AKMV 
Kontaktujte nás!
V prípade záujmu o právne služby nás neváhajte kontaktovať na recepcia@akmv.sk
Dňa 27. decembra bola prijatá Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2, ďalej len „smernica“), ktorá významným spôsobom mení oblasť kybernetickej bezpečnosti a zavádza nové práva a povinnosti pre subjekty.
Smernica NIS 2
Celé znenie smernice v slovenskom jazyku možno nájsť na tomto odkaze.
Kybernetická bezpečnosť v podmienkach SR
Vzhľadom na to, že ide o smernicu, je potrebné, aby členské štáty Európskej únie prijali na vnútroštátnej úrovni právny predpis, ktorým zabezpečia (transponujú) ciele a rámce vytýčené smernicou. Týmto predpisom je v podmienkach Slovenskej republiky už existujúci, platný a účinný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý takisto vznikol implementáciou európskej smernice. Bližšie informácie o schvaľovaní novely zákona o kybernetickej bezpečnosti v legislatívnom procese možno nájsť na oficiálnej webovej stránke Národnej rady SR. Novela zákona o kybernetickej bezpečnosti vyhlásená v Zbierke zákonov SR dňa 19. decembra 2024 ako zákon č. 366/2024 Z. z., ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony.
Podľa dôvodovej správy pripravovanej novely je „Najvýraznejšou zmenou v návrhu zákona zmena prístupu k identifikácii povinných subjektov, tzv. prevádzkovateľov základnej služby. Spôsob určenia prevádzkovateľa základnej služby sa smernicou NIS 2 mení oproti právnej úprave vyplývajúcej zo smernice NIS 1 tak, že pôvodný kombinovaný spôsob určenia podľa prílohy zákona č. 69/2018 Z. z. sa nahrádza taxatívnym vymenovaním subjektov priamo v návrhu zákona. Návrhom zákona nedochádza k výraznému nárastu regulovaných odvetví, ale dochádza k rozšíreniu pôsobnosti na ďalšie subjekty.
Podľa dôvodovej správy sa novelou ďalej
- upravuje a precizuje hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli, zraniteľnosti a riešenie kybernetického bezpečnostného incidentu a podporuje sa dobrovoľné hlásenie
- odstraňuje rozdiel medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby, a samotné regulované subjekty – prevádzkovatelia základných služieb, sa de facto rozdeľujú na základe ich dôležitosti do dvoch kategórií, na kľúčové subjekty – prevádzkujúce kritickú základnú službu a dôležité subjekty – ostatní prevádzkovatelia základných služieb. Návrh zákona tak zavádza podľa pravidiel smernice NIS 2 prahovú hodnotu veľkosti subjektu (stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo presahujúce limity pre stredné podniky), ale do regulácie budú spadať aj subjekty kritického významu bez hodnotenia ich veľkosti
- upravujú a precizujú bezpečnostné opatrenia tak, aby reflektovali nové bezpečnostné štandardy, vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca
- posilňuje využívanie nástroja analýzy rizík pre aplikáciu bezpečnostných opatrení
- zavádza minimálnu úroveň bezpečnostných opatrení
- posilňuje dohľadovú činnosť zavedením foriem dohľadu
- podporuje vzdelávanie
- dopĺňa zodpovednosť
- posilňuje sa funkcia manažéra kybernetickej bezpečnosti
- natrvalo zavádza inštitút samohodnotenia.
Na koho sa NIS 2 vzťahuje?
Ako už bolo spomenuté, novelou zákona o kybernetickej bezpečnosti sa pôvodný mechanizmus identifikácie prevádzkovateľov základnej služby pomocou prílohy č. 1 nahrádza taxatívnym (ohraničeným) zoznamom subjektov v novom znení § 17 ods. 1 zákona. Inými slovami, podniky, ktoré možno zapísať do registra prevádzkovateľov základnej služby, budú identifikovateľné priamo zo zákona bez potreby vydania ďalšieho usmerňujúceho predpisu.
Pre posúdenie, či subjekt spadá pod pôsobnosť nového zákona o kybernetickej bezpečnosti, je teda rozhodujúce, či sa naň vzťahuje kategória prevádzkovateľa základnej služby. Základná služba sa pritom v zákone nedefinuje.
Novela zároveň zavádza po vzore NIS 2 prahovú hodnotu veľkosti subjektu (stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo presahujúce limity pre stredné podniky („veľké podniky“)), ale do regulácie budú spadať aj subjekty kritického významu bez hodnotenia ich veľkosti.
