Členské štáty EÚ(vrátene SR) majú povinnosť transponovať obsah NIS 2, pričom lehota na transpozíciu vypršala 17.10.2024.

Aké sú dôvody tejto aktualizácie?

NIS 2 svojou podstatou smeruje k zvyšovaniu nárokov na prísnosť pravidiel kybernetickej bezpečnosti a odolnosti subjektov na jej vyvíjajúce sa hrozby.

Európska únia smernicou NIS 2 reaguje na potrebu posilňovania bezpečnosti sietí a informačných systémov na jej území ako aj zvýšený počet kybernetických bezpečnostných incidentov. Konkrétne, v zmysle Oznámenia Komisie Európskemu parlamentu a Rade zo dňa 18.10.20233, ide najmä o zvýšené riziko kybernetických útokov spojených s útočnou vojnou Ruska proti Ukrajine, ako aj reflexia incidentov poškodenia podmorského plynovodu a dátového káblu v Estónsku a vo Fínsku.

Hlavnou a najviac skloňovanou zmenou, ktorú prináša smernica NIS 2 je rozšírenie jej pôsobnosti na viac sektorov, čo sa dotkne aktuálnych definícií prvkov kritickej infraštruktúry podľa zákona č. 45/2011 Z. z. o kritickej infraštruktúre a prevádzkovateľov základnej či digitálnej služby podľa zákona č. 69/2018 Z. z. čím sa rozširuje okruh subjektov, ktorých sa transpozícia bude týkať.

Medzi dotknuté subjekty budú po transpozícií subjekty v odvetviach dodávky pitnej vody, odpadového hospodárstva, poštové a kuriérske služby, výroba v oblasti produkcie zdravotníckych pomôcok, potravinárske podniky a iné subjekty, vymedzené v prílohe I a najmä v prílohe II Smernice NIS 2.

Smernica NIS 2 kladie dôraz aj na možnosť vnútroštátnych orgánov verejnej moci na úseku kybernetickej bezpečnosti efektívne vynucovať dodržiavanie noriem predpokladaných smernicou NIS 2, čo sa demonštruje v dvoch rovinách:

1. posilnenie pozície vnútroštátnych orgánov verejnej moci na úseku kybernetickej bezpečnosti – NIS 2 (najmä čl. 31, 32 a 33) precizuje znenie ustanovení formulujúce konkrétne právomoci a potupy orgánov vykonávajúcich dohľad nad povinnými subjektami. Tieto právomoci zahŕňajú okrem iného oprávnenie orgánu dohľadu podrobiť povinnú osobu:

a) inšpekciám na mieste alebo na diaľku;

b) cieleným bezpečnostným auditom;

c) žiadostiam o informácie potrebné na ex post posúdenie opatrení na riadenie kybernetických rizík, ktoré dotknutý subjekt prijal, žiadostiam o prístup k údajom, dokumentom a informáciám potrebných na výkon dohľadu (preverenia prijatia, dodržiavania a kvality bezpečnostných politík povinných subjektov);

2. úprava sankcií – tak ako v predchádzajúcej verzií smernice NIS, aj smernica NIS 2 ponecháva úpravu sankčných mechanizmov v dispozícií jednotlivých členských štátov (viď čl. 21 NIS a čl. 36 NIS 2).

Smernica NIS 2 však obsahuje aj úplne nové ustanovenie (čl. 34), ktoré upravuje hornú hranicu pokút, ktoré sú príslušné vnútroštátne orgány verejnej moci oprávnené uložiť, v prípade zistenia nesúladu konania povinného subjektu s novými normami na úseku kybernetickej bezpečnosti.

Orgány verejnej moci na úseku kybernetickej bezpečnosti budú oprávnené ukladať pokuty v maximálnej výške „aspoň 10 000 000 EUR alebo vo výške aspoň 2 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku“.

Uvedenú výšku sankcií bude musieť reflektovať vnútroštátna úprava. Na porovnanie, v súčasnosti je horná hranica sankcií normovaná na úrovni:

1. 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur za porušenie ustanovení zákona o kybernetickej bezpečnosti;
2. 200.000,- EUR za porušenie ustanovení zákona o kritickej infraštruktúre;

Týka sa rozšírenie právneho rámca a okruhu povinných subjektov smernice NIS 2 aj Vašej spoločnosti? V advokátskej kancelárií LEGATE, s.r.o. sa venujeme aj inováciám a právu informačných a komunikačných technológií, v ktorom sme v kategórií Telekomunikácie a právo IT rebríčka e-právo získali za rok 2023 hodnotenie TOP 10. V prípade, že sa chcete odborne poradiť pred transpozíciou smernice NIS 2 do slovenského právneho poriadku, neváhajte nás kontaktovať.

Mgr. Adam Masár
Junior Associate

 
LEGATE, s.r.o.

Dvořákovo nábrežie 8/A
811 02 Bratislava

Tel: +421 262 527 561
E-mail: info@legate.sk

1 smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016

2 smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148

3 Oznámenie Komisie Európskemu parlamentu a Rade o šiestej správe o pokroku pri vykonávaní Stratégie EÚ pre bezpečnostnú úniu COM(2023) 665 final 18. 10. 2023