S prijatím smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii prichádza množstvo nových povinností pre veľké a stredné podniky v špecifických sektoroch.
Článok advokátskej kancelárie Eversheds Sutherland vyšiel v decembrovom vydaní časopisu Odpadové hospodárstvo 10-12/2023 s prílohou ENERGO, ktorý v printovej verzii dostali naši predplatitelia. Teraz článok prinášame online.
Smernicu o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (ďalej ako „Smernica NIS 2“)1 sú členské štáty povinné transponovať do svojich vnútroštátnych právnych poriadkov najneskôr do 17. 10. 2024.
Dotknuté subjekty by nemali s prípravou na splnenie nových pravidiel čakať do poslednej chvíle, vzhľadom na zložitosť a rozsah tejto problematiky. V neposlednom rade je potrebné zdôrazniť, že za nedodržiavanie povinností vyplývajúcich zo Smernice NIS 2 hrozia pokuty, ako aj pozastavenie certifikácie a vyvodenie osobnej zodpovednosti voči členom riadiacich orgánov daných podnikov.
Po novom sa predpisy týkajúce sa kybernetickej bezpečnosti budú vzťahovať na každý subjekt, ktorý
- (i) poskytuje jednu zo služieb uvedených v smernici2 a zároveň
- (ii) zamestnáva 50 a viac zamestnancov a
- (iii) ročný obrat/ročná bilancia dosahuje viac ako 10 miliónov EUR.
Smernicou NIS 2 sa budú musieť riadiť aj podniky vykonávajúce činnosti nakladania s odpadom3, s výnimkou podnikov, pre ktoré nakladanie s odpadom nepredstavuje hlavnú hospodársku činnosť. Na podniky v oblasti energetiky sa aj v súčasnosti vzťahujú určité pravidlá kybernetickej bezpečnosti, avšak Smernica 2 prináša nové pravidlá aj pre subjekty zasiahnuté prvou smernicou NIS o bezpečnosti sietí a informačných systémov (ďalej ako „prvá smernica NIS“)4.
Malé podniky a mikropodniky sú síce z nových pravidiel vyňaté, ale táto výnimka sa nevzťahuje na určité podniky v odvetviach elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb, poskytovateľov dôveryhodných služieb alebo registrov domén najvyššej úrovne (TLD).
Cieľom Smernice NIS 2 je dosiahnuť rovnakú úroveň kybernetickej odolnosti členských štátov, a to najmä stanovením minimálnych pravidiel v oblasti kybernetickej bezpečnosti, určením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi jednotlivých členských štátov, aktualizáciou zoznamu dotknutých odvetví a činností viazaných povinnosťami v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a prostriedkov na ich presadzovanie.
Pre Slovenskú republiku znamená prijatie Smernice NIS 2 povinnosť zabezpečiť jej transpozíciu do vnútroštátnej úpravy, a to najmä v podobe novelizácie zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „Zákon o KB“), ktorý bol prijatý v nadväznosti na prvú smernicu NIS, ktorá sa prijatím Smernice NIS 2 zároveň ruší.
Za oblasť kybernetickej bezpečnosti v Slovenskej republike zodpovedá Národný bezpečnostný úrad (ďalej ako „Úrad“), ktorý pôsobí ako orgán dohľadu a zároveň ako národné kontaktné miesto pre kybernetickú bezpečnosť.
Úrad taktiež zriadil špecializovaný útvar, prostredníctvom ktorého sú zabezpečované služby spojené s riadením bezpečnostných incidentov, odstraňovaním následkov týchto incidentov a následnou obnovou činnosti informačných systémov, a to Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré má postavenie tzv. národnej jednotky CSIRT (jednotka pre riešenie počítačových bezpečnostných incidentov).
Smernica NIS 2 prináša najzásadnejšiu zmenu v podobe rozšírenia povinných subjektov a ich nového rozdelenia na kľúčové a dôležité. Transpozíciou Smernice NIS 2 sa okruh povinných subjektov z doterajšieho okruhu subjektov (oblasť bankovníctva, energetiky, dopravy, digitálnej infraštruktúry, poštových služieb, digitálnych služieb, vody, zdravotníctva, verejnej správy a vybraných odvetví priemyslu) rozšíri i na subjekty vykonávajúce činnosť v týchto odvetviach:
- odpadové hospodárstvo,
- odpadová voda,
- výroba, spracovanie a distribúcia potravín,
- výroba a distribúcia chemických látok,
- výroba (zdravotníckych pomôcok, počítačov, elektronických a optických výrobkov, strojov a vymedzených zariadení, motorových vozidiel, návesov, prívesov a ostatných dopravných prostriedkov),
- kuriérske služby,
- výskum,
- vesmír.
