Významnú úlohu pri novozavedených kritériách posudzovania vybraných subjektov ako prevádzkovateľov základných služieb, v zmysle už pol roka platného textu ZoKB zohrávajú veľkostné resp. objemové kritériá z definície malých a stredných podnikov obsiahnutej v odporučení Európskej Komisie (EK) č. 2003/361 zo 6. mája 2003[2]. V článku sa podrobne venujeme týmto zmenám, sektorovej špecifikácii, ako aj praktickým aspektom výpočtu veľkostných kritérií, ktoré sú kľúčové pre správne posúdenie povinností podľa novej právnej úpravy.

Novela ZoKB je účinná pol roka. Novou definíciou povinných subjektov rozšírila rozsah svojej pôsobnosti aj na nové subjekty[3], pre ktoré tak po novom zavádza plno noviniek. Subjektom v znení novely je každý, kto je zapísaný v registri PZS. Medzi ex lege registrované subjekty tak spadnete v prípade, že Vám zákon určil povinnosť registrácie. Takýmto subjektom sú i) ústredné orgány štátnej správy (prípadne iné štátne orgány s celoštátnou pôsobnosťou), ii) kritické subjekty, iii) vybrané osoby, ktoré bez ohľadu na svoju veľkosť vykonávajú činnosť v niektorom z vybraných sektorov uvedených v prílohách č. 1 a 2. ZoKB, iv) štátne org. vykonávajúce činnosť vo viac ako dvoch okresoch, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie, no tiež v) osoby, ktoré spĺňajú kritériá veľkosti pre stredný podnik a vykonávajú činnosť označenú v už spomenutých prílohách[4]. Práve na tieto subjekty (nakoľko predstavujú najpočetnejšiu skupinu „nováčikov“) sa v tomto článku ďalej zameriame.

Hoci určenie splnenia objemových kritérií resp. kritérií veľkosti by sa mohlo zdať pomerne jednoduché opak je v praxi pravdou. Napriek tomu, že novela určila povinnosť, že do 60 dní od účinnosti zákona resp. od začatia výkonu určenej činnosti ste povinný sa notifikovať v zozname PZS aj pol roka od nadobudnutia účinnosti novely zákona niektoré súkromné sektory naďalej bojujú s otázkou, či sa na nich zákon vzťahuje.[5]

Ktoré sektory a subjekty sa majú mať na pozore?

Novela vo svojej prílohe č. 1 a prílohe č. 2 jednotlivé „sektory povinných subjektov“ rozdelila do dvoch úrovní a) sektory s vysokou úrovňou kritickosti a b) iné kritické sektory.

Medzi sektory PZS s vysokou úrovňou kritickosti patria: energetika, doprava, financie, zdravotníctvo, voda a atmosféra, digitálna infraštruktúra, riadenie služieb

IKT (medzi podnikmi), verejná správa a vesmír. Inými kritickými sektormi PZS sú: poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, výroba, spracovanie a distribúcia potravín, výroba (elektrozariadenia, stroje, motorové vozidlá a iné), poskytovatelia digitálnych služieb a výskum.

Pri už uvedených sektorových subjektoch, teda tých spadajúcich pod prílohu č. 1 alebo prílohu č. 2 je potrebné splnenie aspoň jedného z ďalších tu uvedených kritérií: poskytovať i) elektronickú komunikačnú sieť alebo služby, ii) dôveryhodnú službu, iii) správu TLD, iv) služby DNS, v) službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie, vi)  služby alebo mať také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko najmä v sektore, v ktorom by takéto narušenie alebo zásah mohli mať cezhraničný vplyv; prípadne byť vii) v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou, alebo vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritickou pre konkrétny sektor; alt. viii) subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu; či ix) naplniť veľkostné kritéria pre stredný podnik.

Veľkostné kritériá pre stredný podnik

V otázke veľkostných kritérií novela odkazuje na definíciu malých a stredných podnikov plynúcu z Odporúčania Komisie 2003/361/ES zo 6. mája 2003, ktoré sa týka definície mikro, malých a stredných podnikov („odporúčanie“).  V zmysle uvedeného sa veľkosť podniku určuje na základe posúdenia nasledujúcich troch kritérií, a to: a) počet zamestnancov, a b) ročný obrat, a/alebo c) celková ročná súvaha.

Kritérium počtu zamestnancov zostáva rozhodujúcim pre určenie veľkosti podniku, no je potrebné ho doplniť finančnými kritériami – obratom alebo bilančnou sumou, ktoré spoločne lepšie odrážajú výkonnosť a postavenie podniku. Obrat by zároveň nemal byť pre stredné podniky vnímaný izolovane, pretože obchodné podniky majú prirodzene vyšší obrat než výrobné. Odporúčanie preto pre podnik dosahujúci úroveň stredného podniku umožňuje ako doplňujúce kritérium kombinovať obrat podniku práve s týmto ukazovateľom, pričom postačuje prekročenie aj len jedného z týchto limitov.

