Nové povinnosti prevádzkovateľov základnej služby v oblasti kybernetickej bezpečnosti od 1.1.2025: Čo musíte vedieť

Od 1. januára 2025 nadobudla účinnosť novela zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti („Zákon“), ktorá transponuje smernicu EÚ NIS 2. Táto novela prináša najmä rozšírenie počtu subjektov, ktoré budú spadať pod Zákon. Nové pravidlá sa týkajú širšieho spektra organizácií, ktoré vykonávajú činnosti v novo-regulovaných oblastiach ako odpadové hospodárstvo, potravinárstvo či výroba. Predpokladaný počet týchto subjektov je podľa NBÚ viac ako 6 000.

Pre množstvo nových organizácií tak začínajú platiť nové povinnosti na zvýšenie úrovne ich kybernetickej bezpečnosti. Ako teda zistiť, či spadáte pod Zákon?

Kto je prevádzkovateľom základnej služby?

Novela Zákona priniesla zmenu v spôsobe identifikácie povinných osôb a taxatívne určuje, kto sa do registra prevádzkovateľov základných služieb (PZS) zapisuje.

Ako nové subjekty sa za prevádzkovateľa základnej služby považujú organizácie, ktoré sú aspoň stredným podnikom, tzn. majú min. 50 zamestnancov a obrat min. 10 mil. eur a ktoré vykonávajú činnosti v sektoroch uvedených v Prílohe č. 1 a Prílohe č. 2 Zákona. Ide o sektory s vysokou úrovňou kritickosti ako energetika, doprava, financie, zdravotníctvo, voda, digitálna infraštruktúra, verejná správa a vesmír ako aj iné kritické sektory, ktoré sú novo-regulovanými sektormi, a to poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, potravinárstvo, výroba (zdravotníckych pomôcok, elektrických zariadení, strojov, dopravných prostriedkov) a výskum.

Okrem toho sa do registra budú zapisovať najmä ústredné orgány štátnej správy, kritické subjekty a ďalšie subjekty, ktoré vykonávajú činnosti v kľúčových oblastiach ako verejná elektronická komunikácia, dôveryhodné služby, správa doménových názvov (TLD) alebo poskytovanie kritických služieb, ktorých narušenie môže mať negatívny vplyv na verejný poriadok alebo bezpečnosť.

Za prevádzkovateľa základnej služby sa považuje aj dodávateľ - tretia strana, ktorá má významný vplyv na kybernetickú bezpečnosť prevádzkovateľa a na základe toho má s ním uzatvorenú zmluvu.

Novela zavádza tzv. samo-identifikáciu. Každá organizácia teda musí sama zhodnotiť, či spĺňa vyššie uvedené kritéria a vykonáva dané činnosti. NBÚ na tento účel pripravil indikatívnu pomôcku na určenie subjektu ako poskytovateľa základnej služby vo forme online dotazníka.

Aké povinnosti majú prevádzkovatelia základných služieb a do kedy ich musia splniť?

1. Oznámenie na NBÚ a zápis do registra PZS

Ak ste sa identifikovali ako PZS, musíte na NBÚ podať oznámenie o vykonávaní činnosti podľa Zákona, a to do 3. marca 2025 (60 dní od účinnosti novely Zákona). Ak si túto povinnosť nesplníte, vystavujete sa riziku pokuty od 300 až do 500 000 eur. NBÚ následne vaše oznámenie, resp. žiadosť posúdi a vykoná zápis do registra PZS. Nové povinnosti ako prevádzkovateľovi základnej služby vám vznikajú dňom zápisu do registra.

2. Bezpečnostné opatrenia

Do 12 mesiacov od zápisu do registra PZS ste povinní prijať všeobecné bezpečnostné opatrenia.

Za porušenie tejto povinnosti hrozí prevádzkovateľovi základnej služby pokuta od 300 až do 7 000 000 eur alebo do výšky 1,4 % celkového celosvetového ročného obratu alebo pokuta od 500 až do 10 000 000 eur alebo do výšky 2 % celkového celosvetového ročného obratu prevádzkovateľovi základnej služby, ktorý prevádzkuje kritickú základnú službu.

3. Audit kybernetickej bezpečnosti

Do 2 rokov odo dňa zápisu do registra PZS ste povinní vykonať audit kybernetickej bezpečnosti. Audit kybernetickej bezpečnosti je oprávnený vykonať len certifikovaný audítor kybernetickej bezpečnosti. Ak nie ste prevádzkovateľom kritickej základnej služby, môžete nahradiť audit samohodnotením, ktorý môže vykonať len manažér kybernetickej bezpečnosti prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Auditu kybernetickej bezpečnosti sa však nevyhnete ani v takom prípade, ten je potrebné realizovať do 5 rokov. Nezabudnite, že výsledky auditu či samohodnotenia NBÚ následne sleduje a vyhodnocuje, či sú opatrenia na nápravu aj skutočne realizované.

