227/2025 Z. z.
Vyhlásené znenie
Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.
Otvoriť všetky
| Číslo predpisu: | 227/2025 Z. z. |
| Názov: | Vyhláška Národného bezpečnostného úradu o bezpečnostných opatreniach |
| Typ: | Vyhláška |
| Dátum schválenia: | 26.08.2025 |
| Dátum vyhlásenia: | 28.08.2025 |
| Autor: | Národný bezpečnostný úrad |
| Právna oblasť: |
|
| Legislatívny proces: | LP/2025/194 |
| 69/2018 Z. z. | Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov |
| 362/2018 Z. z. | Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení |
227
VYHLÁŠKA
Národného bezpečnostného úradu
z 26. augusta 2025
o bezpečnostných opatreniach
Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 32 ods. 1 písm. b) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov (ďalej len „zákon“) ustanovuje:
§ 1
Táto vyhláška ustanovuje obsah bezpečnostných opatrení, rozsah všeobecných bezpečnostných
opatrení pre siete a informačné systémy a operačné technológie a obsah a štruktúru
bezpečnostnej dokumentácie podľa § 20 zákona.
§ 2
Na účely tejto vyhlášky sa rozumie
a)
aktívom hmotný alebo nehmotný komponent informačnej architektúry, ktorý má pre prevádzkovateľa
základnej služby hodnotu, najmä služby, procesy, informácie alebo údaje,
b)
primárnym aktívom aktívum, ktoré je nevyhnutné na dosiahnutie cieľov prevádzkovateľa
základnej služby,
c)
podporným aktívom aktívum, na ktorom je závislé jedno alebo viacero primárnych aktív,
d)
bezpečnostnou politikou dokumentácia, ktorá určuje smerovanie prevádzkovateľa základnej
služby v oblasti kybernetickej bezpečnosti na úrovni riadenia a určuje povinnosti,
zodpovednosti, požiadavky, zákazy a zásady správania sa v jednotlivých oblastiach
kybernetickej bezpečnosti,
e)
bezpečnostným štandardom súbor pravidiel spojených s kybernetickou bezpečnosťou,
ktoré jednotne interpretujú požiadavky bezpečnostných politík v konkrétnych situáciách,
určujú aktivity, hlavné pravidlá, zodpovednosti a organizáciu riadenia kybernetickej
bezpečnosti a ktorých účelom je vytvorenie jednotného prostredia pre dodržiavanie
bezpečnostných politík.
§ 3
(1)
Bezpečnostné opatrenia tvoria opatrenia podľa § 20 ods. 4 zákona, ktoré sú minimálne bezpečnostné opatrenia a
a)
opatrenia pre oblasti kybernetickej bezpečnosti podľa § 20 ods. 2 zákona, alebo
b)
sektorové bezpečnostné opatrenia, ak sú ustanovené.
(2)
Rozsah všeobecných bezpečnostných opatrení pre oblasti kybernetickej bezpečnosti
podľa § 20 ods. 2 zákona je uvedený v prílohe č. 1 a určuje sa na základe analýzy rizík.
