Kybernetické hrozby na Slovensku i v ostatných štátoch Únie sú v posledných rokoch na vzostupe a stávajú sa čoraz sofistikovanejšími. Nový rok sa ešte ani poriadne nerozbehol a už sme sa stali svedkami bezprecedentných kybernetických útokov na IT systémy nášho štátu. Odpoveďou musí byť efektívna kombinácia legislatívnych, organizačných a strategických opatrení, ktoré posilnia bezpečnosť Slovenska. Práve novela zákona o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025, je čiastočnou odpoveďou na novodobé hrozby. Posilňuje bezpečnostné požiadavky a dohľad nad strategickými odvetviami. O tom ako sa zmeny dotkli aj sektora energetiky sme sa zhovárali s expertkou na energetické právo Barborou Balunovou z advokátskej kancelárie L/R/P advokáti.

Potreba posilnenia kybernetickej bezpečnosti

Na začiatku roka Slovensko zaznamenalo jeden z najzávažnejších kybernetických útokov vo svojej histórii. Hackeri napadli Úrad geodézie, kartografie a katastra Slovenskej republiky, čo viedlo k ochromeniu katastrálnych služieb a malo vážne dôsledky nielen pre občanov, ale aj inštitúcie a samosprávy. Kybernetický útok tak vyvolal domino efekt – nedostupnosť katastrálnych služieb výrazne spomalila trh s nehnuteľnosťami, banky bez prístupu k aktuálnym údajom zmrazili hypotekárne úvery, mestá a obce boli bez potrebných informácií ochromené rovnako. Tento incident poukázal na zraniteľnosť kritických štátnych systémov a potrebu posilnenia kybernetickej bezpečnosti na Slovensku.

Práve posledná novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti citeľne zvyšuje požadovanú úroveň kybernetickej bezpečnosti a do národnej legislatívy prináša princípy zo smernice Network and Information Security Directive 2 známej ako NIS2. ,, Medzi hlavné ciele smernice NIS2 patrí najmä rozšírenie pôsobnosti kybernetickej bezpečnosti na viac sektorov a typov organizácií. Európska únia dlhodobo presadzuje zavedenie prísnejších bezpečnostných požiadaviek a opatrení na ochranu IT infraštruktúry, ako aj zvýšenie dohľadu nad ich dodržiavaním. Prípadné kybernetické útoky, napr. na energetickú infraštruktúru by mohli mať devastačné dôsledky na ekonomiku, ale aj ľudí žijúcich v Únii. Preto pi riešení kybernetických incidentov by mali po novom štáty EÚ postupovať jednotne a spolupracovať užšie a efektívnejšie,“ hovorí expertka na energetické právo a reguláciu Barbora Balunová.

Novela má v praxi znížiť riziká súvisiace s rýchlym technologickým vývojom, digitalizáciou a zvýšiť celkovú úroveň kybernetickej bezpečnosti jednotlivých nosných sektorov ekonomiky našej krajiny. Zmena regulácie kybernetickej bezpečnosti a odolnosti kľúčových subjektov a celých sektorov voči aktuálnym kybernetickým hrozbám je tak vďaka novele zákona transponovaná z európskeho do slovenského práva.

Koho sa zmeny dotýkajú?

Kľúčovými zmenami, ktoré novela zákona prináša sú rozšírenie pôsobnosti zákona na nové subjekty, identifikácia regulovaného subjektu na základe jeho zaradenia do sektora, úprava hlásenia incidentov,aplikácia bezpečnostných opatrení na základe rizikovej analýzy, úprava bezpečnosti dodávateľského reťazca, koordinované zverejňovanie zraniteľností, audit a samohodnotenie či certifikácia bezpečnosti IKT produktov a služieb.

Novela podstatne rozširuje povinnosti pre spoločnosti, ktoré podnikajú v sektore energetiky. „Medzi energetické podniky, ktoré môže zasiahnuť registračná povinnosť by mali patriť, napríklad obchodníci a dodávatelia elektriny a plynu vrátane LNG, výrobcovia tepla, prevádzkovatelia MDS, agregátor, prevádzkovatelia zásobníkov zemného plynu alebo zariadení LNG. Presné zoznamy subjektov v sektore energetika a ďalších sektoroch s vysokou úrovňou kritickosti sú uvedené v jednotlivých prílohách novely,“ hovorí Balunová.

