Viaceré firmy a inštitúcie musia plniť nové povinnosti vyplývajúce zo smernice NIS2, vykonávať bezpečnostný audit či kybernetickú hygienu. Čo to v praxi znamená, aké sú lehoty či pokuty?
Od roku 2025 nadobudla účinnosť novela zákona č. 69/2018 o kybernetickej bezpečnosti v súvislosti so smernicou EÚ s názvom NIS2. V rámci nej došlo k viacerým novinkám, ktoré sa dotýkajú mnohých podnikateľov. V článku približujeme podrobnosti o tom, koho sa novela týka, aké majú dotknuté osoby povinnosti, čo v praxi znamená minimálna kybernetická hygiena, analýza rizík či kybernetický audit, aj aké sú lehoty a postihy za porušenie zákona.
Čo je smernica NIS2?
Smernica NIS2 nahrádza smernice o bezpečnosti sietí a informácií NIS1 (The Network and Information Security). Tá bola schválená v roku 2016 a do účinnosti vstúpila v roku 2018. Zaviedli sa ňou bezpečnostné požiadavky na prevádzkovateľov základných a digitálnych služieb. „Smernice NIS poskytujú právny rámec a súbory potrebných prevádzkových opatrení pre bezpečnosť IT systémov a ochrany dát. Poskytujú jednotné štandardy a zvyšujú celkovú odolnosť proti kybernetickým hrozbám, incidentom a ich následkom. Účinnosť zabezpečujú stanovením povinností pre členské štáty EÚ a subjekty, ktorých sa týka,“ vysvetľuje Jozef Priesol, bezpečnostný manažér spoločnosti Slovanet, a. s.
Nakoľko ide o smernice (NIS1 aj NIS2), členské štáty ich museli zapracovať do svojej vnútroštátnej legislatívy. Na Slovensku sa tak stalo novelami Zákona o kybernetickej bezpečnosti. Najnovšia je účinná od 1.1.2025. V rámci nej došlo k zvýšeniu počtu tzv. povinných subjektov, na ktoré sa budú vzťahovať nové bezpečnostné opatrenia. Firmy a inštitúcie pritom musia samé zistiť, či spadajú pod nové rozšírené kritériá (podľa veľkosti a sektoru pôsobenia). O aké ide?
Koho sa týkajú nové bezpečnostné opatrenia podľa NIS2 a novely zákona o kybernetickej bezpečnosti?
Čo sa týka veľkosti podniku, Národný bezpečnostný úrad (NBÚ) vysvetľuje, že zákon podľa pravidiel smernice NIS 2 zavádza prahovú hodnotu veľkosti subjektu (stredné podniky podľa článku 2 prílohy k odporúčaniu Komisie 2003/361/ES alebo presahujúce limity pre stredné podniky), pričom prvým kritériom na posudzovanie veľkosti podniku je počet zamestnancov a druhým je ročný obrat alebo celková ročná bilancia. Ako NBÚ dodáva, do regulácie spadajú aj subjekty kritického významu bez hodnotenia ich veľkosti.
Regulovanými subjektmi sú prevádzkovatelia základných služieb, ktorí sa rozdeľujú podľa ich dôležitosti na kľúčové subjekty, ktoré vykonávajú kritickú základnú službu a dôležité subjekty, ktorými sú ostatní prevádzkovatelia základných služieb.
To, kto sa považuje za prevádzkovateľa základnej alebo kritickej základnej služby, definuje zákon o kybernetickej bezpečnosti v § 17 a § 18 (a prílohách č. 1 a č. 2).
