Prečo spúšťame túto stránku?

Pretože teraz je ten správny čas

Smernica NIS II je účinná od 16.01.2023

Pretože práve teraz sa vieme pripraviť na to, čo nás čaká a neminie v kontexte prichádzajúcej právnej úpravy pre oblasť kybernetickej bezpečnosti. Život so zákonom o kybernetickej bezpečnosti a najmä na základe neho vykonané audity kybernetickej bezpečnosti ukázali, že pri implementačných projektoch pre oblasť kybernetickej bezpečnosti vždy chýba čas. Čas, ktorý sa stratil nevenovaním dostatočnej pozornosti tomu, čo v rámci legislatívneho procesu prichádza. 

Aj keď požiadavky zákona o kybernetickej bezpečnosti mali byť naplnené už 01.04.2020, ani po ďalších 3 rokoch drvivá väčšina subjektov (prevádzkovateľ základnej služby) svoje povinnosti v značnom rozsahu neplní. Dokonca sú aj takí, ktoré svoje povinnosti ani dostatočne nepoznajú. A to sa skoro finálne znenie Smernice NIS, ktorá je príčinou existencie zákona o kybernetickej bezpečnosti, dalo čítať už v prvej polovici roka 2016.
Preto je namieste začať sa témou kybernetickej bezpečnosti a prichádzajúcou právnou úpravou v podobe novej Smernice NIS II zaoberať „o niečo“ skôr. Jedným z dôvodov je, že na trpezlivosť Národného bezpečnostného úradu, ktorý dohliada nad dodržiavaním zákona o kybernetickej bezpečnosti, sa už nie je možné spoliehať. Úrad totižto začína po 4,5 roku existencie zákona o kybernetickej bezpečnosti ukladať prvé pokuty. A to je len začiatok. Sú na to však aj iné, pragmatickejšie dôvody. Aké? Čítajte ďalej.

Úvod k Smernici NIS 2

V roku 2016 Európsky parlament schválil Smernicu o bezpečnosti sietí a informačných systémov  Smernica NIS. Smernica NIS nadobudla účinnosť v auguste 2016 a členské štáty EÚ mali 21 mesiacov na to, aby ju transponovali do svojich národných právnych poriadkov. Slovenská republika Smernicu NIS transponovala zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorým boli novelizované aj viaceré súvisiace predpisy.

Po štyroch rokoch od účinnosti Smernice NIS Európska komisia dňa 16.12.2020 prijala návrh novej Smernice NIS II, ktorá má pôvodnú Smernicu NIS nahradiť. Dôvody vzniku Smernice NIS 2 sú nasledovné:

  • nízka úroveň kybernetickej odolnosti podnikov pôsobiacich v EÚ
  • nekonzistentná odolnosť medzi členskými štátmi, nízka úroveň spoločného situačného povedomia a chýbajúca spoločná schopnosť reakcie na krízové situácie

Smernica NIS II bola Európskym parlamentom prijatá dňa 10.11.2022 a dňa 28.11.2022 bola následne prijatá Radou EÚ.

Následne bola Smernica NIS II dňa
27.12.2022 zverejnená v Úradnom vestníku Európskej únie pod číslom 2022/2555. Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) nadobudla účinnosť 16.01.2023Členské štáty vrátane Slovenskej republiky majú povinnosť do 17.10.2024 prijať a uverejniť opatrenia potrebné na dosiahnutie súladu so Smernicou NIS II. Predmetné opatrenia sa musia uplatňovať (vo vnútroštátnej terminológii „sú účinné“) od 18.10.2024. S ohľadom na vyššie uvedené dátumy sa Smernica NIS zrušuje s účinnosťou od 18.10.2024. 

Mohlo by sa tak javiť, že ako členské štáty, tak aj samotné (dnešné a budúce) povinné osoby majú dostatok času na prípravu a plnenie povinností vyplývajúcich z novej legislatívy pre oblasť kybernetickej bezpečnosti. O aké povinnosti sa jedná, akých nových subjektov sa týka a prečo na dátum 18.10.2024 nečakať sa dozviete ďalej.
Čo sa na tejto stránke dozviete?
  • Bude Smernica NIS II priamo uplatniteľná na území Slovenskej republiky?
  • Koho sa Smernica NIS II týka?
  • Nová kategorizácia povinných osôb
  • Bezpečnostné požiadavky Smernice NIS II
  • Budúce zmeny zákona o kybernetickej bezpečnosti
  • Kontroly a audity
  • Prečo sa Smernicou NIS II zaoberať už teraz?

