News
HKV » Blog
Všetky články
Blog

Nový zákon o kybernetickej bezpečnosti: Rozšírenie regulácie a povinnosti pre prevádzkovateľov základných služieb.

Dalibor Palatický
Richard Jacko
21. februára 2025

od 1.januára 2025 nadobudol na Slovensku účinnosť nový Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (Zákon o kybernetickej bezpečnosti“), ktorým sa transponuje Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (Smernica NIS2). Tento právny predpis výrazne rozširuje okruh subjektov, na ktoré sa vzťahujú povinnosti v oblasti kybernetickej bezpečnosti. Firmy a organizácie pôsobiace v regulovaných sektoroch by mali venovať zvýšenú pozornosť tomu, či spadajú pod definíciu prevádzkovateľov základných služieb (PZS), pretože s týmto štatútom sa spájajú nové požiadavky a regulačné opatrenia.

Kto je považovaný za prevádzkovateľa základnej služby?

Nový Zákon o kybernetickej bezpečnosti zavádza pravidlá pre identifikáciu PZS, pričom taxatívny zoznam subjektov je uvedený priamo v Zákone o kybernetickej bezpečnosti. Konkrétne v § 17 ods. 1.

Pre posúdenie toho, či subjekt spadá pod pôsobnosť nového Zákona o kybernetickej bezpečnosti, je rozhodujúce, či sa naň vzťahuje kategória prevádzkovateľa základnej služby, aj keď samotná definícia základnej služby v zákone chýba.

S účinnosťou nového Zákona o kybernetickej bezpečnosti je za prevádzkovateľa základnej služby (PZS) považovaná každá organizácia, ktorá pôsobí v sektoroch kritických pre fungovanie hospodárstva a spoločnosti  vymedzených v prílohe 1 alebo 2 Zákona o kybernetickej bezpečnosti a zároveň spĺňa určité veľkostné kritériá. Medzi tieto sektory patria energetika, doprava, financie, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra, verejná správa, vesmírne technológie, poštové a kuriérske služby, odpadové hospodárstvo, výroba chemických látok, potravinárstvo či výskum.

Rozhodujúcim je , preto to či podnik spĺňa veľkostné kritériá – teda či ide o stredný alebo veľký podnik. Za stredný podnik sa považuje organizácia s menej ako 250 zamestnancami a ročným obratom alebo bilančnou sumou do 50 miliónov eur. Veľké podniky zamestnávajú 250 a viac zamestnancov a ich ročný obrat alebo bilančná suma presahuje 50 miliónov eur. Naopak, mikropodniky (do 10 zamestnancov a obrat do 2 miliónov eur) a malé podniky (do 50 zamestnancov a obrat do 10 miliónov eur) spravidla pod túto reguláciu nespadajú.

Podnikom sa pritom rozumie akýkoľvek subjekt vykonávajúci hospodársku činnosť bez ohľadu na právnu formu (napr. SZČO, rodinné firmy, partnerstvá, združenia).

Druhým rozhodujúcim kritériom je to či podnik vykonáva niektorú z činností uvedených v prílohách č. 1 alebo 2 Zákona kybernetickej bezpečnosti:

  • Príloha č. 1 stanovuje zoznam sektorov s vysokou úrovňou kritickosti (napr. energetika – výroba, prenos, distribúcia, dodávka alebo nákup elektriny; železničná doprava – zodpovednosť za zriadenie, správu a údržbu železničnej infraštruktúry vrátane riadenia dopravy; zdravotníctvo – poskytovatelia zdravotnej starostlivosti).
  • Príloha č. 2 zahŕňa iné kritické sektory (napr. výroba, spracovanie a distribúcia potravín, výroba motorových vozidiel, návesov a prívesov).

Do regulácie zároveň spadajú aj podniky bez ohľadu na ich veľkosť. Či ide o PSZ, sa posudzuje podľa toho, či podnik vykonáva niektorú z činností uvedených v prílohách č. 1 alebo 2 a zároveň poskytuje alebo vykonáva niektorú z činností vymedzených v § 17 ods. 1 písm. c) Zákona o kybernetickej bezpečnosti.

Zákon o kybernetickej bezpečnosti taktiež odstraňuje rozdiel medzi prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb, čím vytvára jednotný rámec pre reguláciu. Prevádzkovatelia základných služieb sú zároveň rozdelení do dvoch kategórií:

  • Kľúčové subjekty – prevádzkujúce kritickú základnú službu.
  • Dôležité subjekty – ostatní prevádzkovatelia základných služieb.

