Staňte sa partnerom

Aktuálny stav právnej úpravy kybernetickej bezpečnosti na Slovensku

Vládny návrh zákona, ktorým sa mení a dopĺňa súčasný Zákon o kybernetickej bezpečnosti (Zákon o KB), a ktorý reflektuje na zmeny, ktoré prináša Smernica NIS2 bol predložený Národnej rade Slovenskej republiky.

Z textu dôvodovej správy vyplýva, že navrhované zmeny sú reakciou na potreby a požiadavky aplikačnej praxe. Vo svojej podstate návrh po revízii (v prípravnom štádiu) prináša popri zásadných zmenách tiež niekoľko formálnych úprav v záujme zlepšenia celkovej úrovne kybernetickej bezpečnosti na Slovensku.

Aké sú základné zmeny, ktoré návrh novely prináša?

  • Spresnenie terminológie zákona v oblasti kybernetických hrozieb, incidentov či zraniteľností, ale tiež systému certifikácie kybernetickej bezpečnosti IKT služieb a podmienok pre akreditáciu;
  • Odstránenie rozdielu medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby pri súčasnom zachovaní terminológie používanej v Zákone o KB. Prevádzkovateľ základnej služby (PZS) je tak po novom subjekt priamo definovaný v zákone. Budú nimi prevádzkovatelia základných služieb zapísaní v registri prevádzkovateľov. Zápis do tohto registra bude prebiehať ex offo, alt. na návrh (oznámenie) v zákonom určenej povinnej osoby.
    Základná služba (a teda ani jej rozsah) sa nedefinuje, upustila od toho už samotná smernica NIS 2, navrhovaná novela Zákona o KB definuje iba prevádzkovateľa základnej služby a kritickú základnú službu.
    Zároveň sa navrhuje zaviesť i) prahovú hodnotu veľkosti subjektu spadajúceho do rámca právnej regulácie v pozícii PZS, pričom sa zavádzajú ii) podmienky pre výnimku z uvedeného pravidla pre subjekty kritického významu, teda bez potreby hodnotenia veľkosti v danom prípade.
  • Úprava a precizovanie bezpečnostných opatrení tak, aby reflektovali nové bezpečnostné štandardy (zavedením o.i. minimálnej úrovne bezpečnostných opatrení s požiadavkou na vytvorenie zodpovednostných vzťahov, pridelenia konkrétnych úloh konkrétnym osobám.), vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi;
  • Úprava a zmena terminológie vo vzťahu k ohlasovaniu incidentov, kde dochádzka k rozšíreniu ohlasovacej povinnosti okrem iného o novo definované pojmy akými sú napr. závažný kybernetický bezpečnostný incident, či kybernetická hrozba, a to s dôrazom na dobrovoľné hlásenie, ako aj potrebu hlásenia zraniteľností;
  • Zavedenie rôznych foriem dohľadu, samostatné vymedzenie postupu a oprávnení orgánu dohľadu (NBÚ) v priebehu vykonávania kontroly plnenia povinností povinných subjektov zo strany NBÚ.
  • Dôraz sa kladie na podporu vzdelávania, doplnenie zodpovednosti a posilnenie funkcie manažéra kybernetickej bezpečnosti; Tento v prípade ak nejde o prevádzkovateľa kritickej základnej služby môže vykonať samohodnotenie povinného subjektu (raz za dva roky), ktoré pri PZS nahrádza na dobu päť rokov povinnosť vykonať auditu.
  • Novinka v podobe procesných inštitútov ako je Dohoda o náprave, či s výkonom kontroly súvisiaca možnosť úradu uložiť pre prípad neplnenia povinností poriadkovú pokutu, ale aj nové limity pre výšku pokút za správne delikty pre prípad porušenia zákona ako to vyplynulo z prísl. ust. smernice.

Čo to v praxi znamená a aké sú lehoty pre splnenie základných povinností

Základný prehľad všeobecných povinností v zmysle navrhovanej novely Zákona o KB možno pre PZS vymedziť nasledovne:

obrázok ku článku KBSK
  • Povinnosť v lehote 60 dní odo dňa kedy začali vykonávať regulovanú činnosť oznámiť túto skutočnosť úradu
  • Práva a povinnosti PZS vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra PZS, najskôr však 30. deň nasledujúci po dni zápisu.
  • Povinnosť zaviesť požadované všeobecné bezpečnostné opatrenia najmenej v rozsahu podľa § 20 a ich výkon je PZS povinný zabezpečiť do 12 mesiacov odo dňa zápisu do registra PZS (v závislosti od vykonanej analýzy rizík).
  • Prvý audit/samohodnotenie v zmysle navrhovanej právnej úpravy realizovať do 24 mesiacov od zápisu do registra PZS.
  • Osobitne sú riešené lehoty vo vzťahu k novoupravenej povinnosti hlásenia kybernetických bezpečnostných incidentov
S čím vám môžeme pomôcť?
  • S monitoringom prichádzajúcich zmien a komplexným právnym poradenstvom v oblasti kybernetickej bezpečnosti tak, aby ste boli pripravení na kľúčové požiadavky a predchádzali možným sankciám;
  • Audit a revízia zmluvnej dokumentácie s dodávateľmi a nastavenie vhodných opatrení.
  • Školenia pre členov štatutárneho orgánu alebo vybraných zamestnancov ohľadom právnej úpravy.
  • Revízia bezpečnostnej dokumentácie, interných predpisov a dotknutých procesov.
  • Asistencia pri kontrolách a zastupovaní pri konaniach na dozorných úradoch vrátane plnenia notifikačných povinností a nastavení súvisiacich interných mechanizmov organizácie.
  • Pomoc s vyšetrovaním incidentu zapojením tímu elitných vyšetrovateľov a expertov z praxe a aktívnej spolupráce s policajnými orgánmi na medzinárodnej úrovni.
Prípadne, ak už teraz máte pocit, že zorientovať sa v novej úprave a všetkých tých zmenách je nočná mora, prípadne potrebujete reálne posúdiť, čo sa Vás naozaj týka a čo nie, a ako správne potrebné opatrenia zaviesť do praxe, či správne vyhodnotiť, že vaše nastavenia obstoja aj naďalej neváhajte sa na nás kedykoľvek s dôverou obrátiť. V našom teame Havel & Partners sa spolu s Vami na to radi pozrieme a poradíme ako na zmeny zareagovať včas a byť pripravený pre prípad postihu.

Viac o NIS 2 a stratégii kybernetickej bezpečnosti na Slovensku sa dozviete v tretí deň konferencie Jesenná ITAPA 2024. 

Prihláste sa na ITAPA Health&Care 2025
Páčil sa ti článok? Zdieľaj ho a povedz o ňom aj ostatným