Nejdříve zjistěte, zda na vás nová legislativa dopadá a jste poskytovatelem regulovaných služeb
Stejně jako v České republice musí také na Slovensku společnosti určit, jestli se budou novou legislativou řídit a zda jsou provozovateli regulovaných služeb. Pokud na Slovensku podnikáte, zvolili jste patrně jednu z následujících cest:
- podnikání pod Českou (nebo jinou zahraniční) hlavičkou,
- podnikání prostřednictvím organizačních složek,
- podnikání prostřednictvím dceřiných společností.
V kterém z těchto případů musíte provést registraci? Zkrátíme teorii a právní výklad – povinnost registrovat se v těchto případech dopadá jen na dceřiné společnosti se sídlem na Slovensku. Organizačních složek ani mateřských společností sídlících v zahraničí se registrace na Slovensku netýká.
Ohledně nové právní úpravy kybernetické bezpečnosti na Slovensku byl dlouho klid. Zatímco NÚKIB práci pravidelně prezentuje a je pod drobnohledem odborné veřejnosti, slovenský NBÚ byl na poskytování informací skromnější. A tak bylo relativně překvapující, že byla na konci loňského listopadu schválena novela slovenského zákona o kybernetické bezpečnosti, která je účinná od 1. 1. 2025. Řada českých firem na Slovensku působí. Jaký je tedy pro ně praktický dopad toho, že nás Slováci v kybernetické legislativě předběhli?
Podmínky pro určení jsou upraveny ve dvou přílohách k zákonu. První určuje sektory s vysokou úrovní kritičnosti, druhá jiné kritické sektory. Tyto názvy a v nich popsané regulované služby vám možná budou povědomé, prakticky totiž kopírují přílohy směrnice NIS2.
Určování velikosti podniků je pak shodné v celé EU včetně České republiky (více jsme se mu věnovali například v tomto článku v bodě 3). Pro lepší orientaci v regulovaných službách můžete využít pomůcku, kterou zveřejnil Slovenský NBÚ.
Jste poskytovatelem na Slovensku? Registrujte se!
Pokud dojdete k závěru, že jste poskytovatelem regulovaných služeb, máte povinnost se do 60 dní od počátku jejího poskytování registrovat u Slovenského NBÚ (aktuálně tedy od účinnosti novely). Co to v praxi znamená?
V době psaní tohoto textu ještě nebyl zprovozněn jednotný informační systém kybernetické bezpečnosti. Ten má sloužit jako hlavní komunikační nástroj se slovenským NBÚ. Budou přes něj tedy probíhat také registrace.
Podle pokynů NBÚ mají společnosti do doby spuštění portálu pro registraci použit formulář umístěný na jeho stránkách. Formulář můžete NBÚ poslat e-mailem anebo elektronickou schránkou (obdoba datové schránky užívaná v České republice).
A jaké informace si pro vyplnění formuláře připravit?
- Sektor, podsektor a typ subjektu provozovatele regulované služby (vyplývá z určených regulovaných služeb dle vyhlášky), k určení můžete využít pomůcku na stránkách úřadu: Indikatívna pomôcka na určenie subjektu ako poskytovateľa základnej služby
- Název, sídlo a kontaktní údaje včetně elektronických adres, veřejných IP adres a telefonních čísel.
- Zda jste provozovatelem kritické základní služby.
- Identifikační údaje vašeho manažera kybernetické bezpečnosti.
- Seznam členských států Evropské unie, ve kterých vykonáváte činnost nebo poskytujete službu.
- V případě, že poskytujete služby související s fungováním veřejné komunikační sítě (DNS, správa TLD, datové centrum apod.) bude povinností ještě více. V tom případě doporučíme zkontrolovat povinnosti přímo v zákoně.
Registrace má být provedena do 60 dní ode dne, kdy bylo započato s provozováním činnosti, anebo od účinnosti novely. Poslední termín tak padá na sobotu 1. března. Jako hraniční termín pro nahlášení tak považujeme pátek 28. února.
Kolik zbývá času do provedení registrace?
V zákoně jsem našel minimum povinností. Je toho opravdu tak málo?
Novela zákona opravdu mnoho povinností nestanovuje. Zejména při srovnání s právní úpravou v Česku, která prostřednictvím vyhlášek ukládá povinnosti ve velkém detailu. Na Slovensku to má být obdobně – povinnosti budou rozvedeny ve vyhláškách. Ty však dosud nejsou vydané. K dispozici mají být do konce prvního kvartálu 2025.
Praktické postřehy na závěr
Na Slovensku nejsme poskytovatelé regulovaných služeb – musíme novelu slovenského zákona vůbec řešit?
Kybernetickou bezpečnost řešíte, abyste zajistili vlastní bezpečí. Nadto se můžete chystat na splnění podmínek českého zákona a vyhlášek. Anebo taky ne. Znamená to, že nemusíte povinnosti dle slovenské úpravy vůbec řešit?
I když nebudete povinným subjektem, může se vám na Slovensku stát, že po vás bude splnění podmínek v oblasti kybernetické bezpečnosti od některých zákazníků vyžadováno. Čím dál častěji se objevují ujednání o kyberbezpečnosti v zadání veřejných zakázek. V takovém případě doporučujeme se zaměřit na šíři vyžadovaných smluvních povinností a zkusit se zadavateli vyjednávat o jejich zúžení k předmětu zakázky. V těchto případech pamatujte na to, že kybernetickou bezpečnost řešíte kvůli regulovaným službám objednatele – v bezpečí by tak měla být zejména aktiva, která jsou k jejímu provozování potřeba.