Ďalšiu zmenu predstavuje stanovenie lehôt v procese riešenia významných kybernetických bezpečnostných incidentov, a to povinnosť dotknutého subjektu do 24 hodín od zistenia incidentu poskytnúť včasné varovanie príslušnému orgánu, resp. jednotke CSIRT, následne do 72 hodín poskytnúť oznámenie o incidente s prvotným posúdením závažnosti a vplyvu incidentu a najneskôr do jedného mesiaca po poskytnutí oznámenia poskytnúť príslušnému orgánu záverečnú správu obsahujúcu posúdenie incidentu, prijaté opatrenia a prípadný cezhraničný vplyv incidentu.
S cieľom posilniť účinnosť a odrádzajúci účinok opatrení Smernice NIS 2 pribudnú i nové donucovacie prostriedky. Úrad bude okrem iného oprávnený dočasne pozastaviť certifikáciu alebo povolenie na časť alebo všetky relevantné služby alebo činnosti poskytované kľúčovým subjektom, a taktiež požadovať uloženie dočasného zákazu fyzickej osobe vykonávať riadiace funkcie v dotknutom subjekte.
Zbystriť pozornosť by mali predovšetkým členovia riadiacich orgánov (štatutári, riaditelia podnikov), ktorí budú zodpovedať za schvaľovanie a implementáciu opatrení a za ich dodržiavanie a ktorí sa budú musieť povinne zúčastňovať pravidelných školení o kybernetickej bezpečnosti. Za nedodržanie povinností bude členom riadiacich orgánov hroziť vyvodenie osobnej zodpovednosti, pričom konkrétne sankcie stanoví vnútroštátna legislatíva.
Okrem vyššie uvedených donucovacích opatrení sa ustanovuje podstatne vyššia výška pokút, ktoré môžu byť uložené subjektom za porušenie povinností stanovených Smernicou NIS 2. Pokuta pre kľúčové subjekty môže byť uložená až výšky 10 mil. EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúci rok; pokuta pre dôležité subjekty môže byť uložená do výšky 7 mil. EUR alebo 1,4 % celkového celosvetového ročného obratu za prechádzajúci rok (aktuálna maximálna výška pokuty podľa zákona o KB predstavuje 300-tis. EUR).
Konečný termín transpozície Smernice NIS 2 je síce až v októbri 2024, avšak vzhľadom na rozsah zavádzaných povinností odporúčame subjektom dotknutých novou právnou úpravou začať s prípravou na novú legislatívu s predstihom, t. j. napríklad podniky pôsobiace v odpadovom hospodárstve budú v zmysle NIS 2 povinné najmä:
- vykonať analýzu možných rizík kybernetickej bezpečnosti,
- prijať a dodržiavať stratégiu kybernetickej bezpečnosti (t. j. prijať internú dokumentáciu),
- vykonať vhodné a primerané technické, operačné bezpečnostné opatrenia (napr. zálohovanie všetkých dát na hmotnom nosiči, ktorý nie je pripojený do siete, pravidelne aktualizovať zariadenia a antivírusové programy, používanie kryptografie a šifrovania),
- absolvovať odbornú prípravu (a to tak riadiace orgány, ako i zamestnanci),
- dokumentovať prijaté zmeny v infraštruktúre siete a ďalšie povinnosti.
Povinnosti súvisiace s kybernetickou bezpečnosťou zavádzané Smernicou NIS 2 sa dotýkajú širšieho okruhu subjektov a tentoraz neminú ani subjekty zaoberajúce sa nakladaním s odpadom, ak spadajú medzi veľké a stredné podniky (t. j. zamestnávajú minimálne 50 zamestnancov a ročný obrat presahuje 10 miliónov EUR). Odporúčame dotknutým subjektom nepodceniť prípravu a využiť možnosť obrátiť sa na kompetentných poradcov, medzi ktorých patrí aj Advokátska kancelária Eversheds Sutherland.
1 Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148
2 Služby uvedené v prílohe č. 1 a prílohe č. 2 smernice NIS 2
3Pojem „nakladanie s odpadom“ je definovaný v článku 3 bodu 9 smernice Európskeho parlamentu a Rady 2008/98/ES nasledovne: zber, preprava, zhodnocovanie a zneškodňovanie odpadu vrátane dohľadu nad takýmito činnosťami a nasledujúcej starostlivosti o miesta zneškodňovania a zahŕňa konanie vo funkcii obchodníka alebo sprostredkovateľa.
4 Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.
JUDr. Simona Makúchová, advokátka
Mgr. Martina Ovečková, koncipientka
Eversheds Sutherland, advokátska kancelária, s.r.o.
© PROPERTY & ENVIRONMENT s. r. o. Autorské práva sú vyhradené a vykonáva ich vydavateľ.