MSP (tzn. malý a stredný podnik) resp. stredný podnik tak v zmysle uvedených kritérií je podnik, ktorý zamestnáva do 250 zamestnancov s obratom do výšky 50 miliónov EUR a/alebo súvahou neprevyšujúcou 43 miliónov EUR. Malý podnik bude podnik s počtom zamestnancov do 50 a s obratom do výšky 10 miliónov EUR.

Ak by sme išli ešte ďalej podľa definície MSP je za podnik považovaný každý subjekt vykonávajúci hospodársku činnosť bez ohľadu na právnu formu, pričom rozhodujúca je samotná hospodárska činnosť, nie právna štruktúra. To znamená, že za podnik sa môžu považovať samostatne zárobkovo činné osoby, rodinné firmy, partnerstvá, združenia či iné subjekty, ktoré pravidelne predávajú výrobky alebo služby za stanovenú cenu na určitom trhu.

Subjektom ZoKB je (s ohľadom na predmet nášho článku ako sme si ho vymedzili už v úvode) potom tá osoba, ktorá pôsobí vo vymedzenom sektore a zamestnáva aspoň 51 zamestnancov, pričom jej obrat prekročil aspoň 10mil. EUR.

Prepojené a partnerské podniky a čo to znamená 

Ale pozor, aj keď podnik zdanlivo nedosahuje kritéria stredného podniku neznamená to, že je z postavenia PZS z dôvodu nesplnenia veľkostných kritérií vylúčený. Ak má podnik prístup k značným dodatočným zdrojom napr. preto, že je vlastnený, pre­pojený alebo previazaný partnerským vzťahom s väčším podnikom, nemusí byť oprávnený na postavenie MSP. Pre realistickejšie zohľadnenie hospodárskeho postavenia malých a stredných podnikov (MSP) sa preto rozlišuje medzi autonómnymi podnikmi, partnerskými spoločnosťami bez kontrolnej pozície a prepojenými podnikmi, pričom aj tu platí limit vlastníctva nad 25 % podielov v zmysle odporúčania EK č. 96/280/ES – iba ak tento limit nie je dosiahnutý podnik sa bude považovať za autonómny a jeho hodnoty vykázané ním v účtovnej závierke za konečné.

Ak preto spoločník v spoločnosti disponuje 25 % podielom na základnom imaní alebo hlasovacích právach bude vo vzťahu k tomuto podniku partnerským podnikom. Prepojeným podnikom bude spoločník, ktorého majetková účasť v inom podniku presiahne hranicu 50 %.

Kritéria rozhodujúce pre vymedzenie základného postavenia a vzťahov medzi podnikmi tak sú nasledovné: i) akcionárske alebo členské hlasovacie práva v inom podniku; (ii) právo vymenovať alebo odvolať väčšinu členov správneho, riadiaceho alebo dozorného orgánu iného podniku; (iii) právo uplatňovať rozhodujúci vplyv v inom podniku na základe zmluvy uzatvorenej s týmto podnikom alebo na základe ustanovenia v jeho spoločenskej zmluve alebo stanovách; a (iv) skutočná kontrola v podniku t.j. podnik, ktorý je akcionárom alebo členom iného podniku, sám kontroluje, na základe zmluvy s inými akcionármi tohto podniku alebo jeho členmi, rozhodujúce akcionárske alebo členské hlasovacie práva v tomto podniku.

aké informácie je potrebné zohľadniť pre konečný výpočet?

Ak je vlastnícka štruktúra vášho holdingu štruktúrovaná výpočet konečnej hodnoty pre objemové kritériá môže byť skutočná matematická hádanka. Odporúčanie v čl. 6 hovorí, že k vstupným údajom pre konečný výpočet je nutné pripočítať: i) 100 % údajov každého podniku, ktorý je priamo alebo nepriamo prepojený s posudzovaným podnikom, ak už tieto údaje neboli do účtovnej závierky zahrnuté na základe konsolidácie (tzn. 100 % hodnôt prepojeného podniku); resp. ii) údaje všetkých partnerských podnikov daného podniku, ktoré sa nachádzajú bezprostredne vyššie alebo nižšie v majetkovej štruktúre daného podniku[6]. Súčet týchto údajov je zároveň priamo úmerný k percentuálnemu podielu na základnom imaní alebo hlasovacích právach v partnerskom podniku.

Vyššie uvedené pravidlá pre konečný výpočet sú určujúce z pohľadu ako vnímať vlastnícku štruktúru každého podniku. Tento môže zdanlivo pôsobiť, že nemá dostatok zamestnancov ani neprekračuje hodnoty požadovaného obratu, no v skutočnosti v rámci započítania všetkých údajov vstupujúcich do výpočtu pri reťaziacich podnikoch nie len že spadne pod definíciu stredného podniku ale túto častokrát aj s rezervou značne presiahne.

