Likvidačné pokuty a osobná zodpovednosť: Je NIS2 skutočne prísnejšia ako obávané GDPR?
Keď v roku 2018 vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), v podnikateľskom prostredí zavládla vlna neistoty a v mnohých prípadoch až panika. Hrozba pokút dosahujúcich astronomické sumy prinútila organizácie naprieč všetkými sektormi prehodnotiť svoj prístup k spracovaniu osobných údajov. Dnes sa však na obzore objavuje nová regulačná výzva v podobe smernice NIS2. Zatiaľ čo GDPR sa primárne zameriava na ochranu súkromia jednotlivcov, NIS2 mieri na samotnú stabilitu a bezpečnosť kritickej infraštruktúry a digitálneho trhu Európskej únie. Otázka, či je NIS2 prísnejšia ako GDPR, nie je len akademickou diskusiou. Nová legislatíva totiž prináša zásadný posun v paradigme zodpovednosti. Už nejde len o abstraktné finančné straty právnickej osoby, ale o priamu a vymáhateľnú osobnú zodpovednosť štatutárnych orgánov. V tomto článku podrobne porovnáme mechanizmy oboch regulácií a odhalíme, prečo môže byť NIS2 pre moderné firmy v konečnom dôsledku nebezpečnejšia.
Dedičstvo GDPR a jeho vplyv na vnímanie rizík
Nariadenie GDPR nastavilo latku pre európsku reguláciu mimoriadne vysoko. Zaviedlo dvojúrovňový systém pokút, kde v závažnejších prípadoch hrozí sankcia až do výšky 20 miliónov eur alebo 4 % z celkového celosvetového ročného obratu za predchádzajúci účtovný rok. Táto hrozba bola dostatočne silná na to, aby sa kybernetická bezpečnosť a ochrana dát dostala na stoly správnych rád. GDPR sa však v praxi sústredí najmä na následky – únik dát, ich zneužitie alebo nedostatočné zabezpečenie súhlasov.
Mnohé firmy sa naučili s rizikom GDPR žiť tak, že ho vnímajú ako formu „nákladu na podnikanie“ alebo poistiteľné riziko. Hoci sú pokuty vysoké, málokedy viedli k priamemu ohrozeniu výkonu funkcie jednotlivých manažérov. NIS2 však túto dynamiku mení. Kým GDPR chráni dáta osôb, NIS2 chráni kontinuitu služieb, ktoré sú kľúčové pre fungovanie spoločnosti. Tým sa rozširuje nielen okruh povinných subjektov, ale aj hĺbka a intenzita štátneho dozoru.
Nový hráč na poli regulácie: Čo prináša smernica NIS2?
Smernica NIS2 reaguje na čoraz sofistikovanejšie kybernetické útoky a rastúcu prepojenosť digitálnej ekonomiky. Na rozdiel od pôvodnej smernice NIS, nová verzia výrazne rozširuje zoznam odvetví, ktoré pod ňu spadajú. Subjekty sa rozdeľujú do dvoch hlavných kategórií: základné subjekty (energetika, doprava, bankovníctvo, zdravotníctvo) a dôležité subjekty (výroba, poštové služby, odpadové hospodárstvo, potravinárstvo).
Tento rozkol je kľúčový aj pre určenie výšky potenciálnych pokút. NIS2 nekopíruje percentá z GDPR úplne presne, ale nastavuje ich dostatočne vysoko na to, aby boli odstrašujúce. Okrem finančnej represie však prináša aj niečo, čo GDPR v takejto miere nepoznalo: striktné požiadavky na riadenie bezpečnosti v dodávateľskom reťazci a systematické posudzovanie rizík na úrovni manažmentu.
1. Porovnanie finančných sankcií: Súboje v miliónoch eur
Pri pohľade na čisté čísla sa môže zdať, že GDPR stále drží prvenstvo v prísnosti, no diabol sa skrýva v detailoch. Nižšie uvádzame porovnanie horných hraníc pokút podľa NIS2:
- Základné subjekty: Správna pokuta do výšky 10 miliónov eur alebo 2 % celkového celosvetového ročného obratu.
- Dôležité subjekty: Správna pokuta do výšky 7 miliónov eur alebo 1,4 % celkového celosvetového ročného obratu.
Hoci je 2 % menej ako 4 % v prípade GDPR, rozsah povinností v NIS2 je oveľa širší a technickejší. Zatiaľ čo pri GDPR sa pokuta často odvíja od jedného konkrétneho incidentu alebo chyby, pri NIS2 môže byť organizácia sankcionovaná za systémové zlyhanie v oblasti riadenia kybernetických rizík, a to aj bez toho, aby došlo k úniku dát. Stačí, ak dozorný orgán pri audite zistí, že prijaté technické a organizačné opatrenia nie sú v súlade so stavom techniky alebo nie sú adekvátne rizikovému profilu firmy.
2. Osobná zodpovednosť manažmentu ako najväčší strašiak NIS2
Toto je oblasť, kde NIS2 jednoznačne prekonáva GDPR v prísnosti a kde sa menia pravidlá hry pre všetkých členov štatutárnych orgánov. Smernica explicitne vyžaduje, aby členské štáty zabezpečili, že riadiace orgány subjektov budú niesť osobnú zodpovednosť za dodržiavanie opatrení na riadenie kybernetických rizík.
