Smernica NIS 2[1] je celoeurópskym právnym predpisom o kybernetickej bezpečnosti, ktorý modernizuje existujúci právny rámec s cieľom, aby držal krok s rastúcou digitalizáciou a vyvíjajúcim sa prostredím hrozieb v oblasti kybernetickej bezpečnosti. Rozšírením rozsahu pôsobnosti pravidiel kybernetickej bezpečnosti na nové odvetvia a subjekty dochádza k zlepšeniu odolnosti a schopnosti reakcie na incidenty verejných a súkromných subjektov, príslušných orgánov a EÚ ako celku.
NIS 2 bola do právneho poriadku SR transponovaná novelou zákona č. 366/2024 Z. z., ktorou sa ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony (ďalej ako „Novela ZKR“). Novela ZKR bola prijatá 19. 12. 2024 s účinnosťou k 01. 01. 2025.
a) rozšírenie okruhu subjektov, od ktorých sa vyžaduje, aby prijali opatrenia na zvýšenie svojej kybernetickej bezpečnosti
b) harmonizovanie spoločný prístup EÚ k hláseniu incidentov, bezpečnostným požiadavkám, opatreniam dohľadu a výmene informácií.
Na rozdiel od predchádzajúcej právnej úpravy, Novelou ZKR sa pravidlá v oblasti kybernetickej bezpečnosti budú vzťahovať na širší okruh odvetví (sektorov) v závislosti od ich významu pre hospodárstvo a spoločnosť. V dôvodovej správe k Novele ZKR sa predpokladá, že nová regulácia kybernetickej bezpečnosti by sa mala priamo dotknúť okolo 3.500 subjektov.
Povinné subjekty sú klasifikované na základe ich významu a rozdelené do dvoch kategórií:
a) prevádzkovateľ základnej služby
b) prevádzkovateľ kritickej služby
ktoré budú podliehať odlišnému režimu dohľadu
Na určenie toho, či daný subjekt spadá pod kategóriu základnej alebo kritickej služby je potrebné detailne posúdiť v akom konkrétnom sektore daný subjekt pôsobí, ako aj to či spĺňa definíciu malého alebo stredného podniku, prípadne aj iné podmienky. Novela ZKR rozširuje rozsah pôsobnosti pravidiel kybernetickej bezpečnosti pridaním nových odvetví na základe stupňa ich digitalizácie a prepojenia a ich významu pre hospodárstvo a spoločnosť zavedením jasného pravidla o prahovej hodnote veľkosti. To znamená, že do rozsahu pôsobnosti budú zahrnuté všetky stredné[2] a veľké spoločnosti[3] vo vybraných sektoroch. Je však potrebné povedať, že v niektorých kritických odvetviach budú subjekty spadať pod reguláciu kybernetickej bezpečnosti bez ohľadu na ich veľkosť.
Okrem toho, aj keď spoločnosť nepatrí do rozsahu pôsobnosti zákona o kybernetickej bezpečnosti, je pravdepodobné, že niektorí dodávatelia alebo odberatelia spoločnosti, ktorí patria do rozsahu pôsobnosti zákona o kybernetickej bezpečnosti, budú od danej spoločnosti vyžadovať, aby splnila potrebné požiadavky v oblasti kybernetickej bezpečnosti. Je to spôsobené tým, že dodávateľ alebo odberateľ príslušnej spoločnosti je povinným subjektom podľa zákona o kybernetickej bezpečnosti, a preto je povinný zaviesť opatrenia kybernetickej bezpečnosti vo vzťahu k svojmu dodávateľsko-odberateľskému reťazcu, a teda aj k samotnej príslušnej spoločnosti. Preto aj subjekty, ktoré priamo nespadajú pod reguláciu kybernetickej bezpečnosti(a miestnymi právnymi predpismi), budú v niektorých prípadoch musieť nastaviť svoje fungovanie tak, aby boli v súlade s požiadavkami svojich dodávateľov/odberateľov, ktorí spadajú pod reguláciu zákona o kybernetickej bezpečnosti.
Novela ZKR zavádza viacstupňovú povinnosť hlásenia každého významného kybernetického incidentu prostredníctvom jednotky pre riešenie počítačových incidentov („CSIRT“) prípadne Národnému bezpečnostnému úradu (ďalej ako „NBU“):
- Včasné varovanie pred incidentom (do 24 hodín od významného incidentu)
- Oznámenie o incidente (bez zbytočného odkladu do 72 hodín od významného incidentu)
- Priebežná správa (na žiadosť CSIRT)
- Záverečná správa (najneskôr do 1 mesiaca od oficiálneho oznámenia incidentu)
Novela ZKR taktiež zavádza možnosť hlásiť každý kybernetický bezpečnostný incident (t. j. aj ten čo nie je závažný), kybernetickú hrozbu alebo udalosť odvrátenú v poslednej chvíli aj dobrovoľne. NBU v tejto súvislosti takto nahlásený incident alebo hrozbu spracuje v zanalyzuje v rozsahu, v akom to NBÚ umožnia technické podmienky a kapacity.
Novela ZKR ukladá priame povinnosti riadiacim orgánov dotknutých subjektov. Inými slovami, štatutárne orgány (napr. riaditelia, predseda alebo člen predstavenstva) majú konečnú zodpovednosť za riadenie rizík kybernetickej bezpečnosti v spoločnosti.
