Vládny návrh zákona, ktorým sa mení a dopĺňa súčasný Zákon o kybernetickej bezpečnosti (Zákon o KB), a ktorý reflektuje na zmeny, ktoré priniesla Smernica NIS2 bol schválený Národnou radou Slovenskej republiky a od 1. 1. 2025 nadobudol účinnosť.
Z textu dôvodovej správy vyplýva, že text novely zákona je reakciou na potreby a požiadavky aplikačnej praxe. Vo svojej podstate prináša popri zásadných zmenách tiež niekoľko formálnych úprav v záujme zlepšenia celkovej úrovne kybernetickej bezpečnosti na Slovensku.
Aké sú základné zmeny, ktoré novela prináša?
Spresnenie terminológie zákona v oblasti kybernetických hrozieb, incidentov či zraniteľností, ale tiež systému certifikácie kybernetickej bezpečnosti IKT služieb a podmienok pre akreditáciu;
Odstránenie rozdielu medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby pri súčasnom zachovaníterminológie používanej v Zákone o KB. Prevádzkovateľ základnej služby (PZS) je tak po novom subjekt priamo definovaný v zákone. Budú nimi prevádzkovatelia základných služieb zapísaní v registri prevádzkovateľov. Zápis do tohto registra bude prebiehať na základe oznámenia (návrhu na zápis) zákonom určenej povinnej osoby, resp. ex offo zo strany kontrolného úradu.
Základná služba (a teda ani jej rozsah) sa nedefinuje, upustila od toho už samotná smernica NIS 2. Novela Zákona o KB definuje iba prevádzkovateľa základnej služby a kritickú základnú službu.
Zároveň sa zavádza: i) prahová hodnota veľkosti subjektu spadajúceho do rámca právnej regulácie v pozícii PZS, pričom sa zavádzajú ii) podmienky pre výnimku z uvedeného pravidla pre subjekty kritického významu, teda bez potreby hodnotenia veľkosti v danom prípade.
Úprava a precizovanie bezpečnostných opatrení tak, aby reflektovali na nové bezpečnostné štandardy (zavedením o.i. minimálnej úrovne bezpečnostných opatrení s požiadavkou na vytvorenie zodpovednostných vzťahov, pridelenia konkrétnych úloh konkrétnym osobám), vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi.
Úprava a zmena terminológie vo vzťahu k ohlasovaniu incidentov, kde dochádzka k rozšíreniu ohlasovacej povinnosti okrem iného o novo definované pojmy akými sú napr. závažný kybernetický bezpečnostný incident, či kybernetická hrozba, a to s dôrazom na dobrovoľné hlásenie, ako aj potrebu hlásenia zraniteľností.
Zavedenie rôznych foriem dohľadu, samostatné vymedzenie postupu a oprávnení orgánu dohľadu (NBÚ) v priebehu vykonávania kontroly plnenia povinností povinných subjektov zo strany NBÚ.
Dôraz sa kladie na podporu vzdelávania, doplnenie zodpovednosti a posilnenie funkcie manažéra kybernetickej bezpečnosti; tento v prípade ak nejde o prevádzkovateľa kritickej základnej služby môže vykonať samohodnotenie povinného subjektu (raz za dva roky), ktoré pri PZS nahrádza na dobu päť rokov povinnosť vykonať auditu.
Novinka v podobe procesných inštitútov ako je dohoda o náprave, či s výkonom kontroly súvisiaca možnosť NBÚ uložiť pre prípad neplnenia povinností poriadkovú pokutu, ale aj nové limity pre výšku pokút za správne delikty pre prípad porušenia zákona ako to vyplynulo z prísl. ust. smernice NIS 2.
Čo to v praxi znamená a aké sú lehoty pre splnenie základných povinností
Základný prehľad všeobecných povinností v zmysle novely Zákona o KB možno pre PZS vymedziť nasledovne:
Povinnosť v lehote 60 dní odo dňa začatia výkonu regulovanej činnosti oznámiť túto skutočnosť NBÚ.
Práva a povinnosti PZS vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra PZS, najskôr však 30. deň nasledujúci po dni zápisu.
Povinnosť zaviesť požadované všeobecné bezpečnostné opatrenia najmenej v rozsahu podľa § 20 a ich výkon je PZS povinný zabezpečiť do 12 mesiacov odo dňa zápisu do registra PZS (v závislosti od vykonanej analýzy rizík).
Prvý audit/samohodnotenie v zmysle právnej úpravy realizovať do 24 mesiacov od zápisu do registra PZS.
Osobitne sú riešené lehoty vo vzťahu k novoupravenej povinnosti hlásenia kybernetických bezpečnostných incidentov.
S čím Vám môžeme pomôcť?
S komplexným právnym poradenstvom v oblasti kybernetickej bezpečnosti tak, aby ste boli pripravení na kľúčové požiadavky a predchádzali možným sankciám;
Audit a revízia zmluvnej dokumentácie s dodávateľmi a nastavenie vhodných opatrení.
Školenia pre členov štatutárneho orgánu alebo vybraných zamestnancov ohľadom právnej úpravy.
Revízia bezpečnostnej dokumentácie, interných predpisov a dotknutých procesov.
Asistencia pri kontrolách a zastupovaní pri konaniach na dozorných orgánoch vrátane plnenia notifikačných povinností a nastavení súvisiacich interných mechanizmov organizácie.
Pomoc s vyšetrovaním incidentu zapojením tímu elitných vyšetrovateľov a expertov z praxe a aktívnej spolupráce s policajnými orgánmi na medzinárodnej úrovni.
Prípadne, ak už teraz máte pocit, že zorientovať sa v novej úprave a všetkých tých zmenách je nočná mora, prípadne potrebujete reálne posúdiť, čo sa Vás naozaj týka a čo nie, a ako správne potrebné opatrenia zaviesť do praxe, či správne vyhodnotiť, či Vaše nastavenia obstoja aj naďalej, neváhajte sa na nás kedykoľvek s dôverou obrátiť. V našom tíme sa spolu s Vami na to radi pozrieme a poradíme, ako na zmeny zareagovať včas a byť pripravený pre prípad postihu.