§ 4
(1)
Bezpečnostná dokumentácia obsahuje
a)
schválenú stratégiu kybernetickej bezpečnosti určujúcu ciele, ktoré je potrebné v
riadení kybernetickej bezpečnosti dosiahnuť, spolu s uvedením základných princípov
na ich dosiahnutie a určením právomocí a zodpovedností za systémy manažérstva, riadenie
rizík a aktualizáciu bezpečnostnej dokumentácie,
b)
schválené bezpečnostné politiky pre jednotlivé oblasti riadenia kybernetickej bezpečnosti
vrátane opisu súvisiacej organizačnej štruktúry, procesov a väzieb, pracovných rolí,
zodpovednosti a delenia právomocí a opisu rámca riadenia bezpečnostných rizík,
c)
vykonanú klasifikáciu informácií podľa prílohy č. 2; ak prevádzkovateľ základnej služby disponuje vlastnou metodikou pre klasifikáciu
informácií, vykoná sa mapovanie na klasifikačné stupne v súlade s prílohou č. 2,
d)
určenie sietí a informačných systémov a operačných technológií do príslušnej kategórie
informačných a komunikačných technológií alebo operačných technológií; v prípade nejednoznačnosti
rozhodne o určení kategórie prevádzkovateľ základnej služby,
e)
vykonanú analýzu rizík a určenie úrovne identifikovaných rizík, akceptovaných rizík
a zvyškových rizík pre aktíva spolu so zoznamom aktív,
f)
zadokumentované určenie rozsahu a spôsobu prijatia, dodržiavania a vykonávania bezpečnostných
opatrení vrátane odôvodnenia neprijatia bezpečnostného opatrenia podľa § 5 ods. 1 písm. e),
g)
poslednú záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti (ďalej len
„audit“) podľa § 29 zákona,
h)
iné dokumenty, ak to ustanovuje osobitný predpis.1)
(2)
Zadokumentované určenie rozsahu a spôsobu podľa odseku 1 písm. f) obsahuje najmä
zoznam prijatých a neprijatých bezpečnostných opatrení a s nimi súvisiace schémy a
základné opisy
a)
topológie a infraštruktúry operačných technológií,
b)
topológie a infraštruktúry informačných a komunikačných technológií,
c)
súvisiacej aplikačnej architektúry,
d)
súvisiacej bezpečnostnej architektúry.
§ 5
(1)
Riadenie rizík obsahuje
a)
identifikáciu aktív postupmi podľa § 6,
b)
identifikáciu rizík, ktorej súčasťou je aj opis prijatých a vykonávaných bezpečnostných
opatrení,
c)
analýzu rizík; ak prevádzkovateľ základnej služby disponuje vlastnou bezpečnostnou
metodikou, vykoná sa mapovanie na úrovne rizika v súlade so štruktúrou uvedenou v
bezpečnostnej metodike zverejnenej na webovom sídle úradu,
d)
hodnotenie rizík,
e)
prijatie bezpečnostných opatrení v závislosti od identifikovaných rizík vrátane informácie,
ktoré bezpečnostné opatrenia sú prijaté a ktoré bezpečnostné opatrenia nie sú prijaté
spolu s odôvodnením,
f)
preskúmavanie identifikovaných rizík najmenej raz ročne a v závislosti od výsledkov
aj aktualizáciu rizík a revíziu prijatých bezpečnostných opatrení.
(2)
Súčasťou riadenia rizík je analýza funkčného vplyvu, ktorá pozostáva z hodnotenia
vplyvu na činnosť prevádzkovateľa základnej služby spôsobeného krízovým scenárom,
ktorý môže zasiahnuť zdroje a aktíva podporujúce procesy prevádzkovateľa základnej
služby alebo spôsobiť ohrozenie alebo narušenie kontinuity jeho služieb. Súčasťou
analýzy funkčného vplyvu je určenie cieľovej doby obnovy a cieľového bodu obnovy.
(3)
Určenie úrovne identifikovaného rizika sa vykoná vopred nastaveným súborom pravidiel,
ktoré umožnia určiť vopred definované úrovne rizika pre najhoršie scenáre. Na určenie
úrovne identifikovaného rizika podľa prvej vety sa použijú štandardné a rovnaké metodické
postupy.
(4)
Scenáre rizík predstavujú špecifické situácie realizácie rizík v kontexte vybraných
aktív, pričom môžu byť kombináciou viacerých aktív, kybernetických hrozieb, zraniteľností
a ich následkov ako sled alebo kombinácia udalostí vedúcich od počiatočnej príčiny
k nežiaducemu následku kybernetického bezpečnostného incidentu.
(5)
Pre potreby analýzy rizík sa prvky zoznamov aktív, hrozieb, zraniteľností a následkov
môžu združiť do jednotlivých skupín; tieto skupiny je možné použiť univerzálne pre
identifikované scenáre.
(6)
Analýzou rizík podľa odseku 1 písm. c) sa určuje pravdepodobnosť vzniku škodlivej
udalosti, ktorá môže byť spôsobená zneužitím existujúcej zraniteľnosti aktíva potenciálnymi
hrozbami v spojitosti s existujúcimi bezpečnostnými opatreniami. V rámci analýzy rizík
sú identifikované následky pri narušení dôvernosti, integrity alebo dostupnosti aktíva.
