Prečo spúšťame túto stránku?
Pretože
teraz je ten správny čas
Pretože práve teraz sa vieme pripraviť na to, čo nás čaká a neminie v kontexte prichádzajúcej právnej úpravy pre oblasť kybernetickej bezpečnosti. Život so zákonom o kybernetickej bezpečnosti a najmä na základe neho vykonané audity kybernetickej bezpečnosti ukázali, že pri implementačných projektoch pre oblasť kybernetickej bezpečnosti vždy chýba čas. Čas, ktorý sa stratil nevenovaním dostatočnej pozornosti tomu, čo v rámci legislatívneho procesu prichádza.
V roku 2016 Európsky parlament schválil Smernicu o bezpečnosti sietí a informačných systémov Smernica NIS. Smernica NIS nadobudla účinnosť v auguste 2016 a členské štáty EÚ mali 21 mesiacov na to, aby ju transponovali do svojich národných právnych poriadkov. Slovenská republika Smernicu NIS transponovala zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorým boli novelizované aj viaceré súvisiace predpisy.
Po štyroch rokoch od účinnosti Smernice NIS Európska komisia dňa 16.12.2020 prijala návrh novej Smernice NIS II, ktorá má pôvodnú Smernicu NIS nahradiť. Dôvody vzniku Smernice NIS 2 sú nasledovné:
Prijatie (návrhu)
Smernice NIS II
Smernica NIS II zverejnená v Úradnom vestníku EÚ pod číslom 2022/2555
Smernica NIS II nadobudla účinnosť
Novelizácia zákona o kybernetickej bezpečnosti
Uplatňovanie NIS II v Slovenskej republike
Áno aj nie. Smernica ako právny akt Európskej únie sa vyznačuje vyššou právnou silou ako národná právna úprava Slovenskej republiky, čo znamená, že jej znenie je pre Slovenskú republiku záväzné.
Špecifikom smerníc Európskej únie však je, že na to, aby sa dosiahli ciele, ktoré sú v smernici stanovené, členské štáty Európskej únie ich musia začleniť do svojho vnútroštátneho práva. Tento proces nazývame transpozíciou.
Rovnaký postup bol aplikovaný aj v prípade pôvodnej Smernice NIS, ktorá bola do nášho právneho poriadku transponovaná zákonom o kybernetickej bezpečnosti. Aj preto je tu vysoká pravdepodobnosť, že aj nová Smernica NIS II bude transponovaná zákonom o kybernetickej bezpečnosti, čím sa jej ciele stanú záväzné pre všetky povinné osoby spadajúce pod pôsobnosť zákona o kybernetickej bezpečnosti.
Smernica NIS II sa týka všetkých povinných osôb v zmysle súčasného znenia zákona o kybernetickej bezpečnosti, najmä prevádzkovateľov základnej služby a poskytovateľov digitálnej služby (aj tých, ktorí si doposiaľ svoju povinnosť nahlásenia sa na Národný bezpečnostný úrad nesplnili).
Smernica NIS II však zároveň prichádza so značným rozšírením v súčasnosti známych sektorov a podsektorov v zmysle zákona o kybernetickej bezpečnosti a tým aj povinných osôb.
Oproti súčasnej právnej úprave zákona o kybernetickej bezpečnosti pribudnú nasledovné odvetvia (sektory) a pododvetvia (podsektory):
Na Slovensku by vďaka tomuto rozšíreniu malo odhadom pribudnúť niekoľko stoviek až tisíc nových povinných osôb spadajúcich pod zákon o kybernetickej bezpečnosti. Keďže transpozícia Smernice NIS 2 sa vysoko pravdepodobne udeje prostredníctvom zákona o kybernetickej bezpečnosti, vybrané subjekty vykonávajúce činnosti v týchto nových oblastiach budú tiež povinné plniť požiadavky tohto zákona.
