Zmeny a súvisiace informácie

Áno aj nie. Smernica ako právny akt Európskej únie sa vyznačuje vyššou právnou silou ako národná právna úprava Slovenskej republiky, čo znamená, že jej znenie je pre Slovenskú republiku záväzné.

Špecifikom smerníc Európskej únie však je, že na to, aby sa dosiahli ciele, ktoré sú v smernici stanovené, členské štáty Európskej únie ich musia začleniť do svojho vnútroštátneho práva. Tento proces nazývame transpozíciou.

Rovnaký postup bol aplikovaný aj v prípade pôvodnej Smernice NIS, ktorá bola do nášho právneho poriadku transponovaná zákonom o kybernetickej bezpečnosti. Aj preto je tu vysoká pravdepodobnosť, že aj nová Smernica NIS II bude transponovaná zákonom o kybernetickej bezpečnosti, čím sa jej ciele stanú záväzné pre všetky povinné osoby spadajúce pod pôsobnosť zákona o kybernetickej bezpečnosti.

Smernica NIS II sa týka všetkých povinných osôb v zmysle súčasného znenia zákona o kybernetickej bezpečnosti, najmä prevádzkovateľov základnej služby a poskytovateľov digitálnej služby (aj tých, ktorí si doposiaľ svoju povinnosť nahlásenia sa na Národný bezpečnostný úrad nesplnili).

Smernica NIS II však zároveň prichádza so značným rozšírením v súčasnosti známych sektorov a podsektorov v zmysle zákona o kybernetickej bezpečnosti a tým aj povinných osôb.

Oproti súčasnej právnej úprave zákona o kybernetickej bezpečnosti pribudnú nasledovné odvetvia (sektory) a pododvetvia (podsektory):

•  Odpadová voda
• Vesmír
• Kuriérske služby
• Odpadové hospodárstvo
• Výroba, spracovanie a distribúcia potravín
• Vodík
• Diaľkové vykurovanie a chladenie
• Výroba (zdravotnícke pomôcky, počítačové, elektronické a optické výrobky, elektrické zariadenia, stroje a zariadenia, motorové vozidlá, návesy, prívesy, ostatné dopravné prostriedky...)
  
• Výskum
  

Na Slovensku by vďaka tomuto rozšíreniu malo odhadom pribudnúť niekoľko stoviek až tisíc nových povinných osôb spadajúcich pod zákon o kybernetickej bezpečnosti. Keďže transpozícia Smernice NIS 2 sa vysoko pravdepodobne udeje prostredníctvom zákona o kybernetickej bezpečnosti, vybrané subjekty vykonávajúce činnosti v týchto nových oblastiach budú tiež povinné plniť požiadavky tohto zákona.

Dochádza k upusteniu od pojmu prevádzkovateľ základnej služby, ktorý je v súčasnosti známy zo zákona o kybernetickej bezpečnosti.

Povinné osoby sa po novom budú rozlišovať na dve základné skupiny, a to kľúčové subjekty a dôležité subjekty.

Súčasní poskytovatelia digitálnych služieb (s výnimkou poskytovateľov služieb cloud computingu) budú po novom zaradení do kategórie dôležitých subjektov. Samotní poskytovatelia služieb cloud computingu budú považovaní za kľúčové subjekty.

Smernica NIS II rovnako ako jej predchodkyňa prichádza len so všeobecným minimálnym bezpečnostným rámcom, ak chcete „must have“ požiadavkami, ktoré sa majú zrkadliť v národných právnych úpravách.

