Pripravte sa na NIS2 a novelu zákona o kybernetickej bezpečnosti

Novela zákona o kybernetickej bezpečnosti (ZoKB), ktorá prináša prísnejšie požiadavky na digitálne zabezpečenie organizácií, začne platiť už onedlho. Zistite, ako sa so spoločnosťou ESET efektívne pripraviť na zmeny súvisiace s implementovaním európskej smernice NIS2 do slovenského právneho poriadku.

Spoznať požiadavky NIS2
Splniť požiadavky s ESET PROTECT MDR

Čo to je NIS2 a ako súvisí so zákonom o kybernetickej bezpečnosti?

NIS2 je aktualizovaná verzia smernice NIS z roku 2016. Jej cieľom je posilniť a zabezpečiť európsky kybernetický priestor. Predmetom regulácie NIS2 nie je kybernetická bezpečnosť vo vzťahu k základným službám, ale kybernetická bezpečnosť a odolnosť kľúčových subjektov a celých sektorov voči aktuálnym kybernetickým hrozbám. Členské štáty EÚ sú povinné implementovať túto smernicu do svojho právneho systému. NIS2 zavádza nové opatrenia na zlepšenie kybernetickej bezpečnosti.

Do slovenského právneho prostredia implementuje požiadavky európskej smernice NIS2 novela zákona o kybernetickej bezpečnosti. Novelu zákona pripravil Národný bezpečnostný úrad. Novela zákona bola schválená Národnou radou Slovenskej republiky a nadobudne účinnosť 01.01.2025.

Novela zákona o kybernetickej bezpečnosti novelizuje predošlý zákon o kybernetickej bezpečnosti č. 69/2018 Z.z. a prináša nasledujúce kľúčové zmeny.
 

Regulované organizácie a služby

Novela zákona sa vzťahuje na novo regulované subjekty a tiež rozširuje rozsah pôsobnosti aj na ďalšie systémy a služby organizácií, ktoré už podliehajú existujúcemu zákonu o kybernetickej bezpečnosti.

Bezpečnosť dodávateľského reťazca

Novela zákona kladie väčší dôraz na bezpečnosť dodávateľského reťazca.

Hlásenie incidentov

Novela zákona zavedie podrobnejšiu úpravu povinnosti regulovaných subjektov hlásiť kybernetické incidenty. Táto úprava bude obsiahnutá v § 24 novely zákona.

Pokuty

Maximálna pokuta za porušenie povinností vyplývajúcich z novely zákona môže byť 10 mil. € alebo 2 % z celosvetového čistého ročného obratu.

Vzdelávanie

Novela zákona zavedie povinnosť prevádzkovateľov základných služieb zabezpečiť jasné určenie zodpovedností, vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti, pričom podrobnosti stanoví úrad právnym predpisom.

Aplikácia bezpečnostných opatrení na základe analýzy rizík

Novela zákona zavedie podrobnejšie pravidlá pre všeobecné bezpečnostné opatrenia, ktoré budú stanovené vyhláškou, ich implementácia bude vychádzať z analýzy rizík (ktorú musí vypracovať odborník) alebo sektorových štandardov, pričom prevádzkovatelia základných služieb ich musia zaviesť do 12 mesiacov od zápisu do registra.

Koordinované zverejňovanie zraniteľností

Novela zákona podporí koordinované zverejňovanie zraniteľností v IKT systémoch s cieľom minimalizovať riziko zneužitia.

Audit a samohodnotenie

Regulované subjekty budú povinné pravidelne vykonávať audity a samohodnotenia na vyhodnotenie stavu svojej kybernetickej bezpečnosti.

Certifikácia bezpečnosti IKT produktov a služieb

Novela zákona zavedie požiadavky na certifikáciu bezpečnosti IKT produktov a služieb, čím sa zvyšuje úroveň ochrany pred kybernetickými hrozbami.

Koho sa týka novela zákona o kybernetickej bezpečnosti?

