Nové kybernetické povinnosti podľa NIS2: Podrobný prehľad pre firmy a inštitúcie od roku 2025

Aktualita
April 24, 2025
Nové kybernetické povinnosti podľa NIS2: Podrobný prehľad pre firmy a inštitúcie od roku 2025
Od 1. januára 2025 platí na Slovensku novela Zákona o kybernetickej bezpečnosti (ZoKB), ktorá implementuje smernicu EÚ NIS2. Prináša nové povinnosti pre mnohé firmy a inštitúcie, vrátane bezpečnostných auditov a požiadaviek na kybernetickú hygienu a ochranu.

Koho sa týkajú nové pravidlá?

Smernica NIS2 a novela zákona výrazne rozširujú počet subjektov, na ktoré sa vzťahujú nové bezpečnostné požiadavky. Kľúčové je zistiť, či vaša organizácia patrí medzi tzv. prevádzkovateľov základnej služby (PZS). Tí sa ďalej delia na:

  1. Kľúčové subjekty: Vykonávajú kritickú základnú službu. Patria sem subjekty prekračujúce limity stredného podniku v najdôležitejších sektoroch (energetika, doprava, bankovníctvo, infraštruktúra finančného trhu, zdravotníctvo, pitná a odpadová voda, digitálna infraštruktúra, správa ICT služieb B2B, verejná správa, vesmír), ako aj niektoré subjekty bez ohľadu na veľkosť (napr. poskytovatelia kvalifikovaných dôveryhodných služieb, správcovia TLD, poskytovatelia DNS, kritické štátne orgány, subjekty kritickej infraštruktúry).
  2. Dôležité subjekty: Ostatní prevádzkovatelia základných služieb, spravidla stredné podniky pôsobiace v sektoroch uvedených v prílohách zákona (vrátane "iných kritických sektorov" ako poštové a kuriérske služby, odpadové hospodárstvo, výroba chemikálií, výroba/spracovanie/distribúcia potravín, výroba zdravotníckych pomôcok, digitálni poskytovatelia - online trhoviská, vyhľadávače, platformy sociálnych sietí, výskumné organizácie).

Identifikačné kritériá: Primárne sa posudzuje sektor pôsobenia (podľa príloh zákona) a veľkosť podniku (stredný podnik = 50-249 zamestnancov a/alebo ročný obrat 10-50 mil. EUR / celková ročná bilančná suma 10-43 mil. EUR; alebo podnik presahujúci tieto limity). Existujú však výnimky, kedy subjekt spadá pod reguláciu aj ako malý podnik alebo bez ohľadu na veľkosť (napr. jediný poskytovateľ služby v SR, významné systémové riziko, kľúčový pre verejný poriadok/bezpečnosť).

Do pozornosti tiež dávame interaktívny formulár na orientačnú samo-identifikáciu ktorý pripravil NBÚ.

Aké sú kľúčové povinnosti PZS?

