Smernica NIS 2 (smernica EÚ 2022/2555) mala priniesť jednotné pravidlá kybernetickej bezpečnosti v celej EÚ. Realita je však iná. Z našej praxe — pri implementácii NIS 2 u desiatok klientov z rôznych odvetví a viacerých krajín — vieme, že každý členský štát si smernicu „ušil“ po svojom. Pre medzinárodné koncerny to znamená jednu vec: čo platí v Rumunsku či Českej republike, nemusí stačiť na Slovensku a naopak.
Koho sa NIS 2 týka — a ako to zistíte?
Prvá prekážka? Už samotná „samoidentifikácia“ t.j. zistenie, či vaša spoločnosť spadá pod povinnosti NIS 2.
V praxi sme sa opakovane stretli s tým, že spoločnosti si nevedia s istotou odpovedať na zdanlivo jednoduchú otázku: „Sme povinný subjekt podľa NIS 2?“
Niektoré krajiny vrátane Slovenska síce poskytujú nástroj na samoodentifikáciu či možnosť požiadať Národný bezpečnostný úrad (ďalej len „NBÚ“) o metodické usmernenia, avšak tieto nie sú právne záväzné a zodpovednosť v zmysle Zákona spočíva na samotnej spoločnosti a jej štatutároch. Metodické usmernenia zároveň často odkazujú aj na európske predpisy, ktoré môžu byť v danom členskom štáte EÚ implementované alebo vykladané inak.
Ako príklad uvádzame spoločnosti, ktoré nevedia, že spadajú do definície potravinárskeho podniku, či spoločnosti, ktoré sú výrobcami v automotive sektore. Interpretačné problémy spôsobuje aj výroba chemických látok či riadené služby IKT. V poslednom prípade treba zohľadniť aj to, že hoci v danom prípade môžu využiť spoločnosti výnimku tzv. one-shop-stop, pokiaľ skupina/koncern nemá hlavnú prevádzkareň v jednej krajine, spoločnosti sa musia notifikovať v každej krajine.
Pozor si treba dávať aj na určenie veľkosti podniku. Aj novozaložená spoločnosť, ktorá má v čase vzniku 0 zamestnancov a 0 EUR obrat totiž môže spadať pod reguláciu NIS2, najmä v prípadoch, ak je súčasťou koncernu.
| Pozor: Aj keď vaša spoločnosť priamo nespadá pod NIS 2, vaši zákazníci alebo obchodní partneri pravdepodobne áno — a budú od vás vyžadovať bezpečnostné štandardy. Podľa agentúry ENISA až 62 % kybernetických útokov na organizácie zneužilo práve dôveru v dodávateľa a v 66 % prípadov dodávatelia ani nevedeli, ako boli kompromitovaní. NIS 2 sa vás teda môže dotknúť aj nepriamo — a ignorovanie tejto reality vás môže stáť obchodných partnerov. |
NIS 2 a cezhraničné pôsobenie — môže poskytovateľ základných služieb podliehať právomoci NBÚ vo viacerých krajinách ?
Odpoveď znie: Áno.
Konkrétny špecifický príklad z praxe: článok 26 ods. 1 písm. a) NIS 2 stanovuje, že poskytovatelia verejných elektronických sietí či verejne dostupných elektronických služieb podliehajú jurisdikcii toho štátu, v ktorom služby poskytujú. Čo to však reálne znamená pre firmu, ktorá pôsobí cezhranične a prevádzkareň má len v jednej krajine?
Slovenský zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z.) vychádza zo všeobecného pravidla, podľa ktorého slovenskej regulácii podliehajú subjekty, ktoré majú na Slovensku sídlo. Z tohto pravidla sú špecifické výnimky pri určitých službách (napr. riadené služby), podľa ktorého slovenskej regulácii podliehajú subjekty, pokiaľ majú na Slovensku hlavnú prevádzkareň.
