Nové požiadavky cyber security v energetike

Dňa 1. 4. 2020 uplynulo dvojročné „prechodné“ obdobie od účinnosti zákona o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z. v znení neskorších predpisov), po uplynutí ktorého sa ustanovenia tohto zákona plne aplikujú v praxi. Ešte aj v dnešných dňoch mnohí výrobcovia elektrickej energie či tepla, prevádzkovatelia riadiacich a informačných systémov (RIS) a dispečingu v energetike, distribučných sústav a sietí alebo aj prenosovej sústavy, dokonca aj organizátor trhu s elektrinou si vôbec nie sú istí, aké povinnosti a v ktorých prípadoch pre nich z tohto zákona vyplývajú, či vôbec tento predpis cieli na sektor energetiky. Naša vedúca advokátka pre sektor energetiky jednoznačne zastáva názor, že sa všetky osoby podnikajúce v energetike majú jednotlivými povinnosťami zodpovedne a detailne zaoberať, inak sa nemusia vyhnúť nepríjemným kontrolám alebo ešte nepríjemnejším sankciám. V tomto článku vám poskytujeme základný náhľad na túto komplikovanú a náročnú problematiku.

Nové požiadavky cyber security v energetike
Zdroj: Dreamstime

Kritická infraštruktúra, digitálna a základná služba – kritéria

Jednotlivé kritéria, podľa ktorých sa posudzuje, či energetický podnik alebo prevádzkovateľ dispečingu či RIS v energetike spadajú do ktorejkoľvek kategórie regulovaných subjektov, sú pomerne náročne stanovené vo viacerých, zdanlivo na seba nenadväzujúcich európskych, zákonných a podzákonných predpisoch.

Požiadavky na kritickú infraštruktúru sú stanovené jednak v Smernici o európskych kritických infraštruktúrach (smernica Rady 2008/114/ES) a ďalej v našom zákone o kritickej infraštruktúre (zákon č. 45/2011 Z. z. v znení neskorších predpisov). Ďalej požiadavky na digitálnu či základnú službu sú uvedené tak v Smernici o spoločnej úrovni bezpečnosti sietí a systémov (smernica Európskeho parlamentu a Rady [EÚ] 2016/1148 zo 6. júla 2016), ako aj v samotnom zákone o kybernetickej bezpečnosti a jednotlivých vyhláškach vydaných Národným bezpečnostným úradom SR na vykonanie tohto zákona o kybernetickej bezpečnosti.

Z vyššie uvedeného vyplýva, že už samotná presná identifikácia kritérií, podľa ktorých by sa mali vykonať analýza a posúdenie, môže byť pre podnikateľa v sektore energetiky pomerne náročnou a zdĺhavou úlohou. Na trhu pôsobí len málo advokátov, ktorí sa do dnešného dňa tejto problematike hĺbkovo venovali spolu s poskytnutím komplexného právneho servisu energetickým klientom.

„Platná legislatíva nestanovuje záväznú periodicitu prehodnocovania kritérií, avšak toto je plne zo zákona a jeho súvisiacich predpisov zrejmé. Všetky tieto interné vyhodnotenia vrátane dodržania potrebnej periodicity môžu byť predmetom kontroly zo strany orgánov verejnej moci"

 

Interné vyhodnocovanie kritérií

Po presnej identifikácii všetkých kritérií však prichádzame k najpodstatnejšiemu a zároveň najnáročnejšiemu bodu z celej spleti nových požiadaviek cyber security na oblasť energetiky – a tou je práve vyhodnotenie týchto kritérií. Totižto všetko – celý prípadný ďalší postup podnikateľa v energetike, ako aj prípadné zavedenie nových opatrení, plnenie požiadaviek na vyššie zabezpečenie či revízie systémov a postupov, upgrade hardvéru a softvéru vybavenia energetického podniku – závisí výlučne od vyhodnotenia sektorových, podsektorových, prierezových a dosahových kritérií. Tieto kritériá sú stanovené všeobecne, vždy sú preto kľúčové detailná analýza a interné vyhodnotenie individuálnych podmienok každého subjektu podnikajúceho v energetike na základe povolenia. V zmysle platnej právnej úpravy je celé bremeno vyhodnotenia v zásade na pleciach energetického podniku. V zmysle zákona o kybernetickej bezpečnosti Národný bezpečnostný úrad SR síce môže rozhodnutím určiť podnikateľovi, že patrí medzi prevádzkovateľov základnej služby alebo prevádzkovateľov digitálnej služby, v takomto prípade by sa však podnikateľ zrejme nevyhol niektorej z prísnych pokút stanovených zákonom o kybernetickej bezpečnosti, a to až do výšky jedného percenta z celkového obratu dotknutého podnikateľa. Vyhodnocovanie a posúdenie všetkých sektorových, podsektorových, prierezových a dopadových kritérií vykonáva dotknutý subjekt interne, bez potreby zverejnenia samotnej analýzy alebo jej záverov. Platná legislatíva nestanovuje záväznú periodicitu prehodnocovania kritérií, je to však zo zákona a z jeho súvisiacich predpisov zrejmé. Všetky tieto interné vyhodnotenia, vrátane dodržania potrebnej periodicity, môžu byť predmetom kontroly zo strany orgánov verejnej moci.

