sipka  Späť na blog

GDPR Nariadenie, Uncategorized @sk

14. 3. 2025

Čo so sebou prináša smernica NIS 2?

Čo so sebou prináša smernica NIS 2?

Európska regulácia kybernetickej bezpečnosti v podobe smernice NIS 2 aktualizuje pravidlá  v oblasti kybernetickej bezpečnosti zavedené už v roku 2016 smernicou NIS 1 a modernizuje existujúci právny rámec s cieľom udržať krok so zvýšenou digitalizáciou a vyvíjajúcim sa prostredím kybernetických hrozieb. Poďme sa pozrieť bližšie na zmeny, ktoré prináša. Smernica NIS 2 bola transponovaná do novely Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ZoKB), ktorá nadobudla účinnosť na Slovensku 1. januára 2025.

Čo je cieľom týchto zmien v NIS 2?

Smernica NIS 2 má za cieľ zlepšiť odolnosť a kapacity reakcie na incidenty verejných a súkromných subjektov, príslušných orgánov a EÚ ako celku. Docieliť sa tak má najmä rozšírením rozsahu pôsobnosti pravidiel kybernetickej bezpečnosti na nové odvetvia a subjekty.

Čo to znamená pre subjekty na Slovensku? Predovšetkým by sme mali mať na pamäti, že predmetom tejto regulácie nie je kybernetická bezpečnosť vo vzťahu k základným službám, ale práve kybernetická bezpečnosť a odolnosť kľúčových subjektov a celých sektorov voči aktuálnym kybernetickým hrozbám.

Kľúčové zmeny, ktoré prináša novela ZoKB:

  • Rozšírenie pôsobnosti zákona na nové subjekty
  • Aplikácia bezpečnostných opatrení na základe rizikovej analýzy
  • Úprava bezpečnosti dodávateľského reťazca
  • Úprava hlásenia kybernetických bezpečnostných incidentov
  • Koordinované zverejňovanie zraniteľností
  • Audit a samohodnotenie
  • Certifikácia bezpečnosti IKT produktov a služieb
  • Sankcie v prípade porušenia povinností

Nové subjekty spadajúce pod ZoKB

Najvýraznejšou zmenou novelizovaného ZoKB je nepochybne kategorizácia a rozsah subjektov, ktoré spadajú pod pôsobnosť novelizovanej legislatívy. Odstraňuje sa rozdiel medzi prevádzkovateľmi základných služieb (PZS) a poskytovateľmi digitálnych služieb a subjekty spadajúce pod reguláciu sa po novom rozdeľujú do sektorov, v ktorých vykonávajú svoju činnosť a to do sektorov s vysokou úrovňou kritickosti (Príloha č. 1 Zákona) a na subjekty patriace do iných kritických sektorov (Príloha č. 2 Zákona).

Ďalšou podmienkou je, že subjekt musí spĺňať aj veľkostné kritérium – musí ísť o minimálne stredný podnik (min. 50 zamestnancov alebo súvaha / obrat 10 mil. EUR)

Prevádzkovateľom základnej služby je ďalej aj subjekt, bez ohľadu na sektor alebo veľkosť, ktorý spĺňa jednu z týchto podmienok:

  • ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
  • kritický subjekt,
  • štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
  • mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
  • správca ITVS po predchádzajúcej konzultácii s príslušným ústredným orgánom,
  • osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
  • tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu

Ruší sa zoznam základných služieb, a pôsobnosť ZoKB sa vzťahuje na celý subjekt, ktorý je zapísaný v registri prevádzkovateľov základnej služby ako taký, nie len na konkrétnu základnú službu.

Povinnosti dotknutých subjektov

Subjekty, ktorých sa dotýka novelizácia ZoKB, majú upravené niektoré povinnosti a záväzky.

Aplikácia bezpečnostných opatrení na základe rizikovej analýzy

Zmeny so sebou prinášajú novú štruktúru všeobecných bezpečnostných opatrení, ktorá bude bližšie špecifikovaná v príslušnej vyhláške. Každý z dotknutých subjektov je povinný vypracovať analýzu rizík informačnej bezpečnosti a navrhované bezpečnostné opatrenia prijať v lehote najneskôr 12 mesiacov od zápisu subjektu do registra PZS.

Úprava bezpečnosti dodávateľského reťazca

Novelizácia prináša zmeny aj v rámci dodávateľského reťazca, cieľom ktorých je zabezpečiť väčšiu kontrolu tretích strán dodávajúcich služby pre dotknuté subjekty a prináša tak nové povinnosti nielen pre subjekty samotné, ale aj pre dodávateľov, ktorí môžu ale nemusia pod spadať tieto subjekty spadať. Treťou stranou sa v tomto prípade rozumie dodávateľ na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre PZS.