Nové povinnosti pre prevádzkovateľov základných služieb

Firmy, ktoré sa ocitnú v kategórii PZS, musia spĺňať prísne bezpečnostné požiadavky:

  • Povinnosť oznámiť svoj status NBÚ do 3. marca 2025 – ak organizácia vykonáva činnosť podľa § 17 ods. 1 Zákona kybernetickej bezpečnosti, musí oznámiť začatie tejto činnosti Národnému bezpečnostnému úradu SR (NBÚ) do 60 dní od jej začatia, teda lehota pre oznámenie NBÚ tak uplynie dňa 3.3.2025 (§ 17 ods. 2). V opačnom prípade im hrozia sankcie.
  • Povinnosť prijať a uplatňovať bezpečnostné opatrenia – do 12 mesiacov od zápisu do registra prevádzkovateľov základných služieb je organizácia povinná prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu opatrení podľa § 20 Zákona kybernetickej bezpečnosti, na zabezpečenie kybernetickej bezpečnosti a odolnosti (§ 19 ods. 1).
  • Povinnosť oznámiť zmenu zapísaných skutočností – každú zmenu zapísaných údajov, ktorá nie je referenčným údajom, je potrebné oznámiť NBÚ prostredníctvom jednotného informačného systému kybernetickej bezpečnosti najneskôr do 14 dní od vzniku zmeny (§ 17 ods. 6).
  • Povinnosť oznámiť začatie vykonávania kritickej základnej služby – organizácia je povinná oznámiť NBÚ začatie aspoň jednej činnosti, ktorá patrí do zoznamu kritických základných služieb (§ 18 ods. 2).
  • Povinnosť oznámiť zmluvu s treťou stranou o plnení bezpečnostných opatrení – ak organizácia uzatvorí zmluvu s treťou stranou na zabezpečenie plnenia bezpečnostných opatrení a notifikačných povinností, je povinná oznámiť túto skutočnosť NBÚ, a to vrátane informácie o ukončení zmluvy (§ 19 ods. 7).
  • Povinnosť hlásiť závažné kybernetické bezpečnostné incidenty – organizácia je povinná hlásiť každý závažný kybernetický bezpečnostný incident NBÚ v súlade s lehotami stanovenými v právnych predpisoch (§ 24 ods. 1).
  • Povinnosť zaviesť a pravidelne kontrolovať bezpečnostné opatrenia – organizácia musí implementovať technické a organizačné opatrenia na riadenie kybernetických rizík, pravidelne ich aktualizovať a zabezpečiť ich súlad s platnými bezpečnostnými štandardmi.
  • Povinnosť zabezpečiť ochranu dodávateľských reťazcov – organizácia je povinná zabezpečiť, aby aj jej dodávatelia a partneri spĺňali požadované štandardy kybernetickej bezpečnosti.

Sankcie za nedodržanie povinností

Nedodržanie povinností môže mať pre organizácie vážne následky. Sankcie za neohlásenie statusu PZS alebo nesplnenie bezpečnostných opatrení môžu dosiahnuť až 10 miliónov eur alebo 2 % z ročného obratu. V prípade opakovaného alebo úmyselného porušenia môže NBÚ uložiť aj ďalšie správne opatrenia, vrátane zákazu činnosti v určitých sektoroch.

Nový Zákon o kybernetickej bezpečnosti predstavuje zásadnú zmenu v regulácii kybernetickej bezpečnosti na Slovensku. Jeho cieľom je zvýšiť odolnosť firiem voči narastajúcim kybernetickým hrozbám a zabezpečiť stabilitu kľúčových služieb. Hoci nové povinnosti môžu predstavovať výzvu, v konečnom dôsledku posilnia ochranu citlivých údajov a digitálnych systémov, čím sa zvýši bezpečnosť celého ekosystému. Preto je nevyhnutné, aby podniky začali konať čo najskôr a včas si overili svoj súlad s novými pravidlami.

 

Ak máte akékoľvek otázky, neváhajte nás kontaktovať na e-mailovej adrese office@hkv.sk. Náš tím odborníkov je vám k dispozícii a rád vám pomôže s akoukoľvek požiadavkou.

 

 

Ďalšie články od tohto autora
Právne správy
Novela zákona o verejnom obstarávaní
Uncategorized @sk
Aké zmeny prináša od 15.07.2024 zákon o pobyte cudzincov?
Právne správy
Nový zákon č. 108/2024 Z. z. o ochrane spotrebiteľa