• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Od kedy je NIS 2 v platnosti?

Od kedy je NIS 2 v platnosti? Smernica NIS 2 (Network and Information Security Directive 2), ktorá je aktualizáciou pôvodnej smernice NIS z roku 2016, nadobudla platnosť 16. januára 2023. Táto nová legislatívna úprava bola prijatá s cieľom zlepšiť kybernetickú odolnosť v Európskej únii a rozšíriť rozsah pôsobnosti o širší okruh subjektov, ktoré musia plniť nové povinnosti v oblasti kybernetickej bezpečnosti.

NIS 2 vyplýva z rastúcich požiadaviek na bezpečnosť digitálnych služieb a infraštruktúr a reaguje na zvyšujúci sa počet kybernetických útokov. Oproti pôvodnej smernici prináša výrazné zmeny – rozširuje sa rozsah povinných subjektov, stanovujú sa prísnejšie opatrenia na riadenie rizík a zavádzajú sa prísnejšie kontrolné a sankčné mechanizmy. Cieľom tejto legislatívy je zabezpečiť vysokú úroveň spoločnej kybernetickej bezpečnosti v celej EÚ.

V tomto článku sa podrobne pozrieme na to, od kedy je NIS 2 v platnosti, aké dôsledky z toho vyplývajú pre firmy, organizácie aj jednotlivé členské štáty EÚ. Tiež vysvetlíme, ako sa nové pravidlá premietajú do slovenskej legislatívy a čo musia organizácie robiť, aby splnili nové požiadavky.

Čo je smernica NIS 2 a prečo vznikla

NIS 2 je druhou verziou smernice EÚ o bezpečnosti sietí a informačných systémov. Cieľom tejto smernice je zlepšiť úroveň kybernetickej bezpečnosti v členských štátoch EÚ tým, že stanovuje jednotné pravidlá pre ochranu kritickej a digitálnej infraštruktúry. NIS 2 vychádza zo skúseností s pôvodnou smernicou NIS, ktorú Európska únia prijala v 2016, no postupom času sa ukázalo, že nie je dostatočne účinná najmä kvôli úzkemu rozsahu pôsobnosti a odlišnej implementácii v členských štátoch.

Hlavné dôvody jej vzniku:

  • Stúpajúci počet kybernetických útokov na kritickú infraštruktúru.
  • Nedostatočná kybernetická odolnosť niektorých odvetví vo verejnom aj súkromnom sektore.
  • Potreba vytvoriť harmonizovaný rámec bezpečnostných opatrení na úrovni EÚ.

Výsledkom je NIS 2 – smernica, ktorá reflektuje vývoj technológií a hrozieb a zavádza prísnejšie bezpečnostné štandardy.

Od kedy je NIS 2 v platnosti

Smernica NIS 2 bola formálne schválená Európskym parlamentom a Radou Európskej únie v novembri 2022. Oficiálne nadobudla účinnosť dňa 16. januára 2023, keď bola zverejnená v Úradnom vestníku Európskej únie.

Od tohto dátumu začala plynúť lehota 21 mesiacov, do ktorej ju musia členské štáty Európskej únie implementovať do svojho národného právneho poriadku. Pre Slovenskú republiku teda platí, že nové pravidlá musia byť transponované najneskôr do 17. októbra 2024.

Čo sa deje počas prechodného obdobia

Počas tohto obdobia členské štáty pripravujú:

  • novú alebo aktualizovanú legislatívu v oblasti kybernetickej bezpečnosti,
  • zoznam kľúčových a dôležitých subjektov, na ktoré sa nové pravidlá vzťahujú,
  • implementáciu nových mechanizmov pre monitoring a audit kybernetickej bezpečnosti.

Kto bude podliehať smernici NIS 2

Na rozdiel od pôvodnej smernice, ktorá sa týkala len obmedzeného počtu sektorov, NIS 2 rozširuje kategórie povinných subjektov o ďalšie odvetvia a stanovuje dve hlavné skupiny subjektov:

1. Kľúčové subjekty (Essential Entities)

Sem patria:

  • Energetika (elektrina, plyn, ropa)
  • Doprava (letecká, železničná, vodná, cestná)
  • Digitálne infraštruktúry (cloudové služby, dátové centrá, DNS poskytovatelia)
  • Zdravotníctvo
  • Pitná voda a odpadová voda
  • Verejná správa

2. Dôležité subjekty (Important Entities)

Sem patria:

  • Poštové služby a kuriéri
  • Výroba (najmä výrobky dôležité pre ekonomiku a spoločnosť)
  • Poskytovatelia digitálnych služieb ako e-commerce alebo sociálne siete

Všetky tieto subjekty budú musieť plniť rozsiahle požiadavky na riadenie rizík, hlásenie incidentov a zabezpečenie integrity svojich systémov a služieb.

