NIS 2 a zákon o kybernetickej bezpečnosti – najdôležitejšie informácie

Slovenská republika stojí pred významnou zmenou v oblasti kybernetickej bezpečnosti. Novela zákona o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025, priniesla viaceré dôležité zmeny pre firmy aj verejné inštitúcie. 

Cieľom novely je posilniť kybernetickú bezpečnosť na Slovensku a prispôsobiť ju aktuálnym hrozbám a výzvam. Reaguje na rýchly technologický rozvoj a digitalizáciu, ktoré so sebou prinášajú nové riziká. Zároveň implementuje smernicu EÚ o sieťových a informačných systémoch (NIS2), ktorá stanovuje minimálne požiadavky na kybernetickú bezpečnosť pre členské štáty.

Novela zákona o kybernetickej bezpečnosti: Ktoré odvetvia sa musia pripraviť?

V prvom rade ide o prevádzkovateľov základných služieb, ktorí sú kľúčoví pre fungovanie štátu a spoločnosti. Patria sem odvetvia ako:

• Energetika
• Doprava
• Bankovníctvo a financie
• Zdravotníctvo
• Digitálna infraštruktúra
• Verejná správa

Poskytovatelia digitálnych služieb.

Okrem prevádzkovateľov základných služieb sa novela zákona bude vzťahovať aj na poskytovateľov digitálnych služieb, ako sú napríklad:

• Cloudové služby
• Online trhoviská
• Sociálne siete
• Poskytovatelia internetových služieb

Ďalšie dôležité odvetvia:

• Vodné hospodárstvo
• Potravinárstvo
• Chemický priemysel
• Poštové služby
• Služby IKT
• Výroba a distribúcia liečiv
• A mnoho ďalších

Na koho nové změny zákona dopadají?

Podívejte se zde

Aké sú hlavné bezpečnostné požiadavky, ktoré by mali organizácie plniť:

• Správa zraniteľností a kybernetických hrozieb
• Správa aktív
• Riadenie udalostí a bezpečnostných incidentov
• Postupy posudzovania účinností opatrení a kontrolné činnosti
• Kryptografické opatrenia
• Bezpečnosť a spôsobilosť ľudských zdrojov 
  • (pravidelné preškoľovanie – kybernetické hrozby a bezpečnostné zásady)
• Správa identít a prístupov
• Bezpečnosť informačných systémov
• Ochrana proti škodlivým kódom
• Monitorovanie
• Ochrana záznamov
• Dodávateľský reťazec
  • Zmluvy o bezpečnosti, pravidelné audity
• Využívanie certifikovaných IKT
• Riadenie informačnej bezpečnosti (dokumentácia)
• Riadenie kontinuity a obnova systémov
• Bezpečnosť pri vývoji
• Fyzická bezpečnosť

Hlavné termíny, ktoré vyplývajú z novely zákona:

• 1.1.2025 – účinnosť novely zákona
• 2.3.2025 – oznámenie subjektu NBÚ
• 03 / 2026 – povinnosť mať zavedené bezpečnostné opatrenia
• 03 / 2027 – Absolvovanie auditu treťou stranou / prípadné samohodnotenie

Aké pokuty hrozia za porušenie zákona?

Novela zákona prináša výrazné zvýšenie pokút za porušenie povinností v oblasti kybernetickej bezpečnosti. Pokuty sa môžu pohybovať od niekoľko tisíc až po niekoľko miliónov eur, v závislosti od závažnosti porušenia.

Príklad:

• Za neohlásenie kybernetického bezpečnostného incidentu môže NBÚ uložiť pokutu až do výšky 1 milióna eur.
• Za závažné porušenie bezpečnostných požiadaviek môže NBÚ uložiť pokutu až do výšky 10 miliónov eur.

Novela zákona o kybernetickej bezpečnosti prináša významné zmeny, ktoré si vyžadujú pozornosť a prípravu zo strany dotknutých subjektov. Je dôležité, aby sa subjekty oboznámili s novými požiadavkami a implementovali potrebné opatrenia, aby zabezpečili kybernetickú bezpečnosť svojich systémov a údajov.

Mohlo by Vás zaujímať:

• Audit kybernetickej bezpečnosti
• Revízia normy ISO/IEC 27001:2022
• Certifikácia systému manažérstva cloudových služieb podľa normy ISO/IEC 27018
• Certifikácia systému manažérstva informačnej bezpečnosti podľa normy ISO/IEC 27001