Harmonogram

16.12.2020

Prijatie (návrhu)
Smernice NIS II

27.12.2022

Smernica NIS II zverejnená v Úradnom vestníku EÚ pod číslom 2022/2555

16.01.2023

Smernica NIS II nadobudla účinnosť

Harmonogram Slovenská republika

2023 - 2024

Novelizácia zákona o kybernetickej bezpečnosti

18.10.2024

Uplatňovanie NIS II v Slovenskej republike

Zmeny a súvisiace informácie

Áno aj nie. Smernica ako právny akt Európskej únie sa vyznačuje vyššou právnou silou ako národná právna úprava Slovenskej republiky, čo znamená, že jej znenie je pre Slovenskú republiku záväzné.

Špecifikom smerníc Európskej únie však je, že na to, aby sa dosiahli ciele, ktoré sú v smernici stanovené, členské štáty Európskej únie ich musia začleniť do svojho vnútroštátneho práva. Tento proces nazývame transpozíciou.

Rovnaký postup bol aplikovaný aj v prípade pôvodnej Smernice NIS, ktorá bola do nášho právneho poriadku transponovaná zákonom o kybernetickej bezpečnosti. Aj preto je tu vysoká pravdepodobnosť, že aj nová Smernica NIS II bude transponovaná zákonom o kybernetickej bezpečnosti, čím sa jej ciele stanú záväzné pre všetky povinné osoby spadajúce pod pôsobnosť zákona o kybernetickej bezpečnosti.

Smernica NIS II sa týka všetkých povinných osôb v zmysle súčasného znenia zákona o kybernetickej bezpečnosti, najmä prevádzkovateľov základnej služby a poskytovateľov digitálnej služby (aj tých, ktorí si doposiaľ svoju povinnosť nahlásenia sa na Národný bezpečnostný úrad nesplnili). 

Smernica NIS II však zároveň prichádza so značným rozšírením v súčasnosti známych sektorov a podsektorov v zmysle zákona o kybernetickej bezpečnosti a tým aj povinných osôb.

Oproti súčasnej právnej úprave zákona o kybernetickej bezpečnosti pribudnú nasledovné odvetvia (sektory) a pododvetvia (podsektory):

  •  Odpadová voda
  • Vesmír
  • Kuriérske služby
  • Odpadové hospodárstvo
  • Výroba, spracovanie a distribúcia potravín
  • Vodík
  • Diaľkové vykurovanie a chladenie
  • Výroba (zdravotnícke pomôcky, počítačové, elektronické a optické výrobky, elektrické zariadenia, stroje a zariadenia, motorové vozidlá, návesy, prívesy, ostatné dopravné prostriedky...)
  • Výskum

Na Slovensku by vďaka tomuto rozšíreniu malo odhadom pribudnúť niekoľko stoviek až tisíc nových povinných osôb spadajúcich pod zákon o kybernetickej bezpečnosti. Keďže transpozícia Smernice NIS 2 sa vysoko pravdepodobne udeje prostredníctvom zákona o kybernetickej bezpečnosti, vybrané subjekty vykonávajúce činnosti v týchto nových oblastiach budú tiež povinné plniť požiadavky tohto zákona.

Dochádza k upusteniu od pojmu prevádzkovateľ základnej služby, ktorý je v súčasnosti známy zo zákona o kybernetickej bezpečnosti.

Povinné osoby sa po novom budú rozlišovať na dve základné skupiny, a to kľúčové subjekty a dôležité subjekty.

Súčasní poskytovatelia digitálnych služieb (s výnimkou poskytovateľov služieb cloud computingu) budú po novom zaradení do kategórie dôležitých subjektov. Samotní poskytovatelia služieb cloud computingu budú považovaní za kľúčové subjekty.

Smernica NIS II rovnako ako jej predchodkyňa prichádza len so všeobecným minimálnym bezpečnostným rámcom, ak chcete „must have“ požiadavkami, ktoré sa majú zrkadliť v národných právnych úpravách.