Aké povinnosti vyplývajú z NIS 2

Smernica NIS 2 obsahuje podrobný zoznam technických a organizačných opatrení, ktoré musia kľúčové aj dôležité subjekty implementovať:

Riadenie kybernetických rizík

  • Vyhodnocovanie rizík a prijatie vhodných opatrení na ich zníženie.
  • Vytvorenie bezpečnostnej politiky pre systémy a siete.
  • Minimalizácia dopadu bezpečnostných incidentov.

Hlásenie incidentov

Subjekty budú povinné hlásiť významné kybernetické incidenty národnému orgánu (v prípade SR ide o NBÚ) v lehote:

  • do 24 hodín od zistenia incidentu – predbežné oznámenie,
  • do 72 hodín – podrobné oznámenie,
  • záverečná správa po odstránení incidentu.

Dohľad a sankcie

Smernica zavádza nové mechanizmy kontroly a v prípade nedodržania povinností hrozia firmám pokuty až do výšky 10 miliónov EUR alebo 2 % celosvetového obratu.

Implementácia NIS 2 na Slovensku

Slovenská republika je povinná smernicu NIS 2 transponovať do svojho právneho poriadku do 17. októbra 2024. Implementáciu smernice má na starosti Národný bezpečnostný úrad (NBÚ), ktorý je určený ako hlavným regulačným orgánom v oblasti kybernetickej bezpečnosti.

Predpokladá sa prijatie novely zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá bude obsahovať:

  • rozšírenie kategórie základných a významných služieb,
  • nové pravidlá pre hodnotenie rizík a bezpečnostné opatrenia,
  • právnu zodpovednosť štatutárnych orgánov za dodržiavanie zákona,
  • zavedenie centralizovaných hlásení incidentov a monitorovania systémov.

Čo musia organizácie urobiť na dodržanie NIS 2

Organizácie, ktoré budú patriť do pôsobnosti NIS 2, by mali čo najskôr začať s prípravou na splnenie nových povinností. Odporúča sa:

Krok 1: Identifikácia postavenia vo vzťahu k NIS 2

Zistiť, či organizácia patrí medzi „kľúčové“ alebo „dôležité“ subjekty podľa sektorového zaradenia a veľkosti prevádzky.

Krok 2: Vykonanie interného auditu kybernetickej bezpečnosti

Vyhodnotiť aktuálny stav vášho systému, infraštruktúry a procesov na úrovni IT a OT bezpečnosti.

Krok 3: Prijatie vyžadovaných opatrení

  • Zavedenie bezpečnostnej politiky a interných smerníc.
  • Školenie a zvyšovanie povedomia zamestnancov o kybernetických rizikách.
  • Zriadenie jednotky na riadenie incidentov (napr. CSIRT tím).

Krok 4: Pravidelná aktualizácia a testovanie

Bezpečnostné opatrenia je potrebné pravidelne revidovať, testovať a aktualizovať podľa najnovších hrozieb a legislatívnych zmien.

Záver

Smernica NIS 2 prináša komplexné zmeny v oblasti kybernetickej bezpečnosti, a to pre celú Európsku úniu vrátane Slovenska. Jej cieľom je zvýšiť kybernetickú odolnosť a pripravenosť všetkých sektorov, ktoré poskytujú kritické alebo digitálne služby. V platnosti je od januára 2023, no organizácie majú čas na jej implementáciu do októbra 2024.

Firmy by preto nemali čakať na poslednú chvíľu a mali by sa aktívne venovať príprave na nové pravidlá. Nejde totiž len o právnu povinnosť, ale predovšetkým o ochranu digitálnej ekonomiky, reputácie a bezpečnosti údajov, ktoré spracúvajú. Včasná a dôkladná príprava im pomôže nielen predísť sankciám, ale aj vybudovať dôveru zo strany zákazníkov a partnerov.