Metodika posúdenia rizika v sektoroch kritickej infraštruktúry
(Metodika vykonania posúdenia rizika v sektoroch kritickej infraštruktúry bude zverejnená po schválení Stratégie odolnosti kritických subjektov SR.)
Odolnosť kritickej infraštruktúry predstavuje základný predpoklad bezpečného a udržateľného fungovania spoločnosti. Súčasné legislatívne prostredie Slovenskej republiky, vrátane zákona č. 367/2024 Z. z. o kritickej infraštruktúre v znení neskorších predpisov, ukladá povinnosť systematicky posudzovať riziká a následne prijať primerané opatrenia na ich zmiernenie. Metodika poskytuje jednotný, transparentný a prakticky orientovaný postup, ktorý prepája rámec ISO 31000 s požiadavkami definovanými v relevantných slovenských a európskych právnych predpisoch.
Hlavným cieľom metodiky je rozvíjať a opisovať postupy posudzovania rizík, vrátane identifikácie, analýzy a hodnotenia potenciálnych hrozieb pre sektory kritickej infraštruktúry, dostupného vo formátoch Word a Excel - analytický nástroj určený pre gestorov ochrany základných služieb. Metodika bola vypracovaná zástupcami Katedry krízového manažmentu, Žilinskej univerzity v Žiline (KKM FBI UNIZA), v úzkej spolupráci so všetkými príslušnými entitami a gestormi jednotlivých sektorov a zohľadňuje aktuálne odborné poznatky a najlepšie medzinárodné praktiky v oblasti riadenia rizík, krízového manažmentu a civilnej ochrany.
PRÁVNE PREDPISY VSTUPUJÚCE DO POSÚDENIA RIZIKA NA ÚSEKU KRITICKEJ INFRAŠTRUKTÚRY
V tabuľke 1.1 sú uvedené právne predpisy a regulácie, ktoré majú vplyv pri posudzovanie rizík na úrovni kritickej infraštruktúry.
Tabuľka 1.1
|
Právne predpisy a regulácie Všeobecné právne predpisy na úrovni Slovenskej republiky |
|
Zákon č. 367/2024 Z. z. o kritickej nfraštruktúre a o zmene a doplnení niektorých zákonov. |
|
Zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu. |
|
Zákon č. 7/2010 Z. z. o ochrane pred povodňami. |
|
Zákon č. 128/2015 Z. z. o prevencii závažných priemyselných havárií. |
|
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. |
|
Zákon č. 497/2022 Z. z. o preverovaní zahraničných investícií. |
|
Sektorové regulácie na úrovni Slovenskej republiky |
|
Zákon č. 251/2012 Z. z. o energetike v znení neskorších predpisov. |
|
Zákon č. 657/2004 Z. z. o tepelnej energetike v znení neskorších predpisov. |
|
Zákon č. 218/2013 Z. z. o núdzových zásobách |
|
Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia. |
|
Zákon č. 201/2009 Z. z. o štátnej hydrologickej službe a štátnej meteorologickej službe v znení neskorších predpisov. |
|
Právne predpisy a regulácie na úrovni Európskej únie |
|
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES. |
|
Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ o mechanizme Únie v oblasti civilnej ochrany. |
|
Smernica Európskeho parlamentu a Rady (EÚ) 2012/18/EÚ o kontrole nebezpečenstiev závažných havárií s prítomnosťou nebezpečných látok. |
|
Smernica Európskeho parlamentu a Rady (EÚ) 2017/541 o boji proti terorizmu. |
|
Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1938 z 25. októbra 2017 o opatreniach na zaistenie bezpečnosti dodávok plynu. |
|
Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva. |
|
Nariadenia Európskeho parlamentu a Rady (EÚ) č. 1315/2013 z 11. decembra 2013 o usmerneniach Únie pre rozvoj transeurópskej dopravnej siete. |
|
Nariadenie Európskeho parlamentu a Rady (ES) č. 725/2004 z 31. marca 2004 o zvýšení bezpečnosti lodí a prístavných zariadení, bez jednotlivých plavidiel, ktoré tieto spoločnosti prevádzkujú. |
|
Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/123 z 25. januára 2022 o posilnenej úlohe Európskej agentúry pre lieky z hľadiska pripravenosti na krízy a krízového riadenia v oblasti liekov a zdravotníckych pomôcok. |
|
Nariadenie (ES) č. 178/2002 Európskeho parlamentu a Rady z 28. januára 2002, ktorým sa ustanovujú všeobecné zásady a požiadavky potravinového práva, zriaďuje Európsky úrad pre bezpečnosť potravín a stanovujú postupy v záležitostiach bezpečnosti potravín. |
V rámci jednotlivých prístupov, metodológií , metód a techník sa vychádza z portfólia, ktoré je uvedené v prípravnej fáze. Okrem nich boli použité aj prístupy a metódy uvedené v tabuľke 1.2.
