Cookie Consent by Free Privacy Policy Generator

30 JANUÁR 2025

Nové povinnosti v oblasti kybernetickej bezpečnosti: Ste prevádzkovateľom základnej služby?

Duševné vlastníctvo a IT
 

autor článku

Hieu Trung Nguyen

ADVOKÁT

Juraj Ondrejka

PARTNER

Od 1.1. 2025 vstúpila do účinnosti novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti („Zákon“), ktorou sa implementovala do nášho právneho poriadku smernica NIS 2.

V našom predchádzajúcom článku sme vás už v krátkosti informovali o smernici NIS 2 a jej účele. Dnes sa pozrieme detailnejšie na to, aké konkrétne povinnosti prináša Zákon a či sa na vašu spoločnosť môžu nové pravidlá kybernetickej bezpečnosti aj vzťahovať.

Aké oblasti sú regulované?

Pôsobíte v energetike, doprave, finančnom sektore, zdravotníctve, vodnom či odpadovom hospodárstve, výrobe (vrátane zdravotníckych pomôcok či elektronických zariadení) alebo v iných sektoroch uvedených v prílohe č. 1prílohe č. 2 Zákona (ďalej len „Dotknuté oblasti“)? Ak áno, mali by ste spozornieť. Nová legislatíva v oblasti kybernetickej bezpečnosti prináša dôležité povinnosti pre spoločnosti v týchto odvetviach. Regulované sú kľúčové sektory, od energetiky až po výrobu strojov, a dopady na vašu firmu môžu byť zásadné.

O čo ide?

Podľa novej legislatívy totiž môžu niektoré podniky spadať pod definíciu tzv. prevádzkovateľa základnej služby, resp. prevádzkovateľa kritickej základnej služby. Ak vaša spoločnosť spĺňa podmienky na zaradenie medzi tieto subjekty, budete musieť splniť viaceré nové povinnosti. Medzi tie najvýznamnejšie patrí povinnosť:

  • prijať, dodržiavať a vykonávať bezpečnostné opatrenia podľa Zákona na základe vykonanej analýzy rizík;
  • prijať požiadavky na detekciu a riešenie kybernetických bezpečnostných incidentov;
  • mať manažéra kybernetickej bezpečnosti a mnohé iné.

Jednou z noviniek, ktorú prináša smernica NIS 2 a Zákon, je princíp samoidentifikácie prevádzkovateľov základnej služby. To znamená, že každá spoločnosť musí sama posúdiť, či spĺňa kritériá a či sa na ňu nové pravidlá vzťahujú.

Ste prevádzkovateľom základnej služby?

Nové pravidlá kybernetickej bezpečnosti sa nevzťahujú na všetkých, ale ak podnikáte vo výrobe či službách, mali by ste si skontrolovať nasledovné kritériá na posúdenie, či ste prevádzkovateľom základnej služby:

  • Sektor činnosti – podnik musí pôsobiť v niektorej z Dotknutých oblastí podľa prílohy č. 1 alebo 2 Zákona;
  • Veľkosť podniku – podnik musí spĺňať aspoň minimálne prahové hodnoty pre stredný podnik (podľa Odporúčania Komisie 2003/361/ES), ktorými sú od 50 do 250 pracovníkov a zároveň ročný obrat od 10 do 50 mil. eur alebo celková ročná súvaha 43 mil. eur.
Pri posudzovaní, či spĺňate vyššie uvedené kritériá, je dôležité zvážiť niekoľko špecifík:

  • Do počtu zamestnancov sa zahŕňajú aj vyslaní a dočasne pridelení pracovníci či vlastníci-manažéri.
  • Ak váš podnik patrí do skupiny prepojených alebo partnerských podnikov, údaje o počte zamestnancov, obrate či súvahe sa sčítavajú za celú skupinu. To môže výrazne ovplyvniť výsledok posudzovania.

Niektoré spoločnosti môžu byť regulované Zákonom aj bez ohľadu na svoju veľkosť. Ak napr. poskytujete službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie, alebo vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni ste kritický subjekt pre konkrétny sektor, pravidlá sa na vás vzťahujú bez ohľadu na veľkosť podniku.

Čo ak spĺňate tieto kritériá?

Ak sa kvalifikujete ako prevádzkovateľ základnej služby, je vašou povinnosťou oznámiť túto skutočnosť Národnému bezpečnostnému úradu (NBÚ) do 60 dní odo dňa začatia poskytovania služieb, resp. 60 dní odo dňa nadobudnutia účinnosti Zákona. Lehota pre oznámenie NBÚ tak uplynie dňa 3.3.2025.

NBÚ následne, po predchádzajúcej konzultácii s príslušným ústredným orgánom, rozhodne o tom, či spoločnosť zapíše alebo nezapíše do registra prevádzkovateľov základnej služby.

Práva a povinnosti prevádzkovateľa základnej služby následne vznikajú spoločnosti až dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.

Čo ak nepodáte oznámenie NBÚ?

V prípade, ak neoznámite, že spĺňate podmienky prevádzkovateľa základnej služby, hrozí vám pokuta od 300 do 500 000 eur.

Nesplnenie zákonných požiadaviek v oblasti kybernetickej bezpečnosti môže viesť aj k stratám zákazníkov a zhoršeniu dôvery obchodných partnerov, nehovoriac o reputačnom riziku.

Ak si nie ste istí, či vaša spoločnosť patrí medzi prevádzkovateľov základných služieb, kontaktujte nás. Radi vám s tým pomôžeme.

Okrem toho ponúkame aj:

  • Komplexné právne poradenstvo v oblasti kybernetickej bezpečnosti;
  • Audit a revíziu zmluvnej dokumentácie s dodávateľmi a návrh vhodných opatrení;
  • Školenia pre členov štatutárneho orgánu alebo vybraných zamestnancov o právnych požiadavkách;
  • Asistenciu pri kontrolách a zastupovanie počas konaní pred NBÚ vrátane plnenia notifikačných povinností a nastavenia interných procesov. 


Zdieľať článok

Ďalšie články autora

Zobraziť všetky články

Články podľa oblasti

EnergetikaNehnuteľnosti a stavebníctvoSúdne spory a arbitrážeObchodné spoločnosti a M&AŽivotné prostredie a odpadyPracovnoprávne vzťahyVerejné obstarávanie Duševné vlastníctvo a IT