• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: V akom štádiu je implementácia NIS 2 do slovenskej legislatívy?

Slovensko sa nachádza v pokročilom štádiu implementácie európskej smernice NIS 2 do svojej národnej legislatívy. Smernica NIS 2 predstavuje významný krok v oblasti kybernetickej bezpečnosti v rámci Európskej únie a jej cieľom je zvýšiť odolnosť kľúčovej digitálnej infraštruktúry a štátnych systémov proti kybernetickým hrozbám. V súlade s harmonogramom EÚ musí byť transpozícia tejto smernice dokončená do 17. októbra 2024.

Slovenská republika si túto povinnosť uvedomuje a Ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI) už zverejnilo návrh zákona, ktorým sa má adaptácia NIS 2 realizovať. V legislatívnom procese prebieha diskusia s viacerými zainteresovanými stranami vrátane subjektov kritickej infraštruktúry, prevádzkovateľov základných služieb, ako aj predstaviteľov verejnej správy. Cieľom článku je zodpovedať často kladené otázky (FAQ) ohľadom implementácie NIS 2 v Slovenskej republike prostredníctvom uceleného prehľadu legislatívnych krokov, dopadov na dotknuté subjekty, odborných požiadaviek a časovej osi. Pre podniky i verejné inštitúcie je podstatné pochopiť, aké povinnosti im z tejto smernice vyplývajú a ako sa na ne pripraviť.

Čo je to NIS 2 a prečo je dôležitá pre Slovensko?

Smernica NIS 2 (Directive (EU) 2022/2555) je revidovanou verziou pôvodnej smernice o bezpečnosti sietí a informačných systémov (NIS), ktorú EÚ prijala v roku 2016. Nová verzia prináša výrazné rozšírenie rozsahu povinností a počtu subjektov, na ktoré sa vzťahuje. Cieľom je lepšie reagovať na dynamicky sa vyvíjajúce kybernetické hrozby a zabezpečiť vyššiu mieru digitálnej odolnosti naprieč Európou.

Pre Slovensko to znamená zásadnú reformu legislatívy v oblasti kybernetickej bezpečnosti, ktorá sa dotkne širokého spektra odvetví – od energetiky, dopravy, vodárenstva, zdravotníctva až po digitálne služby a verejnú správu. NIS 2 zavádza jasnejšie povinnosti v oblasti riadenia kybernetickej bezpečnosti, nahlasovania incidentov a vykonávania bezpečnostných opatrení v súlade s rizikom. Slovensko je tak povinné implementovať nové pravidlá a zabezpečiť ich dodržiavanie u všetkých určených subjektov.

Aktuálny stav legislatívneho procesu na Slovensku

Implementácia NIS 2 na Slovensku prebieha prostredníctvom prípravy nového zákona o kybernetickej bezpečnosti, ktorý nahradí aktuálne platný zákon č. 69/2018 Z.z. Návrh zákona bol zverejnený na pripomienkovanie v priebehu jari 2024 a momentálne sa nachádza v štádiu medzirezortného pripomienkového konania.

Kľúčové kroky legislatívneho procesu:

  • Formulácia návrhu zákona Ministerstvom investícií, regionálneho rozvoja a informatizácie
  • Pripomienkové konanie s účasťou štátnych orgánov, súkromného sektora a odborníkov
  • Zohľadnenie výstupov z diskusií a ich zapracovanie do finálneho návrhu
  • Predkladanie zákona do Národnej rady SR
  • Schválenie a stanovenie účinnosti najneskôr do októbra 2024

Legislatívny návrh preberá všetky požiadavky stanovené smernicou NIS 2, vrátane rozšírenia pôsobnosti na nové sektory a definície dvoch kategórií subjektov – základné a dôležité entity.

Ktoré organizácie budú novou legislatívou ovplyvnené?

Smernica NIS 2 významne rozširuje počet subjektov, ktorých sa povinnosti týkajú. Zatiaľ čo pôvodná legislatíva sa zameriavala najmä na prevádzkovateľov základných služieb, teraz sa pôsobnosť rozširuje na množstvo ďalších organizácií.