Musia a sú zodpovední za:
a) Schvaľovanie opatrení na riadenie kybernetických rizík
b) Dohľad nad implementáciou riadenia kybernetických rizík
c) Absolvovanie školenia na rozpoznávanie rizík a posudzovanie postupov riadenia kybernetických rizík a ich vplyvu na služby poskytované subjektom
d) Pravidelne ponúkať podobné školenia svojim zamestnancom
e) Prevzatie zodpovednosti za nedodržiavanie predpisov
Nesplnenie požiadaviek zo strany riadiacich orgánov môže mať závažne právne následky, ako napríklad osobnú zodpovednosť za škodu, zákaz alebo obmedzenie členstva v štatutárnom orgáne na určitý čas alebo iné sankcie, napríklad pokuty. Dočasné pozastavenie členstva v štatutárnom orgáne by sa však malo uplatňovať len ako posledná možnosť, t. j. až po vyčerpaní iných relevantných donucovacích opatrení, a to len dovtedy, kým dotknutý subjekt neprijme potrebné opatrenia na odstránenie nedostatkov alebo splnenie požiadaviek príslušného orgánu, v súvislosti s ktorými sa takéto dočasné pozastavenie alebo zákaz uplatnili.
NBU ako príslušný orgán má možnosť v prípade nesúladu s pravidlami kybernetickej bezpečnosti stanovenými v zákone o kybernetickej bezpečnosti uložiť nasledovne sankcie:
a) Pokuty
- Prevádzkovateľ kritickej základnej služby - Maximálna výška správnej pokuty – 10.000.000,- EUR alebo do 2 % celkového
celosvetového ročného obratu podniku.
- Prevádzkovateľ základnej služby - Maximálna výška správnej pokuty – 7.000.000,- EUR alebo do výšky 1,4 % celkového celosvetového
ročného obratu podniku.
b) Uloženie záväzného pokynu (napr. vykonať audit kybernetickej bezpečnosti, prijať opatrenia na nápravu)
c) Zákaz poskytovať službu do času nápravy nezákonného stavu
d) Obmedzenie prístupu odberateľov k službe, k online rozhraniu (na základe rozhodnutia súdu)
e) Zákaz vykonávania funkcie štatutárneho orgánu
Dotknutý subjekt by mal vykonať najmä nasledovné kroky:
a) Vykonanie dopadovej analýzy novely zákona o kybernetickej bezpečnosti na daný subjekt - detailné posúdenie kritérií, či subjekt spadá
pod reguláciu zákona o kybernetickej bezpečnosti
b) Subjekty, ktoré splnia kritériá na zariadenie do zoznamu prevádzkovateľov základnej služby, musia do 60 dní po účinnosti Novely ZKR
podať návrh na zápis do zoznamu prevádzkovateľov základnej služby
c) Vykonanie detailnej analýzy rizík a GAP analýzy
d) Detailné posúdenie svojho dodávateľsko-odberateľského reťazca
e) Prijatie interných politík v oblasti kybernetickej bezpečnosti vrátane prijatia nevyhnutných bezpečnostných opatrení, ako aj nastavenia
a postup pri nahlasovaní incidentov a to najneskôr do 12 mesiacov od zaradenia do zoznamu prevádzkovateľov základnej služby
f) Zabezpečenie školenia pre manažment ako aj zamestnancov
g) Vykonanie kybernetického auditu v lehote 24 mesiacov od zaradenia do zoznamu prevádzkovateľov základnej služby
Spoločnosť Lansky, Ganzger, Jacko & Partner, s. r. o. (právna oblasť) vytvorila jedinečné partnerstvo so spoločnosťami Moore BDR s. r. o. (audit) a DXC Technology Slovakia s. r. o. (IT), Aon Central and Eastern Europe (poisťovníctvo) s cieľom poskytovať komplexné služby v oblasti kybernetickej bezpečnosti pre klientov za účelom zabezpečenia súladu so zákonom o kybernetickej bezpečnosti (NIS 2), ako aj iné služby v tejto oblasti a to napríklad:
a) Poskytovanie komplexného poradenstva v oblasti kybernetickej bezpečnosti,
b) Štruktúrovanie projektov kybernetickej bezpečnosti
c) Vykonávanie auditov kybernetickej bezpečnosti
d) Vypracovanie stratégie kybernetickej bezpečnosti
e) Implementácia technických a právnych riešení
f) Pravidelné monitorovanie a aktualizácie systému
g) Vzdelávanie a simulácie útokov
h) Príprava komplexnej zmluvnej a inej dokumentácie
i) Vyjednávanie zmlúv o kybernetickej bezpečnosti s poskytovateľmi IT, ako aj so subjektmi v rámci dodávateľského reťazca
j) Predbežné riešenie sporov a podpora pri súdnych sporoch
k) Prieskum kybernetickej bezpečnosti pri transakciách fúzií a akvizícií
l) Poistenie kybernetických rizík
[1] SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2), ďalej ako “NIS 2”
[2] Stredné podniky - 50-249 zamestnancov alebo obrat vyšší ako 10 miliónov EUR,
[3] Veľké podniky - 250 zamestnancov alebo obrat vyšší ako 50 miliónov EUR.
AUTOR