V prípade nesplnenia týchto povinností vám hrozí pokuta od 300 až do 500 000 eur.

4. Ďalšie povinnosti, ktoré je PZS povinný plniť

• Určiť manažéra kybernetickej bezpečnosti, ktorý spĺňa znalostné štandardy pre výkon tejto roly (aj dodávateľským spôsobom).
• Implementovať procesy pre informovanie štatutárneho orgánu o otázkach kybernetickej bezpečnosti.
• Hlásenia – oznamovať prostredníctvom jednotného informačného systému kybernetickej bezpečnosti všetky významné udalosti v kybernetickej bezpečnosti (napr. hlásiť závažný kybernetický bezpečnostný incident či významnú kybernetickú hrozbu).
• Bezpečnosť dodávateľského reťazca - uzatvoriť zmluvu s tretími stranami, ktoré zabezpečujú služby súvisiace s kybernetickou bezpečnosťou.

Sankcie a pokuty za porušenie povinností

Za porušenie povinností v oblasti kybernetickej bezpečnosti môžu byť sankcionovaní nielen prevádzkovatelia základnej služby ale aj samotné fyzické osoby.

Okrem finančných sankcií môže NBÚ požadovať aj prijatie opatrení na nápravu, vykonanie auditu kybernetickej bezpečnosti, alebo zakázať poskytovanie služby do doby, než budú povinnosti splnené.

Za nesplnenie povinnosti však môže byť postihovaný aj samotný štatutárny orgán prevádzkovateľa základnej služby, vedúci zamestnanec na najvyššej úrovni riadenia zodpovedný za uvedenú činnosť ale aj externá osoba, ktorá je poverená, resp. splnomocnená na vykonávanie uvedenej činnosti. Týmto osobám môže NBÚ zakázať vykonávať ich činnosť, a to až do doby splnenia povinností.

Fyzická osoba, napríklad zamestnanec prevádzkovateľa základnej služby, manažér kybernetickej bezpečnosti, štatutárny orgán či iná poverená fyzická osoba môže od NBÚ dostať pokutu až do 5 000 EUR, najmä ak nepostupovala v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom základnej služby, alebo ak vykoná samohodnotenie prostredníctvom jednotného informačného systému kybernetickej bezpečnosti v rozpore so zákonom.

Pokuta až do 10 mil. eur alebo do výšky 2 % celkového celosvetového ročného obratu hrozí prevádzkovateľovi základnej služby, ktorý nesplní povinnosť a) prijať bezpečnostné opatrenia do 12 mesiacov od zápisu do registra PZS, resp. tieto opatrenia nespĺňajú požiadavky Zákona, b) riešiť kybernetický bezpečnostný incident či nahlásiť závažný kybernetický bezpečnostný incident, c) navrhnúť a prijať bezpečnostnú dokumentáciu.

Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, NBÚ môže uložiť pokutu až do dvojnásobku danej výšky.

Ďalšie zmeny, ktoré prináša novela zákona

1. Zmeny v definíciách a novovznikajúce pojmy

Jednou z kľúčových zmien, ktoré novela zákona o kybernetickej bezpečnosti prináša, je zmena niektorých doterajších definícií. Pojmy ako „kybernetický bezpečnostný incident“ a „kybernetická hrozba“ boli upravené a precizované. Okrem toho sa do legislatívy pridali nové definície, ako napríklad „udalosť odvrátená v poslednej chvíli“, „významný vplyv“, „významná hrozba“, „kybernetická kríza“ alebo „systémové riziko“. Tieto nové pojmy pomáhajú presnejšie popísať rozsah a závažnosť kybernetických hrozieb a incidentov.

2. Zjednotenie pojmov o povinných subjektoch

V novele Zákona sa zjednocujú názvy povinných subjektov. Doterajší pojem „poskytovateľ digitálnej služby“ zaniká a je nahradený jednotným pojmom „prevádzkovateľ základnej služby“. Novela prináša a nové označenie „prevádzkovateľ kritickej základnej služby“.

3. Úprava rozsahu bezpečnostných opatrení

Novela rozširuje pojem bezpečnostných opatrení. Tieto opatrenia sa už nezameriavajú len na organizačné, personálne a technologické oblasti, ale zahŕňajú aj fyzickú bezpečnosť. Nové opatrenia majú za cieľ dosiahnuť, zaručiť a udržať kybernetickú bezpečnosť počas celého životného cyklu nielen sietí a informačných systémov, ale aj tzv. operačných technológií, ako sú priemyselné riadiace systémy. Zároveň novela kladie dôraz na riadenie rizík v dodávateľskom reťazci, čo znamená, že firmy budú musieť viac dbať na bezpečnosť svojich partnerov a dodávateľov. Podrobnosti bezpečnostných opatrení budú určené novou vyhláškou, ktorá je v príprave.