Subjekt kritického významu
Či ide o subjekt kritického významu alebo nie sa posudzuje podľa toho, či podnik vykonáva niektorú z činností podľa nových príloh č. 1 alebo 2. Príloha č. 1 stanovuje zoznam sektorov s vysokou úrovňou kritickosti (napr. energetika – výroba, prenos, distribúcia, dodávka alebo nákup elektriny; železničná doprava – každý orgán alebo podnik zodpovedný najmä za zriadenie, správu a údržbu železničnej infraštruktúry vrátane riadenia dopravy; zdravotníctvo – poskytovateľ zdravotnej starostlivosti (akákoľvek osoba alebo akýkoľvek iný subjekt, ktorý legálne poskytuje zdravotnú starostlivosť na území členského štátu Európskej únie) a pod.).
Príloha č. 2 zas uvádza zoznam iných kritických sektorov (napr. výroba, spracovanie a distribúcia potravín – potravinárske podniky, ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním; výroba motorových vozidiel, návesov a prívesov atď.).
Podnikom je prakticky každý subjekt, ktorý vykonáva hospodársku činnosť, a to bez ohľadu na jeho právnu formu (aj napr. SZČO, rodinné firmy, partnerstvá, združenia atď.). Hospodárskou činnosťou je typicky predaj výrobkov alebo služieb za stanovenú cenu na určitom trhu.
- Mikropodnik je definovaný ako podnik, ktorý zamestnáva menej ako 10 osôb a ktorého ročný obrat alebo celková ročná bilančná suma nepresahuje 2 mil. EUR.
- Malým podnikom je podnik, ktorý zamestnáva menej ako 50 osôb a ktorého ročný obrat alebo celková ročná bilančná suma nepresahuje sumu 10 mil. EUR.
- Stredný podnik je podnik, ktorý zamestnáva menej ako 250 osôb a ktorého ročný obrat alebo celková ročná bilančná suma nepresahuje sumu 50 mil. EUR.
- Veľký podnik je definovaný ako podnik, ktorý zamestnáva 250 a viac osôb a ktorého ročný obrat alebo celková ročná bilančná suma dosahuje sumu 50 a viac mil. EUR.
Viac o podnikoch
Viac o podnikoch sa dočítate napr. v praktickej príručke Ministerstva hospodárstva SR dostupnej na tomto odkaze.
Aké povinnosti vyplývajú pre prevádzkovateľov základnej služby z NIS 2?
- Ak vykonáva činnosť podľa § 17 ods. 1, povinnosť oznámiť začatie vykonávania tejto činnosti Národnému bezpečnostnému úradu (NBÚ) do 60 dní od začatia tejto činnosti (§ 17 ods. 2).
- Povinnosť do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti (§ 19 ods. 1).
- Povinnosť oznámiť každú zmenu zapísaných skutočností, ktorá nie je referenčným údajom, najneskôr do 14 dní prostredníctvom jednotného informačného systému kybernetickej bezpečnosti úradu (§ 17 ods. 6).
- Povinnosť oznámiť úradu začatie aspoň jednej z činností, ktorá patrí do zoznamu kritických základných služieb (§ 18 ods. 2).
- Povinnosť hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností a aj informáciu o jej ukončení, ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu (§ 19 ods. 7).
- Povinnosť hlásiť každý závažný kybernetický bezpečnostný incident (§ 24 ods. 1).
Snkcie za porušenie povinností
Novela zákona o kybernetickej bezpečnosti ustanovuje v § 31 správne delikty, ktorých sa prevádzkovateľ základnej služby môže dopustiť porušením povinností stanovených týmto zákonom a rozmedzie pokút, ktoré za ich porušenie ukladá NBÚ.
Napr. podľa nového znenia § 31 ods. 1 „Úrad môže uložiť pokutu od 300 eur do 500 000 eur prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť
- oznámiť začiatok vykonávania činnosti podľa § 17 ods. 3,
- oznámiť zmenu údajov podľa § 17 ods. 6,
- oznámiť prevádzkovanie kritickej základnej služby podľa § 18 ods. 2,
- …“
Podľa § 31 ods. 2 písm. c) „Úrad môže uložiť pokutu do 7 000 000 eur alebo do výšky 1,4 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia, prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť nahlásiť závažný kybernetický bezpečnostný incident podľa § 24 ods. 1 alebo ods. 3.“
Odkedy platia povinnosti z NIS 2?
Účinnosť novely zákona o kybernetickej bezpečnosti je od 01.01.2025.
Pre viac informácií o téme kybernetickej bezpečnosti navštívte stránku slovensko.sk alebo oficiálnu stránku Centrálneho portálu kybernetickej bezpečnosti.