Do registra prevádzkovateľov základnej služby sa podľa zákona zapisuje:
- ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
- štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- správca informačných systémov verenej správy (ITVS) po predchádzajúcej konzultácii s príslušným ústredným orgánom,
- osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
- tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu,
- kritický subjekt a
- osoba, ktorá bez ohľadu na to, či spĺňa veľkostné podmienky stredného podniku, vykonáva činnosť v niektorých zo sektorov podľa spomínaných príloh zákona (energetika, doprava, financie, zdravotníctvo, riadenie služieb IKT, digitálna infraštruktúra a ďalšie) a ktorá:
- je podnikom poskytujúcim verejnú elektronickú komunikačnú sieť alebo verejnú elektronickú komunikačnú službu,
- je poskytovateľom dôveryhodnej služby,
- je správcom TLD (doména najvyššej úrovne, ako .sk),
- poskytuje službu DNS (systém doménových mien),
- je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
- poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko najmä v sektore, v ktorom by takéto narušenie alebo zásah mohli mať cezhraničný vplyv,
- je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor, alebo
- je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu.
Poznámka: Napríklad je prevádzkovateľom základnej služby aj Úrad geodézie, kartografie a katastra SR, na ktorý bol v januári vykonaný kybernetický útok. Peter Habara za NBÚ pre Podnikajte.sk potvrdil, že aj na tento úrad sa vzťahujú povinnosti podľa zákona o kybernetickej bezpečnosti.
Kritickou základnou službou sa podľa zákona rozumie:
- výkon pôsobnosti ústredného orgánu štátnej správy alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
- činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak juvykonáva osoba, ktorá prekračuje limity veľkosti určené pre stredný podnik,
- kvalifikovaná dôveryhodná služba,
- správa TLD,
- služba DNS,
- poskytovanie verejnej elektronickej komunikačnej siete alebo verejnej elektronickej komunikačnej služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný podnik,
- vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) bod 5 - 9,
- poskytovanie základnej služby kritickým subjektom, alebo
- informačná činnosť a elektronické služby, vykonávané s použitím informačnej technológie verejnej správy, určených úradom.
Taktiež, ak prevádzkovateľ základnej služby vykonáva aspoň jednu z kritických základných služieb, je považovaný za prevádzkovateľa kritickej základnej služby a túto skutočnosť je povinný oznámiť úradu.
Príloha č. 2 predmetného zákona hovorí o „iných kritických sektoroch“, ktorými sú napríklad:
- poštové a kuriérske služby – konkrétne poštový podnik, ktorý poskytuje jednu alebo viacero poštových služieb alebo poštový platobný styk podľa zákona o poštových službách,
- výroba, spracovanie a distribúcia potravín – potravinárske podniky, ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním,
- výroba zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro (výrobca zdravotníckej pomôcky alebo splnomocnený zástupca),
- poskytovatelia online trhov (služba, ktorá pomocou softvéru vrátane webového sídla, časti webového sídla alebo aplikácie, prevádzkovaná obchodníkom alebo v jeho mene, umožňuje spotrebiteľom uzatvárať zmluvy na diaľku s inými obchodníkmi či so spotrebiteľmi) a iné.
Ako dodáva hovorca NBÚ, Peter Habara, nestačí, že subjekt iba vykonáva činnosť v niektorom zo sektorov prípadne podsektorov. Keďže môže byť náročné zistiť, či sa nové povinnosti danej firmy týkajú, bezpečnostný úrad na svojich stránkach zverejnil aj indikatívnu pomôcku pre organizácie. V prípade ďalších nejasností odporúča obrátiť sa priamo na úrad.
Povinnosti prevádzkovateľov základnej a kritickej základnej služby od 1.1.2025
Prevádzkovatelia základnej služby aj kritickej základnej služby majú v súvislosti so smernicou NIS2 a novelou zákona o kybernetickej bezpečnosti od roku 2025 nové povinnosti. Určuje ich § 19 a § 21 tohto zákona.
V prvom rade platí, že ak firma či inštitúcia zistí, že spĺňa stanovené kritériá, musí sa následne registrovať, resp. podať NBÚ Oznámenie o vykonávaní činností na účely zápisu do registra prevádzkovateľov základnej služby zaslaného cez ústredný portál verejnej správy. J. Priesol uvádza, že tak bolo potrebné urobiť do 2. 3. 2025 (alebo do 60 dní odo dňa, kedy spoločnosť začala relevantnú činnosť vykonávať), do 30 dní dostanú vyjadrenie a podľa výsledku je následne potrebné postupovať - splniť viaceré zákonné povinnosti svojej kybernetickej bezpečnosti.