4. Sektorové špecifiká a špecializované opatrenia

Sektorové špecifiká sa stávajú čoraz dôležitejšími. Novela prináša zásadu „lex specialis derogat legi generali“, čo znamená, že ak bude existovať špeciálny predpis upravujúci bezpečnostné opatrenia pre konkrétne odvetvie, ten bude mať prednosť pred všeobecnými bezpečnostnými opatreniami. To umožní lepšiu prispôsobenosť bezpečnostných opatrení špecifickým potrebám jednotlivých sektorov.

5. Bezpečnostné opatrenia na základe analýzy rizík

Kým doteraz bolo prijímanie bezpečnostných opatrení viazané na klasifikáciu informácií a kategorizáciu sietí a informačných systémov, novela upravuje tento proces na základe analýzy rizík. Tým sa zohľadnia aktuálne hrozby a zraniteľnosti v konkrétnych oblastiach, čo umožní efektívnejšie a cieľavedomejšie prijímanie potrebných opatrení.

6. Prísnejšia regulácia a dohľad

Novela zavádza prísnejšiu reguláciu v oblasti kybernetickej bezpečnosti. Zavádzajú sa nové mechanizmy kontroly, ktoré umožnia podrobnejšie sledovanie a overovanie dodržiavania povinností. Pre niektoré subjekty sa zároveň umožňuje vykonávanie samohodnotení, čo predstavuje nový spôsob sebaregulácie a lepšieho monitorovania stavu bezpečnosti. Sankcie za nesplnenie povinností sa zároveň sprísňujú, čo má motivovať subjekty k väčšej zodpovednosti za bezpečnosť svojich systémov.

7. Zásadné zmeny v hlásení a reportingu

Zásadne sa menia aj povinnosti v oblasti ohlasovania kybernetických incidentov:

• včasné varovanie - najneskôr do 24 hodín od zistenia incidentu;
• oznámenie - najneskôr do 24 hodín, vrátane prvotnej analýzy incidentu;
• vyžiadané informácie - aktualizácia alebo iné informácie o priebehu incidentu na žiadosť jednotky CSIRT;
• záverečná správa - najneskôr jeden mesiac po nahlásení oznámenia; táto už musí obsahovať aj podrobný opis incidentu vrátane jeho závažnosti a následkov.

Novela zákona o kybernetickej bezpečnosti prináša niekoľko zásadných zmien, ktoré zohľadňujú aktuálne výzvy v oblasti ochrany pred kybernetickými hrozbami. Zjednodušenie pojmov, rozšírenie bezpečnostných opatrení a dôraz na analýzu rizík umožňujú efektívnejšiu ochranu kritických infraštruktúr a systémov. Zároveň zavedenie prísnejších kontrol a nových mechanizmov hlásenia zvyšuje transparentnosť a reakčnú schopnosť na kybernetické hrozby, čo je kľúčové pre ochranu nielen jednotlivých organizácií, ale aj celého digitálneho ekosystému.

S čím Vám môžeme pomôcť?

• S identifikáciou, či sa na vás Zákon vzťahuje a zápisom do registra PZS tak, aby ste to stihli do 3. marca 2025.
• Poskytneme vám komplexné právne poradenstvo v oblasti kybernetickej bezpečnosti tak, aby ste boli pripravení na kľúčové požiadavky a predchádzali možným sankciám.
• Zanalyzujeme a navrhneme efektívne procesy riadenia IT služieb.
• Zrevidujeme vašu bezpečnostnú dokumentáciu a zmluvnú dokumentáciu s dodávateľmi a nastavíme vhodné opatrenia.
• Zrevidujeme vašu bezpečnostnú architektúru a navrhneme primerané bezpečnostné opatrenia.
• Poskytneme vám službu certifikovaného manažéra kybernetickej bezpečnosti, ktorý vám pomôže pri implementácii požiadaviek Zákona včas, a to v spolupráci s najlepšími certifikovanými expertami v oblasti kybernetickej bezpečnosti na Slovensku.
• Pomôžeme vám s vyšetrovaním bezpečnostného incidentu zapojením tímu elitných expertov z praxe.
• Zabezpečíme vykonanie auditu kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti.
• Poskytneme školenia pre členov štatutárneho orgánu a vybraných zamestnancov.
• Budeme vás zastupovať počas kontroly a v konaniach pred NBÚ.

Ak potrebujete našu pomoc, obráťte sa na našich špecialistov.