Preskočiť na hlavný obsah

NIS2 a nový zákon o kybernetickej bezpečnosti

Dňa 1. 1. 2025 nadobudla účinnosť novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“), ktorou sa transponovala smernica EÚ č. 2022/2555, známa aj ako NIS 2.

Novela zaviedla niektoré dodatočné povinnosti a najmä rozšírila pôsobnosť ZoKB na tisíce ďalších subjektov.

Do pôsobnosti ZoKB aktuálne patrí aj automobilový priemysel (výroba), výroba zdravotníckych pomôcok, riadenie služieb IKT, výroba farmaceutických výrobkov a prípravkov, výroba zdravotníckych pomôcok, výroba počítačových, elektronických a optických výrobkov, strojov a zariadení, výroba, spracovanie a distribúcia potravín, odpadové hospodárstvo a výskum.

Kto je prevádzkovateľom základných služieb?

Subjekt je identifikovaný ako prevádzkovateľ základnej služby (ďalej len „PZS“) najmä v prípade, ak sa identifikuje ako typ subjektu, ktorý spadá do sektora alebo podsektora uvedeného v prílohe č. 1 alebo č. 2 ZoKB, má minimálne 50 zamestnancov a dosahuje ročný obrat alebo súvahu vo výške minimálne 10 miliónov EUR. Mechanizmus identifikácie PZS v súlade so ZoKB vychádza predovšetkým z princípu samoidentifikácie subjektu. To znamená, že subjekt musí sám posúdiť, či spĺňa kritériá PZS podľa podmienok ZoKB.

Regulované sektory

Ide o sektory s vysokou úrovňou kritickosti (energetika, doprava, financie, zdravotníctvo, voda a atmosféra, digitálna infraštruktúra, riadenie služieb IKT, verejná správa a vesmír) a iné kritické sektory (poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, potravinárstvo, výroba v automobilovom priemysle, výroba zdravotníckych a diagnostických pomôcok, výroba počítačových a elektronických výrobkov, elektrických zariadení, strojov a zariadení, poskytovatelia digitálnych služieb a výskum).

Kritérium veľkosti podniku

Zároveň musí subjekt dosiahnuť prahovú hodnotu stredného podniku (podľa pravidiel odporúčania Európskej komisie 2003/361/ES). Ide teda predovšetkým o spoločnosti, ktoré majú minimálne 50 zamestnancov a ročný obrat alebo súvahu vo výške minimálne 10 miliónov EUR.

Pod PZS spadajú aj vybrané subjekty kritického významu bez hodnotenia ich veľkosti, ako sú napríklad ústredné orgány štátnej správy, poskytovatelia dôveryhodnej služby, správy TLD, správy DNS, verejnej elektronickej komunikačnej siete alebo subjekty poskytujúce službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie alebo ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor a podobne.

Základný prehľad niektorých povinností

Ak sa subjekt identifikuje ako PZS (t. j. spĺňa príslušné kritériá), vzniká mu povinnosť podať Národnému bezpečnostnému úradu (ďalej len „NBÚ“) oznámenie o vykonávaní činnosti podľa ZoKB, a to najneskôr do 60 dní. Keďže mnohé subjekty spĺňali kritériá podľa ZoKB už v deň nadobudnutia účinnosti novely ZoKB (1. 1. 2025), táto lehota im už uplynula.

Ak bol subjekt PZS alebo prevádzkovateľom digitálnej služby ku koncu roka 2024, automaticky patrí medzi PZS aj po novele ZoKB, teda oznámenie zasielať NBÚ nemusí.

Práva a povinnosti stanovené v ZoKB vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra PZS, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.

Za nesplnenie povinnosti zaslať NBÚ predmetné oznámenie v danej lehote môže NBÚ uložiť pokutu od 300 EUR do 500 000 EUR.

PZS sú povinní do 12 mesiacov odo dňa zápisu do registra PZS prijať bezpečnostné opatrenia stanovené zákonom a vyhláškou (v nadväznosti na vykonanú analýzu rizík).

Za neprijatie bezpečnostných opatrení môže byť zo strany NBÚ uložená pokuta od 300 EUR až do 7 000 000 EUR alebo do výšky 1,4 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie podľa toho, ktorá suma je vyššia. U prevádzkovateľov kritickej základnej služby hrozí pokuta až v rozmedzí od 500 EUR do 10 000 000 EUR alebo do výšky 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie.

