Návrh novely zákona o kybernetickej bezpečnosti, ktorý transponuje smernicu Európskej únie NIS 2, prináša zásadné zmeny. Národný bezpečnostný úrad doručil upravený návrh novely do Národnej rady, kde návrh novely čaká na prerokovanie a hlasovanie. Aké hlavné zmeny prinesie? To sa dočítate nižšie.
Rozšírenie pôsobnosti a nové subjekty
Jednou z hlavných zmien, ktorú novela prináša, je rozšírenie pôsobnosti zákona na viac subjektov než doteraz. Okrem nových sektorov sa mení aj definícia prevádzkovateľa základnej služby, pod ktorú teraz spadajú aj poskytovatelia digitálnych služieb. Títo budú rozdelení na kľúčové a dôležité subjekty, čo určuje mieru ich povinností v oblasti kybernetickej bezpečnosti.
Nové pravidlá pre firmy a organizácie
Zmeny sa dotknú aj spôsobu, ako sa subjekty rozlišujú podľa toho, či spadajú pod nariadenia NIS 2. Hlavnými kritériami budú sektor, veľkosť a možné výnimky. Organizácie s viac než 50 zamestnancami alebo s ročným obratom nad 10 miliónov eur v určitých sektoroch budú musieť dodržiavať nové bezpečnostné pravidlá. Pre niektoré subjekty však veľkosť nebude rozhodujúca, keďže pre ne platia špecifické výnimky, ktoré budú priamo v zákone.
Kybernetická hygiena a nové bezpečnostné opatrenia
Dôležitou novinkou je zavedenie minimálnych požiadaviek na tzv. kybernetickú hygienu pre subjekty pod NIS 2. Tieto opatrenia dopĺňajú už existujúce bezpečnostné pravidlá, ktoré boli aktualizované s cieľom reagovať na nové hrozby. Keďže sa NIS 2 dotýka aj verejnej správy, obecné úrady by tiež mali dbať na to, aby boli oboznámené s týmito novými požiadavkami, keďže sa dotknú aj verejného sektora.
Sankcie a nahlasovanie incidentov
Novela zákona zavádza podobný systém sankcií, ako poznáme pri porušení nariadení GDPR. Dôraz sa bude klásť na nahlasovanie a riadenie rizík, pričom subjekty budú motivované nahlasovať incidenty dobrovoľne. Na obecnom úrade by ste sa mali pripraviť aj na zmeny v komunikácii so štátom pri kybernetických incidentoch, ktoré smernica NIS 2 zavádza.
Ostatné dôležité zmeny
Okrem vyššie spomenutých bodov novela prináša niekoľko ďalších zásadných zmien. Nové pravidlá zavádzajú modernizovaný mechanizmus analýzy rizík a zraniteľností, ktorý nahrádza pôvodnú klasifikáciu informačných systémov. Dodávatelia budú po novom povinní dodržiavať bezpečnostné opatrenia, aby sa predišlo zneužívaniu ich zraniteľností na kybernetické útoky.
Dôležitou zmenou je aj vylepšenie systému zdieľania informácií medzi štátom a dotknutými subjektmi v prípade kybernetických incidentov. Zvýši sa dôraz na vzdelávanie, posilnia sa právomoci manažérov kybernetickej bezpečnosti a štát plánuje rozšíriť dohľad nad dodržiavaním zákona.
Tieto zmeny začnú pre vybrané subjekty na Slovensku platiť už čoskoro, a preto je dôležité začať sa začať pripravovať už teraz.
