Regulácia kybernetickej bezpečnosti v EÚ a na Slovensku

Kybernetická bezpečnosť je nevyhnutná pre stabilné fungovanie moderných spoločností, ktoré sú čoraz viac závislé od digitálnych technológií. Rastúca digitalizácia zvyšuje riziko kybernetických incidentov, ktoré môžu ohroziť podniky aj fungovanie štátu. Európska únia preto prijala smernicu (EÚ) 2022/2555 – NIS2 (ďalej len „NIS2“), ktorá nadobudla účinnosť 16. januára 2023, pričom členské štáty ju boli povinné transponovať do svojich právnych poriadkov do 17. októbra 2024. Cieľom smernice je zabezpečiť vysokú a jednotnú úroveň kybernetickej bezpečnosti v členských štátoch, pričom samotné uplatňovanie povinností vyplýva až z jej národnej implementácie.

Na Slovensku je oblasť kybernetickej bezpečnosti upravená najmä zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „Zákon o kybernetickej bezpečnosti“), ktorý bol v súvislosti s implementáciou smernice NIS2 novelizovaný tak, aby reflektoval nový európsky rámec kybernetickej bezpečnosti. Novelizovaný zákon rozširuje okruh povinných subjektov, sprísňuje požiadavky na riadenie rizík, zavádza prísnejší dohľad a sankcie a posilňuje povinnosti v oblasti oznamovania kybernetických incidentov.

Úloha Národného bezpečnostného úradu

Hlavným orgánom v oblasti kybernetickej bezpečnosti je Národný bezpečnostný úrad (ďalej len „NBÚ“). NBÚ vedie register základných a dôležitých subjektov podľa novej právnej úpravy, do ktorého sa zapisujú subjekty spĺňajúce zákonom ustanovené kritériá. Táto kategorizácia vychádza z implementácie smernice NIS2 a nahrádza pôvodné členenie používané v predchádzajúcej právnej úprave.

Kritériá pre zaradenie medzi regulované subjekty

Povinnosti závisia od veľkosti podniku a charakteru činnosti. Vo väčšine sektorov sa NIS2 vzťahuje na stredné a veľké podniky (≥ 50 zamestnancov alebo obrat/bilančná suma ≥ 10 mil. €). Subjekty pôsobiace v zákonom určených sektoroch môžu byť zaradené medzi základné alebo dôležité subjekty, pričom sú povinné zavádzať primerané technické a organizačné opatrenia, riadiť kybernetické riziká a oznamovať závažné incidenty NBÚ.

Základné a dôležité subjekty podľa NIS2

Základné subjekty pôsobia v kritických odvetviach (energetika, doprava, zdravotníctvo, verejná správa), kde by výpadok mohol mať vážne dopady. Podliehajú proaktívnemu (ex ante) aj následnému (ex post) dohľadu. Dôležité subjekty síce nepôsobia v tak kritických oblastiach, no zohrávajú významnú úlohu v hospodárstve a dodávateľských reťazcoch (výroba, logistika, IT služby) a podliehajú najmä následnému (ex post) dohľadu.

Význam digitalizácie a nové riziká

Podniky prepájajú tradičné činnosti s digitálnymi technológiami a online riešeniami, ktoré zvyšujú efektivitu, ale prinášajú nové hrozby. Ak digitálne služby ovplyvňujú klientov alebo trh, podnik môže byť zaradený medzi základné alebo dôležité subjekty. Digitálne služby sa posudzujú v rámci sektorov definovaných smernicou NIS2 a národnou legislatívou, pričom subjekty musia zaviesť opatrenia na riadenie rizík, ochranu údajov a oznamovanie incidentov.

Medzinárodný rozmer kybernetickej bezpečnosti

Pri nadnárodných spoločnostiach je rozhodujúca tzv. hlavná prevádzkareň (main establishment), teda štát, kde sa prijímajú hlavné rozhodnutia o kybernetickej bezpečnosti. Niekedy sa uplatňuje princíp jednej hlavnej jurisdikcie. Ak subjekt poskytuje služby v EÚ bez sídla, musí určiť zástupcu v členskom štáte pre dohľad a plnenie povinností. Určenie dohľadu závisí od postavenia a organizačnej štruktúry podniku.

Záver

NIS2 a slovenská legislatíva posilňujú odolnosť digitálneho prostredia a pomáhajú chrániť fungovanie organizácií aj dôveru zákazníkov. Podniky by mali analyzovať svoju veľkosť, činnosti a mieru digitalizácie a v prípade zaradenia medzi regulované subjekty sa pripraviť na registráciu aj plnenie bezpečnostných povinností. Prevencia a pripravenosť sú dnes kľúčovou súčasťou zodpovedného podnikania.

Vzhľadom na rozšírenie okruhu regulovaných subjektov môže smernica NIS2 zasiahnuť aj podniky, ktoré doposiaľ nepodliehali regulácii v oblasti kybernetickej bezpečnosti. Včasná právna a technická analýza preto môže výrazne znížiť riziko sankcií a prevádzkových incidentov. Naša advokátska kancelária poskytuje klientom právne poradenstvo pri posudzovaní povinností podľa NIS2, pri príprave interných bezpečnostných opatrení aj pri komunikácii s dohliadajúcimi orgánmi.

V prípade otázok týkajúcich sa kybernetickej bezpečnosti alebo implementácie NIS2 vám radi pomôžeme nájsť praktické a efektívne riešenie.