Smernica NIS2 je európsky právny rámec, ktorý kladie dôraz na zvýšenie kybernetickej bezpečnosti v organizáciách. Pre členské štáty EÚ znamená záväzok prijať zákony, ktoré dávajú firmám povinnosť chrániť svoje informácie a infraštruktúru pred kybernetickými hrozbami.
Každý členský štát je povinný smernicu NIS2 transponovať do svojho právneho poriadku. Na Slovensku túto úlohu plní novela Zákona o kybernetickej bezpečnosti (ZoKB č. 69/2018 Z. z.), ktorá nadobudla účinnosť 1. januára 2025. Táto novela zahŕňa zavedenie bezpečnostných opatrení, identifikáciu a riešenie incidentov a povinnosti voči Národnému bezpečnostnému úradu (NBÚ), ktorý bude dohliadať na jej dodržiavanie.
Aké kľúčové zmeny prináša novela ZoKB?
- Nové pravidlá sa vzťahujú na širší okruh organizácií – okrem prevádzkovateľov základných služieb (PZS) pribudnú aj prevádzkovatelia kritických základných služieb (PKZS).
- Medzi sektory podliehajúce regulácii patria energetika, bankovníctvo, zdravotníctvo, doprava, digitálne infraštruktúry a ďalšie odvetvia dôležité pre chod hospodárstva a spoločnosti.
- Organizácie musia implementovať opatrenia v oblastiach, ako sú monitorovanie kybernetických hrozieb, správa zraniteľností, riadenie bezpečnostných incidentov a zabezpečenie IT infraštruktúry.
- Bezpečnostné opatrenia budú musieť byť zavedené na základe analýzy rizík alebo sektorových štandardov.
- Každý regulovaný subjekt bude mať povinnosť hlásiť kybernetické incidenty v jasne stanovených lehotách:
- Do 24 hodín od zistenia incidentu musí byť odoslané predbežné hlásenie.
- Do 72 hodín musí byť predložená podrobná správa s analýzou incidentu.
- Do jedného mesiaca od incidentu musí organizácia predložiť záverečnú správu s implementovanými nápravnými opatreniami.
- Subjekty budú zodpovedné nielen za vlastnú kybernetickú bezpečnosť, ale aj za bezpečnostné opatrenia svojich dodávateľov a partnerov.
- Budú musieť vykonávať hodnotenie rizík v rámci svojho dodávateľského reťazca a prispôsobiť bezpečnostné politiky podľa výsledkov týchto analýz.
- Organizácie budú povinné vykonávať pravidelné audity a hodnotenie svojej bezpečnosti.
- Okrem toho sa zavádza povinná certifikácia bezpečnosti pre vybrané IT produkty a služby.
- V prípade nesplnenia nových legislatívnych povinností môžu organizácie čeliť pokutám až do výšky 10 miliónov eur alebo 2 % z celosvetového ročného obratu.
KTORÝCH SPOLOČNOSTÍ SA NOVELA ZoKB TÝKA?
Jedným z hlavných kritérií na určenie regulovaného subjektu je jeho veľkosť. Nová legislatíva sa vzťahuje na organizácie, ktoré majú viac ako 50 zamestnancov a obrat nad 10 miliónov Eur. Zákon však identifikuje aj subjekty, ktoré môžu byť zaradené medzi regulované bez ohľadu na ich veľkosť. Ak máte pochybnosti, či pod novelu spadáte, môžete použiť indikatívnu pomôcku na určenie subjektu, ktorú pripravil Národný bezpečnostný úrad.
50 a viac zamestnancov
Ročný obrat > 10 mil. €
Služba z vybraných odvetví
(nižšie uvedené)
Novela ZoKB, s implementovanou smernicou NIS2, rozširuje pôvodné povinné subjekty o nové. Spadajú pod ňu veľké a stredné podniky poskytujúce služby v niektorej z týchto sektorov:
Energetika
Elektrická energia
- Elektroenergetické podniky
- Prevádzkovatelia distribučnej sústavy
- Prevádzkovatelia prenosovej sústavy
- Nominovaný organizátor trhu s elektrinou
- Účastník trhu
- Prevádzkovatelia nabíjacieho bodu
- Držitelia povolenia podľa § 5 ods. 3 písm. a) až d) zákona č. 541/2004 Z. z.
