Národná rada Slovenskej republiky schválila novelu zákona o kybernetickej bezpečnosti, ktorej cieľom je zvýšenie digitálnej bezpečnosti firiem. Novela zákona, ktorá do slovenskej legislatívy transponuje európsku smernicu NIS2, vstúpi do platnosti 1. januára 2025. Aké zmeny prinesie?
Smernica NIS2 je modernizáciou pôvodnej smernice NIS z roku 2016, ktorej cieľom je posilniť kybernetickú bezpečnosť naprieč Európou. Táto aktualizácia reaguje na nové hrozby v digitálnom priestore a zameriava sa na ochranu kľúčových subjektov a sektorov pred kybernetickými útokmi. NIS2 tak predstavuje významný krok smerom k väčšej odolnosti a koordinácii členských štátov EÚ v oblasti kybernetickej bezpečnosti.
Na Slovensku implementuje požiadavky smernice NIS2 novela zákona o kybernetickej bezpečnosti, ktorú pripravil Národný bezpečnostný úrad. Vynovená legislatíva nadobudne účinnosť od 1. januára 2025. Novela zákona č. 69/2018 Z. z. prináša viacero kľúčových povinností pre firmy, ktorých sa týka.
Kľúčové zmeny v novele zákona
Novela zákona o kybernetickej bezpečnosti prináša rozšírenie regulácie na nové subjekty a služby, väčší dôraz na bezpečnosť dodávateľského reťazca, podrobnejšie pravidlá hlásenia incidentov či povinnosť zaviesť bezpečnostné opatrenia na základe rizikovej analýzy. Medzi najzásadnejšie zmeny patrí:
- Rozšírenie regulácie: Nové pravidlá sa budú vzťahovať na širší okruh subjektov a ich služieb, vrátane doteraz neregulovaných oblastí.
- Bezpečnosť dodávateľského reťazca: Väčší dôraz bude kladený na hodnotenie a riadenie kybernetických rizík u dodávateľov.
- Hlásenie incidentov: Subjekty budú musieť podrobnejšie a rýchlejšie nahlasovať kybernetické incidenty, čo pomôže rýchlejšie reagovať na hrozby.
- Prísnejšie sankcie: Za nedodržanie povinností môže byť uložená pokuta až 10 miliónov eur alebo 2 % z celosvetového obratu firmy.
- Vzdelávanie: Prevádzkovatelia základných služieb budú povinní zabezpečiť vzdelávanie zamestnancov a jasné rozdelenie zodpovedností v oblasti kybernetickej bezpečnosti.
- Certifikácia IKT produktov: Zavádza sa povinnosť certifikácie bezpečnosti informačno-komunikačných technológií, čím sa zvýši dôvera v používané systémy a služby.
- Audity a samohodnotenie: Firmy budú musieť pravidelne preverovať svoje bezpečnostné opatrenia prostredníctvom auditov alebo samohodnotenia.
Koho sa zmeny vyplývajúce z NIS2 dotknú?
Novela sa podľa dôvodovej správy k zákonu dotkne na Slovensku najmenej 3 403 organizácií. Zákon bude regulovať viac ako 80 služieb v 16 odvetviach. Hlavnými kritériami na určenie toho, či sa na organizáciu vzťahujú povinnosti vyplývajúce z novely zákona, sú jej veľkosť (počet zamestnancov alebo obrat) a služby, ktoré poskytuje (poskytuje aspoň jednu tzv. regulovanú službu).
Zákon rozdeľuje poskytovateľov regulovaných služieb, ktorí spĺňajú kritériá, do dvoch kategórií – Prevádzkovateľa základnej služby a Prevádzkovateľa základnej služby, ktorý prevádzkujú kritickú základnú službu. Nové pravidlá sa zameriavajú na organizácie, ktoré poskytujú kľúčové alebo kritické služby pre spoločnosť a ekonomiku, ako sú napríklad energetika, zdravotníctvo, doprava či digitálna infraštruktúra. Zákon definuje ako kľúčové organizácie pôsobiace v týchto oblastiach:
- Energetika
- Doprava
- Financie
- Zdravotníctvo
- Voda a atmosféra
- Digitálna infraštruktúra
- Riadenie služieb IKT (medzi podnikmi)
- Verejná správa
- Vesmír
- Poštové a kuriérske služby
- Odpadové hospodárstvo
- Výroba a distribúcia chemických látok
- Výroba, spracovanie a distribúcia potravín
- Výroba
- Poskytovatelia digitálnych služieb
- Výskum
Ak máte pochybnosti, či sa vás novela týka, môžete si pozrieť priamo novelu zákona na tomto odkaze.
Kedy a čo musia spraviť regulované subjekty?
Novo-regulované subjekty by sa mali pripraviť na nasledujúce míľniky:
- 1. január 2025: Novela nadobudne účinnosť.
- Do 60 dní od nadobudnutia účinnosti: Firmy sa musia nahlásiť úradu.
- Približne 14 dní od nahlásenia: Úrad rozhodne o zápise prevádzkovateľov základných služieb do registra.
- 12 mesiacov odo dňa zápisu do registra: Zavedenie bezpečnostných opatrení na základe rizikovej analýzy.
- 24 mesiacov odo dňa zápisu do registra: Prvé povinné audity alebo samohodnotenia.
Pre už existujúce regulované subjekty platí prechodné obdobie do 31. decembra 2026, počas ktorého môžu prispôsobovať svoje bezpečnostné opatrenia novým požiadavkám.
Ako splniť nové požiadavky vychádzajúce z NIS2?
Zákon definuje v paragrafe 20 bezpečnostné opatrenia, ktoré musia firmy zaviesť na základe analýzy rizík. Ide o komplexné opatrenia zamerané na ochranu sietí a systémov pred kybernetickými hrozbami. Medzi kľúčové povinnosti patrí riadenie rizík, zabezpečenie manažmentu incidentov, zálohovanie a obnova dát, ako aj ochrana proti škodlivému kódu. Dôležitú úlohu zohrá aj bezpečnosť dodávateľského reťazca a využívanie certifikovaných technológií.
Konkrétnym bezpečnostným opatreniam, ktoré budú musieť firmy spĺňať, sa budeme podrobnejšie venovať v najbližších týždňoch. Veľkú časť požiadaviek zákona o kybernetickej bezpečnosti dokážu firmy splniť vďaka komplexným riešeniam od spoločnosti ESET.
Riešenie ESET PROTECT MDR kombinuje v sebe špičkovú technológiu so skúsenosťami expertov spoločnosti ESET. Zabezpečenie organizácie je v rámci tohto riešenia pod taktovkou ESET odborníkov, vďaka čomu poskytuje najvyššiu ochranu aj firmám bez vlastných bezpečnostných špecialistov.