Pre poskytovanie verejných elektronických komunikačných sietí či služieb zo zahraničia však spoločnosť nespadá ani pod jedno z vyššie uvedených pravidiel.
Pri prísnej aplikácii smernice NIS 2 by spoločnosť mala splniť registračnú povinnosť na Slovensku — zaregistrovať sa do registra NBÚ (oznámiť svoju činnosť).
Tu je potrebné povedať jasne: oznámením činnosti na NBÚ povinnosti spoločnosti nekončia — práve naopak, začínajú.
Spoločnosť sa stáva riadnym poskytovateľom základných služieb — dokonca ako kľúčový subjekt (tzv. essential entity). To vyžaduje mať kompletnú bezpečnostnú dokumentáciu v súlade so slovenským zákonom o kybernetickej bezpečnosti a podrobiť sa auditu kybernetickej bezpečnosti certifikovaným audítorom. Z našej praxe vieme, že táto fáza zvykne klientov prekvapiť — rozsah povinností je výrazne väčší, než väčšina spoločností očakáva. Akým spôsobom slovenský audítor vykoná audit zahraničnej bezpečnostnej dokumentácie, legislatíva nerieši.
V niektorých krajinách môže mať takáto spoločnosť alebo zahraničná spoločnosť vo všeobecnosti problémy už pri samotnom zápise do registra.
Formuláre na oznámenie začatie činnosti spadajúcej pod NIS 2 totiž nie sú v EÚ jednotné (!).
Napríklad v Českej republike sa pri zahraničných spoločnostiach vyžaduje, aby mali zástupcu s českým dokladom a na NBÚ sa registruje nielen samotná spoločnosť, ale aj zástupca.
Zahraničné spoločnosti, ale aj lokálne spoločnosti so zahraničnými konateľmi môžu čeliť novým technickým požiadavkám a výzvam, aby si vedeli efektívne zriadiť prístupy do národných portálov.
Tieto rozdiely medzi krajinami sú dôvodom, prečo je pri implementácii NIS 2 kľúčové mať po boku poradcu s praktickou skúsenosťou z viacerých jurisdikcií — nie len s teoretickou znalosťou smernice.
Ak ste súčasťou medzinárodného koncernu, nestačí vyriešiť NIS 2 len na Slovensku. V každej krajine, kde pôsobíte, je potrebné samostatne posúdiť, či spadáte pod tamojšiu NIS 2 reguláciu, a v príslušných lehotách sa zaregistrovať — na Slovensku do 60 dní od začatia činnosti u Národného bezpečnostného úradu (NBÚ).
Registrácia na NBÚ je len začiatok — čo nasleduje?
Kľúčové lehoty, ktoré by ste mali mať v diári
- Registrácia u NBÚ — do 60 dní od začatia regulovanej činnosti
- Prijatie bezpečnostných opatrení (ustanovenie manažéra kybernetickej bezpečnosti, analýza rizík, bezpečnostná dokumentácia) — do 12 mesiacov od registrácie
- Audit ak ste kľúčový subjekt / Samohodnotenie účinnosti opatrení, ak ste dôležitý subjekt— do 24 mesiacov od registrácie (audit, ak ste kľúčový subjekt)
Ak už máte zavedené nejaké bezpečnostné opatrenia, odporúčame začať s GAP analýzou kybernetickej bezpečnosti — komplexným posúdením, kde sa nachádzate a čo vám chýba do plného súladu s NIS 2. Z našej skúsenosti s klientmi rôznych veľkostí a odvetví vieme, že výsledky bývajú často prekvapivé — u niektorých spoločností sme identifikovali nesúlad až v 99 % zákonných požiadaviek. Ak zatiaľ nemáte prijaté žiadne bezpečnostné opatrenia, začnite analýzou rizík.
Hoci v čase registrácie nie je potrebné mať stanoveného manažéra kybernetickej bezpečnosti, odporúčame nenechávať si riešenie tejto požiadavky na neskôr.