 Sú to nasledovné požiadavky:

  • analýza rizík a bezpečnostné politiky informačného systému
  • riešenie incidentov (predchádzanie incidentom, ich odhaľovanie a reakcia na ne)
  • kontinuita činností a krízové riadenie
  • bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napríklad poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb;
  • bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov vrátane riešenia zraniteľností a zverejňovania informácií o zraniteľnostiach
  • politiky a postupy (testovanie a audit) na posúdenie účinnosti opatrení na riadenie bezpečnostných rizík
  • používanie kryptografie a šifrovania

Čo myslíte, ktoré z bezpečnostných požiadaviek Smernice NIS II sú pre slovenský zákon o kybernetickej bezpečnosti nové? Myslíte správne, žiadne. Všetky vyššie uvedené opatrenia (oblasti, pre ktoré sa prijímajú bezpečnostné opatrenia), už sú súčasťou slovenskej právnej úpravy.

Najzásadnejšou zmenou, ktorú Smernica NIS II oproti súčasnej právnej úprave prináša teda nie sú nové povinnosti, ale počet nových subjektov, ktoré budú povinné plniť už existujúce a výhľadovo ďalšie povinnosti v zmysle zákona o kybernetickej bezpečnosti.

Ak by sme ale predsa len mali predvídať, kde a ako sa zákon o kybernetickej bezpečnosti bude (mal by) v kontexte Smernice NIS II meniť, bolo by to nasledovné:

  • doplnenie novej povinnosti popri kybernetických bezpečnostných incidentoch hlásiť aj závažné kybernetické hrozby
  • doplnenie lehôt v rámci riešenia kybernetických bezpečnostných incidentov (do 24 hodín od zistenia incidentu poskytnúť prvotné oznámenie; najneskôr jeden mesiac po uskutočnení prvotného oznámenia predložiť konečnú správu o riešení incidentu)
  • možnosť dohody s príslušnými orgánmi (napr. jednotkou CSIRT) na predlžení lehôt pre hlásenie incidentu a predloženie konečnej správy o riešení incidentu
  • poskytnutie odpovede k prvotnému oznámeniu o incidente vrátane počiatočnej spätnej väzby k incidentu zo strany prijímateľa oznámenia
  • na požiadanie oznamovateľa incidentu získanie usmernenia k vykonávaniu možných zmierňujúcich opatrení k hlásenému incidentu

V kontexte vyššie uvedených možných vstupov do zákona o kybernetickej bezpečnosti stojí za povšimnutie nasledovné.

Prvým je síce nenápadné, ale veľmi dôležité rozšírenie notifikačných povinností aj o kybernetické hrozby. Zákon o kybernetickej bezpečnosti totižto v súčasnom znení pod hrozbou sankcie vyžaduje, aby prevádzkovatelia hlásili len závažné kybernetické bezpečnostné incidenty, ktorých atribúty (klasifikáciu) stanovuje osobitná vyhláška. Právnym výkladom by sa teda dalo dospieť k nešťastnému až nezmyselnému záveru, v zmysle ktorého prevádzkovateľ „čaká a môže čakať“ na to, kým incident dosiahne aspoň prvý stupeň závažnosti a až následne ho nahlási príslušnému orgánu. Samozrejme dobrovoľnosť hlásenia tým nie je dotknutá. Tým, že po novom budú povinné osoby musieť hlásiť aj závažné kybernetické hrozby (klasifikácia podľa všetkého pribudne neskôr), odstráni sa tento možno výkladovo udržateľný, ale z praktického, logického a v neposlednom rade bezpečnostného pohľadu nezmyselný (možný) „vyčkávací“ výklad procesu hlásenia incidentov.

Druhou je časť riešenia incidentov, kedy na strane štátu (napr. jednotke CSIRT) pribúda explicitná požiadavka na poskytovanie odpovedí, spätných väzieb či usmernení k hláseným incidentom.

Z praxe vieme, že v minulosti nastávali aj také situácie, kedy prevádzkovatelia základných služieb k svojim hláseniam incidentov nedostali žiadnu spätnú väzbu, súčinnosť alebo pomoc, niekedy ani potvrdenie o prijatí ich vlastného oznámenia o kybernetickom bezpečnostnom incidente. Nové povinnosti na strane štátu by tak mohli prispieť ku rýchlejším či kvalifikovanejším reakciám na incidenty. A jednotky CSIRT by pôsobili aj tam, kde absencia dostatočnej expertízy (riešenie incidentov samotnými povinnými osobami) nie je len citeľná, ale hlavne nebezpečná.

Logicky sa tu však vynára ďalšia súvislosť, a to kapacity súčasných jednotiek CSIRT na Slovensku. Ako a či bude štát schopný túto novú požiadavku Smernice NIS II naplniť je na inú diskusiu.

