sipka  Späť na blog

GDPR Nariadenie, Kybernetická bezpečnosť

26. 9. 2024

NIS 2 vs. právne aspekty hlásenia kybernetických incidentov

NIS 2 vs. právne aspekty hlásenia kybernetických incidentov

Smernica NIS 2 je účinná od 16.01.2023, avšak za účelom dosiahnutia súladu je potrebná jej transpozícia do právneho poriadku jednotlivých členských štátov. Na účely čl. 41 NIS 2, členské štáty prijmú a uverejnia do 17.10.2024 opatrenia na dosiahnutie súladu. Téme Smernice NIS 2 sme sa venovali už v predchádzajúcich článkoch.

V prípade českého regulátora – Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) bude transpozícia realizovaná formou nového zákona, ktorý nahradí aktuálnu právnu úpravu v Českej republike. V zmysle dostupných informácií bolo k  návrhu zákona o kybernetickej bezpečnosti ukončené pripomienkové konanie.

V zmysle publikovanej tlačovej správy Národného bezpečnostného úradu Slovenskej republiky (NBÚ) , NBÚ už pracuje na novej výzve, ktorú prinieslo prijatie Smernice NIS 2. Jedným z kľúčových fundamentov, ktorý bude podliehať transpozícií je aj hlásenie kybernetických incidentov.

Nižšie pripájame stručný prehľad aktuálneho legislatívneho stavu hlásenia kybernetických incidentov v porovnaní s úpravou podľa NIS2:

 

Právna úprava podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ZKB)

Právna úprava podľa NIS 2

1.

 § 24 ods. 1 ZKB:

Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický incident, ktorý identifikuje na základe presiahnutia kritérií pre jednotlivé kategórie závažných kybernetických incidentov.

 Čl. 23 ods. 1 NIS2:

Každý členský štát zabezpečí, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili svojej jednotke CSIRT alebo v náležitých prípadoch svojmu príslušnému orgánu každý incident s významným vplyvom na poskytovanie ich služieb.

2.

§ 3 písm. m) ZKB

Prevádzkovateľom základnej služby je:

orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa § 3 psím l) ZKB. Základnou službou je služba zaradená v zozname základných služieb a

  1. závisí od sietí a informačných systémov a  je činnosťou aspoň v 1 sektore alebo podsektore podľa Prílohy č. 1, alebo

  1. je prvkom kritickej infraštruktúry.

Čl. 3 ods. 1 NIS2:

Za kľúčové a dôležité subjekty sa považujú:

  1. subjekty typu uvedeného v prílohe I, ktoré presahujú limity pre stredné podniky stanovené v článku 2 ods. 1 prílohy k odporúčaniu 2003/361/ES,

  2. kvalifikovaní poskytovatelia dôveryhodných služieb a registre názvov domén najvyššej úrovne, ako aj poskytovatelia služieb DNS, bez ohľadu na ich veľkosť,

  3. poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb, ktoré sú považované za stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES,

  4. subjekty verejnej správy uvedené v článku 2 ods. 2 písm. f) bode i) NIS2,

  5. akékoľvek iné subjekty typu uvedeného v prílohe I alebo II, ktoré členský štát označil za kľúčové subjekty podľa článku 2 ods. 2 písm. b) až e) NIS2,

  6. subjekty označené ako kritické subjekty podľa smernice (EÚ) 2022/2557 uvedenej v článku 2 ods. 3 NIS2,

  7. ak tak členský štát ustanoví, subjekty, ktoré daný členský štát označil pred 16. januárom 2023 ako prevádzkovateľov základných služieb v súlade so smernicou (EÚ) 2016/1148 alebo vnútroštátnym právom.

3.

§ 24 ods. 2 ZKB:

Závažný kybernetický incident sa člení na:

kategóriu (i) prvého, (ii) druhého a (iii) stupňa v závislosti od počtu používateľov základnej alebo digitálnej služby zasiahnutých kybernetických bezpečnostným incidentom, dĺžky trvania kybernetického bezpečnostného incidentu, geografického rozšírenia kybernetického bezpečnostného, stupňa narušenia fungovania kybernetického bezpečnostného incidentu, rozsahu vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

Čl. 23 ods. 3 NIS2:

Incident sa považuje za významný, ak:

  1. spôsobil alebo má schopnosť spôsobiť dotknutému subjektu závažné prevádzkové narušenie služieb alebo finančnú stratu,

  2. zasiahol alebo má schopnosť zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu.

4.