Povinnosti dotknutých subjektov v súvislosti s tretími stranami:

  • uzatvoriť s treťou stranou zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností

Povinnosti tretej strany:

  • zaviesť a vykonávať bezpečnostné opatrenia podľa zmluvy a zákona
  • podrobiť sa kontrole plnenia požiadaviek zmluvy a zákona zo strany PZS
  • ustanoviť svojho zástupcu na území EÚ (v krajine kde vykonáva svoju činnosť) – platí pre tretie strany, ktorá nemajú sídlo alebo miesto podnikania na území EÚ

Postavenie PZS bude mať aj tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a má uzatvorenú zmluvu s PZS, ktorý prevádzkuje kritickú základnú službu.

V takýchto prípadoch:

  • je dotknutý subjekt povinný úradu hlásiť uzatvorenie zmluvy s takouto treťou stranou a aj jej ukončenie
  • sa tretia strana zapisuje do registra PZS
  • je tretia strana povinná plniť bezpečnostné opatrenia podľa zákona a podlieha dohľadu zo strany NBÚ
  • je tretej strane možné uložiť povinnosť riešiť KB incident alebo vykonať reaktívne opatrenie v čase krízy

 

Úprava hlásenia kybernetických bezpečnostných incidentov

V prípade závažného bezpečnostného incidentu sa upravuje oznamovacia povinnosť subjektov, ktoré sú povinné incident hlásiť NBÚ prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti (JISKB).

  • Bez zbytočného odkladu a v každom prípade najneskôr do 24 hodín

od momentu zistenia závažného KB incidentu dotknuté subjekty nahlásia príslušný incident.

  • Bez zbytočného odkladu a najneskôr do 72 hodínod zistenia incidentu

budú subjekty povinné oznámiť podrobnejšie informácie, pričom zároveň uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadne indikátory kompromitácie.

  • Najneskôr 1 mesiac od zistenia incidentu

budú dotknuté subjekty povinné predložiť záverečnú správu o incidente.

Ostatné udalosti môže dotknutý subjekt hlásiť dobrovoľne, rovnako ako akákoľvek iná osoba.

 

Koordinované zverejňovanie zraniteľností

Smernica NIS 2 so sebou prináša aj nové povinnosti pre členské štáty, ktoré sú povinné zabezpečiť účinný dohľad nad implementáciou smernice a súlad s požiadavkami novej regulácie.

Táto činnosť zahŕňa napríklad oprávnenie národnej jednotky CSIRT vykonávať napríklad automatizovanú detekciu zraniteľností v rámci kybernetického priestoru SR či pomoc subjektom pri mitigácii kybernetických hrozieb.

 

Audit a samohodnotenie

Všetkým dotknutým subjektom vzniká povinnosť do dvoch rokov vykonať audit špecifikovaný v príslušnej vyhláške o audite, ktorý vykoná certifikovaný audítor kybernetickej bezpečnosti podľa príslušnej schémy.

 

Subjekty, ktoré neposkytujú kritickú službu, môžu audit vykonať aj tzv. samohodnotením, ktoré vykonáva manažér kybernetickej bezpečnosti. Subjekt, ktorý si zvolil vykonanie auditu samohodnotením, však musí vykonať prvý audit prostredníctvom certifikovaného audítora do piatich rokov a následne v periodicite podľa vyhlášky.

 

Sankcie v prípade porušenia povinností

Oblasť kybernetickej bezpečnosti naďalej spadá pod pôsobnosť Národného bezpečnostného úradu (NBÚ), ktorý bude v prípade porušenia pravidiel oprávnený uložiť sankcie dotknutým subjektom v súlade novelizovaným ZoKB, a to nasledovne:

  • pokutu od 500 EUR až do výšky 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku podniku – podľa toho, ktorá suma je vyššia.
  • sankcie v podobe dočasného pozastavenia certifikácie alebo povolenia časti alebo všetkých relevantných služieb a činností, ktoré subjekt poskytuje, či vyvodenia osobnej zodpovednosti voči fyzickým osobám v riadiacich funkciách.

Máte k zmenám, ktoré prináša novelizácia ZoKB nejaké otázky, alebo potrebujete pomôcť s jej implementáciou? Budeme radi, ak sa na nás obrátite.

securion - poradenstvo GDPR

 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb

icon

Môže Vás zaujímať

28. 9. 2022

GDPR Nariadenie

Informačná povinnosť GDPR – transparentnosť a obsah

12. 8. 2022

GDPR Nariadenie, Videoškolenia

GDPR videoškolenia 17: Najčastejšie chyby pri vypracovaní GDPR dokumentácie

11. 3. 2022

Cookies, Videoškolenia

Videoškolenia 13: Cookies – ako ich nastaviť a prečo úzko súvisia s GDPR

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

email-icon

securion@securion.sk
phone-icon

+421 911 925 811

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.