Nová vyhláška o bezpečnostných opatreniach upravuje povinnosti pri riadení organizácií, posúva dôraz na analýzu rizík a približuje sa k medzinárodným štandardom. O tom, ako sa tieto zmeny prejavia v praxi, aké výzvy prináša transpozícia smernice NIS2 a prečo je dôležité tomu celému rozumieť, v rozhovore pre ITAPA hovorí Jaroslav Ďurovka, riaditeľ Národného centra kybernetickej bezpečnosti. Na Jesennej ITAPA 2025 predstaví, ako sa nové pravidlá premietnu do reálneho fungovania organizácií a čo bude pre odbornú komunitu znamenať príchod novej legislatívy.

 

Nová vyhláška o bezpečnostných opatreniach prináša do praxe zásadné zmeny. Aké sú najdôležitejšie povinnosti, ktoré musia organizácie implementovať?
 

Vyhláška detailnejšie upravuje povinnosti stanovené PZS novelizovaným zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti. Medzi najdôležitejšie zmeny patrí povinnosť aplikovať bezpečnostné opatrenia na základe analýzy rizík. Zásadne sa zmenila aj štruktúra opatrení, ktoré vyhláška definuje, pričom sa priblížila bežne používaným bezpečnostným štandardom, akým je napríklad ISO 27001. Zmeny nastali aj v oblasti klasifikácií informácií a v riadení bezpečnosti tretích strán.
 

Diskusia na ITAPA sa zameria aj na transpozíciu smernice NIS2 v strednej Európe. Aké sú hlavné výzvy pri jej aplikácii v praxi?
 

Je to predovšetkým zahrnutie nových sektorov a subjektov pod reguláciu kybernetickej bezpečnosti. Takmer v každom štáte sa rozšíril počet subjektov, na ktoré sa transpozícia NIS2 vzťahuje. No a v mnohých štátoch je problémom to, že niektoré subjekty ešte vždy nevedia, že sa na ne regulácia vzťahuje. Výzvou je aj unifikácia transpozície. Napriek tomu, že cieľom smernice je unifikovať právo platné na území členských štátov, tak stále ide iba o smernicu, ktorá vyžaduje transpozíciu do národného práva v každom členskom štáte. No a z toho pramenia aj isté rozdielnosti v pravidlách platných v tom-ktorom štáte, čo následne zvyšuje nárok na zabezpečenie súladu najmä v nadnárodných spoločnostiach. Európska únia však vytvorila platformu, ktorej cieľom je tieto rozdielnosti minimalizovať. Tých výziev je však určite ešte niekoľko...
 

Princíp „lex specialis derogat legi generali“ sa často spomína pri sektorových vyhláškach. Môžete vysvetliť, čo to znamená a ako to ovplyvňuje bezpečnostnú prax?
 

Detailnú definíciu a analýzu tohto pravidla prenechám právnikom. V princípe však ide o to, že pokiaľ nejaký zákon upravuje niektoré právne vzťahy špecifickejšie ako iný všeobecný predpis, tak potom sa na daný konkrétny právny vzťah má aplikovať toto špecifické právo a nie právo všeobecné. V kontexte novely zákona o kybernetickej bezpečnosti a súvisiacich vykonávacích predpisov sa uskutočňuje istá diskusia o aplikácii tohto pravidla. Ide napríklad o vzťah tzv. sektorovej úpravy bezpečných opatrení (pre nejaký konkrétny sektor, napríklad finančný sektor alebo verejnú správu) a všeobecných bezpečnostných opatrení stanovených zákonom o kybernetickej bezpečnosti a už spomínanou vyhláškou. Zákon o kybernetickej bezpečnosti však túto otázku rieši, hovorí totiž, že pokiaľ existuje osobitná úprava – napríklad špecifická sektorová úprava bezpečnostných opatrení, tak potom požiadavky na bezpečnosť svojich sietí a informačných systémov PZS napĺňa prostredníctvom týchto sektorových opatrení a nemusí aplikovať „všeobecnú” vyhlášku NBÚ o bezpečnostných opatreniach.
 

Ktoré konkrétne problémy alebo situácie z aplikačnej praxe najčastejšie komplikujú implementáciu novej vyhlášky a ako sa dajú riešiť?
 

Ak sa bavíme o novej vyhláške o bezpečnostných opatreniach účinnej od 1. 9. 2025, tak je príliš skoro hodnotiť jej zavádzanie do praxe. Z predchádzajúcich skúseností očakávame, že nie všetky subjekty budú vedieť efektívne a dostatočne riadiť a analyzovať kybernetické riziká. Pre tento účel náš úrad aktualizoval metodiku analýzy rizík, ktorá má za cieľ byť pomôckou pre riadenie rizík. Taktiež predpokladáme isté problémy u niektorých PZS s riadením bezpečnosti dodávateľského reťazca.
 

Na ITAPA nevystúpite túto jeseň prvýkrát. Čo pre vás táto konferencia znamená a v čom podľa vás spočíva jej najväčší prínos pre odbornú komunitu?
 

ITAPA je na Slovensku prestížnou konferenciou, preto aj možnosť vystúpiť na nej zvyšuje prestíž Národného bezpečnostného úradu ako odbornej a dôveryhodnej inštitúcie.

 

Jaroslav Ďurovka sa na konferencii Jesenná ITAPA 2025 predstaví v diskusii Aplikačná prax novej vyhlášky o bezpečnostných opatreniach.
 

Neváhajte a zabezpečte si vaše miesto. Registrovať sa môžete tu.

Jesenná ITAPA 2025, 25. až 27. november 2025 v Bratislave.