Čo to znamená v praxi? V prípade závažných porušení majú dozorné orgány v rámci NIS2 právomoc:
- Dočasne pozastaviť výkon riadiacej funkcie: Manažér (napr. CEO alebo člen predstavenstva) môže byť dočasne zbavený práva vykonávať svoju funkciu, kým firma nenapraví zistené nedostatky.
- Uložiť osobnú zodpovednosť za škody: Ak sa preukáže hrubá nedbanlivosť pri schvaľovaní bezpečnostných opatrení, manažment môže čeliť priamym žalobám.
- Povinné školenia: Šlenovia vedenia majú zákonnú povinnosť absolvovať školenia o kybernetickej bezpečnosti. Ak tak neurobia, opäť riskujú sankcie.
Tento tlak na „C-level“ manažment je v rámci EÚ legislatívy bezprecedentný. Už nie je možné delegovať zodpovednosť na IT oddelenie a očakávať, že vedenie bude v prípade problému „z oblátky vonku“.
3. Rozdiely v dohľade: Proaktívny prístup vs. reaktívne riešenie incidentov
V rámci GDPR dozorné orgány (ako napríklad Úrad na ochranu osobných údajov) často konajú na základe podnetu, sťažnosti dotknutej osoby alebo po nahlásenom incidente. Ich prístup je teda vo veľkej miere reaktívny. NIS2 však zavádza oveľa prísnejší a systematickejší dohľad, najmä pre základné subjekty.
Základné subjekty budú podliehať pravidelným auditom, inšpekciám na mieste a off-site dohľadu. Dozorný orgán má právo vyžiadať si dôkazy o implementácii bezpečnostných politík, výsledky penetračných testov či prístup k údajom o kybernetických incidentoch. V prípade dôležitých subjektov je dohľad ex-post (následný), čo znamená, že orgán zasahuje pri podozrení na neplnenie povinností. Avšak samotná hrozba proaktívnych kontrol núti firmy udržiavať bezpečnosť v neustálej kondícii, čo predstavuje vyššiu administratívnu aj finančnú záťaž než udržiavanie súladu s GDPR.
4. Ohlasovacie povinnosti: Čas hrá proti vám
Ak dôjde k incidentu, čas sa stáva vaším najväčším nepriateľom. GDPR vyžaduje nahlásenie porušenia ochrany osobných údajov do 72 hodín od momentu, kedy sa o ňom prevádzkovateľ dozvedel. NIS2 však v niektorých aspektoch zachádza ešte ďalej a zavádza viacstupňové hlásenie:
- Včasné varovanie: Do 24 hodín od zistenia významného incidentu musí subjekt zaslať varovanie dozornému orgánu.
- Oznámenie o incidente: Do 72 hodín musí nasledovať podrobnejšie oznámenie s posúdením závažnosti a vplyvu.
- Záverečná správa: Do jedného mesiaca musí subjekt predložiť detailnú analýzu vrátane prijatých nápravných opatrení.
Tento zrýchlený režim (najmä limit 24 hodín) je pre mnohé organizácie technicky nerealizovateľný bez automatizovaných systémov na detekciu a reakciu na incidenty (SIEM/SOAR). Nesplnenie týchto lehôt je samo o sebe dôvodom na udelenie vysokej pokuty, nezávisle od toho, či samotný incident spôsobil reálnu škodu.
Pri priamom porovnaní GDPR a NIS2 sa ukazuje, že hoci GDPR vydláždilo cestu k prísnej regulácii, NIS2 ju posúva do novej roviny kritickej dôležitosti. Kým GDPR pracuje s fixnými percentami obratu, ktoré môžu dosiahnuť vyššie sumy, NIS2 je vnútorne oveľa komplexnejšia. Jej prísnosť nespočíva len v samotnej výške pokút, ale predovšetkým v mechanizmoch vymáhania a v priamom zameraní na vrcholový manažment. Zavedenie osobnej zodpovednosti členov štatutárnych orgánov a možnosť dočasného zákazu výkonu funkcie sú nástroje, ktoré v prostredí GDPR nemali obdobu. Tieto opatrenia majú za cieľ odstrániť apatiu vedenia voči kybernetickým rizikám a urobiť z bezpečnosti neoddeliteľnú súčasť firemnej stratégie.
Zatiaľ čo GDPR sa často riešilo formou právnych analýz a úpravy zmlúv, NIS2 si vyžaduje hlboké technické investície a zmenu firemnej kultúry. Organizácie, ktoré už dnes investovali do súladu s GDPR, majú síce náskok v oblasti spracovania dát, no NIS2 od nich bude vyžadovať oveľa širší pohľad na bezpečnosť celého ekosystému, vrátane dodávateľov. Odpoveď na otázku z úvodu je teda jasná: NIS2 je v mnohých smeroch prísnejšia a nebezpečnejšia, pretože už neútočí len na peňaženky akcionárov, ale priamo na profesionálnu integritu a kariéru ľudí, ktorí firmy riadia. Ignorovať NIS2 sa preto nevypláca – následky môžu byť pre firmu aj jej vedenie skutočne likvidačné.





