Tabuľka 1.2 Použité metódy a prístupy.
|
ISO 31000:2018 - Risk management - Guidelines. |
|
IEC 31010:2019 - Risk assessment techniques. |
|
ISO 31073:2022 - Risk management - Vocabulary. |
|
ISO/IEC 27001:2022 Information technology - Security techniques — Information security management systems – Requirements. |
|
JRC Recommendations for national risk assessment for disaster risk management in EU. |
|
Metodika analýzy rizík kybernetickej bezpečnosti, NBÚ (2021). |
|
Metodika vykonania prieskumu realizácie opatrení vyplývajúcich z hĺbkovej analýzy zraniteľností vybraných orgánov ŠS voči hybridným hrozbám. |
|
Metodika analýzy rizík a analýzy dopadov MIRRI. |
|
Metodika pre posúdenie rizík Slovenskej republiky v kontexte civilnej ochrany obyvateľstva – Projekt R – plan. |
|
Posúdenie rizík Slovenskej republiky v súlade s článkom 6 Rozhodnutia Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany. |
|
Posúdenie rizík Slovenskej republiky v súlade s článkom 6 Rozhodnutia Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany. |
TERMINOLÓGIA NA ÚSEKU KRITICKEJ INFRAŠTRUKTÚRY
Analýza rizík
proces podrobnej identifikácie rizík, určovania ich zdrojov a veľkosti, skúmania ich vzájomných vzťahov a predpovedania rozsahu negatívneho vplyvu na systém v prípade vzniku krízovej situácie (TSKR, 2019).
Analýza scenárov
identifikuje možné budúce scenáre prostredníctvom predstavivosti, extrapolácie zo súčasnosti alebo modelovania. Riziko sa potom zvažuje pre každý z týchto scenárov (ISO 31010). Napríklad najhorší možný scénar (worst case scenario) sa môže použiť na analýzu potenciálnych následkov a ich pravdepodobností pre najhoršiu alebo najzávažnejšiu udalosť (incident), ktorá sa môže stať a spôsobí narušenie poskytovania základnej služby.
Bezpečnosť
stav spoločenského, prírodného, technického, technologického systému alebo iného systému, ktorý v konkrétnych vnútorných a vonkajších podmienkach umožňuje plnenie určených funkcií a ich rozvoj v záujme človeka a spoločnosti (TSKR, 2019).
Gestor ochrany základnej služby
ústredný orgán a Ministerstvo vnútra Slovenskej republiky, ktorý dohliada na plnenie povinností a zabezpečenie základnej služby v jeho pôsobnosti podľa zákona o kritickej infraštruktúre.
Hrozba
objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť negatívny dôsledok (TSKR, 2019). Potenciálny zdroj nebezpečenstva, poškodenia alebo iného nežiadúceho výsledku (ISO 31073). Možnosť aktivovania nebezpečenstva v určitom čase a priestore. Prírodná alebo človekom spôsobená udalosť, jednotlivec, entita alebo konanie, ktoré majú alebo naznačujú potenciál poškodiť majetok, podnikanie, informácie, procesy a projekty, životné prostredie alebo zdravie a život. Hrozba uvoľňuje nebezpečenstvo, ale nebezpečenstvo nie je (nevyhnutne) hrozbou (Hudáková a kol., 2021).