Dochádza k upusteniu od pojmu prevádzkovateľ základnej služby, ktorý je v súčasnosti známy zo zákona o kybernetickej bezpečnosti.
Povinné osoby sa po novom budú rozlišovať na dve základné skupiny, a to kľúčové subjekty a dôležité subjekty.
Súčasní poskytovatelia digitálnych služieb (s výnimkou poskytovateľov služieb cloud computingu) budú po novom zaradení do kategórie dôležitých subjektov. Samotní poskytovatelia služieb cloud computingu budú považovaní za kľúčové subjekty.
Smernica NIS II rovnako ako jej predchodkyňa prichádza len so všeobecným minimálnym bezpečnostným rámcom, ak chcete „must have“ požiadavkami, ktoré sa majú zrkadliť v národných právnych úpravách.
Sú to nasledovné požiadavky:
Čo myslíte, ktoré z bezpečnostných požiadaviek Smernice NIS II sú pre slovenský zákon o kybernetickej bezpečnosti nové? Myslíte správne, žiadne. Všetky vyššie uvedené opatrenia (oblasti, pre ktoré sa prijímajú bezpečnostné opatrenia), už sú súčasťou slovenskej právnej úpravy.
Najzásadnejšou zmenou, ktorú Smernica NIS II oproti súčasnej právnej úprave prináša teda nie sú nové povinnosti, ale počet nových subjektov, ktoré budú povinné plniť už existujúce a výhľadovo ďalšie povinnosti v zmysle zákona o kybernetickej bezpečnosti.
Ak by sme ale predsa len mali predvídať, kde a ako sa zákon o kybernetickej bezpečnosti bude (mal by) v kontexte Smernice NIS II meniť, bolo by to nasledovné:
V kontexte vyššie uvedených možných vstupov do zákona o kybernetickej bezpečnosti stojí za povšimnutie nasledovné.
Prvým je síce nenápadné, ale veľmi dôležité rozšírenie notifikačných povinností aj o kybernetické hrozby. Zákon o kybernetickej bezpečnosti totižto v súčasnom znení pod hrozbou sankcie vyžaduje, aby prevádzkovatelia hlásili len závažné kybernetické bezpečnostné incidenty, ktorých atribúty (klasifikáciu) stanovuje osobitná vyhláška. Právnym výkladom by sa teda dalo dospieť k nešťastnému až nezmyselnému záveru, v zmysle ktorého prevádzkovateľ „čaká a môže čakať“ na to, kým incident dosiahne aspoň prvý stupeň závažnosti a až následne ho nahlási príslušnému orgánu. Samozrejme dobrovoľnosť hlásenia tým nie je dotknutá. Tým, že po novom budú povinné osoby musieť hlásiť aj závažné kybernetické hrozby (klasifikácia podľa všetkého pribudne neskôr), odstráni sa tento možno výkladovo udržateľný, ale z praktického, logického a v neposlednom rade bezpečnostného pohľadu nezmyselný (možný) „vyčkávací“ výklad procesu hlásenia incidentov.
Druhou je časť riešenia incidentov, kedy na strane štátu (napr. jednotke CSIRT) pribúda explicitná požiadavka na poskytovanie odpovedí, spätných väzieb či usmernení k hláseným incidentom.
Z praxe vieme, že v minulosti nastávali aj také situácie, kedy prevádzkovatelia základných služieb k svojim hláseniam incidentov nedostali žiadnu spätnú väzbu, súčinnosť alebo pomoc, niekedy ani potvrdenie o prijatí ich vlastného oznámenia o kybernetickom bezpečnostnom incidente. Nové povinnosti na strane štátu by tak mohli prispieť ku rýchlejším či kvalifikovanejším reakciám na incidenty. A jednotky CSIRT by pôsobili aj tam, kde absencia dostatočnej expertízy (riešenie incidentov samotnými povinnými osobami) nie je len citeľná, ale hlavne nebezpečná.
