V čase, keď kybernetické útoky predstavujú čoraz väčšiu hrozbu pre podnikateľský sektor, Slovensko stojí pred významnou zmenou v oblasti regulácie kybernetickej bezpečnosti. Transpozícia európskej smernice NIS2 do slovenského právneho poriadku prinesie rozsiahle zmeny, ktoré sa dotknú tisícok slovenských firiem naprieč všetkými odvetviami. Nové znenie zákona o kybernetickej bezpečnosti ešte nie je finálne schválené, ale predpokladá sa, že jeho účinky by mohli začať platiť už od 1.1.2025, preto na prípravu podnikom zostáva už len krátky čas. 

Dotknú sa vás nové povinnosti?        

Zatiaľ čo súčasný zákon o kybernetickej bezpečnosti sa týkal hlavne veľkých hráčov v sektore energetiky, dopravy, financií alebo zdravotníctva, po novom sa od 1.1.2025 má okruh regulovaných subjektov výrazne rozšíriť. Nová legislatíva sa bude najčastejšie týkať tzv. stredných alebo veľkých podnikov, teda zjednodušene takých, ktoré zamestnávajú viac ako 50 zamestnancov a majú ročný obrat nad 10 miliónov eur, a zároveň podnikajú v odvetviach vymedzených smernicou NIS2. 

Pri analýze je teda potrebné sa zaoberať okrem samotnej veľkosti podniku aj tým, aký je jeho predmet podnikania. Nová legislatíva sa dotkne napríklad: 

- podnikov zameraných na výrobu dopravných prostriedkov, elektrických zariadení, strojov, elektroniky a pod., 

- poskytovateľov poštových služieb, 

- spracovateľov odpadu, 

- chemického priemyslu, 

- výrobcov, spracovateľov a distribútorov potravín, 

- poskytovateľov zdravotnej starostlivosti, výrobcov liekov a zdravotníckych pomôcok, 

- poskytovateľov verejných elektronických komunikačných sietí, manažovaných IT služieb, verejných elektronických komunikačných služieb a pod., 

- dodávateľov a  distribútorov pitnej vody či prevádzkovateľov kanalizácií a čističiek odpadovej vody. 

Kompletný zoznam dotknutých sektorov sa nachádza v prílohách novely zákona o kybernetickej bezpečnosti, ktorá je momentálne ešte v legislatívnom procese. 

Do pozornosti však dávame navrhované výnimky v novom znení zákona, ktoré ešte viac rozširujú zoznam subjektov s novými povinnosťami. Pod reguláciu zákona o kybernetickej bezpečnosti sa po novom dostanú aj niektoré subjekty (hoci sami nespĺňajúce ostatné zákonom dané kritériá) už len z dôvodu ich dodávateľských vzťahov s regulovanými podnikmi (tzv. tretie strany poskytujúce určité služby prevádzkovateľom kritickej základnej služby). 

Preto záver o tom, či sa Vás nové povinnosti z oblasti kybernetickej bezpečnosti dotýkajú, nie je na prvý pohľad jednoznačný a vyžaduje dôsledné posúdenie viacerých aspektov Vášho podniku a podnikania.  

Čo znamená NIS2 pre vašu firmu? 

Nová legislatíva po transpozícii smernice NIS2 prinesie povinnosť implementovať konkrétne bezpečnostné opatrenia, pravidelne vyhodnocovať kybernetické riziká a hlásiť bezpečnostné incidenty. Podľa indikatívnych prieskumov medzi podnikateľmi si mnohé firmy neuvedomujú, že nedodržiavanie týchto ich povinností môže viesť nie len k  závažným kybernetickým incidentom a škodám, ale aj k vysokým sankciám, nakoľko legislatívne zmeny sa dotýkajú aj sprísnenia sankčného mechanizmu.  

Okrem uloženia povinnosti prijať opatrenia na nápravu, ako je vykonanie auditu a informovanie dotknutých osôb a verejnosti o rizikách a následkoch porušenia povinností, môže Národný bezpečnostný úrad súčasne uložiť aj penále v sume 0,5% z najvyššej možnej sumy pokuty, ktorú je za porušenie takejto povinnosti možné uložiť, a to za každý deň omeškania so splnením povinnosti. Zároveň sa upravujú aj poriadkové pokuty a pokuty za správne delikty, ktoré môžu dosiahnuť až 10 miliónov eur alebo 2% celosvetového obratu. 

Prečo je zmena potrebná? 

Štatistiky hovoria jasnou rečou. Frekvencia kybernetických incidentov každoročne narastá, čo potvrdzujú aj globálne štatistiky. Medzi najčastejšie kybernetické hrozby sú v Slovenskej republike zaraďované útoky vykonávané formou sociálneho inžinierstva, tzv. DDoS útoky, ransomvérové útoky, malvér či pokusy o prienik do systému a zneužitie zraniteľností. Negatívne následky kybernetických útokov dokážu ochromiť a vážne poškodiť nielen samotný napadnutý podnik, ale ich dopady môžu viesť ku významným škodám aj na strane tretích osôb ako sú zákazníci, obchodní partneri či ďalší. Vzhľadom na vysokú frekvenciu aj možný rozsah škôd takýchto útokov je preto pre dotknuté podniky dôležité dobre poznať a dôsledne si plniť svoje povinnosti v oblasti kybernetickej bezpečnosti. Nejde pritom len o veľké spoločnosti. Čoraz častejšie sa terčom útoku stávajú menšie firmy, ktoré sú ľahký cieľ práve kvôli podceňovaniu bezpečnosti. 

Účelom novej legislatívy je preto posilniť celkovú bezpečnostnú pripravenosť dotknutých subjektov a zabezpečiť, aby rizikové subjekty implementovali vo svojej organizácii opatrenia na predchádzanie kybernetickým hrozbám a eliminovali tak zraniteľnosti, ktoré môžu útočníci zneužiť na narušenie integrity, dôvernosti a dostupnosti kritických informačných systémov a sietí. To by totiž mohlo viesť k úniku citlivých údajov, narušeniu prevádzky podniku alebo celého sektoru, alebo spôsobeniu finančných a reputačných škôd. 

Odborná pomoc je kľúčová 

Príprava na požiadavky podľa novej legislatívy môže byť pre mnohé firmy náročná. Je dôležité spolupracovať s odborníkmi, ktorí majú skúsenosti nie len s organizáciou kybernetickej bezpečnosti, ale rozumejú aj technickým požiadavkám. Títo odborníci Vás potom dokážu efektívne navigovať komplexnými novými legislatívnymi požiadavkami a zabezpečiť, že Vaša firma bude spĺňať povinnosti z oblasti kybernetickej bezpečnosti. Ich expertíza je kľúčová pri identifikácii rizík, implementácii vhodných opatrení a zabezpečení kontinuity podnikania. 

Komplexné riešenia v oblasti kybernetickej bezpečnosti ponúka aj spoločnosť Top Privacy, a  to od úvodného zhodnotenia súladu až po implementáciu potrebných opatrení. Vďaka dlhoročným skúsenostiam v oblasti informačnej bezpečnosti a GDPR dokážeme poskytnúť individualizované riešenia, ktoré zohľadňujú všetky regulačné požiadavky a zároveň sú prakticky realizovateľné aj pre menšie a stredné podniky. 

Pozvánka na webinár 

Tému kybernetickej bezpečnosti s NIS2 budeme detailne rozoberať na našom webinári, ktorý sa uskutoční už budúci utorok 19. novembra 2024. Naši advokáti spolu s partnermi, vám poskytnú cenné rady a odpovede na vaše otázky. Podmienkou účasti je registrácia.