Novela zákona o kybernetickej bezpečnosti sa zameriava na organizácie, ktoré poskytujú základné alebo kritické služby pre spoločnosť a ekonomiku. Nové požiadavky podľa novely zákona zavádzajú zvýšené štandardy ochrany pre lepšiu odolnosť voči kybernetickým hrozbám. Novela zákona zaraďuje medzi regulované subjekty spadajúce do týchto odvetví:

Energetika

Elektrická energia

  • Elektroenergetické podniky
  • Prevádzkovatelia distribučnej sústavy
  • Prevádzkovatelia prenosovej sústavy
  • Nominovaný organizátor trhu s elektrinou
  • Účastník trhu
  • Prevádzkovatelia nabíjacieho bodu
  • Držitelia povolenia podľa § 5 ods. 3 písm. a) až d) zákona č. 541/2004 Z. z.

Tepelná energetika

  • Výrobcovia a dodávatelia tepla

Diaľkové vykurovanie a chladenie

  • Výrobca alebo dodávateľ tepelnej energie

Ropa

  • Prevádzkovatelia ropovodov
  • Prevádzkovatelia zariadení na ťažbu, rafinovanie a spracovanie ropy, jej skladovanie a prepravu
  • Ústredné objekty správy zásob

Plyn

  • Dodávateľské podniky
  • Prevádzkovatelia distribučnej siete
  • Prevádzkovatelia prepravnej siete
  • Prevádzkovatelia zásobníkov
  • Prevádzkovatelia zariadení LNG
  • Plynárenské podniky

Vodík

  • Prevádzkovatelia zariadení na výrobu, skladovanie a prepravu vodíka

Financie

Bankovníctvo

  • Úverové inštitúcie, ako sú vymedzené v článku 4 bode 1 nariadenia (EÚ) č. 575/2013 v platnom znení

Infraštruktúra finančných trhov

  • Prevádzkovatelia obchodných miest
  • Centrálne protistrany podľa čl. 2 prvého bodu nariadenia (EÚ) č. 648/2012 v platnom znení

Systémy riadenia verejných financií

  • Prevádzkovatelia systémov, ktorých výpadok alebo poškodenie ohrozí hospodársku funkciu štátu

Voda a atmosféra

Pitná voda

  • Dodávatelia a distribútori vody na pitie, varenie, prípravu potravín alebo iné domáce účely

Odpadová voda

  • Podniky zaoberajúce sa zberom, likvidáciou alebo úpravou odpadových vôd

Meteorologická služba

  • Správcovia a prevádzkovatelia štátnej hydrologickej siete
  • Správcovia a prevádzkovatelia štátnej meteorologickej siete

Vodné stavby

  • Podniky prevádzkujúce vodné stavby, ich súčasti alebo ich časti, ktoré umožňujú osobitné užívanie vôd alebo iné nakladanie s vodami

Riadenie služieb IKT (medzi podnikmi)

  • Poskytovatelia riadených služieb
  • Poskytovatelia riadených bezpečnostných služieb

Vesmír

  • Prevádzkovatelia pozemnej infraštruktúry, ktorú vlastnia, riadia a prevádzkujú členské štáty Európskej únie alebo súkromné subjekty, ktorí prispievajú k poskytovaniu vesmírnych služieb, s výnimkou poskytovateľov verejných elektronických komunikačných sietí

Odpadové hospodárstvo

  • Podnikateľ, ktorý pri kúpe a následnom predaji odpadu koná vo vlastnom mene a na vlastnú zodpovednosť, vrátane obchodníka, ktorý tento odpad nemá fyzicky v držbe
  • Sprostredkovateľ - podnikateľ, ktorý organizuje zhodnocovanie odpadu alebo zneškodňovanie odpadu v mene iných osôb, vrátane sprostredkovateľa, ktorý tento odpad nemá fyzicky v držbe
  • Dopravca odpadu - podnikateľ, ktorý vykonáva prepravu odpadu pre cudziu potrebu alebo pre vlastnú potrebu