PZS sú povinní uzatvoriť písomnú zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa ZoKB s tretími stranami (dodávateľmi), ktoré zabezpečujú služby súvisiace so základnou službou.

V porovnaní s predchádzajúcou úpravou sa posilňuje bezpečnosť a kontrola celého dodávateľského reťazca. Počas trvania zmluvného vzťahu je tak dodávateľ povinný vykonávať a realizovať bezpečnostné opatrenia nielen v súlade s písomnou zmluvou, ale už aj v súlade so samotným ZoKB.

Zároveň bude dodávateľ povinný podrobiť sa kontrole plnenia týchto opatrení zo strany PZS. U dodávateľov, ktorí budú mať uzatvorenú zmluvu s PZS prevádzkujúcimi kritickú základnú službu, bude môcť kontrolu vykonávať aj priamo NBÚ (takýto dodávateľ sa považuje za PZS).

Povinnosť uzatvoriť predmetnú zmluvu neplatí, ak je dodávateľ sám PZS alebo ak sa riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov PZS prostredníctvom tohto dodávateľa, považuje za nízke.

Do 2 rokov odo dňa zaradenia PZS do registra PZS je PZS povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti. Audit vykonáva certifikovaný audítor (interne alebo externe ako subdodávateľ), ktorý musel prejsť náročným certifikačným mechanizmom. 

Subjekty, ktoré nie sú prevádzkovateľmi kritickej základnej služby, môžu zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti (v uvedenej lehote 2 rokov) prostredníctvom samohodnotenia. Aj v tomto prípade sa však musia podrobiť auditu kybernetickej bezpečnosti do 5 rokov odo dňa zaradenia do registra PZS. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti (určený interne alebo ako subdodávateľ).Za nesplnenie predmetných povinností môže NBÚ uložiť pokutu od 300 EUR do 500 000 EUR.

V príslušných lehotách je PZS povinný hlásiť každý závažný kybernetický bezpečnostný incident. Hlásenie sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, t. j. najmä prostredníctvom príslušného webového formulára.

Za neohlásenie závažného kybernetického bezpečnostného incidentu hrozia rovnaké pokuty ako za nedodržanie bezpečnostných opatrení (pozri vyššie).

Okrem závažných kybernetických bezpečnostných incidentov PZS prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj významnú kybernetickú hrozbu, o ktorej sa dozvie, udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident, alebo zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného kybernetického bezpečnostného incidentu a vo vzťahu ku ktorej PZS nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.

Za nesplnenie niektorých povinností môžu byť zo strany NBÚ sankcionovaní aj priamo jednotlivci, napr. štatutári, zamestnanci alebo manažéri kybernetickej bezpečnosti, a to do výšky 5 000 EUR.

Deloitte vám môže pomôcť:

  • s posúdením, či sa na vašu spoločnosť vzťahuje zákon o kybernetickej bezpečnosti,
  • s posúdením nedostatkov, t. j. ktoré aspekty povinností podľa zákona o kybernetickej bezpečnosti vaša spoločnosť aktuálne nespĺňa (GAP analýza),
  • s prípravou implementačného plánu a aktivít, ktoré odstránia nedostatky (GAPs) identifikované v rámci posúdenia nedostatkov (GAP analýzy),
  • s revíziou a prípravou bezpečnostnej dokumentácie a interných politík,• s posúdením a revíziou dodávateľských zmluvných vzťahov,• so školeniami a workshopmi pre členov štatutárneho orgánu a vedúcich zamestnancov,
  • v spolupráci s inými tímami Deloitte so zavedením bezpečnostných opatrení aj po technickej stránke vrátane vykonania auditu alebo poskytnutia služieb manažéra kybernetickej bezpečnosti,
  • s penetračnými testami naprieč vašou IKT infraštruktúrou a IKT systémami vrátane pripojených výrobných a ďalších zariadení typu OT (Operational Technologies),
  • so zastupovaním pred Národným bezpečnostným úradom v rámci prípadnej kontroly,
  • s inými záležitosťami, ktoré sa týkajú kybernetickej bezpečnosti.

Ak sa chcete dozvedieť viac o našich službách poskytovaných v súvislosti so ZoKB a súvisiacimi predpismi, neváhajte nás kontaktovať.