 Sú to nasledovné požiadavky:

• analýza rizík a bezpečnostné politiky informačného systému
• riešenie incidentov (predchádzanie incidentom, ich odhaľovanie a reakcia na ne)
• kontinuita činností a krízové riadenie
• bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napríklad poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb;
• bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov vrátane riešenia zraniteľností a zverejňovania informácií o zraniteľnostiach
• politiky a postupy (testovanie a audit) na posúdenie účinnosti opatrení na riadenie bezpečnostných rizík
• používanie kryptografie a šifrovania

Čo myslíte, ktoré z bezpečnostných požiadaviek Smernice NIS II sú pre slovenský zákon o kybernetickej bezpečnosti nové? Myslíte správne, žiadne. Všetky vyššie uvedené opatrenia (oblasti, pre ktoré sa prijímajú bezpečnostné opatrenia), už sú súčasťou slovenskej právnej úpravy.

Najzásadnejšou zmenou, ktorú Smernica NIS II oproti súčasnej právnej úprave prináša teda nie sú nové povinnosti, ale počet nových subjektov, ktoré budú povinné plniť už existujúce a výhľadovo ďalšie povinnosti v zmysle zákona o kybernetickej bezpečnosti.

Ak by sme ale predsa len mali predvídať, kde a ako sa zákon o kybernetickej bezpečnosti bude (mal by) v kontexte Smernice NIS II meniť, bolo by to nasledovné:

• doplnenie novej povinnosti popri kybernetických bezpečnostných incidentoch hlásiť aj závažné kybernetické hrozby
• doplnenie lehôt v rámci riešenia kybernetických bezpečnostných incidentov (do 24 hodín od zistenia incidentu poskytnúť prvotné oznámenie; najneskôr jeden mesiac po uskutočnení prvotného oznámenia predložiť konečnú správu o riešení incidentu)
• možnosť dohody s príslušnými orgánmi (napr. jednotkou CSIRT) na predlžení lehôt pre hlásenie incidentu a predloženie konečnej správy o riešení incidentu
• poskytnutie odpovede k prvotnému oznámeniu o incidente vrátane počiatočnej spätnej väzby k incidentu zo strany prijímateľa oznámenia
• na požiadanie oznamovateľa incidentu získanie usmernenia k vykonávaniu možných zmierňujúcich opatrení k hlásenému incidentu

V kontexte vyššie uvedených možných vstupov do zákona o kybernetickej bezpečnosti stojí za povšimnutie nasledovné.

Prvým je síce nenápadné, ale veľmi dôležité rozšírenie notifikačných povinností aj o kybernetické hrozby. Zákon o kybernetickej bezpečnosti totižto v súčasnom znení pod hrozbou sankcie vyžaduje, aby prevádzkovatelia hlásili len závažné kybernetické bezpečnostné incidenty, ktorých atribúty (klasifikáciu) stanovuje osobitná vyhláška. Právnym výkladom by sa teda dalo dospieť k nešťastnému až nezmyselnému záveru, v zmysle ktorého prevádzkovateľ „čaká a môže čakať“ na to, kým incident dosiahne aspoň prvý stupeň závažnosti a až následne ho nahlási príslušnému orgánu. Samozrejme dobrovoľnosť hlásenia tým nie je dotknutá. Tým, že po novom budú povinné osoby musieť hlásiť aj závažné kybernetické hrozby (klasifikácia podľa všetkého pribudne neskôr), odstráni sa tento možno výkladovo udržateľný, ale z praktického, logického a v neposlednom rade bezpečnostného pohľadu nezmyselný (možný) „vyčkávací“ výklad procesu hlásenia incidentov.

Druhou je časť riešenia incidentov, kedy na strane štátu (napr. jednotke CSIRT) pribúda explicitná požiadavka na poskytovanie odpovedí, spätných väzieb či usmernení k hláseným incidentom.

Z praxe vieme, že v minulosti nastávali aj také situácie, kedy prevádzkovatelia základných služieb k svojim hláseniam incidentov nedostali žiadnu spätnú väzbu, súčinnosť alebo pomoc, niekedy ani potvrdenie o prijatí ich vlastného oznámenia o kybernetickom bezpečnostnom incidente. Nové povinnosti na strane štátu by tak mohli prispieť ku rýchlejším či kvalifikovanejším reakciám na incidenty. A jednotky CSIRT by pôsobili aj tam, kde absencia dostatočnej expertízy (riešenie incidentov samotnými povinnými osobami) nie je len citeľná, ale hlavne nebezpečná.