Incident
udalosť, ktorá môže významne narušiť alebo ktorá narúša poskytovanie základnej služby kritickým subjektom, alebo ktorá ovplyvňuje vnútroštátne systémy, ktoré chránia právny štát (Zákon č. 367/2024 Z. z.).
Kritická infraštruktúra
aktívum, zariadenie, vybavenie, sieť alebo systém, alebo časť aktíva, zariadenia, vybavenia, siete alebo systému, ktoré sú nevyhnutné na poskytovanie základnej služby (Zákon č. 367/2024 Z. z.).
Kritický subjekt
právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje základnú službu podľa prílohy č. 1, zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov a ktorá je postupom podľa tohto zákona identifikovaná ako kritický subjekt (Zákon č. 367/2024 Z. z.).
Krízová situácia
časovo a priestorovo vymedzený alebo ohraničený priebeh javov a procesov po narušení rovnovážneho stavu spoločenských, prírodných a technologických systémov a procesov, ktoré ohrozujú životy ľudí, životné prostredie, ekonomiku, duchovné a hmotné hodnoty štátu alebo regiónu a jeho obyvateľov a môže sa narušiť fungovanie inštitúcií verejnej moci. Na podporu riešenia krízovej situácie sú uplatňované nástroje krízového riadenia vrátane vyhlásenia krízového stavu v zmysle ústavného zákona č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu alebo zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu (TSKR, 2019; ústavný zákon č. 227/2002 Z. z.; zákon č. 387/2002 Z. z.).
Mimoriadna udalosť
závažná, časovo ťažko predvídateľná a priestorovo ohraničená príhoda spôsobená vplyvom živelnej pohromy, havárie, katastrofy, ohrozenia verejného zdravia II. stupňa, smogovou situáciou, narušením dodávok tepla, nežiaducim výskytom medveďa hnedého, hromadným prílevom cudzincov na územie Slovenskej republiky alebo teroristickým útok, ktorá vyvolala narušenie stability systému alebo prebiehajúcich dejov a činností, ohrozuje životy a zdravie osôb, hmotné a kultúrne statky či životné prostredie (TSKR, 2019; zákon č. 42/1994 Z. z.).
Následok
výsledok udalosti ovplyvňujúci ciele (ISO 31000). Následky môžu mať pozitívne alebo negatívne účinky (dopady) na bezpečnostné ciele. V literatúre sa často používa v rovnakom význame pojem dôsledok. Zámerom je posúdiť hrozby, ktoré môžu mať vplyv na narušenie poskytovania základnej služby. Následok je prerušenie poskytovania základnej služby.
Nebezpečenstvo
latentná vlastnosť daného systému alebo jeho komponentov spôsobovať neočakávané negatívne javy, ktoré narušujú bezpečnosť, ohrozujú stabilitu a fungovanie príslušného systému, prípadne aj jeho okolia (TSKR, 2019). Nebezpečenstvo je akýkoľvek zdroj možného poškodenia alebo ujmy (ISO 31000).
Odolnosť
schopnosť odolávať pokusom o naplnenie hrozieb, minimalizovať dôsledky naplnených hrozieb a obnoviť funkčnosť (TSKR, 2019), schopnosť predchádzať incidentu, chrániť sa pred incidentom a reagovať naň, odolávať mu, zmierňovať ho, absorbovať ho, prispôsobiť sa mu a zotaviť sa z neho (Zákon č. 367/2024 Z. z.).
Posúdenie rizika
celkový proces hodnotenia rizík prostredníctvom metód na ich analýzu a identifikáciu hrozieb, nebezpečenstiev a zraniteľností, ktoré by mohli ohroziť poskytovanie základnej služby kritickým subjektom alebo ktoré narúšajú poskytovanie základnej služby kritickým subjektom (Zákon č. 367/2024 Z. z.).
Pravdepodobnosť výskytu
možnosť, že sa niečo stane (ISO 31000). V angličtine sa používa aj termín probability, užšie interpretovaný ako matematický termín. Miera pravdepodobnosti výskytu vyjadrená číslom od 0 do 1, kde 0 je nemožnosť a 1 je absolútna istota (ISO 31073). Frekvencia konkrétnej udalosti/výsledku meraná pomerom konkrétnych udalostí/výsledkov k celkovému ich počtu; vyjadruje sa číslom medzi 0 a 1 (ARMS, 2002).
