovateľov, vhodné bezpečnostné opatrenia, ktoré majú prijať operátori).

Expertná skupina stanovila technické usmernenia pre národné regulačné orgány pre hlásenie incidentov, bezpečnostné opatrenia na ochranu aktív a definovanie hrozieb. Technické pokyny sú verejné a možno k ním pristupovať pomocou nižšie uvedených odkazov.

Technické usmernenia

ENISA v spolupráci s odborníkmi skupiny Article 13a vypracovala technické usmernenia pre národné regulačné orgány pre technické realizovanie článku 13a. ENISA konzultovala návrhy príslušných usmernení s odborníkmi z odvetvia telekomunikácií, niekedy priamo, niekedy prostredníctvom národných regulačných orgánov.

Článok 13a v podstate požaduje, aby operátori vykonali tri bezpečnostné činnosti:
  1. posúdenie rizík,
  2. prijatie vhodných bezpečnostných opatrení,
  3. odoslanie správy o výskyte významných bezpečnostných incidentov.
Uvedeným činnostiam sa venujú tri technické smernice. V nich uvedené pokyny sú často aktualizované v spolupráci s národnými regulačnými orgánmi. Najnovšie verzie je možné nájsť na nasledujúcich odkazoch:
Článok 13a v podstate požaduje, aby operátori vykonali tri bezpečnostné činnosti:
  1. Article 13a Technical Guideline on Incident Reporting:Definuje rámec pre cezhraničné - EÚ hlásenia a vysvetľuje rôzne prístupy k procesom vytvorenia hlásenia o národnej udalosti.
  2. Article 13a Technical Guideline on Security Measures:Prehľad z radu rôznych bezpečnostných opatrení, ktorá by mohli byť považované národnými regulačnými orgánmi za určujúce pri posudzovaní súladu. Tieto opatrenia boli odvodené z existujúcich medzinárodných noriem (pozri nižšie).
  3. Article 13a Technical Guideline on Threats and Assets:Poskytuje zoznam hrozieb a aktív, ktorý má za cieľ podporiť rámec hlásenia incidentov, a ktorého cieľom je podporiť preskúmanie hodnotenia rizík zo strany poskytovateľov.


Ochrana osobných údajov


Upozorňujeme, že medzi pokyny skupiny Article 13a o bezpečnostných opatreniach je v súčasnosti zahrnutá aj problematika ochrany osobných údajov podľa článku 4 smernice č. 2002/58/ES o súkromí a elektronických komunikáciách Technical Guideline on Security Measures in Article 4 and Article 13a.

Článok 4 smernice Európskeho Parlamentu a Rady č. 2002/58/ES o spracovaní osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikácií ) bol implementovaný do § 56 zákona č.351/2011 Z.z. o elektronických komunikáciách, kde sú ustanovené povinnosti podniku, týkajúce sa ochrany osobných údajov ich účastníkov a užívateľov (fyzických osôb).

V súvislosti s ochranou osobných údajov má podnik podľa § 56 zákona o elektronických komunikáciách aj oznamovaciu povinnosť v prípade porušenia ochrany osobných údajov. Dňa 24. júna 2013 bolo prijaté nariadenie Komisie (EÚ) č. 611/2013 o opatreniach uplatniteľných na oznamovanie prípadov porušenia ochrany osobných údajov  na základe smernice Európskeho Parlamentu a Rady 2002/58/ES o súkromí a elektronických komunikáciách, ktoré je právne záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch. Toto nariadenie nadobudlo účinnosť dňa 25. augusta 2013.

V spojitosti s vyššie uvedeným nariadením Úrad pre reguláciu elektronických komunikácií a poštových služieb pripomína podnikom ich oznamovaciu povinnosť voči úradu.

Poznámka

Odporúčania skupiny Article 13a by sa nemali zamieňať s inými materiálmi ENISA o odolnosti a bezpečnosti sietí a služieb, ktoré obsahujú konkrétne odporúčania týkajúce sa konkrétnych oblastí (napríklad závislosti na napájaní, národného roamingu, nákupu informačných a komunikačných technológií, ochrane podzemných káblov, atď.). Technické usmernenia vypracované skupinou expertov Article 13a nesú logo na kryte, čo je oblak slov z najčastejšie používaných slov v problematike článku 13a.

Odporúčania na bezpečnostné opatrenia sú založené na an intermediate shortlist of  information security standards , ktoré sa používajú v odvetví telekomunikácií.