Praktický príklad

Podnik A má z titulu majetkových podielov materských a dcérskych podnikov vo vlastníckej štruktúre tak partnerský ako aj prepojený podnik a jeho majetková štruktúra sa na vyššej úrovni ďalej rozkonáruje. Prepojené podniky v štruktúre totiž majú tiež svoje partnerské a prepojené entity, ktoré podnik ovláda.

Výpočet objemových kritérií v takomto prípade bude preto zahŕňať:

1. údaje podnikov, ktoré sú prepojené s podnikom A, prípadne jeho prepojeným a partnerskými podnikmi, a to vo výške 100%; ako aj
2. údaje podnikov, ktoré sú vo vzťahu k podniku A, jeho partnermi, alebo partnermi niektorého z prepojených podnikov a to v pomere podľa vlastníckeho podielu daného partnerského podniku k sledovanému podniku, ktorý je posudzovaný.

Údaje partnera partnerského podniku k sledovanému sa však nezohľadňujú.

Výsledné údaje spolu

100% A + 100 % C + 25 % (D + F) + 25 % (B + E) + 100 % (H + I) + 25 % J

Holdingová štruktúra a rozdielny predmet činnosti

Ďalšou vstupnou informáciou, ktorú považujeme za nevyhnutnú pre konečný výpočet a ktorej sa v praxi zo strany klientov týka mnoho otázok keď príde reč na konečný výpočet je charakter predmetu činnosti partnerských a prepojených podnikov. Má tento vplyv na čísla na výstupe? Ak áno do akej miery a čo všetko pod neho možno podradiť?

Akokoľvek by sme na túto otázku radi odpovedali kladne. Správny záver je opačný. Objemové kritéria nie sú nijak závislé od charakteru hlavného či pomocného predmetu činnosti, objemov výsledkov dosahovaných z toho či onoho predmetu činnosti spoločnosti na Slovensku či inej prepojenej entite. Do registra PZS je tak povinný sa zapísať aj subjekt dosahujúci objemové kritéria stredného podniku, ktorého obrat z činnosti uvedenej v prílohe č. 1 resp. č. 2. ZoKB nepresiahne 10 miliónov EUR, ak celkový obrat dosahovaný podnikom túto hodnotu presiahne ako celok. Obrat ako celok sa teda nerozdeľujem podľa povahy podnikom vykonávanej činnosti.

Záver

Záverom možno konštatovať, že novela zákona o kybernetickej bezpečnosti, ktorá vstúpila do platnosti od 1. januára 2025, priniesla významné rozšírenie okruhu povinných subjektov. Okrem zložitosti výkladu sektorovej príslušnosti však zostávajú častokrát skutočným orieškom aj ďalšie kritériá nie len tie týkajúce sa veľkosti či definície podniku ako takého. V článku sme sa však venovali výkladu veľkostných kritérií založených na definícii malých a stredných podnikov, ktoré sú len pomyselnou vstupnou bránou pre záver, či a do akej miery sa na mňa ako PZS vzťahuje ZoKB.

Zákonné notifikácie, bezpečnostné audity a kontrola, či zabezpečenie bezpečnosti dodávateľského reťazca, kladú na povinné podniky náročné požiadavky, ktoré si vyžadujú dôkladné posúdenie vstupných údajov naprieč organizáciou, a to vo vzťahu k všetkým, nie len tu vybraným ukazovateľom pre posúdenie rozsahu pôsobnosti ZoKB. Správne vyhodnotenie splnenia vstupných kritérií identifikácie PZS môžu však byť rozhodujúce pre plnenie zákonných požiadaviek ZoKB ako aj nastavenie úrovne bezpečnostných politík organizácie. Správne zhodnotenie rizík organizácie a nastavenie jej bezpečnostných politík by však mali byť kľúčovou otázkou každej organizácie nie len pre cieľ sledovaný zákonom a legislatívou EU ako celku, ktorým je snaha o zvýšenie kybernetickej bezpečnosti a ochrana kritickej infraštruktúry v súlade s európskymi štandardmi a smernicou NIS2. : K tejto by sme s ohľadom na dôležitosť problematiky akou kyberbezpečnosť rozhodne je mali pristupovať zodpovedne a včas všetci nie len subjekty v zmysle zákona pod hrozbou sankcie.

Štěpán Štarha
Partner

Miriama Podskubová
Advokátka

HAVEL & PARTNERS s.r.o., advokátska kancelária

Centrum Zuckermandel
Žižkova 7803/9
811 02  Bratislava
 
Tel.:    +421 232 113 900
e-mail:    office@havelpartners.sk