Identifikácia prevádzkovateľa základnej služby
Najvýraznejšiu zmenu, ktorú novela Zákona o KB prináša, je zmena v spôsobe identifikácie povinných subjektov, tzv. prevádzkovateľov základných služieb. Mechanizmus identifikácie sa mení z kombinovanej identifikácie na taxatívne vymenovanie subjektov priamo v zákone.
Subjektmi, ktoré sa považujú za prevádzkovateľov základnej služby, sú
1/ organizácie spĺňajúce kritériá stredného podniku, tzn. majú najmenej 50 zamestnancov a obrat minimálne 10 miliónov eur - kategória stredného podniku sa posudzuje podľa Odporúčania Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmu mikro, malých a stredných podnikov (Ú. v. EÚ L 124, 20.5.2003) (tu tiež odporúčame postupovať v zmysle Metodických usmernení k zákonu o KB) a
2/ vykonávajú činnosti v sektoroch uvedených v Prílohe č. 1 alebo Prílohe č. 2 Zákona o KB, ktoré zahŕňajú oblasti s vysokou úrovňou kritickosti, ako sú napr. energetika, doprava, financie, zdravotníctvo, digitálna infraštruktúra, verejná správa a tiež iné kritické sektory, medzi ktoré patrí poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, potravinárstvo, výroba zdravotníckych pomôcok, výroba strojov, výskum apod.
Zároveň treba dodať, že do regulácie budú spadať aj subjekty kritického významu bez hodnotenia ich veľkosti.
Je nevyhnutné zdôrazniť, že mechanizmus identifikácie prevádzkovateľa základnej služby vychádza najmä z princípu samoidentifikácie subjektu, čím kladie dôraz na zodpovednosť subjektov pri určovaní ich postavenia a následného plnenia povinností vyplývajúcich zo Zákona o KB. Každá organizácia teda musí sama zhodnotiť, či spĺňa vyššie uvedené kritériá a vykonáva dané činnosti. Ak sa organizácia kvalifikuje ako prevádzkovateľ základnej služby, je jej povinnosťou oznámiť túto skutočnosť Národnému bezpečnostnému úradu (NBÚ).
Základné povinnosti prevádzkovateľa základnej služby
- Oznámenie o vykonávaní činností a o poskytovaní služby NBÚ: Lehota na oznámenie je do 60 dní odo dňa začatia poskytovania služieb, resp. 60 dní odo dňa nadobudnutia účinnosti Zákona o KB. Lehota pre oznámenie NBÚ tak uplynie dňa 03.03.2025. Následne NBÚ oznámenie posúdi a vykoná zápis do registra prevádzkovateľov základných služieb. Dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základných služieb , najskôr však tridsiaty deň nasledujúci po dni tohto zápisu vznikajú prevádzkovateľovi základnej služby práva a povinnosti vyplývajúce zo Zákona o KB.
- Implementácia bezpečnostných opatrení: Do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základných služieb je organizácia povinná prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení určených Zákonom o KB a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti.
- Určenie manažéra kybernetickej bezpečnosti: V rámci bezpečnostných opatrení musí organizácia určiť manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti.
- Audit kybernetickej bezpečnosti: Do 2 rokov odo dňa zápisu do registra prevádzkovateľov základných služieb je organizácia povinná vykonať audit kybernetickej bezpečnosti certifikovaným audítorom. Pre prevádzkovateľov základných služieb , ktorí nie sú prevádzkovateľmi kritickej základnej služby, je možné audit nahradiť samohodnotením vykonaným manažérom kybernetickej bezpečnosti, avšak aj tieto subjekty sa musia podrobiť auditu do 5 rokov odo dňa zaradenia do registra.
- Hlásenie bezpečnostných incidentov: Prevádzkovatelia základných služieb musia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti oznamovať všetky významné bezpečnostné incidenty a hrozby NBÚ.
Sankcie za nedodržanie povinností
Nedodržanie povinností stanovených Zákonom o KB môže viesť k uloženiu sankcií zo strany NBÚ. Výška pokút sa pohybuje od 300 EUR do 500 000 EUR, v niektorých prípadoch môže byť stanovená podľa výšky obratu spoločnosti, kde sa sankcie môžu vyšplhať až do výšky niekoľkých miliónov eur.
Novela Zákona o KB predstavuje významný krok vpred v oblasti kybernetickej bezpečnosti na Slovensku. Rozšírenie rozsahu povinností na väčší počet subjektov a implementácia konkrétnych bezpečnostných opatrení by mali prispieť k zvýšeniu odolnosti slovenských podnikov voči kybernetickým hrozbám. Je nevyhnutné, aby sa dotknuté spoločnosti aktívne pripravili na nové požiadavky a zabezpečili ich včasné a efektívne implementovanie.