(7)
Výsledky analýzy rizík a návrhy bezpečnostných opatrení v nadväznosti na identifikované
riziká preukázateľným spôsobom schvaľuje osoba podľa § 20 ods. 4 písm. h) zákona.
§ 6
(1)
Aktívum sa identifikuje a vedie v evidencii aktív. Evidencia aktív sa skladá z identifikovateľných
primárnych aktív a podporných aktív.
(2)
Aktíva sa identifikujú tak, že sú jednoznačne určené hranice jednotlivých sietí a
informačných systémov a rozhrania medzi určenými hranicami.
(3)
Evidencia aktív je centralizovane riadená a zodpovedá aktuálnemu stavu.
(4)
Evidencia aktív sa môže skladať z textovej časti, tabuľkovej časti alebo grafickej
časti a jej súčasťou je aj označenie bezpečnostných funkcií podporných aktív alebo
odkazy na príslušnú časť bezpečnostnej dokumentácie týchto funkcií.
(5)
Evidencia aktív obsahuje najmä identifikáciu a evidenciu
a)
primárnych aktív,
b)
podporných aktív,
c)
vlastníkov aktív,
d)
zodpovedných osôb za identifikáciu a evidenciu aktív.
(6)
Podporné aktívum, ktoré súvisí s viacerými primárnymi aktívami, preberá najvyššiu
hodnotu zo súvisiacich aktív.
§ 7
(1)
Bezpečnostné opatrenia sa navrhujú, prijímajú a vykonávajú tak, aby ošetrili všetky
riziká identifikované v rámci vykonanej analýzy rizík, naplnili požiadavky stratégie
kybernetickej bezpečnosti, bezpečnostnej politiky a bezpečnostných opatrení podľa
§ 3 až 6.
(2)
Zmluva podľa § 19 ods. 2 zákona obsahuje najmä
a)
záväzok dodávateľa na výkon činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou
a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby
(ďalej len „tretia strana“) dodržiavať bezpečnostné politiky prevádzkovateľa základnej
služby,
b)
vyjadrenie súhlasu tretej strany s uvedenými bezpečnostnými politikami,
c)
ustanovenie o rozsahu, spôsobe a možnosti vykonávania kontrolných činností a auditu
prevádzkovateľom základnej služby u tretej strany,
d)
ustanovenie o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom
bezpečnostnom incidente a o skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej
bezpečnosti a poskytnúť súčinnosť pri jeho riešení.
(3)
Vzor bezpečnostnej dokumentácie a vzor zmluvy podľa § 19 ods. 2 zákona sa zverejnia
na webovom sídle úradu.
§ 8
Zmluva podľa § 19 ods. 2 zákona uzatvorená do 31. augusta 2025 ostáva v platnosti najneskôr do doby pôvodne v nej
dohodnutej; túto dobu nemožno po 31. auguste 2025 predĺžiť, ak už uzatvorená zmluva
nie je v súlade s bezpečnostnými opatreniami podľa § 3 až 7. Týmto ustanovením nie je dotknutý § 34b ods. 5 zákona.
§ 9
Zrušuje sa vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej
dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023
Z. z.
§ 10
Touto vyhláškou sa preberajú právne záväzné akty Európskej únie uvedené v prílohe č. 3.
§ 11
Táto vyhláška nadobúda účinnosť 1. septembra 2025.
Roman Konečný v. r.
Príloha č. 1
k vyhláške č. 227/2025 Z. z.
k vyhláške č. 227/2025 Z. z.
Príloha č. 2
k vyhláške č. 227/2025 Z. z.
k vyhláške č. 227/2025 Z. z.
KLASIFIKAČNÁ SCHÉMA
A. Kritériá klasifikácie informácií
Klasifikačné stupne
Klasifikačné stupne opisujú citlivosť informácií, údajov alebo ďalších s nimi spojených
informačných aktív (ďalej len „informačné aktíva“) z pohľadu narušenia ich dôvernosti,
integrity a dostupnosti a odrážajú dôležitosť alebo hodnotu týchto aktív pre procesy
prevádzkovateľa základnej služby.
1.