Opatrenia po registrácii

 Medzi nové povinnosti vyplývajúce pre energetický podnik po registrácii na Národnom bezpečnostnom úrade SR patrí vypracovanie kompletnej internej dokumentácie, ďalej vykonanie auditu a následne zmeny nastavenia hardware a software vybavenia zabezpečenia, riadiacich či používaných OT systémov. Samostatnou kategóriou nových opatrení je nahlasovanie kybernetických incidentov a audit kybernetickej bezpečnosti. Vzhľadom na nahlasovanie a riešenie kybernetických incidentov po registrácii bude energetický podnik úzko spolupracovať s Národným bezpečnostným úradom SR.

Ako na ďalšie informácie a konkrétne riešenia

Čo všetko pre energetickú prax prinášajú vyššie uvedené nové požiadavky cyber security, najmä ako postupovať pri výbere relevantných kritérií, ako správne vyhodnotiť jednotlivé kritériá pre sektor energetiky a prijať zodpovedné riešenia? Tieto a ďalšie otázky vzhľadom na cyber security pre oblasť energetiky vám na plánovanej odbornej konferencii k tejto téme rada zodpovie autorka tohto článku ako advokátka s dlhodobou expertízou v oblasti energetiky, ako aj ďalší odborníci na cyber security pre sektor energetiky

LYSINA - ROŠKO & PARTNERS s. r. o.

Vznikli sme spojením dlhoročnej advokátskej praxe zakladajúcich partnerov Rastislava Roška a Tomáša Lysinu.

Poskytujeme komplexné právne služby vo väčšine sfér verejného i súkromného práva, vychádzajúc z potrieb a špecifických požiadaviek samotných klientov.

Služby a špecializácia:

  • Energetika
  • Farmaceutické a medicínske právo
  • M&A, investičné a zverenecké fondy
  • Komunálne právo
  • Real estate development a stavebné právo
  • Súdne spory a rozhodcovské konania

 

„Tajomstvo úspechu je robiť obvyklé veci neobvykle dobre"

Barbora Balunová
Barbora Balunová - vedúca advokátka pre oblasť energetiky

Vo svojej praxi sa Barbora zameriava najmä na poskytovanie právneho poradenstva v oblastiach energetiky a stavebného práva. Komplexné právne poradenstvo  vrátane poradenstva v energetickej regulácii, poskytuje klientom vykonávajúcim činnosti v oblasti distribúcie a dodávky elektrickej energie a plynu, cezhraničného obchodu s energiami, výroby elektriny z obnoviteľných zdrojov energie, výroby tepla vysoko účinnou kombinovanou výrobou. Pravidelne úspešne zastupuje akcionárov energetických podnikov pri výkone ich akcionárskych práv. Za zmienku stoja významné projekty, na ktorých Barbora participovala, napr. komplexný právny servis pri M&A energetických podnikov v SR aj v zahraničí, kde celkový objem predstavoval takmer 50 MIO EUR; poskytovala komplexný právny servis pri realizácii investičných projektov (greenfield a brownfiel projekty) v tepelnej energetike, VUKVET a OZE, v celkovom objeme takmer 100 MIO EUR.

 

(PR)

 

Denný prehľad správ emailom

Dostávajte každý deň nové informácie zo sveta politiky, ekonomiky a biznisu.

Pred zadaním e-mailovej adresy si prečítajte pravidlá ochrany osobných údajov a používania cookies. Súhlas na odoberanie noviniek môžete kedykoľvek odvolať.