Výklad k zákonu č. 366/2024 Z. z. - Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti

JUDr. Renáta Považanová, Zdroj: Verlag Dashöfer

Od nového roku účinným zákonom č. 366/2024 Z. z., ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony bola do právneho poriadku Slovenskej republiky transponovaná smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016) (ďalej len „smernica NIS 1”). Siete a informačné systémy, rýchla digitálna transformácia a ich prepojenosť na spoločnosť sa premietajú do celého spektra činností verejného aj súkromného sektora a vytvárajú nové výzvy pre oblasť kybernetickej bezpečnosti. Tento vývoj odhalil prirodzené nedostatky smernice NIS 1 a potrebu reakcie na tento vývoj.

Zákonom sa do právneho poriadku Slovenskej republiky transponuje smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022) v platnom znení a zároveň zákon reaguje na potreby a požiadavky aplikačnej praxe. Návrh zákona modernizuje existujúcu právnu úpravu, čím sa zvýši celková úroveň kybernetickej bezpečnosti na národnej úrovni a znižujú sa riziká, ktoré prichádzajú s rýchlym technologickým vývojom a digitalizáciou.

Najvýraznejšou zmenou je zmena prístupu k identifikácii povinných subjektov, tzv. prevádzkovateľov základnej služby. Mechanizmus identifikácie prevádzkovateľa základnej služby sa smernicou NIS 2 mení oproti právnej úprave vyplývajúcej zo smernice NIS 1 tak, že pôvodný mechanizmus kombinovanej identifikácie podľa prílohy zákona č. 69/2018 Z. z. v spojení s prekročením identifikačných kritérií sa nahrádza taxatívnym vymenovaním subjektov priamo v zákone. Zároveň nedochádza k výraznému nárastu regulovaných odvetví, ale dochádza k rozšíreniu pôsobnosti na ďalšie subjekty. Upravuje sa a precizuje hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli, zraniteľnosti a riešenie kybernetického bezpečnostného incidentu a podporuje sa dobrovoľné hlásenie.

Smernicou NIS 2 sa odstraňuje rozdiel medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby, a samotné regulované subjekty – prevádzkovatelia základných služieb, sa de facto rozdeľujú na základe ich dôležitosti do dvoch kategórií, na kľúčové subjekty – prevádzkujúce kritickú základnú službu a dôležité subjekty – ostatní prevádzkovatelia základných služieb. Tým sa, podľa pravidiel smernice NIS 2, zavádza prahová hodnota veľkosti subjektu (stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo presahujúce limity pre stredné podniky), ale do regulácie budú spadať aj subjekty kritického významu bez hodnotenia ich veľkosti.

Ďalej sa tiež upravujú a precizujú bezpečnostné opatrenia tak, aby reflektovali nové bezpečnostné štandardy, vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca. Taktiež sa posilňuje využívanie nástroja analýzy rizík pre aplikáciu bezpečnostných opatrení. Zavádza sa minimálna úroveň bezpečnostných opatrení. Taktiež sa posilňuje dohľadová činnosť zavedením foriem dohľadu, podporuje sa vzdelávanie, dopĺňa sa zodpovednosť a posilňuje sa funkcia manažéra kybernetickej bezpečnosti. Natrvalo sa zavádza inštitút samohodnotenia. Novela zákona opatreniami zvyšuje odolnosť a kapacity reakcie na kybernetické bezpečnostné incidenty príslušných subjektov.