Tepelná energetika
- Výrobcovia a dodávatelia tepla
Diaľkové vykurovanie a chladenie
- Výrobca alebo dodávateľ tepelnej energie
Ropa
- Prevádzkovatelia ropovodov
- Prevádzkovatelia zariadení na ťažbu, rafinovanie a spracovanie ropy, jej skladovanie a prepravu
- Ústredné objekty správy zásob
Plyn
- Dodávateľské podniky
- Prevádzkovatelia distribučnej siete
- Prevádzkovatelia prepravnej siete
- Prevádzkovatelia zásobníkov
- Prevádzkovatelia zariadení LNG
- Plynárenské podniky
- Prevádzkovatelia zariadení na rafinovanie a spracovanie zemného plynu
Vodík
- Prevádzkovatelia zariadení na výrobu, skladovanie a prepravu vodíka
Doprava
Letecká doprava
- Leteckí dopravcovia
- Prevádzkovatelia letiska
- Prevádzkovatelia poskytujúci služby riadenia letovej prevádzky (ATC)
Železničná doprava
- Prevádzkovateľ infraštruktúry
- Železničné podniky
Vodná doprava
- Spoločnosti prevádzkujúce vnútrozemskú, námornú a príbrežnú osobnú a nákladnú lodnú dopravu
- Prevádzkovatelia prístavov
- Prevádzkovatelia plavebno-prevádzkových služieb
Cestná doprava
- Cestné orgány zodpovedné za kontrolu riadenia cestnej premávky
- Prevádzkovatelia inteligentných dopravných systémov
Financie
Bankovníctvo
- Úverové inštitúcie, ako sú vymedzené v článku 4 bode 1 nariadenia (EÚ) č. 575/2013 v platnom znení
Infraštruktúra finančných trhov
- Prevádzkovatelia obchodných miest
- Centrálne protistrany podľa čl. 2 prvého bodu nariadenia (EÚ) č. 648/2012 v platnom znení
Systémy riadenia verejných financií
- Prevádzkovatelia systémov, ktorých výpadok alebo poškodenie ohrozí hospodársku funkciu štátu
Zdravotníctvo
- Poskytovateľ zdravotnej starostlivosti
- subjekt poskytujúci službu majúcu významný vplyv na ochranu, podporu a rozvoj verejného zdravia
- Národné centrum zdravotníckych informácií
- Subjekt vykonávajúci dohľad nad verejným zdravotným poistením a dohľad nad poskytovaním zdravotnej starostlivosti
- Subjekt vykonávajúci štátny dozor na úseku farmácie a drogových prekurzorov, kontrolu pri výrobe a veľkodistribúcii liekov a zdravotníckych pomôcok
- Referenčné laboratória Európskej únie
- Subjekt vykonávajúci činnosti vo výskume a vývoji liekov
- Výrobca základných farmaceutických výrobkov a farmaceutických prípravkov
- výrobca zdravotníckych pomôcok, ktoré sú považované za kritické v núdzovej situácii v oblasti verejného zdravia
- Zdravotná poisťovňa
Voda a atmosféra
Pitná voda
- Dodávatelia a distribútori vody na pitie, varenie, prípravu potravín alebo iné domáce účely
Odpadová voda
- Podniky zaoberajúce sa zberom, likvidáciou alebo úpravou odpadových vôd
Meteorologická služba
- Správcovia a prevádzkovatelia štátnej hydrologickej siete
- Správcovia a prevádzkovatelia štátnej meteorologickej siete
Vodné stavby
- Podniky prevádzkujúce vodné stavby, ich súčasti alebo ich časti, ktoré umožňujú osobitné užívanie vôd alebo iné nakladanie s vodami
Riadenie služieb IKT (medzi podnikmi)
- Poskytovatelia riadených služieb
- Poskytovatelia riadených bezpečnostných služieb
Vesmír
- Prevádzkovatelia pozemnej infraštruktúry, ktorú vlastnia, riadia a prevádzkujú členské štáty Európskej únie alebo súkromné subjekty, ktorí prispievajú k poskytovaniu vesmírnych služieb, s výnimkou poskytovateľov verejných elektronických komunikačných sietí
Odpadové hospodárstvo
- Podnikateľ, ktorý pri kúpe a následnom predaji odpadu koná vo vlastnom mene a na vlastnú zodpovednosť, vrátane obchodníka, ktorý tento odpad nemá fyzicky v držbe
- Sprostredkovateľ – podnikateľ, ktorý organizuje zhodnocovanie odpadu alebo zneškodňovanie odpadu v mene iných osôb, vrátane sprostredkovateľa, ktorý tento odpad nemá fyzicky v držbe
- Dopravca odpadu – podnikateľ, ktorý vykonáva prepravu odpadu pre cudziu potrebu alebo pre vlastnú potrebu
Výroba, spracovanie a distribúcia potravín
- Potravinárske podniky, ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním
