Autor: admin

Národný bezpečnostný úrad pripravil návrh novely zákona o kyberbezpečnosti, ktorý transponuje novú smernicu Európskej únie NIS 2. Návrh je teraz už v Národnej rade Slovenskej republiky a čaká sa na jeho prerokovanie. 

Čo sú teda tie najdôležitejšie zmeny, ktoré novela zákona prináša?

Rozšírenie pôsobnosti 

Nový kybernetický zákon sa bude týkať viacerých subjektov, ako tomu bolo doteraz. Oproti predošlej smernici totiž NIS 2 zahŕňa viacero sektorov, no dôvodom je napríklad aj nová definícia prevádzkovateľa základnej služby.

Nová analýza rizík

Novela nahradila pôvodnú klasifikáciu a kategorizáciu informačných systémov novým mechanizmom postaveným na analýze zraniteľnosti a rizík. 

Povinnosti pre dodávateľov

Prichádzajú aj bezpečnostné povinnosti pre dodávateľov, keďže v minulosti dochádzalo ku kybernetickým incidentom pomocou zraniteľností tretích strán.

Zjednoduší systém rozlišovania subjektov

Novela nastavuje prehľadnejšie pravidlá určovania, či subjekt (teda firma, organizácia, a pod.) spadá pod nariadenia v novele zákona alebo nie. Hľadí sa pri tom na tri hlavné aspekty - sektor, veľkosť a výnimky. 

Prvým kritériom je sektor, v ktorom subjekt pôsobí. Ak je daný sektor na zozname vybraných sektorov, ktoré spadajú pod nariadenia, ďalším krokom je pozrieť sa na veľkosť firmy/organizácie. Podľa návrhu novely budú požiadavky vyplývajúce z NIS 2 dodržiavať stredné a veľké podniky (t.j. podniky, ktoré majú viac ako 50 zamestnancov alebo majú ročný obrat nad 10 mil. EUR).

Posledným bodom sú však výnimky. Niektoré typy subjektov totiž nemusia splniť podmienku o veľkosti podniku, aby pod pôsobnosť NIS 2 patrili - budú pod ňu spadať bez ohľadu na ich veľkosť. Tieto výnimky budú uvedené priamo v zákone (budú tam taxatívne vymenované). 

Zmena definície prevádzkovateľov základnej služby

Poskytovatelia digitálnej služby budú odteraz spadať priamo pod prevádzkovateľov základnej služby. Okrem toho budú prevádzkovatelia základnej služby rozdelení do dvoch kategórií:

1. kľúčové subjekty (prevádzkovatelia kritických základných služieb),

2. dôležité subjekty (ostatní prevádzkovatelia základných služieb).

Nová definícia kritickej základnej služby

Firmy a organizácie sa budú posudzovať podľa toho, ako veľmi sú alebo nie sú významné pre riadny chod štátu a akým vonkajším hrozbám a rizikám čelia. Zmení sa tým aj rozsah ich povinností, keďže budú musieť spĺňať vyššie bezpečnostné kritéria. 

Úpravy v sankčných mechanizmoch

Novela predstavuje zavedenie podobného sankčného mechanizmu, ako aktuálne funguje pri porušení alebo nedodržiavaní nariadení GDPR, teda administratívne pokuty. Štát sa bude sústreďovať najmä na dodržiavanie povinnosti nahlasovania a riadenia rizík kybernetickej bezpečnosti. 

Zmeny v nahlasovaní incidentov

Samotné procesy nahlasovania incidentov sa tiež upravujú a vylepšujú, a subjekty budú motivované incidenty, ako aj zraniteľnosti, nahlasovať dobrovoľne. 

Zmeny v zdieľaní informácií v prípade kybernetického incidentu

Komunikácia medzi dotknutým subjektom/subjektami a štátom napríklad v prípade kybernetického útoku taktiež prešli zmenami na základe smernice NIS 2.

Nové a upravené bezpečnostné opatrenia

Bezpečnostné opatrenia z aktuálneho zákona o kybernetickej bezpečnosti boli aktualizované a doplnené tak, aby adekvátne odzrkadlovali a reagovali na aktuálne kybernetické hrozby, výzvy a doteraz preukázané zraniteľnosti (napr. v spomínanom dodávateľskom sektore).

Ďalšie opatrenia

Medzi ďalšie opatrenia NIS 2 patrí napríklad:
- zvýšenie dohľadovej činnosti 
- zvýšenie dôrazu na vzdelávanie
- posilnenie funkcie manažéra kybernetickej bezpečnosti
- nové povinnosti o minimálnych požiadavkách na kybernetickú hygienu pre firmy

Tieto a ďalšie zmeny začnú pre vybrané subjekty na Slovensku platiť už čoskoro a je preto potrebné sa na ne začať čo najskôr pripravovať.