1. Základné entity (Essential Entities)

Patria sem organizácie pôsobiace v sektoroch ako:

  • Energetika (elektrina, plyn, ropa)
  • Doprava (letecká, železničná, cestná, lodná)
  • Zdravotníctvo (nemocnice, laboratóriá)
  • Vodárenstvo a odpadové služby
  • Digitálna infraštruktúra (cloudy, DNS poskytovatelia, dátové centrá)

2. Dôležité entity (Important Entities)

Ide o podniky, ktoré síce nesplňujú kritériá základných entít, ale ich činnosť má významný dopad na verejné služby a hospodárstvo. Patria sem:

  • Výroba kritických produktov (napr. lieky, medicínske zariadenia)
  • Digitálne služby (vyhľadávače, online trhy)
  • Poštové a kuriérne služby

Aké povinnosti vyplývajú z NIS 2 pre dotknuté subjekty?

Smernica NIS 2 kladie dôraz na preventívne opatrenia a schopnosť rýchlo reagovať na incidenty. Organizácie, ktoré spadajú pod pôsobnosť zákona, budú musieť implementovať viaceré opatrenia:

1. Riadenie kybernetických rizík

  • Implementácia technických a organizačných opatrení primeraných identifikovaným hrozbám
  • Pravidelné hodnotenie rizík
  • Zavedenie interných politík a školení pre zamestnancov

2. Nahlasovanie incidentov

  • Oznamovacia povinnosť do 24 hodín od zistenia incidentu
  • Správa o incidente určenému orgánu – Národnej jednotke SK-CERT
  • Spolupráca pri vyšetrovaní kybernetických udalostí

3. Povinnosti manažmentu a zodpovedných osôb

  • Vyššia osobná zodpovednosť vrcholového manažmentu
  • Vytvorenie pozície zodpovednej osoby za kybernetickú bezpečnosť

Ako sa pripravujú slovenské inštitúcie a podniky?

Mnohé organizácie už začali s implementáciou interných politík, školení a technických opatrení. Očakáva sa, že Národný bezpečnostný úrad (NBÚ) zintenzívni kontrolnú úlohu a bude vydávať praktické metodiky pre jednotlivé sektory. Pre pripravované legislatívne povinnosti sa odporúča:

  • Analyzovať interné procesy v oblasti informačnej bezpečnosti
  • Identifikovať aktíva a potenciálne hrozby
  • Začať implementovať nové bezpečnostné opatrenia podľa rámca NIS 2

Súčasne sa pripravujú školenia a kampane zamerané na zvýšenie povedomia najmä u malých a stredných podnikov, ktoré si nemusia byť plne vedomé nových požiadaviek.

Časový harmonogram implementácie NIS 2

Okrem pevnej transpozičnej lehoty stanovenou EÚ (október 2024) je dôležité poznať aj plánované národné míľniky:

  • marec – jún 2024: medzirezortné pripomienkovanie a odborné diskusie
  • júl – august 2024: úprava návrhu zákona podľa pripomienok a predkladanie do legislatívneho procesu
  • september 2024: schvaľovanie zákona v Národnej rade SR
  • október 2024: účinnosť zákona v súlade so smernicou NIS 2

Záver: Ako by sa mali organizácie pripraviť?

Implementácia NIS 2 bude pre slovenské subjekty výzvou, ale aj príležitosťou na zvýšenie kybernetickej odolnosti. Dôležité bude nielen splnenie legislatívnych povinností, ale hlavne vytvorenie kultúry kybernetickej bezpečnosti naprieč organizáciami.

Odporúčania pre organizácie:

  • Vyhodnotiť, či spadajú pod pôsobnosť nového zákona
  • Oboznámiť sa s požiadavkami NIS 2
  • Začať s internými auditmi a rizikovými analýzami
  • Investovať do školení zamestnancov a technologických riešení
  • Spolupracovať s odborníkmi na kybernetickú bezpečnosť

Čím skôr organizácia začne s prípravami, tým jednoduchšie zvládne prechod na nový režim kybernetickej ochrany. NIS 2 totiž nebude len právnym dokumentom, ale cestou k bezpečnejšiemu digitálnemu prostrediu pre celú krajinu.