Autori: Štěpán Štarha, Róbert Gašparovič, Adam Kližan

Inštitúcie Európskej únie schválili novú verziu smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti, označovanej tiež ako NIS2. Prijatím tejto smernice dochádza najmä k významnému rozšíreniu okruhu povinných osôb, na ktoré dopadnú povinnosti z oblasti kybernetickej bezpečnosti.

Smernicu NIS2 musia členské štáty implementovať do svojich právnych poriadkov do 21 mesiacov. Pri včasnej implementácii je tak možne očakávať reálne dopady smernice NIS2 na slovenské subjekty v druhej polovici roku 2024. Sme však presvedčení, že je zásadné venovať pozornosť problematike kybernetickej bezpečnosti už teraz.

Na koho dopadnú povinnosti týkajúce sa kybernetickej bezpečnosti?

• Podľa prognóz by mala smernica NIS2 spôsobiť rozšírenie počtu povinných osôb v Slovenskej republike až na 10 000 subjektov.

• Smernica rozširuje regulované odvetvia a existujúce regulované odvetvia rozširuje o nové regulované služby. Okrem už regulovaných odvetví sa budesmernica NIS 2 týkať tiež ďalších sektorov, ktorými sú napr. poštové a kuriérske služby, výroba vrátane automobilového priemyslu, potravinársky priemysel alebo aj vybraný výskum a iné.

• Povinnosť zaviesť opatrenia v súvislosti s novou legislatívou by sa mala vzťahovať na všetky organizácie v Slovenskej republike patriace do regulovaných odvetví, a súčasne napĺňajúce kvalifikáciu tzv. stredných alebo veľkých podnikov, teda podnikov s viac ako 50 zamestnancami alebo dosahujúcich ročný obrat aspoň 10 miliónov EUR.

Aké povinnosti upravuje smernica NIS2?

• Smernica NIS2 upravuje minimálny rozsah povinných bezpečnostných opatrení, ako napríklad riadenie rizík, kontrola dodávateľských zmluvných vzťahov, používanie šifrovania či plnenie notifikačnej povinnosti. Hoci tieto bezpečnostné požiadavky v zásade zodpovedajú rozsahu opatrení vyžadovaných podľa súčasných predpisov, je možné predpokladať, že dôjde minimálne k spresneniu niektorých povinností.

• Podstatnou zmenou však s určitosťou prejde úprava sankcií za prípadne porušenia povinností v oblasti kybernetickej bezpečnosti. V tejto súvislosti smernica NIS2 stanovuje maximálnu výšku pokút voči vybraným subjektom až do  10 miliónov EUR alebo 2 % z celkového celosvetového ročného obratu.

• Smernica tiež výslovne zavádza zodpovednosť pre riadiace orgány povinných subjektov, ktoré budú zodpovedať za prijaté opatrenia a budú tiež vykonávať dohľad nad týmito opatreniami. Za účelom získania dostatočných znalostí a zručností smernica NIS2 predpokladá, že členovia vedúceho orgánu absolvujú odbornú prípravu v oblasti kybernetickej bezpečnosti.

Prečo riešiť kybernetickú bezpečnosť?

• Správnu implementáciu opatrení v oblasti kybernetickej bezpečnosti vnímame ako súčasť celkovej compliance a riadenia rizík organizácie.

• Nesprávnou alebo chýbajúcou implementáciou bezpečnostných opatrení či iných povinností sa môžu organizácie vystaviť riziku vysokých pokút zo strany dozorných orgánov.

• Vnímame relatívne aktívny pristúp NBÚ vo vzťahu k smernici NIS2, čím sa téma stáva stále relevantnejšou, čo sa môže prejaviť tiež v oblasti kontroly zo strany dozorných orgánov.

S čím Vám môžeme pomôcť?

• Monitoring zmien slovenskej legislatívy a komplexné právne poradenstvo v oblasti kybernetickej bezpečnosti.

• Audit a revízia zmluvnej dokumentácie s dodávateľmi a nastavenie vhodných opatrení.

• Školenia pre členov štatutárneho orgánu alebo vybraných zamestnancov.

• Revízia bezpečnostnej dokumentácie, interných predpisov a dotknutých procesov.

• Riadenie rizík a asistencia pri kontrolách a zastupovaní pri konaniach na dozorných úradoch.

• Pomoc s vyšetrovaním incidentu zapojením tímu elitných vyšetrovateľov a expertov z praxe a aktívnej spolupráce s policajnými orgánmi na medzinárodnej úrovni.

V prípade záujmu o naše služby sa s Vami radi stretneme a prediskutujeme problematiku kybernetickej bezpečnosti vo Vašej organizácii osobne alebo prostredníctvom videokonferencie.