Smernica NIS 2 je za dverami. Dotknú sa nové povinnosti kybernetickej bezpečnosti aj vás?

Dňa 30. mája 2024 bol do medzirezortného pripomienkového konania predložený návrh novely zákona o kybernetickej bezpečnosti, ktorým sa má zabezpečiť transpozícia smernice NIS2 do slovenského právneho poriadku. V nasledujúcom článku sme zhrnuli novinky, ktoré smernica NIS 2 prináša v oblasti kybernetickej bezpečnosti. 

Smernica NIS2

Smernica NIS 2 predstavuje celoeurópsku legislatívu v oblasti kybernetickej bezpečnosti, ktorou sa nahrádzajú pravidlá kybernetickej bezpečnosti zavedené v roku 2016 smernicou NIS 1. Tie si vzhľadom na zintenzívnenie a zvýšenú sofistikovanosť kybernetických hrozieb vyžiadali značnú mieru modernizácie.

Na účely posilnenia odolnosti voči kybernetickým hrozbám budú subjekty spadajúce do pôsobnosti smernice NIS 2 povinné prijať nové technické a prevádzkové opatrenia na riadenie rizík a oznamovacích povinností. Nové pravidlá kybernetickej bezpečnosti majú dotknutým subjektom pomôcť úspešne zvládať digitálnu transformáciu a s tým spojenú zvýšenú mieru rizika vystavenia sa kybernetickým hrozbám.

Smernica NIS 2 tak prinesie najmä zmeny ohľadom:

• identifikačných kritérií a identifikačných procesov,
• nových požiadaviek na bezpečnostné opatrenia,
• oznamovania kybernetických bezpečnostných incidentov a
• nových (vyšších) sankcií za porušenie povinností podľa smernice.

Subjekty, ktorých sa dotkne prijatie smernice NIS2

Nové pravidlá kybernetickej bezpečnosti sa dotknú subjektov pôsobiacich v kriticky dôležitých sektoroch, ako napríklad energetika, doprava, bankovníctvo, infraštruktúra finančných trhov, zdravotníctvo či odpadové hospodárstvo.

Smernica NIS2, v porovnaní so smernicou NIS1, zavádza širší rozsah pôsobnosti pravidiel kybernetickej bezpečnosti, ktoré sa tak budú vzťahovať na väčší počet subjektov.

Do jej pôsobnosti spadajú subjekty kategorizované ako kľúčové subjekty alebo dôležité subjekty.

Za kľúčové subjekty sa považujú:

• subjekty typu uvedené v prílohe I smernice NIS 2, ktoré presahujú limity pre stredné podniky (napríklad elektroenergetické podniky, prevádzkovatelia distribučnej sústavy, prevádzkovatelia prenosovej sústavy, výrobcovia elektriny, úverové inštitúcie, podniky zaoberajúce sa zberom, likvidáciou alebo úpravou komunálnych odpadových vôd a pod.);
• kvalifikovaní poskytovatelia dôveryhodných služieb a registre názvov domén najvyššej úrovne, poskytovatelia služieb DNS, bez ohľadu na ich veľkosť;
• poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb, ktoré sú považované za stredné podniky;
• subjekty verejnej správy;
• akékoľvek iné subjekty typu uvedeného v prílohe I alebo II, ktoré členský štát označil za kľúčové subjekty;
• kritické subjekty podľa podľa smernice (EÚ) 2022/2557;
• ak tak členský štát ustanoví, subjekty označené pred 16. januárom 2023 ako prevádzkovatelia základných služieb.

Pod dôležité subjekty spadajú:

§  subjekty typu uvedeného v prílohe I alebo II, ktoré sa nepovažujú za kľúčové subjekty;

§  akékoľvek iné subjekty, ktoré členský štát označil za dôležité subjekty.

Do 17.4.2025 sú členské štáty povinné vypracovať zoznam kľúčových a dôležitých subjektov, ako aj subjektov poskytujúcich služby registrácie názvov domén. Na účely vypracovania tohto zoznamu budú členské štáty od dotknutých subjektov oprávnené požadovať základné informácie ako názov subjektu, adresu a aktuálne kontaktné údaje, podľa potreby príslušné odvetvie a pododvetvie uvedené v prílohe I alebo II smernice, prípadne zoznam členských štátov, v ktorých poskytujú služby patriace do pôsobnosti tejto smernice.