Logicky sa tu však vynára ďalšia súvislosť, a to kapacity súčasných jednotiek CSIRT na Slovensku. Ako a či bude štát schopný túto novú požiadavku Smernice NIS II naplniť je na inú diskusiu.

Medzi kontrolné prostriedky patria napríklad kontroly na mieste, skeny zraniteľností, žiadosti o poskytnutie informácií, žiadosti o sprístupnenie dát alebo preukázanie zavedenia bezpečnostných politík.

Pokiaľ sa jedná o audity kybernetickej bezpečnosti, ktoré sú na Slovensku vykonávané už na základe súčasnej právnej úpravy zákona o kybernetickej bezpečnosti, uvedené sa nezmení ani na základe Smernice NIS II. Tá totižto vyžaduje, aby členské štáty mali pri vykonávaní svojich úloh dohľadu oprávnenie podrobiť povinné osoby pravidelným auditom. Pre Slovenskú republiku sa tak nejedná o žiadnu novinku, ale o pokračovanie v už existujúcom a zavedenom systéme pravidelných výkonov auditov kybernetickej bezpečnosti.

Významnú zmenu zaznamená aj existujúci sankčný mechanizmus zákona o kybernetickej bezpečnosti, ktorý zásadným spôsobom posilní. A to najmä v maximálnej výške pokút, ktoré budú v prípade kľúčových subjektov 10 miliónov EUR alebo 2 % z celosvetového obratu a v prípade dôležitých subjektov 7 miliónov EUR alebo 1,4 % z celosvetového obratu. Proti súčasnej maximálnej výške 300 000 EUR v zmysle zákona o kybernetickej bezpečnosti tak môžeme hovoriť o značnom sprísnení a priradení váhy kybernetickej bezpečnosti.

Pribudnú aj niektoré donucovacie prostriedky. Nakoľko Národný bezpečnostný úrad má už na základe súčasného znenia zákona o kybernetickej bezpečnosti veľmi široké „donucovacie“ oprávnenia voči povinným osobám, za zmienku stojí oprávnenie pozastaviť certifikáciu alebo existujúce povolenie umožňujúce povinnej osobe vykonávať niektorú z regulovaných činností alebo uložiť dočasný zákaz vykonávať riadiace funkcie v povinnej osobe.

Pokiaľ Vás nepresvedčili nové vysoké pokuty až do 10 miliónov EUR alebo 2 % z celosvetového obratu alebo končiaca trpezlivosť Národného bezpečnostného úradu so subjektami, ktoré dodnes neplnia požiadavky zákona o kybernetickej bezpečnosti, je tu ešte jeden dôvod. Smernica NIS II so žiadnymi zásadnými bezpečnostnými požiadavkami v porovnaní so súčasným znením zákona o kybernetickej bezpečnosti neprichádza. Bezpečnostné požiadavky Smernice NIS II sú už od roku 2018 súčasťou právnej úpravy kybernetickej bezpečnosti na Slovensku, a to v podobe Vyhlášky č. 362/2018 Z. z.

Súčasné, ale najmä nové povinné osoby tak majú už dnes, ešte pred novelizáciou zákona o kybernetickej bezpečnosti v kontexte Smernice NIS II značný náskok, ktorý vedia využiť na časovo vyváženú a obsahovo dostatočnú a správnu implementáciu požiadaviek zákona o kybernetickej bezpečnosti.

Nečakajte na poslednú chvíľu. Bude Vás to totižto zbytočne stáť stres a peniaze. A aj to za predpokladu, že v danom čase vôbec nájdete voľného a dostatočne kvalifikovaného odborníka, ktorý by Vám s kybernetickou bezpečnosťou vedel pomôcť.