sipka  Späť na blog

Kybernetická bezpečnosť, Zahraničná legislatíva

18. 4. 2023

Nová smernica kybernetickej bezpečnosti – o čom je NIS 2?

Nová smernica kybernetickej bezpečnosti – o čom je NIS 2?

Z čoho NIS 2 vychádza? Prvým predpisom na úseku kybernetickej bezpečnosti v rámci EÚ bola Smernica Európskeho Parlamentu a Rady (EÚ) 2016/1148 z 06.07.2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únií, ktorá bola do právneho poriadku Slovenskej republiky transponovaná zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Vykonanie vyššie uvedenej smernice bolo zložité, preto bola dňa 10.11.2022 prijatá Európskym parlamentom, dňa 28.11.2022 Radou EÚ a následne dňa 27.12.2022 bola zverejnená v Úradnom vestníku Európskej Únie (EÚ) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14.12.2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (NIS 2)

Čo by mala nová smernica zabezpečiť?

  • lepšie riadenie rizík a incidentov v oblasti kybernetickej bezpečnosti a pre plnenie oznamovacích povinností;
  • odstrániť rozdiely v požiadavkách na kybernetickú bezpečnosť a pri vykonávaní opatrení v oblasti kybernetickej bezpečnosti v rôznych členských štátoch;
  • stanovenie minimálnych pravidiel pre regulačný rámec a mechanizmy účinnej spolupráce;
  • aktualizuje sa ňou zoznam odvetví a činnosti, na ktoré sa vzťahu povinnosti v oblasti kybernetickej bezpečnosti vrátane určenia prostriedkov nápravysankcií.

Ďalej:

  • sa za účelom zvládania kybernetických incidentov veľkého rozsahu zriaďuje Európska sieť styčných organizácií pre kybernetické krízy, EU-CyCLONe
  • rozširujú sa pôsobnosti rozsahu pravidiel – subjekty uvedené v prílohe I alebo II NIS 2 bez ohľadu na veľkosť, najmä ak:
  1. poskytujú služby podľa čl. 2 ods. 2 písm. a)
  2. sa jedná o jediného poskytovateľa služby v členskom štáte EÚ, ktorá je kľúčová pre zachovanie kritických spoločenských alebo hospodárskych činností,
  3. ide o narušenie služby poskytované subjektom by mohlo mať významný vplyv na verejný poriadok, verejnú bezpečnosť alebo verejné zdravie,
  4. by sa mohlo narušenie služby poskytovanej subjektom vyvolať významné systémové riziko, najmä v odvetviach v ktorých by takého narušenie mohlo mať cezhraničný vplyv,
  5. sa jedná o subjekt je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritickým pre konkrétne odvetvie alebo typ služby alebo pre iné vzájomné závislé odvetvia v členskom štáte,
  6. ide o subjekty verejnej správy na centrálnej a regionálnej úrovni.

Celý popis v zmysle tlačovej správy Rady Európskej únie nájdete tu.

Podľa NIS 2 bude musieť viac subjektov a odvetví prijať opatrenia na úseku kybernetickej bezpečnosti

Nová smernica sa vzťahuje segmenty v oblasti energetiky, dopravy, bankovníctva, zdravotníctva, digitálnej infraštruktúry, verejnú správu a vesmír; zahŕňa odvetia v oblasti poštových a kuriérskych služieb, odpadového hospodárstva, výroby a distribúcie chemických látok, výrobu, spracovanie a distribúciu potravín, výrobu zdravotníckych pomôcok, počítačových výrobkov, strojov a zariadení, motorových vozidiel, ostatných dopravných prostriedkov, poskytovateľov digitálnych služieb a výskumu.

Členské štáty EÚ majú na vykonanie transpozície do vnútroštátnych právnych predpisov 21 mesiacov od nadobudnutia účinnosti NIS 2.

Podľa vyjadrenia NBÚ, Slovenská republika má dnes nadštandardnú úroveň legislatívy. Implementáciou smernice NIS 2 sa však záber pôsobnosti NBÚ niekoľkonásobne rozšíri. Po novelizácií sa bude okruh povinných partnerov blížiť až k hranici 10 000 subjektov.

Vzťah GDPRNIS 2 na úseku porušení ochrany osobných údajov

V prípade porušenia povinností podľa článku 21 (opatrenia na riadenie kybernetických rizík) a článku 23 (oznamovacie povinnosti),  NIS 2 kľúčovým alebo dôležitým subjektom, ktoré môže mať za následok porušenie ochrany osobných údajov podľa GDPR, uvedené je potrebné oznámiť dozornému orgánu v súlade s GDPR .

Ak dozorné orgány za porušenie ochrany osobných údajov uložia vyššie uvedeným subjektom pokutu podľa GDPR, príslušné orgány neuložia za dané porušenie pokutu podľa NIS 2 spôsobené rovnakým konaním, ktoré bolo dôvodom uloženia pokuty podľa GDPR. V takom prípade však príslušné orgány môžu uložiť opatrenia na presadzovanie práva podľa NIS 2 .

securion - poradenstvo GDPR

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb

icon

Tagy článku -

Bezpečnostné opatrenia

Bezpečnostný incident

GDPR povinnosti

Porušenie ochrany osobných údajov

Môže Vás zaujímať

28. 9. 2022

GDPR Nariadenie

Informačná povinnosť GDPR – transparentnosť a obsah

12. 8. 2022

GDPR Nariadenie, Videoškolenia

GDPR videoškolenia 17: Najčastejšie chyby pri vypracovaní GDPR dokumentácie

11. 3. 2022

Cookies, Videoškolenia

Videoškolenia 13: Cookies – ako ich nastaviť a prečo úzko súvisia s GDPR

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

email-icon

securion@securion.sk
phone-icon

+421 911 925 811

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.