Poskytovatelia digitálnych služieb
- Poskytovatelia online trhov
- Poskytovatelia internetových vyhľadávačov
- Poskytovatelia platforiem služieb sociálnej siete
Digitálna infraštruktúra
- Poskytovatelia internetových prepojovacích uzlov
- Poskytovatelia sietí na sprístupňovanie obsahu
- Poskytovatelia verejných elektronických komunikačných sietí
- Poskytovatelia verejne dostupných elektronických komunikačných služieb
- Poskytovatelia služieb DNS, s výnimkou prevádzkovateľov koreňových názvových serverov
- Správcovia TLD
- Poskytovatelia služieb cloud computingu v súkromnom sektore
- Poskytovatelia služieb dátového centra v súkromnom sektore
- Poskytovatelia dôveryhodných služieb
- Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú utajovaných skutočností
- Správca a prevádzkovateľ informačného systému Úradu pre verejnú regulovanú službu
- Tretia strana
- Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú bezpečnosti Slovenskej republiky
- Poskytovatelia služieb cloud computingu
- Poskytovatelia služieb dátového centra
- Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú zabezpečenia obrany Slovenskej republiky
Verejná správa
- Subjekty verejnej správy na úrovni ústredného orgánu štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou
- Subjekty verejnej správy na regionálnej úrovni okrem oblasti finančnej správy
- Subjekty verejnej správy na úrovni ústredného orgánu štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou pre oblasť finančnej správy
- Subjekty verejnej správy na regionálnej úrovni pre oblasť finančnej správy
- Správcovia a prevádzkovatelia informačných systémov verejnej správy podporujúcich služby verejnej správy, služby vo verejnom záujme a verejné služby podľa zákona č. 95/2019 Z. z.
Poštové a kuriérske služby
- Poštový podnik, ktorý poskytuje jednu alebo viacero poštových služieb alebo poštový platobný styk podľa zákona o poštových službách
Výroba a distribúcia chemických látok
- Dodávatelia, výrobcovia, dovozcovia
Výroba
Výroba zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro
- Výrobca zdravotníckej pomôcky alebo splnomocnený zástupca
Výroba počítačových, elektronických a optických výrobkov
- Výrobca počítačových, elektronických a optických výrobkov uvedený v sekcii C divízii 26 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2
Výroba elektrických zariadení
- Výrobca elektrických zariadení uvedený v sekcii C divízii 27 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2
Výroba strojov a zariadení i. n.
- Výrobca strojov a zariadení i. n. uvedený v sekcii C divízii 28 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2
Výroba motorových vozidiel, návesov a prívesov
- Výrobca motorových vozidiel, návesov a prívesov uvedený v sekcii C divízii 29 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2
Výroba ostatných dopravných prostriedkov
- Výrobca ostatných dopravných prostriedkov uvedený v sekcii C divízii 30 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2
Výskum
- Výskumné organizácie – subjekty, ktorých hlavným cieľom je vykonávať aplikovaný výskum alebo experimentálny vývoj s cieľom využiť výsledky tohto výskumu na komerčné účely, ktorého súčasťou však nie sú vzdelávacie inštitúcie.
Kedy a čo musia splniť regulované subjekty?
Novela zákona o kybernetickej bezpečnosti prináša nové povinnosti pre regulované subjekty. V tejto časti nájdete dva časové harmonogramy: jeden pre novo-regulované subjekty, a druhý pre existujúce subjekty, ktoré už dnes spadajú pod zákon o kybernetickej bezpečnosti. Zoznámte sa s kľúčovými termínmi a povinnosťami, ktoré je potrebné splniť.
Časová os pre nové subjekty
Táto časová os zobrazuje povinnosti pre prevádzkovateľov základnej služby – PZS § 17 novely zákona a prevádzkovateľov kritickej základnej služby – PKZS § 18 ods. 1 a ods. 2 novely zákona.