Riadenie rizík
opatrenie, ktoré zachováva a/alebo modifikuje riziko (ISO 31000). Riadenie rizika zahŕňa okrem iného akýkoľvek proces, politiku, zariadenie, postup alebo iné podmienky a/alebo činnosti, ktoré zachovávajú a/alebo modifikujú riziko (Hudáková a kol., 2021).
Riziko
miera ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami (TSKR, 2019). Miera ohrozenia, ktorá môže mať nepriaznivý vplyv na odolnosť kritických subjektov, vyjadrená pravdepodobnosťou vzniku incidentu a jeho dôsledkami (Zákon č. 367/2024). Účinok neistoty na ciele. Riziko môže byť chápané ako potenciál pre nežiaduci výsledok vyplývajúci z udalosti, stanovený podľa jeho pravdepodobnosti a súvisiacich následkov (ISO 31000).
Udalosť
výskyt alebo zmena konkrétneho súboru okolnosti. Udalosť môže byť zdrojom rizika a môže mať niekoľko príčin a niekoľko následkov (ISO 31000).
Účinok
možný výsledok rizika. V literatúre sa vyskytuje aj pod pojmom dopad (Impact). Účinok je odchýlka od očakávania. Môže byť pozitívna, negatívna a môže riešiť, vytvárať alebo vyústiť do príležitostí a hrozieb (Hudáková a kol., 2021).
Ústredný orgán
Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, Ministerstvo dopravy Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky, ministerstvo vnútra, Národný bezpečnostný úrad a Správa štátnych hmotných rezerv Slovenskej republiky (Zákon č. 367/2024 Z. z.).
Územný celok
geografické kritérium, okres, kraj, celé územie definuje ÚOŠS na úseku KI. Územie je charakterizované ako geograficky ohraničený priestor (parcela, obec, okres, kraj, celé územie). “Územie” sa môže líšiť v závislosti od kontextu zákona.
Základná služba
služba kritického subjektu, ktorá má zásadný význam z hľadiska zachovania životne dôležitých spoločenských funkcií alebo hospodárskych činností, vrátane ochrany verejného zdravia, bezpečnosti alebo životného prostredia a ktorá je uvedená v prílohe č. 1, zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov (Zákon č. 367/2024 Z. z.).
Zdroj rizika
prvok (vec alebo činnosť), ktorý sám alebo v kombinácii môže spôsobiť riziko (následok) (ISO 31000). V niektorých prípadoch sa berie zdroj rizika a nebezpečenstvo ako synonymum.
Zostatkové riziko
úroveň rizika, ktorú už ďalej môžeme znižovať bez zmien v stanovených vnútorných a vonkajších podmienkach. Aktuálna miera evidovaného rizika (pri zohľadnení implementovaných opatrení na zníženie rizika). V prípade, že reziduálne riziko je vyššie ako cieľové riziko, navrhnú sa nové formy jeho zníženia na akceptovateľnú úroveň (Hudáková a kol., 2021).
Zraniteľnosť
zraniteľnosť ako slabinu aktíva alebo riadiaceho procesu, ktorú by mohla zneužiť jedna alebo viacero hrozieb a spôsobiť tak škody na aktívach a tým ohroziť, obmedziť (ISO 27001). Pri analýze rizík je zraniteľnosť vlastnosťou aktíva. Zraniteľnosť je prirodzenou vlastnosťou systémov, ktorá popisuje náchylnosť systému na zlyhanie, keď je vystavený hrozbám.
ZOZNAM POUŽITÝCH ZDROJOV
AIRMIC – ALARM – IRM. 2002. A risk management standard. 1. vyd. London: AIRMIC, ALARM, IRM, 2002. 28 s.
HUDÁKOVÁ, M.; BUGANOVÁ, K.; MÍKA, V. T.; MASÁR, M. 2021. Integrovaný systém manažmentu rizík v podniku. 1. vyd. Žilina: EDIS – vydavateľské centrum ŽU, 2021. 375 s. ISBN 978-80-554-1759-2.
