Zmeny v kybernetickej bezpečnosti: Ak máte 50 zamestnancov a obrat 10 miliónov, pripravte sa na nové povinnosti a registrujte sa na NBU do konca februára 2025

1. januára 2025 nadobudne účinnosť novela Zákona o kybernetickej bezpečnosti, ktorá zásadne rozširuje pôsobnosť zákona. Po prvýkrát sa povinnosti týkajúce sa kybernetickej bezpečnosti budú vzťahovať aj na spoločnosti mimo sektora kritickej infraštruktúry, ako sú výroba potravín, elektroniky či odpadové hospodárstvo. Nové povinnosti budú platiť pre firmy s minimálne 50 zamestnancami a ročným obratom aspoň 10 miliónov EUR. Tieto podniky budú musieť prijať opatrenia na ochranu kybernetickej bezpečnosti, vykonávať audity a posudzovanie rizík, zabezpečiť ochranu údajov a hlásiť incidenty Národnému bezpečnostnému úradu (NBÚ). Na splnenie týchto povinností budú mať firmy konkrétne časové lehoty.

Dňa 28.11.2024 bola v Národnej Rade SR schválená novela Zákona o kybernetickej bezpečnosti č. 69/2018 Z. z., ktorá do slovenského právneho poriadku transponuje európsku smernicu NIS 2 (Network and Information Systems Directive). Novela nadobudne účinnosť 1. januára 2025.

Pôsobnosť zákona

Pôvodný zákon sa vzťahoval najmä na subjekty kritickej infraštruktúry pôsobiace v sektore energetiky, zdravotníctva, verejnej správy a pod. Novela rozširuje pôsobnosť zákona o nové subjekty.

V prípade, ak:

• podnikáte napr. v oblasti výroby potravín, odpadového hospodárstva alebo výroby (napr. výroby elektroniky, výpočtovej techniky, strojov a zariadení, motorových vozidiel a iných dopravných prostriedkov),
• máte minimálne 50 zamestnancov a
• ročný obrat minimálne 10 miliónov EUR,

je pravdepodobné, že sa na vás novela bude vzťahovať.

Povinnosti

Dotknuté spoločnosti sú povinné plniť niekoľko kľúčových požiadaviek týkajúcich sa kybernetickej bezpečnosti:

• prijať opatrenia na ochranu kybernetickej bezpečnosti,
• vzdelávať zamestnancov,
• vykonávať bezpečnostné audity a posudzovanie rizík,
• zabezpečiť ochranu osobných a citlivých údajov,
• oznámiť NBÚ závažný bezpečnostný incident.

V prípade, ak váš podnik spadá pod úpravu zákona, je potrebné sa registrovať na NBÚ do 60 dní od jeho účinnosti resp. od začiatia vykonávania činnosti. NBÚ zapíše vašu spoločnosť do registra v lehote 30 dní. Do 12 mesiacov od tohto zápisu je potrebné prijať príslušné opatrenia kybernetickej bezpečnosti a do 24 mesiacov vykonať prvý audit.

Za účelom zabezpečenia firmy pred kybernetickými hrozbami je v prvom kroku potrebné urobiť tzv. analýzu aktív, t.j. identifikovať systémy v spoločnosti, bez ktorých nemôže vykonávať svoju každodennú činnosť (napr. databázy zákazníkov, údaje o produktoch, dochádzkový systém). V nadväznosti na túto analýzu sa následne stanoví, akým spôsobom predchádzať kybernetickým hrozbám resp. ako ich riešiť (zálohovanie dát, antivírusové programy a pod.).

Novinkou je aj povinnosť zabezpečiť bezpečnosť dodávateľského reťazca. Jedná sa pritom o dodávateľov činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov. S týmto dodávateľom je spoločnosť povinná uzavrieť zmluvu, na základe ktorej bude dodávateľ povinný dodržiavať opatrenia kybernetickej bezpečnosti.

Sankcie

Porušenie povinností môže viesť k pokutám až 10 miliónov eur alebo 2 % ročného obratu, podľa toho, ktorá hodnota je vyššia. Štatutári, ktorí závažným spôsobom porušia svoje povinnosti podľa zákona, môžu dostať zákaz vykonávať riadiacu funkciu, a to až do doby splnenia týchto povinností.