  • Identifikácia a Registrácia: Každý subjekt si musí sám overiť, či spĺňa kritériá PZS. Ak áno, je povinný sa zaregistrovať na Národnom bezpečnostnom úrade (NBÚ) podaním oznámenia cez ústredný portál verejnej správy. Lehota pre existujúce subjekty bola do 2. marca 2025, pre nové subjekty platí lehota 60 dní od začatia relevantnej činnosti. NBÚ následne do 30 dní potvrdí zaradenie.
  • Analýza rizík: Kľúčová zmena – nahrádza predchádzajúcu kategorizáciu a klasifikáciu. PZS musí vykonať komplexnú analýzu rizík svojich sietí a informačných systémov, identifikovať aktíva, hrozby, zraniteľnosti a potenciálne dopady. Táto analýza je základom pre prijatie primeraných bezpečnostných opatrení. NBÚ poskytuje metodiku.
  • Implementácia bezpečnostných opatrení: Na základe analýzy rizík musia PZS prijať a dodržiavať primerané technické, prevádzkové a organizačné bezpečnostné opatrenia. Zákon stanovuje minimálny rozsah (§ 20), ktorý zahŕňa oblasti ako politiky riadenia rizík, riešenie incidentov, kontinuita činností, bezpečnosť dodávateľského reťazca, bezpečnosť pri vývoji a údržbe systémov, politiky hodnotenia účinnosti opatrení, minimálna kybernetická hygiena (aktualizácie, heslá, zálohy, riadenie prístupov, školenia), kryptografia, bezpečnosť ľudských zdrojov, používanie viacfaktorovej autentifikácie a zabezpečenej komunikácie. Lehota na prijatie opatrení je 12 mesiacov od zápisu do registra.
  • Zabezpečenie dodávateľského reťazca: Ak PZS využíva tretiu stranu (dodávateľa) pre činnosti ovplyvňujúce jeho kybernetickú bezpečnosť, musí s ňou uzavrieť zmluvu o zabezpečení plnenia bezpečnostných opatrení a vykonať analýzu rizík tohto vzťahu. Dodávateľ sa musí podrobiť kontrole. Zavádza sa tak aj zodpovednosť subjektov v dodávateľskom reťazci (výnimky platia, ak je dodávateľ sám PZS alebo riziko je nízke).
  • Manažér kybernetickej bezpečnosti: Každý PZS musí určiť a menovať osobu zodpovednú za kybernetickú bezpečnosť (môže byť interná alebo externá).
  • Oznamovacie povinnosti (Hlásenie incidentov): Jedna z najdôležitejších povinností. PZS musí bezodkladne hlásiť NBÚ:
    • Každý závažný kybernetický bezpečnostný incident (definovaný ako rozsiahly incident spôsobujúci alebo hroziaci závažným narušením služby, škodou veľkého rozsahu, alebo zasahujúci iné osoby so škodou značného rozsahu). Hlásenie prebieha v 2 fázach:
      • Včasné varovanie: Do 24 hodín od zistenia incidentu (s informáciou o možnom protiprávnom konaní a cezhraničnom vplyve).
      • Oznámenie o incidente: Do 72 hodín od zistenia (aktualizácia informácií, prvé posúdenie závažnosti a dopadov).
    • Významnú kybernetickú hrozbu, o ktorej sa dozvie.
    • Udalosť, ktorá takmer viedla k závažnému incidentu.
    • Zraniteľnosť vo verejne dostupných systémoch, ktorá by mohla byť zneužitá a PZS ju nemôže včas odstrániť.
  • Kybernetický audit: PZS musia overiť účinnosť prijatých opatrení a súlad so zákonom prostredníctvom auditu. Audit môže vykonať len certifikovaný audítor kybernetickej bezpečnosti.
    • Prvý audit: Do 2 rokov od zápisu do registra PZS.
    • Následné audity: Každé 2 roky, alebo pri významnej zmene ovplyvňujúcej bezpečnostné opatrenia.
    • Správa z auditu: Musí byť doručená NBÚ do 30 dní od jej odovzdania PZS. Zistené nedostatky musia byť odstránené.
    •  
  • Samohodnotenie: Možnosť pre dôležité subjekty (nie kľúčové). Vykonáva ho manažér kybernetickej bezpečnosti. Avšak, aj tieto subjekty musia vykonať prvý audit certifikovaným audítorom do 5 rokov od registrácie.

Aké sú dôležité lehoty?

  • Registrácia na NBÚ: do 2.3.2025 / do 60 dní od začatia činnosti.
  • Implementácia bezpečnostných opatrení: do 12 mesiacov od zápisu do registra.
  • Prvý kybernetický audit: do 2 rokov od zápisu do registra.
  • Hlásenie závažného incidentu: 24 hodín (včasné varovanie), 72 hodín (oznámenie).
  • Doručenie správy z auditu NBÚ: do 30 dní od odovzdania PZS.

Aké sú sankcie za nedodržanie povinností?

Zákon stanovuje prísne sankcie (správne delikty) za porušenie povinností. Pokuty sa môžu pohybovať:

  • Od 300 € do 500 000 €: napr. za neoznámenie začiatku činnosti, neohlásenie zmien, neaktuálnu dokumentáciu, neodstránenie nedostatkov z auditu.
  • Od 300 € do 7 000 000 € alebo 1,4 % celkového celosvetového ročného obratu pre dôležité subjekty: napr. za neplnenie bezpečnostných opatrení, nehlásenie závažného incidentu, nevykonanie nariadení NBÚ.
Tieto zmeny predstavujú významný krok k zvýšeniu kybernetickej bezpečnosti, ale zároveň kladú značné nároky na dotknuté organizácie. Je nevyhnutné, aby sa spoločnosti a inštitúcie včas oboznámili so svojimi povinnosťami, vykonali potrebné analýzy a implementovali požadované opatrenia, aby predišli nielen možným sankciám, ale hlavne reálnym škodám spôsobeným kybernetickými incidentmi.

NIS2 novinky

Chcete byť informovaný o novinkách v smernici NIS2 a kyberbezpečnosti na Slovensku? Zadajte Váš e-mail a prihláste sa na odber najnovších informácií, exkluzívnych článkov a pozvánok na odborné workshopy.

Ďakujeme za Váš záujem!
Oops! E-mail má nesprávny tvar.
Stránka
NIS2
Naša ponuka
Prečo Slovanet
AktualityKontakt
O nás
Ročné správy
Tlačové správyManažmentManažérske systémyCSRVybrali si násOceneniaKariéra
Segmenty
DevelopmentHORECA
IT a vývojKanceláriePodujatiaPriemyselRetailŠkolstvoSmart CityZdravotníctvo
Iné
Právne informácie
Ochrana osobných údajov
Copyright © Slovanet. Všetky práva vyhradené.