Medzi kontrolné prostriedky patria napríklad kontroly na mieste, skeny zraniteľností, žiadosti o poskytnutie informácií, žiadosti o sprístupnenie dát alebo preukázanie zavedenia bezpečnostných politík.

Pokiaľ sa jedná o audity kybernetickej bezpečnosti, ktoré sú na Slovensku vykonávané už na základe súčasnej právnej úpravy zákona o kybernetickej bezpečnosti, uvedené sa nezmení ani na základe Smernice NIS II. Tá totižto vyžaduje, aby členské štáty mali pri vykonávaní svojich úloh dohľadu oprávnenie podrobiť povinné osoby pravidelným auditom. Pre Slovenskú republiku sa tak nejedná o žiadnu novinku, ale o pokračovanie v už existujúcom a zavedenom systéme pravidelných výkonov auditov kybernetickej bezpečnosti.

Významnú zmenu zaznamená aj existujúci sankčný mechanizmus zákona o kybernetickej bezpečnosti, ktorý zásadným spôsobom posilní. A to najmä v maximálnej výške pokút, ktoré budú v prípade kľúčových subjektov 10 miliónov EUR alebo 2 % z celosvetového obratu a v prípade dôležitých subjektov 7 miliónov EUR alebo 1,4 % z celosvetového obratu. Proti súčasnej maximálnej výške 300 000 EUR v zmysle zákona o kybernetickej bezpečnosti tak môžeme hovoriť o značnom sprísnení a priradení váhy kybernetickej bezpečnosti.

Pribudnú aj niektoré donucovacie prostriedky. Nakoľko Národný bezpečnostný úrad má už na základe súčasného znenia zákona o kybernetickej bezpečnosti veľmi široké „donucovacie“ oprávnenia voči povinným osobám, za zmienku stojí oprávnenie pozastaviť certifikáciu alebo existujúce povolenie umožňujúce povinnej osobe vykonávať niektorú z regulovaných činností alebo uložiť dočasný zákaz vykonávať riadiace funkcie v povinnej osobe.

Pokiaľ Vás nepresvedčili nové vysoké pokuty až do 10 miliónov EUR alebo 2 % z celosvetového obratu alebo končiaca trpezlivosť Národného bezpečnostného úradu so subjektami, ktoré dodnes neplnia požiadavky zákona o kybernetickej bezpečnosti, je tu ešte jeden dôvod. Smernica NIS II so žiadnymi zásadnými bezpečnostnými požiadavkami v porovnaní so súčasným znením zákona o kybernetickej bezpečnosti neprichádza. Bezpečnostné požiadavky Smernice NIS II sú už od roku 2018 súčasťou právnej úpravy kybernetickej bezpečnosti na Slovensku, a to v podobe Vyhlášky č. 362/2018 Z. z.

Súčasné, ale najmä nové povinné osoby tak majú už dnes, ešte pred novelizáciou zákona o kybernetickej bezpečnosti v kontexte Smernice NIS II značný náskok, ktorý vedia využiť na časovo vyváženú a obsahovo dostatočnú a správnu implementáciu požiadaviek zákona o kybernetickej bezpečnosti. 

Nečakajte na poslednú chvíľu. Bude Vás to totižto zbytočne stáť stres a peniaze. A aj to za predpokladu, že v danom čase vôbec nájdete voľného a dostatočne kvalifikovaného odborníka, ktorý by Vám s kybernetickou bezpečnosťou vedel pomôcť.

Chcem dostávať nové informácie o NIS II

Odoslaním môjho emailu súhlasím so spracovaním osobných údajov na účel  "Zasielanie newslettra"  v zmysle Zásad ochrany osobných údajov

Pokiaľ máte záujem

a ďalšie otázky týkajúce sa Smernice NIS II alebo zákona o kybernetickej bezpečnosti
o vypracovanie bezpečnostnej stratégie alebo bezpečnostných politík kybernetickej bezpečnosti
o nastavenie zmluvných vzťahov s Vašimi dodávateľmi v súlade so zákonom o kybernetickej bezpečnosti
o implementáciu požiadaviek zákona o kybernetickej bezpečnosti
o výkon auditu kybernetickej bezpečnosti
o školenia kybernetickej bezpečnosti
neváhajte nás kontaktovať

Adresa

Svatoplukova 30

821 08 Bratislava

Slovensko

E-mail
Telefón