Výroba, spracovanie a distribúcia potravín

  • Potravinárske podniky, ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním

Poskytovatelia digitálnych služieb

  • Poskytovatelia online trhov
  • Poskytovatelia internetových vyhľadávačov
  • Poskytovatelia platforiem služieb sociálnej siete

Doprava

Letecká doprava

  • Leteckí dopravcovia
  • Prevádzkovatelia letiska
  • Prevádzkovatelia poskytujúci služby riadenia letovej prevádzky (ATC)

Železničná doprava

  • Prevádzkovateľ infraštruktúry
  • Železničné podniky

Vodná doprava

  • Spoločnosti prevádzkujúce vnútrozemskú, námornú a príbrežnú osobnú a nákladnú lodnú dopravu
  • Prevádzkovatelia prístavov
  • Prevádzkovatelia plavebno-prevádzkových služieb

Cestná doprava

  • Cestné orgány zodpovedné za kontrolu riadenia cestnej premávky
  • Prevádzkovatelia inteligentných dopravných systémov

Zdravotníctvo

  • Poskytovateľ zdravotnej starostlivosti
  • subjekt poskytujúci službu majúcu významný vplyv na ochranu, podporu a rozvoj verejného zdravia
  • Národné centrum zdravotníckych informácií
  • Subjekt vykonávajúci dohľad nad verejným zdravotným poistením a dohľad nad poskytovaním zdravotnej starostlivosti
  • Subjekt vykonávajúci štátny dozor na úseku farmácie a drogových prekurzorov, kontrolu pri výrobe a veľkodistribúcii liekov a zdravotníckych pomôcok
  • Referenčné laboratória Európskej únie
  • Subjekt vykonávajúci činnosti vo výskume a vývoji liekov
  • Výrobca základných farmaceutických výrobkov a farmaceutických prípravkov
  • výrobca zdravotníckych pomôcok, ktoré sú považované za kritické v núdzovej situácii v oblasti verejného zdravia
  • Zdravotná poisťovňa

Digitálna infraštruktúra

  • Poskytovatelia internetových prepojovacích uzlov
  • Poskytovatelia sietí na sprístupňovanie obsahu
  • Poskytovatelia verejných elektronických komunikačných sietí
  • Poskytovatelia verejne dostupných elektronických komunikačných služieb
  • Poskytovatelia služieb DNS, s výnimkou prevádzkovateľov koreňových názvových serverov
  • Správcovia TLD
  • Poskytovatelia služieb cloud computingu v súkromnom sektore
  • Poskytovatelia služieb dátového centra v súkromnom sektore
  • Poskytovatelia dôveryhodných služieb
  • Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú utajovaných skutočností
  • Správca a prevádzkovateľ informačného systému Úradu pre verejnú regulovanú službu
  • Tretia strana
  • Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú bezpečnosti Slovenskej republiky
  • Poskytovatelia služieb cloud computingu
  • Poskytovatelia služieb dátového centra
  • Správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sa týkajú zabezpečenia obrany Slovenskej republiky

Verejná správa

  • Subjekty verejnej správy na úrovni ústredného orgánu štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou
  • Subjekty verejnej správy na regionálnej úrovni okrem oblasti finančnej správy
  • Subjekty verejnej správy na úrovni ústredného orgánu štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou pre oblasť finančnej správy
  • Subjekty verejnej správy na regionálnej úrovni pre oblasť finančnej správy
  • Správcovia a prevádzkovatelia informačných systémov verejnej správy podporujúcich služby verejnej správy, služby vo verejnom záujme a verejné služby podľa zákona č. 95/2019 Z. z.

Poštové a kuriérske služby

  • Poštový podnik, ktorý poskytuje jednu alebo viacero poštových služieb alebo poštový platobný styk podľa zákona o poštových službách

Výroba a distribúcia chemických látok

  • Dodávatelia, výrobcovia, dovozcovia

Výroba

Výroba zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro

  • Výrobca zdravotníckej pomôcky alebo splnomocnený zástupca

Výroba počítačových, elektronických a optických výrobkov

  • Výrobca počítačových, elektronických a optických výrobkov uvedený v sekcii C divízii 26 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2

Výroba elektrických zariadení

  • Výrobca elektrických zariadení uvedený v sekcii C divízii 27 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2

Výroba strojov a zariadení i. n.