Jednou zo zmien, ktoré novela prináša, je, že sa zrušila kategorizácia a klasifikácia informácií a informačných systémov, pričom ich nahradila analýza rizík ako univerzálny nástroj pre aplikáciu opatrení. Práve v závislosti od nej majú potom prevádzkovatelia základnej služby 12 mesiacov odo dňa zápisu do registra prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia (najmenej v rozsahu bezpečnostných opatrení podľa § 20).
Pod analýzou rizík možno rozumieť posúdenie pravdepodobnosti výskytu hrozby a odhad možných dôsledkov hrozby. „Analýzou rizík sa určuje pravdepodobnosť vzniku budúcej škodlivej udalosti, ktorá môže byť spôsobená zneužitím existujúcej zraniteľnosti aktíva potenciálnou hrozbou v spojitosti s existujúcimi bezpečnostnými opatreniami a identifikáciou dopadov pri narušení dôvernosti, integrity alebo dostupnosti aktíva,“ vysvetľuje Národný bezpečnostný úrad na svojej stránke. Pre Podnikajte.sk zároveň NBÚ dodáva, že analýzu rizík si vykonáva prevádzkovateľ základnej služby vo vzťahu k identifikovaným aktívam. Postup a podrobnejšie informácie možno nájsť v metodike analýzy rizík, ktorú bezpečnostný úrad vydal v roku 2021.
Dotknuté subjekty musia pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky ich sietí a informačných systémov prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností. Pri uzatvorení zmluvy sa taktiež vykonáva analýza rizík. Tretia strana je potom povinná okrem vykonávania a realizácie bezpečnostných opatrení v súlade s danou zmluvou a zákonom podrobiť sa aj kontrole plnenia opatrení zo strany prevádzkovateľa základnej služby. V prípade prevádzkovateľov kritickej základnej služby môže kontrolu vykonať aj úrad. Zavádza sa tak zodpovednosť za plnenie bezpečnostných opatrení aj pre subjekty v dodávateľskom reťazci.
„Povinnosť uzatvoriť zmluvu neplatí, ak je tretia strana prevádzkovateľom základnej služby, alebo ak je riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany nízke,“ uvádza sa v zákone.
Medzi bezpečnostnými opatreniami sa zavádza aj tzv. minimálna kybernetická hygiena. Ako vysvetľuje P. Habara za NBÚ, ide o súbor základných preventívnych opatrení na zvyšovanie úrovne bezpečnosti. Pod tým si možno predstaviť aktualizáciu softvéru a hardvéru, zmeny hesiel, riadenie nových inštalácií, obmedzenie prístupových účtov na úrovni správcu a zálohovanie údajov či zvyšovanie povedomia a podobne.
Opomenúť nemožno ani povinné kybernetické audity.
Vykonávať ich smie iba certifikovaný audítor kybernetickej bezpečnosti. Ako
približuje J. Priesol, audítor musí plniť definované kvalifikačné požiadavky
a byť certifikovaný. Prevádzkovateľ základnej služby musí takýmto spôsobom
preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek,
a to do dvoch rokov odo dňa zaradenia do registra prevádzkovateľov
základných služieb. „Audit kybernetickej bezpečnosti sa ďalej vykonáva každé
dva roky pri každej zmene, ktorá má významný vplyv na realizované
bezpečnostné opatrenia,“ dodáva NBÚ a do pozornosti dáva metodiku auditu
kybernetickej bezpečnosti, ktorú vypracoval.
V niektorých prípadoch stačí aj samohodnotenie. Ako vysvetľuje NBÚ, vykonať ho môže prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby. „Samohodnotenie vykoná manažér kybernetickej bezpečnosti. Musí ho mať každý prevádzkovateľ základnej služby.“
Oznamovacie povinnosti prevádzkovateľov základnej a kritickej základnej služby od 1.1.2025
Okrem už spomínanej povinnosti podať oznámenie na zápis do predmetného registra, má prevádzkovateľ základnej služby aj ďalšie oznamovacie povinnosti. Je totiž povinný hlásiť úradu všetky zmeny v údajoch zapísaných v registri prevádzkovateľov základnej služby. Ak prevádzkuje kritickú základnú službu, musí úradu hlásiť aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, vrátane informácie o jej ukončení.
