Európska smernica NIS 2 predstavuje aktualizáciu a modernizáciu pravidiel v oblasti kybernetickej bezpečnosti, ktoré boli pôvodne zavedené smernicou NIS 1 už v roku 2016. Nová regulácia je navrhnutá tak, aby držala krok s rastúcou digitalizáciou a neustále sa meniacim prostredím kybernetických hrozieb. Na Slovensku nadobudla účinnosť novela Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti 1. januára 2025, ktorá transponuje práve túto smernicu a tak zavádza jej povinnosti aj na slovenské subjekty.
Rozšírenie pôsobnosti na nové subjekty
Smernica NIS 2 sa zameriava na zvýšenie odolnosti a schopnosti reakcie na kybernetické hrozby nielen verejných subjektov, ale podstatným spôsobom rozširuje pôsobnosť aj na súkromný sektor, akým je napríklad automobilový priemysel, potravinárstvo či výroba.
Subjekty sú podľa zákona rozdelené do dvoch kategórií:
- Sektory s vysokou kritickosťou (podľa prílohy č. 1 zákona)
- Iné kritické sektory (podľa prílohy č. 2 zákona)
Na to, aby bol subjekt zaradený do registra prevádzkovateľov základnej služby, musí subjekt spĺňať zároveň aj veľkostné kritérium – ide o minimálne stredný podnik s aspoň 50 zamestnancami alebo s obratom či súvahou presahujúcou 10 mil. EUR.
Sú tu však aj subjekty, na ktorých sa povinnosti zákona vzťahujú, a to aj bez splnenia tohto veľkostného kritéria či zaradenia do sektora, a tým je:
- ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
- kritický subjekt,
- štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- správca ITVS po predchádzajúcej konzultácii s príslušným ústredným orgánom,
- osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
- tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu
Novelizácia zavádza aj tzv. kritickú základnú službu, a tou je:
- výkon pôsobnosti ústredného orgánu štátnej správy alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
- činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak ju vykonáva osoba, ktorá presahuje podmienky veľkosti pre stredný podnik (min. 250 zamestnancov alebo obrat 50 mil. EUR / súvaha 43mil. EUR a viac),
- kvalifikovaná dôveryhodná služba,
- správa TLD,
- služba DNS,
- poskytovanie verejnej EK siete alebo verejnej EK služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný podnik,
- vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) piateho až deviateho bodu,
- poskytovanie základnej služby kritickým subjektom,
- informačná činnosť a elektronické služby, vykonávané s použitím ITVS určených úradom.
Kľúčové zmeny po novelizácii zákona o kybernetickej bezpečnosti
Novelizácia zákona stavia na už doteraz platných best-practice v oblasti kybernetickej bezpečnosť, avšak subjektom prináša aj rad povinností a zodpovedností, na ktoré je nutné pri implementácii bezpečnostných opatrení myslieť.
Nahlásenie vykonávanie činností NBÚ
Subjekt má povinnosť podať návrh na zápis do registra poskytovateľov základnej služby a to do 60 dní od začiatku vykonávania činností podľa prílohy č. 1 alebo 2 zákona, a to pomocou formulára zverejneného na stránke NBÚ.
Bezpečnostné opatrenia založené na analýze rizík
Subjekty musia vypracovať analýzu rizík a na základe jej výsledkov zaviesť bezpečnostné opatrenia do 12 mesiacov od ich zápisu do registra poskytovateľov základnej služby. Ruší sa doteraz platná kategorizácia informačných systémov do kategórii I., II. a III.
Zmeny v dodávateľskom reťazci
Okrem analýzy rizík pre samotný subjekt je nutné vyhodnocovať aj riziká dodávateľského reťazca. Novelizácia predpokladá identifikáciu takých dodávateľov, ktorí majú zásadný vplyvu na prevádzku informačných systémov či zabezpečenie informačnej a kybernetickej bezpečnosti subjektu, ktorý je ich povinný nahlásiť na NBÚ.
Upravené hlásenie incidentov
V prípade závažného incidentu je potrebné ho nahlásiť NBÚ do 24 hodín, s detailnejšími informáciami do 72 hodín a záverečnou správou do jedného mesiaca.
Audit a samohodnotenie
Do dvoch rokov musia dotknuté kritické subjekty absolvovať audit kybernetickej bezpečnosti certifikovaným audítorom, pričom nekritické subjekty môžu využiť aj inštitút samohodnotenia, ktoré vypracuje manažér kybernetickej bezpečnosti raz za dva roky, a raz za päť rokov sú aj tieto subjekty povinné sa podrobiť auditu certifikovaným audítorom.
Sankcie za nedodržanie pravidiel
V prípade porušenia povinností vyplývajúcich zo zákona môžu NBÚ uložiť pokuty od 500 EUR až do 10 000 000 EUR alebo 2 % z obratu, prípadne môže byť vyvodená aj osobná zodpovednosť pre členov štatutárneho orgánu subjektu či iných zamestnancov na riadiacich pozíciách.
