Národný bezpečnostný úrad predložil návrh novely zákona o kybernetickej bezpečnosti, ktorý reflektuje novú európsku smernicu NIS 2. Návrh už sa dostal do NR SR a čoskoro sa bude jeho znenie prerokovávať.
Rozšírenie pôsobnosti a nové definície
Novela rozširuje pôsobnosť na viacero sektorov, vrátane nových, ktoré sa doteraz neriadili predchádzajúcou verziou smernicou NIS. Zároveň zavádza novú definíciu prevádzkovateľov základných služieb, ktorí budú rozdelení do dvoch kategórií: kľúčové subjekty (kritické pre fungovanie štátu) a dôležité subjekty.
Zmena v riadení rizík a bezpečnostných opatreniach
Jednou z najzásadnejších zmien je nahradenie klasifikácie informačných systémov mechanizmom analýzy rizík. Subjekty budú povinné identifikovať svoje zraniteľnosti a zaviesť účinné opatrenia na ich minimalizáciu. Okrem toho, technické bezpečnostné opatrenia, ako šifrovanie a viacfaktorová autentifikácia, boli aktualizované, aby reflektovali aktuálne kybernetické hrozby.
Povinnosti pre dodávateľov a sankčné mechanizmy
Novela zavádza povinnosti pre dodávateľov, aby sa predišlo incidentom spôsobeným zraniteľnosťami tretích strán. Rovnako dochádza k sprísneniu sankcií za nedodržiavanie povinností, podobne ako pri GDPR. Pokuty sa budú zameriavať najmä na porušenie povinností týkajúcich sa riadenia kybernetických rizík.
Zjednodušené pravidlá pre subjekty
Zákon zavádza jasné kritériá na určenie, či organizácia spadá pod jeho pôsobnosť. Zohľadňuje sa sektor, veľkosť firmy a výnimky. Stredné a veľké podniky (viac než 50 zamestnancov alebo ročný obrat nad 10 miliónov EUR) budú povinné dodržiavať nové pravidlá. Niektoré výnimky však budú v zákone taxatívne vymenované.
Zmeny v nahlasovaní a zdieľaní informácií
Proces nahlasovania kybernetických incidentov sa upravuje tak, aby bol efektívnejší. Subjekty budú motivované nahlasovať incidenty dobrovoľne a komunikácia so štátom pri kybernetických útokoch bude vylepšená.
Ďalšie nariadenia
- Zvýšenie dohľadovej činnosti nad kybernetickou bezpečnosťou
- Zvýšenie dôrazu na vzdelávanie v oblasti kybernetickej bezpečnosti
- Posilnenie funkcie manažéra kybernetickej bezpečnosti
- Zavedenie minimálnych požiadaviek na kybernetickú hygienu pre firmy
- Úpravy v zdieľaní informácií pri kybernetických incidentoch
Nadchádzajúce zmeny, ktoré novela zákona o kybernetickej bezpečnosti prináša v súlade so smernicou NIS 2, výrazne ovplyvnia mnoho subjektov na Slovensku. Firmy, organizácie a obce sa musia aktívne pripraviť na nové pravidlá a povinnosti, aby splnili požiadavky na kybernetickú bezpečnosť. Neodkladná implementácia nových bezpečnostných opatrení, analýza rizík a školenia zamestnancov sú kľúčovými krokmi, ktoré môžu pomôcť predísť hrozbám a sankciám.
