Vládny návrh zákona, ktorým sa mení a dopĺňa súčasný Zákon o kybernetickej bezpečnosti (Zákon o KB), a ktorý reflektuje na zmeny, ktoré prináša Smernica NIS2 bol predložený Národnej rade Slovenskej republiky.

Z textu dôvodovej správy vyplýva, že navrhované zmeny sú reakciou na potreby a požiadavky aplikačnej praxe. Vo svojej podstate návrh po revízii (v prípravnom štádiu) prináša popri zásadných zmenách tiež niekoľko formálnych úprav v záujme zlepšenia celkovej úrovne kybernetickej bezpečnosti na Slovensku.

Aké sú základné zmeny, ktoré návrh novely prináša?

• Spresnenie terminológie zákona v oblasti kybernetických hrozieb, incidentov či zraniteľností, ale tiež systému certifikácie kybernetickej bezpečnosti IKT služieb a podmienok pre akreditáciu;
• Odstránenie rozdielu medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby pri súčasnom zachovaní terminológie používanej v Zákone o KB. Prevádzkovateľ základnej služby (PZS) je tak po novom subjekt priamo definovaný v zákone. Budú nimi prevádzkovatelia základných služieb zapísaní v registri prevádzkovateľov. Zápis do tohto registra bude prebiehať ex offo, alt. na návrh (oznámenie) v zákonom určenej povinnej osoby.
  Základná služba (a teda ani jej rozsah) sa nedefinuje, upustila od toho už samotná smernica NIS 2, navrhovaná novela Zákona o KB definuje iba prevádzkovateľa základnej služby a kritickú základnú službu.
  Zároveň sa navrhuje zaviesť i) prahovú hodnotu veľkosti subjektu spadajúceho do rámca právnej regulácie v pozícii PZS, pričom sa zavádzajú ii) podmienky pre výnimku z uvedeného pravidla pre subjekty kritického významu, teda bez potreby hodnotenia veľkosti v danom prípade.
• Úprava a precizovanie bezpečnostných opatrení tak, aby reflektovali nové bezpečnostné štandardy (zavedením o.i. minimálnej úrovne bezpečnostných opatrení s požiadavkou na vytvorenie zodpovednostných vzťahov, pridelenia konkrétnych úloh konkrétnym osobám.), vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi;
• Úprava a zmena terminológie vo vzťahu k ohlasovaniu incidentov, kde dochádzka k rozšíreniu ohlasovacej povinnosti okrem iného o novo definované pojmy akými sú napr. závažný kybernetický bezpečnostný incident, či kybernetická hrozba, a to s dôrazom na dobrovoľné hlásenie, ako aj potrebu hlásenia zraniteľností;
• Zavedenie rôznych foriem dohľadu, samostatné vymedzenie postupu a oprávnení orgánu dohľadu (NBÚ) v priebehu vykonávania kontroly plnenia povinností povinných subjektov zo strany NBÚ.
• Dôraz sa kladie na podporu vzdelávania, doplnenie zodpovednosti a posilnenie funkcie manažéra kybernetickej bezpečnosti; Tento v prípade ak nejde o prevádzkovateľa kritickej základnej služby môže vykonať samohodnotenie povinného subjektu (raz za dva roky), ktoré pri PZS nahrádza na dobu päť rokov povinnosť vykonať auditu.
• Novinka v podobe procesných inštitútov ako je Dohoda o náprave, či s výkonom kontroly súvisiaca možnosť úradu uložiť pre prípad neplnenia povinností poriadkovú pokutu, ale aj nové limity pre výšku pokút za správne delikty pre prípad porušenia zákona ako to vyplynulo z prísl. ust. smernice.

Čo to v praxi znamená a aké sú lehoty pre splnenie základných povinností

Základný prehľad všeobecných povinností v zmysle navrhovanej novely Zákona o KB možno pre PZS vymedziť nasledovne:

• Povinnosť v lehote 60 dní odo dňa kedy začali vykonávať regulovanú činnosť oznámiť túto skutočnosť úradu
• Práva a povinnosti PZS vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra PZS, najskôr však 30. deň nasledujúci po dni zápisu.
• Povinnosť zaviesť požadované všeobecné bezpečnostné opatrenia najmenej v rozsahu podľa § 20 a ich výkon je PZS povinný zabezpečiť do 12 mesiacov odo dňa zápisu do registra PZS (v závislosti od vykonanej analýzy rizík).
• Prvý audit/samohodnotenie v zmysle navrhovanej právnej úpravy realizovať do 24 mesiacov od zápisu do registra PZS.
• Osobitne sú riešené lehoty vo vzťahu k novoupravenej povinnosti hlásenia kybernetických bezpečnostných incidentov

• S monitoringom prichádzajúcich zmien a komplexným právnym poradenstvom v oblasti kybernetickej bezpečnosti tak, aby ste boli pripravení na kľúčové požiadavky a predchádzali možným sankciám;
• Audit a revízia zmluvnej dokumentácie s dodávateľmi a nastavenie vhodných opatrení.
• Školenia pre členov štatutárneho orgánu alebo vybraných zamestnancov ohľadom právnej úpravy.
• Revízia bezpečnostnej dokumentácie, interných predpisov a dotknutých procesov.
• Asistencia pri kontrolách a zastupovaní pri konaniach na dozorných úradoch vrátane plnenia notifikačných povinností a nastavení súvisiacich interných mechanizmov organizácie.
• Pomoc s vyšetrovaním incidentu zapojením tímu elitných vyšetrovateľov a expertov z praxe a aktívnej spolupráce s policajnými orgánmi na medzinárodnej úrovni.