Zdroj: HN Online/Hospodárske noviny
Autori: Štěpán Štarha, Miriama Podskubová (rozhovor)
Partner advokátskej kancelárie HAVEL & PARTNERS Štěpán Štarha a advokátka Miriam Podskubová, experti na kybernetickú bezpečnosť, vysvetľujú, čo pre firmy znamenajú nové legislatívne zmeny v oblasti kybernetickej bezpečnosti a aké opatrenia musia prijať.
Od januára tohto roka nadobudla účinnosť novela zákona, ktorou sa do nášho právneho poriadku transponovala smernica NIS 2. Tá rozšírila okruh subjektov, ktoré musia spĺňať prísne pravidlá kybernetickej bezpečnosti. Do tejto kategórie teraz patria napríklad spoločnosti z oblasti energetiky, financií, zdravotníctva, verejnej správy, dopravy, digitálnej infraštruktúry, ale aj výrobcovia potravín, chemických látok či poskytovatelia digitálnych služieb.
Medzi najdôležitejšie patrí oznamovacia povinnosť voči Národnému bezpečnostnému úradu (NBÚ) a registrácia do Registra prevádzkovateľov základnej služby (Register). Prvý deadline bol stanovený na 3. marca 2025. Ak firma zlyhala a neoznámila sa včas, hrozí jej pokuta od 300 eur do 500-tisíc eur. Do 30 dní od zápisu do Registra sa na prevádzkovateľa základnej služby (PZS) vzťahujú povinnosti, medzi ktoré patrí: zavedenie vhodných, primeraných, technických a organizačných opatrení na riadenie kybernetických rizík, no rovnako dôležitá povinnosť zaistiť bezpečnosť aj vo vzťahu vlastných dodávateľských reťazcov v rámci dodávateľských zmluvných vzťahov.
V mnohých prípadoch nie. Preto odporúčame, aby každá spoločnosť najprv vykonala analýzu rizík a tzv. GAP analýzu, ktorá zhodnotí, čo už majú zavedené a kde majú nedostatky. Na základe toho môžu efektívne zaviesť potrebné bezpečnostné opatrenia, ak je to (nielen v dôsledku prijatej novely) potrebné.
Základné ciele bezpečnostných opatrení sú zabezpečiť požadovanú úroveň kybernetickej bezpečnosti, včas identifikovať zraniteľnosti, kybernetické hrozby a riziká, a odhaliť tak potenciálne slabiny v systémoch. Na základe identifikovaných problémov je potrebné správne reagovať, prijať vhodné opatrenia a minimalizovať dopad identifikovaných nedostatkov na siete a informačné systémy pri dodržaní notifikačných resp. ďalších povinností aj v zmysle osobitných predpisov. Nakoniec, zabezpečenie obnoviteľnosti sietí a informačných systémov je kľúčové pre zmiernenie negatívnych dopadov po vzniku kybernetického incidentu, čo zahŕňa aj plynulé poskytovanie regulovaných služieb.
PZS majú 12 mesiacov (od zápisu), do kedy sú povinní zaviesť do praxe bezpečnostné opatrenia (podľa vypracovanej analýzy rizík) a tieto, ako aj celkový stav bezpečnosti následne zauditovať po 24 mesiacoch. Ak PZS nespĺňa predpoklady pre samohodnotenie, audit musí byť vykonaný externým poskytovateľom.
Pre všetky povinné subjekty však platí lehota 5 rokov od zaradenia do Registra, kedy bude potrebné (rovnako pre všetkých PZS) vykonať aj externý audit.
Áno aj nie. Účelom auditu je primárne identifikovať už existujúce riziká, ktoré často vychádzajú z doterajších zistených bezpečnostných incidentov. Poukazujú na nedostatky compliance požiadaviek v zmysle platnej právnej úpravy. Následne je na PZS, aby prijali opatrenia na zamedzenie naplnenia týchto rizík.
V tomto ohľade odporúčame sledovať varovania Národného bezpečnostného úradu a v rámci dlhodobo prijímaných opatrení sa zamerať najmä na priebežné opatrenia, ktoré by mali reflektovať čím ďalej dômyselnejšie a aktuálnejšie hrozby zo strany kyberútočníkov, na ktoré vás možno audit 100% nepripraví. Dôsledné dodržiavanie odporúčaní v stanovisku audítora však môže významne napomôcť minimalizovať škody a s tým spojené riziká.