  • Výrobca strojov a zariadení i. n. uvedený v sekcii C divízii 28 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2

Výroba motorových vozidiel, návesov a prívesov

  • Výrobca motorových vozidiel, návesov a prívesov uvedený v sekcii C divízii 29 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2

Výroba ostatných dopravných prostriedkov

  • Výrobca ostatných dopravných prostriedkov uvedený v sekcii C divízii 30 štatistickej klasifikácii ekonomických činností SK NACE Rev. 2

Výskum

  • Výskumné organizácie - subjekty, ktorých hlavným cieľom je vykonávať aplikovaný výskum alebo experimentálny vývoj s cieľom využiť výsledky tohto výskumu na komerčné účely, ktorého súčasťou však nie sú vzdelávacie inštitúcie.

Jedným z hlavných kritérií na určenie regulovaného subjektu je jeho veľkosť. Nová legislatíva sa vzťahuje na organizácie, ktoré majú viac ako 50 zamestnancov a obrat nad 10 miliónov Eur. Zákon však identifikuje aj subjekty, ktoré môžu byť zaradené medzi regulované bez ohľadu na ich veľkosť. Ak máte pochybnosti, či pod novelu spadáte, môžete si pozrieť priamo novelu zákona na tomto odkaze.

Kedy a čo musia splniť regulované subjekty?

Novela zákona o kybernetickej bezpečnosti prináša nové povinnosti pre regulované subjekty. V tejto časti nájdete dva časové harmonogramy: jeden pre novo-regulované subjekty, a druhý pre existujúce subjekty, ktoré už dnes spadajú pod zákon o kybernetickej bezpečnosti. Zoznámte sa s kľúčovými termínmi a povinnosťami, ktoré je potrebné splniť.

Časová os pre nové subjekty

Táto časová os zobrazuje povinnosti pre prevádzkovateľov základnej služby - PZS § 17 novely zákona a prevádzkovateľov kritickej základnej služby - PKZS § 18 ods. 1 a ods. 2 novely zákona.

01.01.2025
Účinnosť novely zákona
02.03.2025
Oznámenie úradu § 17 ods. 2 – 60 dní od účinnosti novely zákona t.j. 02.03.2025

Ten, kto vykonáva činnosť podľa odseku 1 je povinný do 60 dní odo dňa, kedy činnosť začne vykonávať, oznámiť to úradu. Oznámenie podľa predchádzajúcej vety musí obsahovať:

a)názov, sídlo a kontaktné údaje vrátane elektronických adries, verejných IP adries a telefónnych čísel,
b)zoznam členských štátov Európskej únie, v ktorých vykonáva činnosť alebo poskytuje službu,
c)názov, sídlo a kontaktné údaje zástupcu podľa § 21 ods. 1.
Marec 2025
Rozhodnutie úradu § 17 ods. 3 – predpokladáme, že cca 15 dní po oznámení, t.j. cca 17.03.2025

Úrad zapíše do registra prevádzkovateľov základnej služby osobu podľa odseku 1:

a) po predchádzajúcej konzultácii s príslušným ústredným orgánom, a to z vlastnej iniciatívy alebo na základe odôvodnenej žiadosti osoby podľa odseku 1, alebo

b) na návrh príslušného ústredného orgánu.
Apríl 2025
Vznik práv a povinností
pre subjekt § 17 ods. 5 - Účinnosť zákona voči novo zapísanému PZS – 30 dní odo dňa zápisu

Práva a povinnosti prevádzkovateľa základnej služby vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.
Marec 2026
Povinnosť zaviesť
bezpečnostné opatrenia § 19 ods. 1 - Povinnosť zaviesť bezpečnostné opatrenia – 12 mesiacov odo dňa zápisu

Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak sú ustanovené; povinnosť prijímať opatrenia podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia.
Marec 2027
Prvý audit
alebo samohodnotenie § 34b ods. 8 a 9 Povinnosť vykonať prvý audit/ samohodnotenie – 24 mesiacov odo dňa zápisu

(8)Prevádzkovateľ základnej služby môže pre I. a II. kategóriu sietí a informačných systémov zabezpečiť splnenie povinnosti vykonať audit kybernetickej bezpečnosti, ktorý by bol povinný vykonať v rokoch 2025 a 2026, vykonaním samohodnotenia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti a výsledok samohodnotenie doručí prevádzkovateľ základnej služby úradu bezodkladne po jeho vykonaní.
(9)Prevádzkovateľ základnej služby pre I. a II. kategóriu sietí a informačných systémov postupom podľa odseku 9 môže splniť povinnosť vykonať audit kybernetickej bezpečnosti, ktorý bol povinný vykonať v roku 2024,do 30. septembra 2025.

Informácie pre existujúce subjekty

Od 1. januára 2025 sa prevádzkovatelia základných služieb podľa zákona platného do 31. decembra 2024 budú považovať za prevádzkovateľov kritických základných služieb podľa nových pravidiel. Rovnako, poskytovatelia digitálnych služieb, ktorí podliehajú pravidlám platným do konca roka 2024, sa od 1. januára 2025 budú považovať za prevádzkovateľov základných služieb podľa novely zákona.

Pre existujúce subjekty je kľúčovým dátumom 31. december 2026. Do tohto dátumu môže dôjsť k tzv. výmazu zo zoznamu regulovaných subjektov a zároveň sa končí prechodné obdobie pre plnenie bezpečnostných opatrení.

Výmaz z registra regulovaných subjektov

Do 24 mesiacov od začiatku platnosti novely (t.j. do 31. decembra 2026) môže dôjsť k tzv. výmazu z registra regulovaných subjektov:

  • Úrad môže rozhodnúť, že niektoré subjekty, ktoré sa podľa predchádzajúcich pravidiel považovali za prevádzkovateľov kritickej základnej služby, už nimi nie sú, pretože nespĺňajú nové podmienky.
  • Úrad môže rozhodnúť aj o tom, že niektorí poskytovatelia digitálnych služieb už nebudú považovaní za prevádzkovateľov základných služieb, ak nespĺňajú nové podmienky.

Plnenie bezpečnostných opatrení

Plnenie bezpečnostných opatrení podľa § 34b ods. 5

Prevádzkovateľ základnej služby podľa odseku 1 môže do 31. decembra 2026 prijímať a realizovať bezpečnostné opatrenia podľa predpisov účinných od 1. januára 2025 aj prijímaním a realizovaním bezpečnostných opatrení podľa predpisov účinných do 31. decembra 2024.

Aké bezpečnostné opatrenia potrebujete spĺňať?

Podľa novely zákona o kybernetickej bezpečnosti budú regulované subjekty povinné zaviesť prísnejšie bezpečnostné opatrenia, ako je monitorovanie sietí, správu zraniteľností či včasné hlásenie incidentov. Mnohé z týchto požiadaviek môžu jednoducho splniť vďaka komplexným riešeniam od spoločnosti ESET, ktoré im pomôžu posilniť ochranu a odolnosť voči hrozbám.

Novela zákona ukladá podľa § 20 regulovaným subjektom na základe analýzy rizík povinnosť prijať bezpečnostné opatrenia aspoň pre nasledujúce oblasti.

