Ako identifikovať regulované služby podľa NIS2 a splniť požiadavky nového zákona?

Rovnako ako ostatné členské štáty EÚ musí aj Slovensko prispôsobiť svoju legislatívu európskej smernici NIS2. A podobne ako v Českej republike k tomu dochádza prostredníctvom novely zákona o kybernetickej bezpečnosti. Aké hlavné zmeny táto novela prináša?

Slovensko je ešte len štvrtým štátom Európskej únie, ktorým sa podarilo transponovať požiadavky európskej smernice NIS2 do národnej legislatívy. S účinnosťou od 1. januára 2025 tu platí novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá zavádza dva typy regulovaných subjektov – poskytovateľov základných služieb a poskytovateľov kritických základných služieb.

Pre rozlíšenie typu poskytovateľa, a teda bezpečnostných opatrení, ktoré sa na nich vzťahujú, je stanovených niekoľko kritérií, vrátane oblasti pôsobenia a kritérií veľkosti daného podniku podľa jeho počtu zamestnancov či obratu. Zákon súčasne stanovuje minimálnu úroveň bezpečnostných opatrení a rovnako aj povinnosti pri hlásení kybernetických bezpečnostných incidentov.

Medzi hlavné zmeny v novom zákone o kybernetickej bezpečnosti patria:

• Rozšírenie pôsobnosti zákona o nové subjekty podľa kľúčových odvetví
• Identifikácia regulovaných subjektov na základe ich odvetvovej klasifikácie a veľkosti podniku
• Uplatňovanie bezpečnostných opatrení na základe analýzy rizík
• Úprava zabezpečenia dodávateľského reťazca
• Úprava povinného hlásenia incidentov
• Koordinované odhaľovanie zraniteľností
• Audit a sebahodnotenie
• Certifikácia bezpečnosti produktov a ICT služieb

Regulované odvetvia

Novela zákona na základe požiadaviek regulácie NIS2 významne rozširuje okruh regulovaných odvetví. K už skôr zahrnutým odvetviam ako energetika, vodárenstvo, verejná doprava, zdravotníctvo a finančné služby sa regulácia novo vzťahuje napríklad aj na chemický priemysel, poštové a doručovacie služby, hospodárenie s odpadmi, potravinárstvo, vedu a výskum, ale napríklad aj vývoj vesmírnych technológií. Tieto entity sú zároveň rozdelené na dôležité a kľúčové entity (detaily nájdete na webe nis2.nbu.gov.sk).

Práve rozdelenie sektorov na dôležité a kľúčové predstavuje jedno z vodítok na odlíšenie poskytovateľov základných a kritických základných služieb, a teda aj úrovne nevyhnutných bezpečnostných opatrení. Medzi základné bezpečnostné opatrenia pritom patria:

• Identifikácia zraniteľností, kritických hrozieb a rizík
• Ochrana informačných aktív a zabránenie kybernetickým bezpečnostným incidentom
• Detekcia kybernetických bezpečnostných incidentov
• Reakcie na zraniteľnosti a incidenty a minimalizácia ich vplyvu
• Obnova sietí, systémov a služieb, náprava negatívnych dopadov po vzniku kybernetických incidentov

Bezpečnostné opatrenia zahŕňajú úlohy, procesy, role a technológie, ktorých cieľom je zaistenie kybernetickej bezpečnosti informačných systémov (všeobecne IT) a prevádzkových technológií (OT). Konkrétne bezpečnostné opatrenia musia vychádzať z analýzy rizík a zohľadňovať metodiky a politiky slovenského Národného bezpečnostného úradu (NBÚ), rovnako ako bezpečnostné trendy a medzinárodné normy i štandardy v oblasti kybernetickej bezpečnosti. Všetky opatrenia musia byť tiež zodpovedajúcim spôsobom zdokumentované. Veľmi dobrým vodítkom pre konkrétne bezpečnostné opatrenia je pritom norma ISO 27001, ktorá ktorá poskytuje rámec pre systém riadenia informačnej bezpečnosti.

Sebaidentifikácia subjektov

Každý subjekt, ktorý pôsobí v niektorom v regulovaných odvetviach, musí byť schopný sám určiť, či je regulovaným poskytovateľom (kritických) základných služieb. Medzi hlavné kritériá pre sebaidentifikáciu patrí veľkosť podniku podľa počtu zamestnancov či ročného obratu (resp. celkové ročné bilančné sumy). Určovanie veľkosti podniku sa riadi odporúčaním európskej komisie, ktoré rozlišuje mikropodniky (menej ako 10 zamestnancov a obrat do 2 miliónov eur), malé podniky (10 až 50 zamestnancov a obrat do 10 miliónov eur) a stredné podniky (do 250 zamestnancov a 50 miliónov eur alebo ročné bilančné sumy 43 miliónov eur). Všetky ostatné podniky sú považované za veľké a zákon primárne platí práve pre stredné a veľké podniky.

Existujú však výnimky. Nový zákon sa vzťahuje napríklad aj na malé podniky, ktoré súčasne vykonávajú niektorú z kritických služieb. Rovnako v prípade partnerských podnikov a holdingov môže byť za určitých okolností (po pripočítaní počtu zamestnancov materskej spoločnosti) aj malý podnik klasifikovaný ako stredný alebo veľký. Poskytovateľom regulovanej služby môže byť tiež podnik s významným vplyvom na zabezpečovanie kybernetickej bezpečnosti iného poskytovateľa kritickej základnej služby. Zákon a požadované opatrenia sa teda vzťahujú aj na tretie strany – dodávateľa poskytovateľov regulovaných služieb.

Slovenský NBÚ poskytuje indikatívnu webovú pomôcku, ktorá na základe vložených údajov informatívne zistí, či je podnik poskytovateľom (kritické) základné služby.

Oznámenie Národnému bezpečnostnému úradu

Spoločnosti, ktoré sa identifikujú ako poskytovatelia (kritické) základné služby, musia do 60 dní od účinnosti novely zákona o kybernetickej bezpečnosti oznámiť túto skutočnosť NBÚ (A rovnako tak platí, že vždy, keď v budúcnosti identifikujú ďalšiu regulovanú službu, musia ju tiež nahlásiť do 60 dní.) Toto oznámenie musí (okrem iného) obsahovať:

• Názov, sídlo a kontaktné údaje spoločnosti (vrátane elektronických adries, verejných IP adries a telefónnych čísel)
• Identifikáciu regulovaného sektora a konkrétnych služieb
• Rozlíšenie, či ide o poskytovateľov základných služieb, alebo poskytovateľov kritických základných služieb
• Zoznam členských štátov EÚ, kde spoločnosť pôsobí alebo poskytuje svoje služby
• Meno a kontaktné údaje zodpovedného zástupcu