Cieľom navrhovanej novely je odstrániť nadbytočnú komplexnosť, zvýšiť právnu istotu a zabezpečiť, aby regulačné povinnosti lepšie zodpovedali skutočnej miere rizika. Komisia výslovne zdôrazňuje, že ide o opatrenie v rámci programu REFIT, zamerané na zníženie nákladov na compliance a zosúladenie uplatňovania kybernetickej regulácie naprieč členskými štátmi, bez toho, aby sa znížila úroveň ochrany. Práve tento balans medzi bezpečnosťou a proporcionalitou predstavuje nosnú myšlienku celého návrhu.

Komisia v odôvodnení návrhu vychádza z premisy, že kybernetické hrozby sa stali trvalou súčasťou geopolitickej reality. Základné a dôležité subjekty v kritických sektoroch sú čoraz častejšie cieľom kybernetických útokov, pričom štátni Kritické a dôležité subjekty sú čoraz častejšie cieľom sofistikovaných útokov, pričom štátni aktéri využívajú nové technológie vrátane umelej inteligencie na ich škálovanie a automatizáciu. Kybernetická bezpečnosť sa tak prestáva vnímať výlučne ako technická otázka a nadobúda strategický rozmer – ako predpoklad fungovania demokracie, hospodárskej stability a vnútornej bezpečnosti Únie.

Navrhovaná novela NIS2 je preto úzko previazaná s ďalšími iniciatívami Únie, najmä s Európskou stratégiou pripravenosti, stratégiou ProtectEU a balíkom opatrení k hospodárskej bezpečnosti. Zároveň tvorí integrálnu súčasť revízie Cybersecurity Act, ktorej cieľom je aj rozhýbanie európskeho systému kybernetickej certifikácie a jeho praktické využitie ako nástroja compliance.

Zmysel a ciele navrhovanej úpravy

Z právneho hľadiska ide o REFIT opatrenie, ktorého ambíciou je odstrániť neefektívnosti a zosúladiť uplatňovanie jednotlivých prvkov kybernetickej regulácie. Návrh smernice sa sústreďuje na zvýšenie právnej istoty pri vymedzení pôsobnosti NIS2, zníženie administratívnej záťaže pre subjekty aj orgány dohľadu, harmonizáciu uplatňovania bezpečnostných opatrení a zlepšenie dohľadu nad subjektmi pôsobiacimi cezhranične.

Podstatné je, že Komisia sa nesnaží vytvoriť nový regulačný rámec, ale cielene zasahuje do tých ustanovení NIS2, ktoré sa v praxi ukázali ako problematické alebo nejednoznačné.

Spresnenie rozsahu pôsobnosti NIS2

Jednou z najvýznamnejších zmien je precizovanie okruhu subjektov, ktoré do pôsobnosti NIS2 patria. Návrh výslovne zahŕňa poskytovateľov európskych digitálnych identitných peňaženiek a európskych podnikateľských peňaženiek, teda technologických prevádzkovateľov riešení, prostredníctvom ktorých sa fyzické osoby a podniky elektronicky identifikujú, autentifikujú a bezpečne uchovávajú a predkladajú elektronické doklady. Tieto subjekty sú vzhľadom na svoju úlohu v digitálnej infraštruktúre Únie považované za základné subjekty bez ohľadu na ich veľkosť. Kybernetický incident v tejto oblasti by totiž mohol mať systémové dôsledky ďaleko presahujúce samotného poskytovateľa[2].

Rozširuje sa aj regulácia prevádzkovateľov podmorskej dátovej prenosovej infraštruktúry. Smernica reaguje na rastúce riziká ohrozenia podmorských káblov a súvisiacej infraštruktúry a zabezpečuje, aby pod NIS2 spadali aj tí prevádzkovatelia, ktorí doteraz neboli pokrytí inými sektorovými kategóriami.

Osobitnú pozornosť si zasluhuje aj zahrnutie subjektov, ktoré sú identifikované ako vlastníci, správcovia alebo prevádzkovatelia strategickej infraštruktúry s dvojakým využitím. V tomto prípade sa pôsobnosť NIS2 uplatní bez ohľadu na veľkosť podniku, čo reflektuje bezpečnostnú citlivosť tejto infraštruktúry.

Small mid-caps a proporcionalita regulácie

Z praktického hľadiska mimoriadne dôležitou novinkou je zavedenie kategórie tzv. small mid-cap enterprises. Ide o podniky, ktoré síce presahujú rámec malých a stredných podnikov, no zároveň nedosahujú veľkosť veľkých korporácií, pričom ich zaradenie sa posudzuje najmä podľa počtu zamestnancov a výšky ročného obratu alebo bilančnej sumy v súlade s odporúčaním Komisie o vymedzení tejto kategórie podnikov. Subjekty tohto typu, ktoré pôsobia v sektoroch uvedených v prílohe I NIS2, majú byť spravidla klasifikované ako dôležité, a nie základné subjekty[3], čo sa v praxi môže týkať napríklad energetických podnikov, výrobných spoločností či subjektov pôsobiacich v oblasti dopravy a logistiky..

