NIS2: Koho sa týka novela zákona o kybernetickej bezpečnosti?

Novela zákona o kybernetickej bezpečnosti, ktorá do slovenskej legislatívy implementuje európsku smernicu NIS2, sa zameriava na organizácie, ktoré poskytujú základné alebo kritické služby pre spoločnosť a ekonomiku. Nové požiadavky zavádzajú zvýšené štandardy pre ich lepšiu odolnosť voči kybernetickým hrozbám. Novela platí od 1. januára 2025.

Novela Zákona o kybernetickej bezpečnosti sa podľa dôvodovej správy k zákonu dotkne na Slovensku najmenej 3 403 organizácií. V realite však pod novú legislatívu môže spadať omnoho viac subjektov. Zákon bude regulovať viac ako 80 služieb v 16 odvetviach.

Hlavnými kritériami na určenie toho, či sa na organizáciu vzťahujú povinnosti vyplývajúce z novely zákona, sú jej veľkosť a služby, ktoré poskytuje. Zákon rozdeľuje poskytovateľov regulovaných služieb, ktorí spĺňajú kritériá, do dvoch kategórií – Prevádzkovateľa základnej služby a Prevádzkovateľa základnej služby, ktorý prevádzkujú kritickú základnú službu.

Novela zákona sa vzťahuje na novo regulované subjekty a tiež rozširuje rozsah pôsobnosti aj na ďalšie systémy a služby organizácií, ktoré už podliehajú existujúcemu zákonu o kybernetickej bezpečnosti.

Regulované subjekty bez ohľadu na sektor

Zákon definuje subjekty, ktorých sa týkajú nové pravidlá bez ohľadu na umiestnenie medzi sektormi. Ide o:

• ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
• kritický subjekt,
• štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
• správca ITVS po predchádzajúcej konzultácii s príslušným ústredným orgánom,
• osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
• tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.

Regulované subjekty podľa sektorov

Prevádzkovateľmi základnej služby sú ďalej subjekty zaradené do sektorov podľa prílohy zákona č. 1 a č. 2. Podmienkou je ich veľkosť, pričom musia spĺňať kritéria stredného podniku. Znamená to, že majú minimálne 50 zamestnancov a obrat viac ako 10 miliónov Eur.  

Novela zákona zaraďuje podľa príloh 1 (sektory s vysokou úrovňou kritickosti) a 2 (iné kritické sektory) medzi regulované subjekty spadajúce do týchto odvetví:

Zoznam konkrétnych subjektov, ktoré patria do jednotlivých sektorov, nájdete na našom webe.

Zákon implementujúci NIS2 identifikuje aj subjekty, ktoré môžu byť zaradené medzi poskytovateľov základnej služby bez ohľadu na ich veľkosť. Ide napríklad o poskytovateľov dôležitých elektronických služieb (ako sú verejné siete, dôveryhodné služby alebo DNS), subjekty s kľúčovým významom pre zabezpečenie verejného poriadku, bezpečnosti či zdravia, alebo organizácie, ktorých činnosť má strategický význam pre konkrétny sektor či región.

NIS2 sa týka aj dodávateľov

Novela zákona o kybernetickej bezpečnosti prináša nové povinnosti aj pre dodávateľov v dodávateľskom reťazci, ktorí priamo súvisia s prevádzkou sietí a informačných systémov pre regulované subjekty.

Prevádzkovatelia základných služieb sú povinní uzatvoriť s týmito dodávateľmi zmluvu, ktorá zabezpečí splnenie bezpečnostných opatrení a oznamovacích povinností. Dodávatelia musia zaviesť a dodržiavať bezpečnostné opatrenia, podrobiť sa kontrolám zo strany PZS. Pre dodávateľov so sídlom mimo EÚ vzniká povinnosť ustanoviť zástupcu v EÚ.

Ak má dodávateľ významný vplyv na kybernetickú bezpečnosť a spolupracuje s PZS, ktorý poskytuje kritickú základnú službu, môže byť sám zaradený medzi regulované subjekty. Takéto subjekty sú zapisované do registra PZS, podliehajú dohľadu zo strany NBÚ a môžu byť zaviazané riešiť kybernetické incidenty alebo reagovať v čase krízy.