Povinnosti dotknutých subjektov

Prijatie príslušných opatrení

Subjekty spadajúce do pôsobnosti smernice NIS 2 sú povinné prijať nové technické, operačné a organizačné opatrenia zahŕňajúce, okrem iného, napríklad analýzu rizík a bezpečnosti informačných systémov, zavedenie krokov a postupov zameraných na prevenciu, odhaľovanie, analýzu a obmedzovanie incidentov alebo na reakciu na incident a zotavenie z neho, zabezpečenie bezpečnosti dodávateľského reťazca, či zavedenie zásad a postupov používania kryptografie, prípadne šifrovania.         

Konkrétne technické a metodické požiadavky má Európska komisia vo vzťahu k vymedzeným sektorom (napr. poskytovatelia sietí na sprístupňovanie obsahu, poskytovatelia riadeným bezpečnostných služieb, či správcovia domén najvyššej úrovne) určiť do 17. októbra 2024. Zároveň tak môže urobiť aj vo vzťahu k ostatným kľúčovým subjektom spadajúcim do pôsobnosti NIS2.

Pre zabezpečenie súladu so smernicou NIS 2 nebude postačovať výlučne formálne prijatie bezpečnostných opatrení. Tie budú v každom prípade musieť byť založené na prístupe zohľadňujúcom všetky riziká, ktorého cieľom je chrániť siete a informačné systémy a fyzické prostredie týchto systémov pred incidentmi.

Oznamovacia povinnosť

Zároveň budú dotknuté subjekty jednotnému kontaktnému miestu povinné bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu (podľa smernice NIS2) nahlásiť každý takýto incident.

Bez zbytočného odkladu a najneskôr do 72 hodín budú povinné jednotnému kontaktnému miestu oznámiť podrobnejšie informácie, pričom zároveň uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadne indikátory kompromitácie.

Následne, najneskôr 1 mesiac po predložení podrobnejších informácií bude dotknutý subjekt povinný jednotnému kontaktnému miestu predložiť záverečnú správu o incidente.

Porušenie povinností podľa smernice NIS2

Za porušenie pravidiel kybernetickej bezpečnosti podľa smernice NIS2 budú dotknutým subjektom hroziť sankcia v podobe pokuty do výšky 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku podniku, podľa toho, ktorá suma je vyššia.

Okrem udelenia pokuty bude dotknutým subjektom hroziť sankcia v podobe dočasného pozastavenia certifikácie alebo povolenia časti alebo všetkých relevantných služieb a činností, ktoré tento subjekt poskytuje, či vyvodenia osobnej zodpovednosti voči fyzickým osobám vykonávajúcim riadiace funkcie.

Oblasť kybernetickej bezpečnosti naďalej ostáva v pôsobnosti Národného bezpečnostného úradu (ďalej len NBÚ). Ten bude v prípade porušenia pravidiel kybernetickej bezpečnosti oprávnený dotknutým subjektom udeliť sankcie podľa vnútroštátneho práva (v medziach stanovených smernicou NIS 2).

Transpozícia NIS 2 do slovenského právneho poriadku

Smernice EÚ predstavujú legislatívny akt stanovujúci ciele, ktoré musia vnútroštátnou právnou úpravou dosiahnuť jednotlivé členské štáty. Je na úvahe každého štátu, akým spôsobom skoncipuje jednotlivé povinnosti vyplývajúce z NIS 2 do svojho právneho poriadku.

Smernice EÚ nadobúdajú účinnosť až ich transpozíciou do vnútroštátneho právneho poriadku.

NBÚ dňa 30.05.2024 predložil do medzirezortného pripomienkového konanie návrh novely zákona o kybernetickej bezpečnosti (ďalej len „novela“), ktorou by malo dôjsť k transpozícií smernice NIS2 do slovenského právneho poriadku. Navrhovaná účinnosť novely je od 1.1.2025.

Návrh novely, ako aj aktuálny legislatívny proces, nájdete na tomto odkaze.

Odporúčania

Navrhované znenie novely sa síce môže v legislatívnom procese meniť alebo dopĺňať, avšak, samotná smernica NIS 2 už nedáva členským štátom široký priestor na (prílišné) odklonenie sa od v nej uvedených pravidiel kybernetickej bezpečnosti.

Subjekty spadajúce do jej pôsobnosti sa tak už teraz môžu začať pripravovať na povinnosti, ktoré ich čakajú po transpozícií smernice do nášho vnútroštátneho práva. Môžu tak predísť nepríjemnostiam spojeným s neskorou a/alebo nedostatočnou implementáciou potrebných bezpečnostných opatrení.

Finálne znenie budeme sledovať.