IEC 31010:2019, Risk management — Risk assessment techniques.
ISO 31000:2018, Risk management — Guidelines.
ISO 31073:2022, Risk management — Vocabulary.
ISO/IEC 27001:2022, Information technology — Security techniques — Information security management systems – Requirements.
JOINT RESEARCH CENTRE (JRC). 2023. Recommendations for national risk assessment for disaster risk management in the EU. Luxembourg: Publications Office of the European Union, 2023.
MEDZIREZORTNÁ TERMINOLOGICKÁ KOMISIA Bezpečnostnej rady Slovenskej republiky (TSKR).2019. Terminologický slovník krízového riadenia. Aktualizované vydanie. Bratislava: Úrad vlády SR, 2019. 150 s. ISBN 80-88829-75-5.
Metodika analýzy rizík a analýzy dopadov (MIRRI). 2022. Bratislava: Ministerstvo investícií, regionálneho rozvoja a informatizácie SR, 2022.
Metodika analýzy rizík kybernetickej bezpečnosti. Bratislava: Národný bezpečnostný úrad, 2021.
Metodika pre posúdenie rizík Slovenskej republiky v kontexte civilnej ochrany obyvateľstva – Projekt R-plan.Bratislava: Ministerstvo vnútra SR, 2020.
Metodika vykonania prieskumu realizácie opatrení vyplývajúcich z hĺbkovej analýzy zraniteľností vybraných orgánov štátnej správy voči hybridným hrozbám. Bratislava: Ministerstvo obrany SR, 2022.
Nariadenie (ES) č. 178/2002 Európskeho parlamentu a Rady z 28. januára 2002, ktorým sa ustanovujú všeobecné zásady a požiadavky potravinového práva…
Nariadenie (ES) č. 300/2008 Európskeho parlamentu a Rady z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva.
Nariadenie (ES) č. 725/2004 Európskeho parlamentu a Rady z 31. marca 2004 o zvýšení bezpečnosti lodí a prístavných zariadení.
Nariadenie (EÚ) č. 1315/2013 Európskeho parlamentu a Rady z 11. decembra 2013 o usmerneniach Únie pre rozvoj transeurópskej dopravnej siete.
Nariadenie (EÚ) 2017/1938 Európskeho parlamentu a Rady z 25. októbra 2017 o opatreniach na zaistenie bezpečnosti dodávok plynu.
Nariadenie (EÚ) 2022/123 Európskeho parlamentu a Rady z 25. januára 2022 o posilnenej úlohe Európskej agentúry pre lieky v oblasti krízovej pripravenosti.
Posúdenie rizík Slovenskej republiky v súlade s čl. 6 Rozhodnutia Európskeho parlamentu a Rady č. 1313/2013/EÚ. Bratislava: Ministerstvo vnútra SR, 2021.
Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany.
Smernica (EÚ) 2012/18/EÚ Európskeho parlamentu a Rady z 4. júla 2012 o kontrole nebezpečenstiev závažných havárií s prítomnosťou nebezpečných látok.
Smernica (EÚ) 2017/541 Európskeho parlamentu a Rady z 15. marca 2017 o boji proti terorizmu.
Smernica (EÚ) 2022/2557 Európskeho parlamentu a Rady zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES.
Ústavný zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu.
Zákon č. 7/2010 Z. z. o ochrane pred povodňami.
Zákon č. 42/1994 Z. z. o civilnej ochrane obyvateľstva.
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti.
Zákon č. 128/2015 Z. z. o prevencii závažných priemyselných havárií.
Zákon č. 201/2009 Z. z. o štátnej hydrologickej a meteorologickej službe v znení neskorších predpisov.
Zákon č. 218/2013 Z. z. o núdzových zásobách ropy a ropných výrobkov.
Zákon č. 251/2012 Z. z. o energetike v znení neskorších predpisov.
Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia.
Zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.
Zákon č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu.
Zákon č. 497/2022 Z. z. o preverovaní zahraničných investícií.
Zákon č. 657/2004 Z. z. o tepelnej energetike v znení neskorších predpisov.