Zmeny sa dotýkajú významných hráčov v energetike

Novela zákona menuje širší okruh subjektov pôsobiacich v sektoroch, ktoré sú kritické alebo dôležité pre fungovanie spoločnosti. Medzi sektory s vysokou úrovňou kritickosti patrí energetika, doprava, financie, zdravotníctvo, voda a atmosféra, digitálna infraštruktúra, riadenie služieb IKT (medzi podnikmi), verejná správa a vesmír. Novela sa dotýka aj ďalších dôležitých sektorov ekonomiky ako napr. odpadové hospodárstvo alebo výroba produktov, vrátane technologických zariadení používaných napr. v energetických zariadeniach, plynárenských sieťach, sústavách na prenos a distribúciu elektriny alebo rozvod tepla.

„Najvýraznejšou zmenou, ktorú prináša novela zákona o kybernetickej bezpečnosti je zmena prístupu k identifikácii povinných subjektov, tzv. kritických subjektov a tiež prevádzkovateľov základnej služby. V prípade kritických subjektov je proces posúdenia dlhý, náročný a prechádza cez viaceré štátne úrady. Prevádzkovateľ základnej služby zase prechádza procesom tzv. samoidentifikácie a následne mu vzniká povinnosť registrácie v registri prevádzkovateľov vedenom Národným bezpečnostným úradom,“ vysvetľuje Balunová.

Úprava identifikuje prevádzkovateľov základnej služby podľa konkrétnych kritérií, a to podľa sektorových kritérií a na základe posúdenia veľkosti. Na stránke NBÚ sa nachádza informatívny dotazník, kde je možné prvotne overiť, či subjekt môže byť zaradený do registra poskytovateľov základných služieb podľa zmeneného zákona o kybernetickej bezpečnosti. Subjekt, ktorý spĺňa kritéria na zápis do registra prevádzkovateľov základnej služby, je povinný sa do 60 dní nahlásiť na Národný bezpečnostný úrad, ktorý má povinnosť zapísať ho do registra do 30 dní.

Nové povinnosti po registrácií na NBÚ

Registráciou vznikajú prevádzkovateľovi rôzne povinnosti, napríklad ročná lehota na zavedenie potrebných bezpečnostných opatrení, pričom ich implementácia musí byť ukončená najneskôr do marca 2026.

Prevádzkovatelia základnej služby sú tiež povinní bezodkladne nahlásiť závažné incidenty a kybernetické hrozby. Cieľom je zabezpečiť zvýšenie úrovne a kvality zdieľaných informácií, čím sa zefektívni hlásenie hrozieb, zraniteľností, udalostí odvrátených na poslednú chvíľu a kybernetických bezpečnostných incidentov. Prispeje to k zvýšenej informovanosti o kybernetických hrozbách a schopnosti subjektov predchádzať im.

Ďalšou povinnosťou pre prevádzkovateľov základnej služby je audit, pričom v niektorých prípadoch audit stačí vykonať tzv. samohodnotením. Prvý nezávislý audit je potrebné vykonať do 24 mesiacov odo dňa zápisu do registra.

Odstrašujúce sankcie

Zmeny zasiahnu aj sankčný mechanizmus, čím sa docieli zefektívnenie vynucovanie pokút a zavedenie novej formy správneho sankcionovania.

V prípade ak spoločnosť zanedbá svoju notifikačnú povinnosť, vystavuje sa riziku značne vysokej sankcie, a to až do výšky 500.000 eur. „Okrem odstrašujúco vysokých zákonných sankcií najzávažnejším negatívnym dôsledkom v prípade kybernetického útoku pri zanedbaní povinností a ostražitosti bude paralyzovanie podniku, poškodenie jeho dobrého mena, vznik majetkovej škody a tiež možné ohrozenie života a zdravia ľudí,“ uzatvára Balunová.

Článok bol publikovaný v The Slovak Spectator: Nové požiadavky kybernetickej bezpečnosti zasiahnu sektor energetiky