Informácie pre existujúce subjekty
Od 1. januára 2025 sa prevádzkovatelia základných služieb podľa zákona platného do 31. decembra 2024 považujú za prevádzkovateľov kritických základných služieb podľa nových pravidiel. Rovnako, poskytovatelia digitálnych služieb, ktorí podliehajú pravidlám platným do konca roka 2024, sa od 1. januára 2025 považujú za prevádzkovateľov základných služieb podľa novely zákona.
Pre existujúce subjekty je kľúčovým dátumom 31. december 2026. Do tohto dátumu môže dôjsť k tzv. výmazu zo zoznamu regulovaných subjektov a zároveň sa končí prechodné obdobie pre plnenie bezpečnostných opatrení.
Potrebujete poradiť ohľadom smernice NIS2? Kontaktujte nás
AKÉ BEZPEČNOSTNÉ OPATRENIA POTREBUJETE SPĹŇAŤ?
Regulované subjekty musia podľa novely zákona o kybernetickej bezpečnosti zaviesť prísnejšie bezpečnostné opatrenia, vrátane monitorovania sietí, správy zraniteľností a včasného hlásenia incidentov. Tieto požiadavky môžu efektívne naplniť využitím komplexných riešení od spoločnosti Alanata, ktoré im pomôžu posilniť ochranu a zvýšiť odolnosť voči kybernetickým hrozbám.
V súlade s § 20 zákona majú regulované subjekty na základe analýzy rizík povinnosť prijať bezpečnostné opatrenia minimálne v nasledujúcich oblastiach.
Bezpečnostné opatrenia vyplývajúce z NIS2
- Identifikovať zraniteľnosti, kybernetické hrozby a riziká.
- Detegovať nežiaduce udalosti a incidenty.
- Reagovať na identifikované zraniteľnosti a incidenty a minimalizovať ich vplyv na informačné aktíva.
- Riešiť a reagovať na kybernetické bezpečnostné incidenty.
- Obnoviť informačné aktíva, napraviť negatívne dopady po vzniku incidentu a uviesť poskytované služby do požadovaného stavu.
- Vykonávať analýzu rizík a bezpečnosti sietí a systémov.
- Dohliadať na bezpečnosť pri nadobúdaní, vývoji a údržbe siete a informačných systémov (zraniteľnosti).
- Zabezpečiť kontinuitu činností, riadenie zálohovania a obnovu systému po havárii a krízové riadenie.
- Zabezpečiť bezpečnosť dodávateľského reťazca.
- Dodržiavať zásady a postupy posudzovania účinnosti prijatých bezpečnostných opatrení na riadenie kybernetických rizík.
- Dodržiavať základnú kybernetickú hygienu a odbornú prípravu, zásady a postupy používania kryptografie alebo šifrovania.
- Venovať sa bezpečnosti ľudských zdrojov.
- Využívať viacstupňovú alebo kontinuálnu autentifikáciu (hlas, obraz a text).
Najčastejšie otázky o NIS2
Čo je NIS2?
NIS2 je smernica Európskej únie, ktorá má za cieľ posilniť kybernetickú bezpečnosť v členských štátoch. Každá krajina EÚ je povinná implementovať jej požiadavky do svojich právnych predpisov. Na Slovensku sa transpozícia tejto smernice premietla do novely zákona o kybernetickej bezpečnosti.
Kedy vstúpi do platnosti novela zákona implementujúca NIS2?
Smernica NIS2 bola na úrovni EÚ prijatá v decembri 2022, pričom členské štáty mali povinnosť ju zapracovať do svojej legislatívy do októbra 2024. Na Slovensku pripravoval novelu zákona Národný bezpečnostný úrad (NBÚ). Novela bola schválená Národnou radou SR 28. novembra 2024 a účinnosť nadobudla 1. januára 2025.
Týka sa novela zákona aj mojej organizácie?
Podľa dôvodovej správy k zákonu sa novela dotýka minimálne 3 403 organizácií na Slovensku a upravuje viac ako 80 služieb v 16 odvetviach. Zákon sa vzťahuje na organizácie na základe dvoch hlavných kritérií – ich veľkosti (počet zamestnancov alebo ročný obrat) a poskytovania tzv. regulovanej služby. Subjekty, ktoré spĺňajú tieto kritériá, sa radia do dvoch kategórií:
- Prevádzkovateľ základnej služby
- Prevádzkovateľ základnej služby s kritickou infraštruktúrou
Aké zásadné zmeny prináša novela zákona?