Požiadavky, s ktorými vám pomôžeme

Správu zraniteľností a kybernetických hrozieb

Zistiť viac

Správu aktív a riadenie kybernetických hrozieb a rizík

Zistiť viac

Riadenie udalostí a kybernetických bezpečnostných incidentov

Zistiť viac

Postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti

Zistiť viac

Kryptografické opatrenia a zásady používania kryptografie

Zistiť viac

Bezpečnosť a spôsobilosti ľudských zdrojov

Zistiť viac

Správu identít a prístupov

Zistiť viac

Bezpečnosť pri prevádzke sietí a informačných systémov

Zistiť viac

Ochranu proti škodlivému kódu a nežiaducemu obsahu

Zistiť viac

Systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť

Zistiť viac

Monitorovanie, zaznamenávanie a hlásenie udalostí

Zistiť viac

Ochranu záznamov, súkromia a označovanie informácií

Zistiť viac

Dodávateľský reťazec

Zistiť viac

Obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT

Zistiť viac

Ostatné požiadavky

Organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti

Zistiť viac

Riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie

Zistiť viac

Bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií

Zistiť viac

Fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení

Zistiť viac

Požiadavky, s ktorými vám pomôžeme

Správu zraniteľností a kybernetických hrozieb

Zistiť viac

Správu aktív a riadenie kybernetických hrozieb a rizík

Zistiť viac

Riadenie udalostí a kybernetických bezpečnostných incidentov

Zistiť viac

Postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti

Zistiť viac

Kryptografické opatrenia a zásady používania kryptografie

Zistiť viac

Bezpečnosť a spôsobilosti ľudských zdrojov

Zistiť viac

Správu identít a prístupov

Zistiť viac

Bezpečnosť pri prevádzke sietí a informačných systémov

Zistiť viac

Ochranu proti škodlivému kódu a nežiaducemu obsahu

Zistiť viac

Systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť

Zistiť viac

Monitorovanie, zaznamenávanie a hlásenie udalostí

Zistiť viac

Ochranu záznamov, súkromia a označovanie informácií

Zistiť viac

Dodávateľský reťazec

Zistiť viac

Obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT

Zistiť viac

Ostatné požiadavky

Organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti

Zistiť viac

Riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie

Zistiť viac

Bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií

Zistiť viac

Fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení

Zistiť viac

Splňte požiadavky ZoKB s ESET PROTECT MDR

Komplexné riešenie ESET PROTECT MDR je pre vašu organizáciu optimálnou voľbou pre splnenie väčšiny uvedených požiadaviek zákona o kybernetickej bezpečnosti. Tento bezpečnostný balík predstavuje vrchol zabezpečenia od spoločnosti ESET a kombinuje v sebe špičkovú technológiu so skúsenosťami expertov spoločnosti ESET. Zabezpečenie organizácie je v rámci tohto riešenia pod taktovkou ESET odborníkov, vďaka čomu poskytuje najvyššiu ochranu aj firmám bez vlastných bezpečnostných špecialistov.

ESET PROTECT MDR

Správa kybernetických rizík a prehľad o IT prostredí z jednej centrálnej konzoly, ktorá môže byť nainštalovaná lokálne alebo v cloude v závislosti od vašich požiadaviek.

  • Konzola

  • Moderná ochrana koncových zariadení

  • Ochrana serverov

  • Ochrana pred mobilnými hrozbami

  • Šifrovanie celého disku

  • Pokročilá ochrana pred hrozbami

  • Ochrana cloudových aplikácií

  • Ochrana e‑mailových serverov

  • Vulnerability and Patch Management

  • Rozšírená detekcia a reakcia (XDR)

  • Dvojfaktorová autentifikácia

  • Služba riadenej detekcie a rekcie (MDR)

  • Služba Premium Support Essential

Vyžiadať cenovú ponuku

Zistiť viac o produkte

Prezrite si našu prehľadnú PDF príručku s podrobnými informáciami o všetkých firemných riešeniach a ich funkciách.

Stiahnuť prehľad (PDF)

Prečítajte si viac o tom, ako vám môže ESET pomôcť vyhľadávať hrozby a účinne ich blokovať.

Viac informácií

Zistite, čo o produktoch ESET hovoria analytici z IT odvetvia a ako sa nám darí v nezávislých testoch.