Podstatnou novinkou v zákone je osobná zodpovednosť štatutárneho orgánu spoločnosti za prijímanie opatrení ako aj dohľad nad ich plnením. Do určitej miery v tomto ohľade možno hovoriť tiež o trestnoprávnej rovine zodpovednosti. Ak nie ste ako štatutár osobne a odborne spôsobilý na výkon takejto funkcie, mali by ste si zvoliť vhodného odborníka, ktorý túto úlohu pre vás po odbornej stránke zastreší – manažér kybernetickej bezpečnosti (MKB). MKB by mal mať možnosť komunikovať a predkladať návrhy, oznamovať informácie o nevyhnutných opatreniach a plánoch na rozvoj, zabezpečenie kontinuity či predchádzanie rizík v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu, pričom je nevyhnutné, aby si v rámci organizačnej štruktúry spoločnosti zachoval svoju nezávislosť a nebol tak determinovaný ostatnými zložkami prevádzky, ktoré by mohli negatívne skresliť jeho úsudok.
Sankcie môžu byť drastické. Ak by sa PZS rozhodli nesplniť požiadavky v oblasti kybernetickej bezpečnosti, môžu čeliť nielen pokutám, ale tiež poriadkovým opatreniam cieleným na dosiahnutie súladu s právnou úpravou. Výška pokuty v krajných prípadoch je v zmysle zákona alarmujúca, až 10 miliónov eur alebo 2 % z celkového celosvetového ročného obratu. Nielen pre menšie podniky môže uložená pokuta predstavovať riziko ohrozenia ich existencie či prevádzky ako celku, nehovoriac o reputačnom a podnikateľskom riziku spojenom s únikom citlivých údajov.
Pomôžeme vám správne definovať, nastaviť a dodržiavať zákonom stanovené povinnosti. Môžeme vám poskytnúť monitoring súvisiacich legislatívnych zmien a komplexné právne poradenstvo v oblasti kybernetickej bezpečnosti, aby ste boli pripravení na kľúčové požiadavky právnej úpravy a predchádzali tak možným sankciám. Taktiež sa zameriame na audit a revíziu zmluvnej dokumentácie s dodávateľmi a navrhneme vhodné opatrenia na zaistenie súladu poskytovaných služieb s právnou úpravou ako aj zaistenie bezpečnosti a kontroly dodávateľských reťazcov.
Naša služba zahŕňa aj compliance bezpečnostnej dokumentácie a/alebo interných predpisov. Okrem toho ponúkame školenia a ďalšie vzdelávanie pre členov riadiaceho orgánu alebo určených zamestnancov, ktorí sa budú zaoberať kybernetickou bezpečnosťou, aby získali potrebný právny kontext v tejto meniacej sa oblasti.
Neodkladajte to. Začnite s kritickou analýzou svojho postavenia podľa novely zákona, vykonajte analýzu rizík a registrujte sa do Registra PZS ak je to potrebné. Kybernetická bezpečnosť nie je len o dodržiavaní predpisov, ale aj o ochrane samotnej firmy pred reálnymi hrozbami. Rastúci význam kyberbezpečnosti v dnešnom digitálnom svete dokazuje i nedávna akvizícia kyberbezpečnostného startupu Wiz spoločnosťou Alphabet za 32 miliárd dolárov. Akvizícia je historicky významná nielen z hľadiska jej finančného objemu, ale aj ako indikátor rastúceho dopytu po kyberbezpečnostných riešeniach.
| Okruh subjektov, ktoré musia spĺňať prísne pravidlá |
| – energetika (elektrická energia, tepelná energetika, diaľkové vykurovanie, ropa, plyn a vodík); – doprava (letecká, železničná, vodná, cestná); – financie (bankovníctvo, infraštruktúra finančných trhov, systémy riadenia verejných financií); – zdravotníctvo; – voda a atmosféra (pitná voda, odpadová voda, meteorologická služba, vodné stavby); – digitálna infraštruktúra; – riadenie služieb IKT (medzi podnikmi); – verejná správa; – vesmír; – poštové a kuriérske služby; – odpadové hospodárstvo; – výroba a distribúcia chemických látok a potravín; – výroba (zdravotnícke pomôcky a diagnostické zdravotnícke pomôcky in vitro, počítačové, elektronické a optické výrobky, elektrické zariadenia, stroje, motorové vozidlá, návesy a prívesy, ostatné dopravné prostriedky); – poskytovatelia digitálnych služieb; či – výskum |