Z hľadiska dôvernosti sú klasifikačné stupne informačných aktív definované ako
a)
verejné informačné aktíva určené pre verejnosť, ktoré sú získateľné z verejných zdrojov
alebo z informácií, ktoré sú pripravené na tento účel alebo sú preklasifikované z
inej úrovne prostredníctvom vlastníka a zahŕňajú napríklad informácie z médií, povinne
publikované informácie alebo všeobecne dostupné informácie,
b)
interné informačné aktíva, ktoré sú používané a prístupné pre všetkých používateľov
v rámci organizácie prevádzkovateľa základnej služby bez ohľadu na ich pracovnú rolu;
na sprístupnenie týchto aktív tretím stranám je potrebné schválenie zo strany vlastníka
informácie,
c)
chránené informačné aktíva, ktoré sú používané a prístupné len určeným skupinám oprávnených
osôb a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať pre prevádzkovateľa
základnej služby negatívny vplyv na poskytovanie služby; prístup k údajom klasifikovaným
ako „Chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“
a je vymedzený výhradne vopred definovaným a schváleným útvarom alebo iným jasne vymedzeným
skupinám osôb; tretie strany majú k týmto údajom prístup len v nevyhnutných a jednoznačne
definovaných prípadoch schválených vlastníkom,
d)
prísne chránené informačné aktíva, ktoré sú používané a prístupné len jednotlivým
vybraným používateľom prevádzkovateľa základnej služby a ktorých neautorizované odhalenie,
prezradenie alebo zničenie môže mať s vysokou pravdepodobnosťou negatívny vplyv na
poskytovanie služby; prístup k údajom klasifikovaným ako „Prísne chránené“ je riadený
pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“ a výhradne konkrétnym,
vopred definovaným a schváleným osobám; tretia strana má k týmto údajom prístup len
vo výnimočných a jednoznačne definovaných prípadoch schválených vlastníkom alebo na
základe ustanovení osobitných predpisov.
Ak nie je informačné aktívum explicitne klasifikované, je považované za interné.
2.
Z hľadiska integrity sú klasifikačné stupne informačných aktív definované ako
a)
nízka zahŕňa informačné aktíva, ktorých chyba alebo nepresnosť výrazne neohrozí poskytovanú
službu,
b)
stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej
služby a ktorých chyba alebo nepresnosť môže spôsobiť vplyv na kontinuitu poskytovanej
služby, strategickú oblasť, trhové a operačné riziká,
c)
vysoká zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa
základnej služby a ktorých chyba, nepresnosť bezprostredne ohrozuje poskytovanú službu,
s ňou spojené aktivity a dobrú povesť prevádzkovateľa základnej služby.
3.
Z hľadiska dostupnosti sú klasifikačné stupne informačných aktív definované ako
a)
nízka zahŕňa informačné aktíva prevádzkovateľa základnej služby, ktorých výpadok
výrazne neohrozí poskytovanú službu alebo pre ktoré existujú alternatívne postupy,
b)
stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej
služby a ktorých zlyhanie môže mať vplyv na kontinuitu poskytovanej služby, strategickú
oblasť, trhové a operačné riziká,
c)
vysoká zahŕňa vybrané informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa
základnej služby a ktorých zlyhanie bezprostredne ohrozuje poskytovanú službu, s ňou
spojené aktivity a dobrú povesť prevádzkovateľa základnej služby.
Základné pravidlá klasifikácie informácií
1.
Každá klasifikovaná informácia má pridelený jeden klasifikačný stupeň dôvernosti,
jeden klasifikačný stupeň integrity a jeden klasifikačný stupeň dostupnosti.
2.
Bezpečnostné informácie, nastavenia, postupy, smernice a ostatné úkony ohľadom riadenia
aktív sa klasifikujú rovnakým alebo vyšším klasifikačným stupňom, akým sú označené
informačné aktíva, ktorých riadenie opisujú.
3.
Prevádzkovateľ základnej služby môže v rozsahu svojej pôsobnosti jednotlivé informačné
aktíva zaradiť do vyššieho stupňa.
Príloha č. 3
k vyhláške č. 227/2025 Z. z.
k vyhláške č. 227/2025 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach
na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou
sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ)
2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27. 12. 2022).
1)
Napríklad § 6 ods. 2 vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018
Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.