§ 26 ZKB:

Dobrovoľné hlásenie kybernetických bezpečnostných incidentov bez ohľadu na kategorizáciu kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného systému kybernetickej bezpečnosti

Čl. 30 ods. 1 NIS2:

Členské štáty zabezpečia, aby okrem oznamovacej povinnosti stanovenej v článku 23 mohli jednotkám CSIRT alebo prípadne príslušným orgánom podávať oznámenia dobrovoľne:

  1. kľúčové a dôležité subjekty v súvislosti s incidentmi, kybernetickými hrozbami a udalosťami odvrátenými v poslednej chvíli,

  2. iné subjekty, než sú subjekty uvedené v písmene a), bez ohľadu na to, či patria do rozsahu pôsobnosti tejto smernice, v súvislosti s významnými incidentmi, kybernetickými hrozbami a udalosťami odvrátenými v poslednej chvíli

5.

§ 27 ZKB:

Riešenie kybernetických incidentov

  • činnosti NBÚ,

  • povinnosť prevádzkovateľa základnej alebo digitálnej služby bezodkladného oznámenia a preukázania vykonaného reaktívneho opatrenia a jeho výsledku,

  • povinnosť prevádzkovateľa základnej alebo digitálnej služby prijať ochranné opatrenia

  • povinnosť prevádzkovateľa základnej alebo digitálnej služby na výzvu NBÚ predložiť navrhované ochranné opatrenie na schválenie.

Čl. 23 ods. 4 NIS2:

Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:

  • bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom sa prípadne uvedie, či významný incident pravdepodobne spôsobilo konanie, ktoré je nezákonné alebo so zlým úmyslom, alebo či môže mať cezhraničný dosah,

  • bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v prípade potreby aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadne indikátory kompromitácie,

  • na žiadosť jednotky CSIRT alebo v náležitých prípadoch príslušného orgánu priebežnú správu s relevantnou aktualizáciou daného stavu,

  • najneskôr jeden mesiac po postúpení oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje (i) podrobný opis incidentu vrátane jeho závažnosti a vplyvu, (ii) druh hrozby alebo hlavnú príčinu, ktoré pravdepodobne incident spôsobila, (iii) zvadené a prebiehajúce zmierňujúce opatrenia, (iv) v náležitých prípadoch cezhraničný vplyv incidentu,

  • v prípade, že v čase predkladania záverečnej správy incident ešte prebieha, členské štáty zabezpečia, aby dotknuté subjekty predložili v uvedenom čase ďalšiu priebežnú správu a záverečnú správu do jedného mesiaca odo dňa, keď incident vyriešili,

  • poskytovateľ dôveryhodných služieb informuje jednotku CSIRT alebo v náležitých prípadoch príslušný orgán o významných incidentoch, ktoré majú vplyv na poskytovanie jeho dôveryhodných služieb, a to bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu.

Záver – Smernica NIS 2 vs. právne aspekty hlásenia kybernetických incidentov

Cieľom NIS2 je zabezpečenie vysokej úrovne kybernetickej bezpečnosti v rámci EÚ. Smernica NIS2 okrem iného zavádza určenie zodpovedností, vhodného plánovania a posilnenia spolupráce regulátorov na úseku kybernetickej bezpečnosti. Bez ohľadu na to či Slovenská republika pôjde cestou novelizácie zákona o kybernetickej bezpečnosti alebo návrhu nového zákona, v zmysle NIS2 platí povinnosť transpozície do národného právneho poriadku v stanovenej lehote.

V súvislosti s vyhodnocovaním kybernetických incidentov je v každom jednom prípade potrebné vziať do úvahy v zmysle č. 4. bod 12 GDPR aj možné porušenie ochrany osobných údajov, t. j. porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú alebo neoprávnený prístup k nim.

V daných prípadoch je potrebné splniť ďalšie povinnosti podľa GDPR, a to najmä:

a) zdokumentovanie každého prípadu porušenia ochrany osobných údajov,

b) posúdenie oznámenia porušenia ochrany osobných údajov dozornému orgánu, a/alebo

c) v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb aj oznámenie porušenia ochrany osobných údajov dotknutej osobe.

securion - poradenstvo GDPR

 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb

icon

Tagy článku -

Bezpečnostné opatrenia

Bezpečnostný incident

Môže Vás zaujímať

28. 9. 2022

GDPR Nariadenie

Informačná povinnosť GDPR – transparentnosť a obsah

12. 8. 2022

GDPR Nariadenie, Videoškolenia

GDPR videoškolenia 17: Najčastejšie chyby pri vypracovaní GDPR dokumentácie

11. 3. 2022

Cookies, Videoškolenia

Videoškolenia 13: Cookies – ako ich nastaviť a prečo úzko súvisia s GDPR

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

email-icon

securion@securion.sk
phone-icon

+421 911 925 811

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.