Viac informácií

Prezrite si našu prehľadnú PDF príručku s podrobnými informáciami o všetkých firemných riešeniach a ich funkciách.

Stiahnuť prehľad (PDF)

Prečítajte si viac o tom, ako vám môže ESET pomôcť vyhľadávať hrozby a účinne ich blokovať.

Viac informácií

Zistite, čo o produktoch ESET hovoria analytici z IT odvetvia a ako sa nám darí v nezávislých testoch.

Viac informácií

Často kladené otázky k NIS2

Čo je NIS2?

NIS2 je smernica Európskeho parlamentu a Rady Európskej únie, ktorej cieľom je zlepšiť kybernetickú bezpečnosť v celej EÚ. Každý členský štát je povinný transponovať povinnosti vyplývajúce z tejto smernice do miestnych právnych predpisov. Slovenská republika upraví tieto povinnosti v novele Zákona o kybernetickej bezpečnosti.

Kedy bude platiť novela zákona, ktorou sa transponuje NIS2?

Smernica NIS2 bola prijatá na úrovni EÚ v decembri 2022. Členské štáty museli transponovať povinnosti vyplývajúce z tejto smernice do miestnych právnych predpisov do októbra 2024. Novelu zákona o kybernetickej bezpečnosti, ktorá transponuje smernicu NIS2 do slovenského právneho poriadku, pripravil Národný bezpečnostný úrad. Novela zákona bola schválená Národnou radou Slovenskej republiky 28.11.2024. Novela zákona nadobudne účinnosť 01.01.2025.

Spadám pod pôsobnosť novely zákona, ktorou sa transponuje NIS2?

Novela Zákona o kybernetickej bezpečnosti, sa podľa dôvodovej správy k zákonu dotkne na Slovensku najmenej 3 403 organizácií. Zákon bude regulovať viac ako 80 služieb v 16 odvetviach. Hlavnými kritériami na určenie toho, či sa na organizáciu vzťahujú povinnosti vyplývajúce z novely zákona, sú jej veľkosť (počet zamestnancov alebo obrat) a služby, ktoré poskytuje (poskytuje aspoň jednu tzv. regulovanú službu). Zákon rozdeľuje poskytovateľov regulovaných služieb, ktorí spĺňajú kritériá, do dvoch kategórií – Prevádzkovateľa základnej služby a Prevádzkovateľa základnej služby, ktorý prevádzkujú kritickú základnú službu.

Aké najväčšie zmeny prináša novela zákona, ktorou sa transponuje NIS2?

V porovnaní s pôvodnou smernicou NIS a zákonom o kybernetickej bezpečnosti sa počet regulovaných subjektov výrazne zvýši. Zvýšia sa aj maximálne sankcie z pôvodných 300.000,00 € (alebo 1 % globálneho ročného obratu) na 10.000.000,00 € (alebo 2 % globálneho ročného obratu). Súčasťou novej legislatívy sú aj nefinančné sankcie, ako je pozastavenie certifikácie alebo pozastavenie výkonu funkcie vrcholového manažmentu.

Medzi najvýznamnejšie zmeny v povinnostiach patria:

  • Regulované organizácie a služby
  • Bezpečnosť dodávateľského reťazca
  • Hlásenie incidentov
  • Vyššie pokuty a prísnejšie sankcie
  • Povinnosť vzdelávania
  • Aplikácia bezpečnostných opatrení na základe rizikovej analýzy
  • Úprava bezpečnosti dodávateľského reťazca
  • Úprava hlásenia incidentov
  • Koordinované zverejňovanie zraniteľností
  • Audit a samohodnotenie
  • Certifikácia bezpečnosti IKT produktov a služieb

Čo je samoidentifikácia?