Oproti pôvodnej smernici NIS a doterajšej legislatíve novela výrazne rozširuje počet regulovaných subjektov. Zvyšujú sa aj maximálne sankcie – z pôvodných 300 000 eur (alebo 1 % globálneho ročného obratu) na 10 miliónov eur (alebo 2 % obratu). Okrem finančných pokút pribudli aj ďalšie opatrenia, ako napríklad pozastavenie certifikácie alebo obmedzenie činnosti vrcholového manažmentu.
Medzi najdôležitejšie zmeny patrí:
- Rozšírenie regulovaných organizácií a služieb
- Posilnenie bezpečnosti dodávateľského reťazca
- Povinnosť hlásenia bezpečnostných incidentov
- Vyššie pokuty a prísnejšie sankcie
- Povinnosť pravidelného vzdelávania v oblasti kybernetickej bezpečnosti
- Implementácia bezpečnostných opatrení na základe analýzy rizík
- Koordinované zverejňovanie zraniteľností
- Povinné audity a samohodnotenie
- Certifikácia bezpečnosti IKT produktov a služieb
Čo znamená samoidentifikácia?
Organizácie si musia samy overiť, či spadajú pod reguláciu a či majú povinnosť registrovať sa ako poskytovateľ regulovanej služby. Kritériá na posúdenie obsahuje samotná novela zákona. Ak subjekt podmienky spĺňa, musí sa nahlásiť Národnému bezpečnostnému úradu (NBÚ), ktorý následne rozhodne o jeho zaradení do registra. Po zápise do registra je organizácia povinná dodržiavať všetky predpísané opatrenia.
Kto dohliada na plnenie povinností vyplývajúcich z novely zákona?
Dohľad nad dodržiavaním zákona vykonáva Národný bezpečnostný úrad (NBÚ). Ten je zodpovedný za kontrolu regulovaných subjektov, vykonávanie auditov a v prípade nesúladu aj za ukladanie sankcií.
Aké pozície v oblasti kybernetickej bezpečnosti musí organizácia zaviesť?
Novela zákona v kombinácii s vyhláškou NBÚ č. 492/2022 Z. z. vyžaduje jasné rozdelenie zodpovedností v oblasti kybernetickej bezpečnosti. Medzi povinné alebo odporúčané role patria:
- Odborný zamestnanec pre kybernetickú bezpečnosť
- Špecialista kybernetickej bezpečnosti
- Manažér kybernetickej bezpečnosti
- Audítor kybernetickej bezpečnosti
- Penetračný tester
- Architekt kybernetickej bezpečnosti
Každá organizácia si môže názvy pozícií a ich pracovnú náplň prispôsobiť vlastným potrebám, avšak musí zabezpečiť, aby spĺňali zákonom stanovené povinnosti. Dôležitou súčasťou je aj pravidelné školenie zamestnancov.
Aký je rozdiel medzi NIS2 a DORA?
Hoci obe regulácie boli prijaté približne v rovnakom čase, líšia sa svojím zameraním:
- NIS2 je smernica, čo znamená, že jednotlivé krajiny musia jej požiadavky transponovať do národnej legislatívy. Vzťahuje sa na široké spektrum organizácií v rôznych sektoroch vrátane dopravy, energetiky, zdravotníctva a verejných služieb.
- DORA (Digital Operational Resilience Act) je nariadenie, ktoré platí priamo vo všetkých členských štátoch EÚ. Je primárne zamerané na finančné inštitúcie a zabezpečenie ich digitálnej odolnosti.
Termíny implementácie:
- NIS2 – účinnosť od decembra 2022, členské štáty mali povinnosť implementovať ju do októbra 2024.
- DORA – účinnosť od januára 2023, organizácie musia splniť jej požiadavky do januára 2025.
Čo je pre vás záväzné?
Pre organizácie pôsobiace na Slovensku sú záväzné iba ustanovenia slovenského zákona, ktorý transponuje smernicu NIS2 do vnútroštátnej legislatívy. Smernica NIS2 poskytuje rámec pre kybernetickú bezpečnosť na úrovni EÚ, ale konkrétne požiadavky a povinnosti vyplývajú výhradne zo slovenskej legislatívy.