Medzi najdôležitejšími oznamovacími povinnosťami sú podľa NBÚ hlásenia upravené v § 24 zákona o kybernetickej bezpečnosti. Ide napríklad o hlásenie každého závažného kybernetického bezpečnostného incidentu, pričom sa zaň považuje rozsiahly kybernetický bezpečnostný incident, ktorý:
- spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, prípadne škodu či inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu;
- zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu.
Nahlasuje ho prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, v rámci ktorého hlási aj:
- významnú kybernetickú hrozbu, o ktorej sa dozvie,
- udalosť, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident, no bola odvrátená v poslednej chvíli,
- zraniteľnosť subjektom prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
Podobné oznamovacie povinnosti majú aj finančné inštitúcie (banky, poisťovne či finanční sprostredkovatelia) v súvislosti s novým zákonom o digitálnej prevádzkovej odolnosti (DORA) od 17.1.2025.
Súhrn podstatných lehôt – čo a dokedy treba stihnúť?
Všetky lehoty upravuje zákon o kybernetickej bezpečnosti, no Peter Habara z NBÚ upriamuje pozornosť najmä na tieto:
| Povinnosť | Lehota |
|---|---|
| Registrácia do registra prevádzkovateľov základnej služby | Do 60 dní odo dňa, kedy relevantnú činnosť subjekt začal vykonávať (tie, ktoré už vykonávajú činnosť, najneskôr do 2.3.2025) |
| Prijať a dodržiavať bezpečnostné opatrenia | Do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby |
| Preveriť účinnosť prijatých bezpečnostných opatrení a plniť požiadavky vykonaním auditu kybernetickej bezpečnosti | Do 2 rokov odo dňa zaradenia do registra prevádzkovateľov základnej služby, potom každé 2 roky alebo pri významnej zmene |
| Doručiť správu o audite kybernetickej bezpečnosti NBÚ | Do 30 dní od odovzdania auditnej správy prevádzkovateľovi základnej služby |
| Hlásiť závažný kybernetický bezpečnostný incident | Bez zbytočného odkladu, avšak: |
P. Habara ale upozorňuje, že prevádzkovatelia základnej služby sú povinní dodržiavať všetky lehoty uvedené v predmetnom zákone.
Za nedodržanie povinností hrozí pokuta aj v státisícoch či miliónoch eur
Za nedodržanie povinností hrozia spoločnostiam a inštitúciám správne delikty a sankcie upravené v § 31 zákona o kybernetickej bezpečnosti. Úrad podľa legislatívy môže uložiť napríklad pokuty od 300 eur do 500-tisíc eur prevádzkovateľovi základnej služby, ktorý:
- neoznámi začiatok vykonávania činnosti,
- neoznámi zmenu údajov v registri prevádzkovateľov základnej služby,
- neoznámi prevádzkovanie kritickej základnej služby,
- neudržiava bezpečnostnú dokumentáciu aktuálnu a zodpovedajúcu reálnemu stavu,
- či nevykoná opatrenie na nápravu v lehote podľa záverečnej správy o výsledkoch auditu a podobne.
Od 300 eur do 7-miliónov eur alebo 1,4 % celkového celosvetového ročného obratu za predchádzajúce obdobie môže uložiť za nenahlásenie závažného kybernetického bezpečnostného incidentu alebo ak nezasiela automatizovane určené systémové informácie, prípadne, ak nerieši incident na základe rozhodnutia úradu alebo nevykoná reaktívne opatrenie a podobne.
Paragraf ustanovuje viacero druhov pokút za rôzne porušenia tohto zákona, zväčša však ide o sumy v rozpätí 300 eur až pol milióna eur. Pokuta je splatná do 30 dní odo dňa nadobudnutia právoplatnosti rozhodnutia o jej uložení.