Organizácie musia samy posúdiť, či spĺňajú podmienky na registráciu regulovanej služby, a či sa preto na ne vzťahujú povinnosti vyplývajúce z novely zákona. Novela zákona obsahuje kritériá, ktoré umožňujú organizáciám samostatne posúdiť, či na ne povinnosti dopadajú. Ak subjekt spĺňa podmienky v zmysle novely zákona, musí sa nahlásiť Národnému bezpečnostnému úradu. Následne potom, čo NBU rozhodne o zápise daného subjektu do registra podľa novely zákona, musí tento subjekt podľa podmienok stanovených novelou zákona spĺňať všetky povinnosti, ktoré mu z novely zákona vyplývajú.

Kto bude kontrolovať plnenie povinností v zmysle novely zákona, ktorou sa transponuje NIS2?

Plnenie povinností podľa novely zákona o kybernetickej bezpečnosti bude kontrolovať Národný bezpečnostný úrad (NBÚ). NBÚ je ústredným orgánom štátnej správy zodpovedným za oblasť kybernetickej bezpečnosti, dohľad nad regulovanými subjektmi a vymáhanie povinností, vrátane vykonávania kontrol a ukladaní sankcií.

Aké bezpečnostné pozície musím podľa novely zákona, ktorou sa transponuje NIS2 zaviesť?

Novela zákona o kybernetickej bezpečnosti v kombinácii s účinnou vyhláškou NBÚ č. 492/2022 Z.z. vyžaduje, aby ste vo svojej organizácii vytvorili jasné úlohy a zodpovednosti v oblasti kybernetickej bezpečnosti. Tieto úlohy môžu zahŕňať rôzne špecializované pozície, ako sú:

  • odborný zamestnanec,
  • špecialista kybernetickej bezpečnosti,
  • manažér kybernetickej bezpečnosti,
  • audítor kybernetickej bezpečnosti,
  • tester kybernetickej bezpečnosti,
  • architekt kybernetickej bezpečnosti, a ďalšie.

Je na vás, aby ste na základe analýzy rizík, aktuálnych trendov a noriem v kybernetickej bezpečnosti určili, ktoré z týchto pozícií sú pre vašu organizáciu potrebné. Súčasťou opatrení musí byť aj primerané vzdelávanie a školenia pre všetky zavedené role. Názvy pozícií a pracovné náplne si môžete prispôsobiť potrebám svojej firmy. Dôležité je, aby reflektovali zodpovednosti podľa zákona.

Aký je rozdiel medzi NIS2 a DORA?

Ide o dve rôzne nariadenia vydané Európskym parlamentom a Radou Európskej únie, ktoré boli zverejnené v podobnom čase.

NIS2 je „smernica“, takže každá členská krajina musí implementovať povinnosti vyplývajúce zo smernice do miestnych právnych predpisov. Zatiaľ čo DORA je „nariadenie“, takže v tejto podobe už platí vo všetkých členských štátoch EÚ.

Nariadenia sa líšia rozsahom povinností a predovšetkým tým, na koho sa vzťahujú. Zatiaľ čo DORA je primárne zameraná na finančné inštitúcie, NIS2 sa vzťahuje aj na organizácie v iných sektoroch vrátane finančných.

Ďalší rozdiel je v dátumoch platnosti a účinnosti týchto nariadení - DORA nadobudla účinnosť v januári 2023 a organizácie majú na implementáciu jej povinností 2 roky, t. j. do januára 2025. NIS2 nadobudla účinnosť v decembri 2022 a členské štáty mali čas do októbra 2024 na implementáciu jej obsahu do miestnych právnych predpisov.

Čo je pre Vás záväzné?

Pre subjekty na Slovensku je právne záväzný len slovenský zákon, ktorý transponuje európsku smernicu NIS2 do vnútroštátnej legislatívy. Smernica NIS2 slúži ako rámec pre členské štáty EÚ, avšak samotné povinnosti a pravidlá pre subjekty na Slovensku vyplývajú výlučne z ustanovení slovenského zákona, ktorý reflektuje požiadavky tejto smernice.

Vyžiadajte si ponuku

Nechajte nám svoje kontaktné údaje a my pre vás pripravíme ponuku prispôsobenú potrebám vašej spoločnosti, ktorá vám pomôže pri naplnení veľkej časti požiadaviek NIS2.