Logicky sa tu však vynára ďalšia súvislosť, a to kapacity súčasných jednotiek CSIRT na Slovensku. Ako a či bude štát schopný túto novú požiadavku Smernice NIS II naplniť je na inú diskusiu.
Medzi kontrolné prostriedky patria napríklad kontroly na mieste, skeny zraniteľností, žiadosti o poskytnutie informácií, žiadosti o sprístupnenie dát alebo preukázanie zavedenia bezpečnostných politík.
Pokiaľ sa jedná o audity kybernetickej bezpečnosti, ktoré sú na Slovensku vykonávané už na základe súčasnej právnej úpravy zákona o kybernetickej bezpečnosti, uvedené sa nezmení ani na základe Smernice NIS II. Tá totižto vyžaduje, aby členské štáty mali pri vykonávaní svojich úloh dohľadu oprávnenie podrobiť povinné osoby pravidelným auditom. Pre Slovenskú republiku sa tak nejedná o žiadnu novinku, ale o pokračovanie v už existujúcom a zavedenom systéme pravidelných výkonov auditov kybernetickej bezpečnosti.
Významnú zmenu zaznamená aj existujúci sankčný mechanizmus zákona o kybernetickej bezpečnosti, ktorý zásadným spôsobom posilní. A to najmä v maximálnej výške pokút, ktoré budú v prípade kľúčových subjektov 10 miliónov EUR alebo 2 % z celosvetového obratu a v prípade dôležitých subjektov 7 miliónov EUR alebo 1,4 % z celosvetového obratu. Proti súčasnej maximálnej výške 300 000 EUR v zmysle zákona o kybernetickej bezpečnosti tak môžeme hovoriť o značnom sprísnení a priradení váhy kybernetickej bezpečnosti.
Pribudnú aj niektoré donucovacie prostriedky. Nakoľko Národný bezpečnostný úrad má už na základe súčasného znenia zákona o kybernetickej bezpečnosti veľmi široké „donucovacie“ oprávnenia voči povinným osobám, za zmienku stojí oprávnenie pozastaviť certifikáciu alebo existujúce povolenie umožňujúce povinnej osobe vykonávať niektorú z regulovaných činností alebo uložiť dočasný zákaz vykonávať riadiace funkcie v povinnej osobe.
Pokiaľ Vás nepresvedčili nové vysoké pokuty až do 10 miliónov EUR alebo 2 % z celosvetového obratu alebo končiaca trpezlivosť Národného bezpečnostného úradu so subjektami, ktoré dodnes neplnia požiadavky zákona o kybernetickej bezpečnosti, je tu ešte jeden dôvod. Smernica NIS II so žiadnymi zásadnými bezpečnostnými požiadavkami v porovnaní so súčasným znením zákona o kybernetickej bezpečnosti neprichádza. Bezpečnostné požiadavky Smernice NIS II sú už od roku 2018 súčasťou právnej úpravy kybernetickej bezpečnosti na Slovensku, a to v podobe Vyhlášky č. 362/2018 Z. z.
Súčasné, ale najmä nové povinné osoby tak majú už dnes, ešte pred novelizáciou zákona o kybernetickej bezpečnosti v kontexte Smernice NIS II značný náskok, ktorý vedia využiť na časovo vyváženú a obsahovo dostatočnú a správnu implementáciu požiadaviek zákona o kybernetickej bezpečnosti.
Nečakajte na poslednú chvíľu. Bude Vás to totižto zbytočne stáť stres a peniaze. A aj to za predpokladu, že v danom čase vôbec nájdete voľného a dostatočne kvalifikovaného odborníka, ktorý by Vám s kybernetickou bezpečnosťou vedel pomôcť.
Odoslaním môjho emailu súhlasím so spracovaním osobných údajov na účel "Zasielanie newslettra" v zmysle Zásad ochrany osobných údajov
Pokiaľ máte záujem
Pravidlá používania cookies | Zásady ochrany osobných údajov
© 2024 Advokáti Chlipala s.r.o.