Tento posun má priamy vplyv na intenzitu dohľadu a rozsah povinností, čo by pre kontrolované subjekty malo znamenať zníženie administratívnych nákladov.

Sektorové spresnenia

Návrh reaguje aj na nejasnosti, ktoré sa v praxi objavili pri určovaní pôsobnosti NIS2 v niektorých sektoroch. V energetike sa výslovne stanovuje, že výrobcovia elektriny podliehajú smernici len v prípade, ak ich celková výrobná kapacita presahuje 1 MW. Cieľom je zachytiť len tie subjekty, ktorých narušenie by mohlo mať reálny vplyv na stabilitu elektrizačnej sústavy.

Podobne sa spresňuje postavenie vodíkových podnikov, zdravotníckych poskytovateľov a subjektov v chemickom priemysle, pričom sa dôsledne odkazuje na existujúce sektorové právne predpisy. Tým sa znižuje priestor pre rozdielne výklady medzi členskými štátmi a posilňuje jednotnosť vnútorného trhu, čo je významné napríklad pre výrobcov chemických látok a prevádzkovateľov chemických závodov, ktorí už dnes podliehajú rozsiahlym povinnostiam v oblasti bezpečnosti a compliance.

Certifikácia ako nástroj zjednodušenia compliance

Významným prvkom návrhu je prepojenie povinností podľa NIS2 s európskou kybernetickou certifikáciou. Regulované subjekty budú môcť preukazovať splnenie požiadaviek na riadenie kybernetických rizík prostredníctvom certifikátu o tzv. kybernetickej posture vydaného podľa európskeho certifikačného rámca.

Z pohľadu praxe ide o potenciálne silný nástroj na zníženie duplicity kontrol, najmä pri subjektoch pôsobiacich vo viacerých členských štátoch. Certifikácia však nenahrádza samotnú zodpovednosť subjektu za dodržiavanie smernice, ale má slúžiť ako dôkaz splnenia konkrétnych požiadaviek.

Pre podniky to v praxi otvára otázku, či sa im viac oplatí investovať do certifikácie, alebo budovať vlastné interné dôkazné mechanizmy.

Postkvantová kryptografia a ransomware

Návrh reflektuje aj dlhodobejšie technologické riziká. Členské štáty budú povinné prijať politiky pre prechod na postkvantovú kryptografiu, pričom sa počíta s dosiahnutím migrácie pre kritické prípady do roku 2030. Hoci ide formálne o povinnosť štátov, v praxi sa jej dôsledky nevyhnú ani regulovaným subjektom.

V oblasti ransomware sa zavádza harmonizovanejší zber údajov o útokoch, vrátane informácií o výkupnom. Zároveň sa výslovne zdôrazňuje, že samotné reportovanie nemá viesť k rozšíreniu zodpovednosti subjektu nad rámec NIS2, čo má podporiť otvorenejšiu spoluprácu s orgánmi[4].

Koordinácia vnútroštátnych orgánov dohľadu

Osobitnú pozornosť si zasluhuje rozšírenie úlohy agentúry ENISA pri dohľade nad cezhranične pôsobiacimi subjektmi. ENISA bude vykonávať analýzy cezhraničných kybernetických rizík, odporúčať zriadenie spoločných dohľadových tímov a podporovať koordinované kontrolné činnosti. Pre nadnárodné podniky to znamená väčšiu mieru koordinácie dohľadu, ale aj vyššiu transparentnosť regulačných očakávaní.

Z dlhodobého hľadiska by to malo viesť k menším rozdielom v prístupe národných orgánov.

Záver

Navrhovaná novela NIS2 predstavuje legislatívny posun smerom k realistickejšej a funkčnejšej regulácii kybernetickej bezpečnosti. Zachováva vysokú úroveň ochrany, no zároveň reflektuje potrebu proporcionality, právnej istoty a efektívneho využívania zdrojov. Pre subjekty pôsobiace v regulovaných sektoroch je kľúčové včas identifikovať, ako sa ich postavenie mení, a prispôsobiť tomu svoje interné procesy a stratégie riadenia kybernetických rizík.

Mgr. Adam Masár
Junior Associate

 
LEGATE, s.r.o.

Dvořákovo nábrežie 8/A
811 02 Bratislava

Tel: +421 262 527 561
E-mail: info@legate.sk