Novela zákona o kybernetickej bezpečnosti, ktorá implementuje smernicu NIS2 a nadobúda účinnosť 1. januára 2025, prináša nové povinnosti pre regulované subjekty. Dotkne sa tak existujúcich subjektov, ako aj tých, ktoré budú pod novou legislatívou regulované prvýkrát. Tu je prehľad kľúčových termínov a povinností pre obe skupiny.
Nové subjekty
Tento časový harmonogram zobrazuje povinnosti pre prevádzkovateľov základnej služby – PZS § 17 novely zákona a prevádzkovateľov kritickej základnej služby – PKZS § 18 ods. 1 a ods. 2 novely zákona.
01.01.2025: Účinnosť zákona
Novela nadobúda účinnosť a stanovuje rámcové pravidlá pre nové regulované subjekty.
02.03.2025: Oznámenie úradu
Nové subjekty, ktoré začnú vykonávať činnosti podľa zákona, to musia do 60 dní oznámiť Národnému bezpečnostnému úradu (NBÚ).
Marec 2025: Zápis do registra
Približne 15 dní po oznámení NBÚ rozhodne o zápise subjektu do registra prevádzkovateľov základných služieb.
Apríl 2025: Vznik práv a povinností
Najskôr 30 dní po zápise do registra začína účinnosť zákona voči novo zapísanému subjektu. Vznikajú mu tak práva aj povinnosti.
Marec 2026: Implementácia bezpečnostných opatrení
Subjekty musia do 12 mesiacov od zápisu zaviesť a dodržiavať bezpečnostné opatrenia stanovené zákonom.
Marec 2027: Prvý audit alebo samohodnotenie
Do dvoch rokov od zápisu do registra musí subjekt vykonať audit kybernetickej bezpečnosti alebo samohodnotenie prostredníctvom jednotného informačného systému.
Existujúce subjekty
01.01.2025: Preklasifikácia existujúcich subjektov
Od 1.1.2025 sa dovtedajší prevádzkovatelia základných služieb podľa zákona platného do 31.12.2024 stávajú prevádzkovateľmi kritických základných služieb (PKZS).
Poskytovatelia digitálnych služieb podľa niekdajších pravidiel sa zas stávajú prevádzkovateľmi základných služieb (PZS).
31.12.2026: Výmaz z registra a prechodné obdobie
Úrad môže rozhodnúť o výmaze subjektov, ktoré už nespĺňajú nové podmienky. Existujúce subjekty môžu do tohto dátumu využívať opatrenia podľa starých aj nových predpisov.
Bližšie informácie k jednotlivým termínom nájdete na našom špeciálnom webe venovanom smernici NIS2 a zákonu o kybernetickej bezpečnosti.
Čo zmeny súvisiace s NIS2 znamenajú pre subjekty?
Novela zákona kladie dôraz na jasnú identifikáciu regulovaných subjektov, zabezpečenie ich kybernetickej odolnosti a pravidelný dohľad. Pre novoregistrované subjekty sa povinnosti zavádzajú postupne, čo umožňuje čas na adaptáciu. Existujúce subjekty zase získavajú prechodné obdobie na splnenie požiadaviek, pričom NBÚ ich môže v prípade nenapĺňania nových kritérií vymazať z registra.
