Novela zákona o kybernetickej bezpečnosti a jej dopad na subjekty verejnej správy a kritickú infraštruktúru

Článok sa zaoberá novelou zákona o kybernetickej bezpečnosti a novým zákonom o kritickej infraštruktúre, pričom sa zameriava na kľúčové zmeny v určovaní prevádzkovateľov základných služieb, kritických subjektov a kritických základných služieb.

Dátum publikácie:19. 3. 2025
Autor:Eversheds Sutherland, advokátska kancelária, s. r. o., JUDr. Simona Makúchová

tt_muz-notebook

V digitálnej ére je kybernetická bezpečnosť neoddeliteľnou súčasťou ochrany štátu, verejnej správy a kritickej infraštruktúry. S narastajúcim počtom kybernetických útokov a zvyšujúcimi sa požiadavkami na bezpečnosť informačných systémov a v nadväznosti na nové pravidlá Európskej únie bolo nevyhnutné aktualizovať legislatívu. Z tohto dôvodu bola prijatá novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej ako „Zákon o KB“), ktorá nadobudla účinnosť začiatkom roka 2025 a reflektuje aj nový zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov (ďalej ako „Zákon o KI“) účinný od 1.1.2025.

 

Okrem súkromného sektora zasiahla novela Zákona o KB najmä ústredné orgány štátnej správy a ostatné orgány verejnej správy. Nový Zákon o KI zároveň novelizoval a zosúladil pojmy a povinnosti zakotvené v zákone č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej ako „Zákon o ITVS“).

 

Transpozícia smernice NIS 2 a povinnosti pre prevádzkovateľov základnej služby

Novela zákona o KB implementuje požiadavky Smernice NIS 2Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2), dostupná online: https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX:02022L2555-20221227, ktorá predstavuje aktualizáciu pôvodnej smernice NIS z roku 2016. Jednou z hlavných zmien je odstránenie konceptu určovania prevádzkovateľov základných služieb na základe individuálnej identifikácie. Namiesto toho novela priamo definuje sektory a typy organizácií, ktoré musia dodržiavať bezpečnostné opatrenia. Medzi tieto sektory patria energetika, doprava, zdravotníctvo, financie, odpadové hospodárstvo, verejná správa a ďalšie kľúčové infraštruktúry uvedené v prílohe č. 12 Zákona o KB.

 

Podrobná špecifikácia prevádzkovateľov základných služieb je uvedená v § 17 Zákona o KB. Prevádzkovateľ základnej služby je povinný zaregistrovať sa do 60 dní od začatia poskytovania základnej služby do registra prevádzkovateľov základnej služby vedenom Národným bezpečnostným úradom Slovenskej republiky (ďalej ako „NBÚ“). Vzhľadom na skutočnosť, že s účinnosťou od 1.1.2025 došlo k značnému rozšíreniu subjektov, ktoré spĺňajú zákonné podmienky na zaradenie medzi prevádzkovateľov základnej služby, pre tieto nové subjekty plynie lehota 60 dní od 1.1.2025.

 

Zápis do registra prevádzkovateľov základnej služby oznámi NBÚ prevádzkovateľovi základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a toto oznámenie mu doručí aj do elektronickej schránky.

 

Práva a povinnosti prevádzkovateľa základnej služby vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.

 

Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení§ 20 Zákona o KB a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti.

 

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia do registra prevádzkovateľov základnej služby. Ak nie je prevádzkovateľom kritickej základnej služby, prevádzkovateľ základnej služby nie je povinný vykonať audit, postačuje preverenie účinnosti prijatých bezpečnostných opatrení tzv. samohodnotením.

Článok je uvedený v skrátenom znení. 

 

Prečítajte si celé znenie: Novela zákona o kybernetickej bezpečnosti a jej dopad na subjekty verejnej správy a kritickú infraštruktúru

 


Autor: JUDr. Simona Makúchová, advokátka; Eversheds Sutherland, advokátska kancelária, s. r. o.

Súvisiace videoškolenia

Súvisiace dôvodové správy

Súvisiace odborné články

Súvisiace právne predpisy ZZ SR

Funkcie

Partner

logo_aion_50
bvp3_logo-fbi
bvp3_envipak

PORADCA PODNIKATEĽA vydavateľský a vzdelávací dom

 

Poradca podnikateľa - vydavateľský a vzdelávací dom

O portáli  

Napísali o nás  

Portál je profesionálne vytvorený, prehľadný a pravidelne aktualizovaný. Na základe vlastných skúseností s jeho používaním ho odporúčam laikom i odborníkom.

Štefan Podhora, autorizovaný bezpečnostný technik

S-EPI, s.r.o. © 2010-2025, všetky práva vyhradené
úvodná strana | o bezpecnostvpraxi.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.