V praxi sme sa stretli aj s tým, že najmä koncernové spoločnosti automaticky siahajú po outsourcingu roly manažéra kybernetickej bezpečnosti, pretože ich regionálny, či koncernový CISO neovláda slovenský jazyk, hoci túto pozíciu vedia pokryť interne — často efektívnejšie a s hlbšou znalosťou firemných procesov. Odporúčame najskôr posúdiť interné kapacity proti zákonným požiadavkám a správne nastaviť procesy.
Riadenie rizík v dodávateľskom reťazci podľa NIS 2
Súčasťou bezpečnostných opatrení, ktoré môžu byť pre niektoré spoločnosti úplne nové, je povinnosť riadiť riziká vo svojom dodávateľskom reťazci. Ak ste povinným subjektom, musíte identifikovať všetkých kľúčových dodávateľov, ktorých služby alebo produkty priamo súvisia s dostupnosťou, dôvernosťou a integritou vašich sietí a informačných systémov. Na základe analýzy rizík potom posúdite, s ktorými dodávateľmi je potrebné uzatvoriť písomnú zmluvu o bezpečnostných opatreniach — a to nielen s novými, ale aj v rámci existujúcich vzťahov.
Z našej praxe vieme, že práve dodávateľské zmluvy sú oblasťou, kde majú spoločnosti najväčšie medzery. Existujúce kontrakty spravidla neobsahujú klauzuly vyžadované zákonom o kybernetickej bezpečnosti a ich dodatkovanie býva časovo aj vyjednávacím náročný proces najmä pri koncernových spoločnostiach. Odporúčame začať s revíziou dodávateľských vzťahov čo najskôr — nie je to len o papierovaní, ale o reálnom znížení rizika kybernetického incidentu cez vášho dodávateľa.
Či už máte pochybnosti, či spadáte pod reguláciu NIS 2, alebo potrebujete právne poradenstvo pri registrácii, GAP analýze, analýze rizík, bezpečnostnej dokumentácii, nastavení zmlúv s dodávateľmi, či zabezpečení roly manažéra kybernetickej bezpečnosti — náš tím má s tým reálne skúsenosti naprieč viacerými krajinami a odvetviami. Neváhajte sa na nás obrátiť.
Sankcie za porušenie NIS 2, ktoré nemôžete ignorovať
Pokuty podľa slovenského zákona o kybernetickej bezpečnosti nie sú symbolické — sú nastavené podľa európskych pravidiel a môžu dosiahnuť aj percentá z celosvetového obratu:
| Subjekt / porušenie | Maximálna pokuta |
|---|---|
| Kľúčový subjekt — porušenie základných povinností | 10 000 000 EUR alebo 2 % celosvetového ročného obratu, podľa toho, čo je vyššie |
| Dôležitý subjekt — porušenie základných povinností | 7 000 000 EUR alebo 1,4 % celosvetového ročného obratu, podľa toho, čo je vyššie |
| Nesplnenie registračnej povinnosti | Až do 500 000 EUR |
Čím skôr začnete s implementáciou NIS 2, tým menšie riziko. Tím LYNX legal pre IP & IT právo vám pomôže komplexne — od právneho posúdenia, cez registráciu u NBÚ, GAP analýzu, analýzu rizík, bezpečnostnú dokumentáciu, až po revíziu dodávateľských zmlúv a nastavenie roly manažéra kybernetickej bezpečnosti. Máme za sebou desiatky úspešných implementácií naprieč Slovenskom, ako aj ďalšími krajinami EÚ, v ktorých LYNX pôsobí.
V prípade otázok napíšte nášmu LYNX IP, IT and Data tímu.
Autor: Michala Mihályová, Senior Associate, LYNX Slovakia
Zdroj: Act No. 69/2018 Coll. on Cyber Security, as amended; Directive (EU) 2022/2555 (NIS 2); National Security Authority (NSA)
