Európska smernica NIS2 a jej dopad na slovenské firmy – ako sa pripraviť na zmeny v oblasti kybernetickej bezpečnosti v roku 2024?

 

Na konci roka 2022 bola schválená smernica Európskeho parlamentu a Rady (EÚ) č. 2022/2555, známa aj ako smernica NIS2. Jej cieľom je zvýšiť úroveň kybernetickej bezpečnosti v kľúčových odvetviach štátu, pričom dopady smernice sa prejavia aj v prostredí malých a stredných podnikov.

 

Smernica NIS2 musí byť implementovaná do slovenského práva najneskôr do 17.10.2024. Hoci novela súčasného zákona č. 69/2018 ešte nebola prijatá, už teraz sa podnikatelia môžu zamerať sa na zmeny z oblasti kybernetickej bezpečnosti, ktoré európska smernica NIS2 prinesie.

 

 

Aktuálny zákon o kybernetickej bezpečnosti už dnes ukladá určité povinnosti firmám, ktoré pôsobia v oblasti poskytovania tzv. základných a digitálnych služieb.

 

Smernica NIS2 má za cieľ rozšíriť tento okruh subjektov o ďalšie podniky, ktoré pôsobia v špecifických odvetviach, ktoré sú kľúčové pre fungovanie štátu alebo kde by únik údajov alebo hackerský útok mohol mať významný vplyv na spoločnosť.

 

Tieto nové povinnosti zasiahnu stredné podniky (s viac ako 50 zamestnancami a obratom vyšším ako 10 000 000 EUR ročne) pôsobiace v uvedených odvetviach, avšak aj spoločnosti zapojené do ich dodávateľského reťazca, bez ohľadu na veľkosť a obrat, ktoré budú smernicou NIS2 ovplyvnené nepriamo.

 

Kritickými sektormi podľa smernice NIS2 sú: výroba, zdravotníctvo, digitálna infraštruktúra a služby, doprava, verejná správa, energetika, potravinársky priemysel, chemický priemysel, vodné hospodárstvo, odpadové hospodárstvo, finančný trh, zdravotníctvo, veda, výskum a vzdelávanie, poštové a kuriérske služby, vojenský priemysel a kozmický priemysel.

 

 

Niektoré záväzky vyplývajúce zo smernice NIS2 môžu ovplyvniť nepriamo aj 3. strany, ktoré poskytujú svoje služby regulovanej osobe - teda strednému podniku pôsobiacemu v kritických odvetviach.

 

Tento vplyv je daný skutočnosťou, že regulovaná osoba je podľa smernice NIS2 povinná prijať opatrenia na zohľadnenie možných rizík v dodávateľskom reťazci. To znamená, že fakticky bude žiadať od svojich dodávateľov, aby prijali isté opatrenia alebo prevzali určité zmluvné záväzky.

 

Ak teda podnikateľ dodáva tovar alebo poskytuje svoje služby ktorejkoľvek spoločnosti, ktorá bude považovaná za regulovanú osobu, mal by sa zamerať na nadchádzajúce legislatívne zmeny a pripraviť sa na to, že aj on bude musieť prijať určité opatrenia na zmiernenie kybernetických rizík.

 

Vzhľadom na navrhované prísne sankcie za porušenie povinností regulovanej osoby je možné, že regulovaná osoba sa buď rozhodne ukončiť spoluprácu so svojím súčasným dodávateľom, ak takýto dodávateľ nedokáže poskytnúť adekvátne záruky v oblasti kybernetickej bezpečnosti, alebo si spoluprácu so svojím dodávateľom podmieni vysokými zmluvnými pokutami.

 

 

Zoznam záväzkov v oblasti kybernetickej bezpečnosti je pomerne rozsiahly, pričom účelom tohto príspevku nie je ich podrobná analýza. Vo všeobecnosti však ide o dva hlavné typy opatrení, a to organizačné a technické. Na strane organizačných opatrení sú zahrnuté aktivity súvisiace s riadením bezpečnosti informácií a interných procesov, riadením rizík, kontrolou dodávateľského reťazca, bezpečnosťou ľudských zdrojov, riadením kybernetických incidentov, pravidelnými bezpečnostnými auditmi a pod. Na strane technických opatrení sú zahrnuté činnosti týkajúce sa fyzickej ochrany informácií, údajov a komunikačných sietí, overovania identity, správy a tvorby hesiel, využívania antivírusových programov, monitorovania a riešenia kybernetických útokov.

 

 

S oblasťou kybernetickej bezpečnosti sa spája veľmi špecifická právna regulácia, ktorej implementácia v rámci podniku môže byť pomerne náročná. Malým aj stredným podnikom preto ponúkame možnosť pripraviť sa na nadchádzajúce zmeny, či už formou konzultácií a odporúčaní, ako aj formou úpravy zmluvnej dokumentácie v rámci dodávateľsko-odberateľských vzťahov vo vyššie spomínaných kľúčových odvetviach.