Dopady prísnej transpozície prepojenia podnikov smernice NIS 2 na Slovensku

DSM 2/2025 Zobrazení: 481
Dopady prísnej transpozície prepojenia podnikov smernice NIS 2 na Slovensku

Slovenská transpozícia smernice NIS 2 namiesto harmonizácie priniesla paradox: podniky, ktoré by v iných členských štátoch EÚ ostali mimo regulácie, sa na Slovensku stávajú povinne regulovanými subjektmi len na základe prísneho a formálneho výkladu veľkosti a prepojenia podnikov. Článok odhaľuje, ako sa slovenský prístup líši od flexibilnejšej právnej úpravy v iných členských štátoch a aké dôsledky to môže mať pre regulované podniky. Skutočne ide o zvýšenie kybernetickej bezpečnosti – alebo o zbytočné zaťaženie podnikov?

           Smernica NIS 2                      Kybernetická bezpečnosť           Prevádzkovateľ základnej služby                 Prepojené a partnerské podniky               Zákon o kybernetickej bezpečnosti

Úvod

Namiesto želaného zosúladenia kybernetickej bezpečnosti v EÚ priniesla slovenská transpozícia smernice NIS 2 do zákona o kybernetickej bezpečnosti paradox: podnik, ktorý by v inom členskom štáte EÚ spadal mimo regulácie, sa u nás zo dňa na deň stáva povinne regulovaným subjektom – a to len preto, že formálne napĺňa kritéria stredného podniku, resp. patrí do nadnárodného holdingu. Čo sa skrýva za prísnym prebratím

európskej smernice a aké konkrétne náklady či riziká to znamená pre slovenské firmy v sektoroch, ako napr. energetika, doprava či zdravotníctvo? V tomto článku rozoberáme, ako sa definícia „veľkosti podniku“ v slovenskej legislatíve odchyľuje od praxe iných členských štátov, kde ležia hranice proporcionality a prečo sa z ochrany pred kyberhrozbami môže stať až prehnané administratívne a finančné bremeno. Poďme preskúmať, či prísna transpozícia skutočne zvyšuje bezpečnosť – alebo len komplikuje život slovenskému biznisu.

Prísna transpozícia Smernice NIS 2 a jej následky

S účinnosťou od 1. 1. 2025 na Slovensku platí novelizovaný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti („ZoKB“),1 ktorého cieľom bolo transponovať Smernicu NIS 22 do slovenského právneho poriadku. Transpozícia ako taká prebehla, aplikácia ZoKB v praxi však so sebou priniesla isté problémy. V § 17 resp. § 18 ZoKB vymedzuje pomerne širokú škálu subjektov, ktoré možno zaradiť pod prevádzkovateľov základnej služby. V tomto článku sa konkrétne zameriame

na analýzu splnenia podmienok podľa § 17 ods. 1 písm. e) ZoKB, podľa ktorého je prevádzkovateľom základnej služby ten subjekt, ktorý spĺňa najmenej podmienky veľkosti pre stredný podnik a vykonáva činnosť v sektoroch uvedených v prílohách č. 1 alebo č. 2 ZoKB.

V rámci našej advokátskej praxe sme totiž mali najväčšie problémy s vysvetlením práve tohto ustanovenia, teda, že klient napĺňa práve definičné znaky § 17 ods. 1 písm. e) ZoKB – t. j. (i) je stredným podnikom a (ii) vykonáva činnosť v regulovaných sektoroch. V praxi tak môže byť firma s dvadsiatimi zamestnancami a obratom stotisíc eur okamžite zaradená ako prevádzkovateľ základnej služby, ba dokonca ako kritickej základnej služby, len preto, že má vlastnícke väzby na väčšiu skupinu, bez ohľadu na to, že tieto spoločnosti sú od seba, s výnimkou majetkového previazania, nezávislé a organizačne oddelené.

Transponovanie Smernice NIS 2 bez zohľadnenia recitálu 16

Poďme, ale pekne po poriadku. Ak subjekt zistí, že podniká v niektorom zo sektorov uvedených v prílohách č. 1 a 2 ZoKB, zisťuje ako druhý krok veľkosť svojho podniku. Za týmto účelom ZoKB odkazuje na Odporúčania Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmu mikro, malých a stredných podnikov („Odporúčanie“). Toto Odporúčanie zavádza kritéria posudzovania veľkosti podnikov, podľa ktorého sa zohľadňuje (i) počet zamestnancov a/ alebo (ii) ročný obrat alebo celková ročná súvaha podniku. Na prvý pohľad jednoduché pravidlá. Komplikácie však nastávajú v momente, keď sa k týmto údajom musia pripočítať aj čísla partnerských alebo prepojených podnikov, teda podnikov, s ktorými má určitý vlastnícky alebo organizačný vzťah. Pri výpočte veľkosti podniku ZoKB mechanicky pripočíta údaje všetkých prepojených a partnerských spoločností bez ohľadu na reálnu nezávislosť týchto podnikov.

Prepojené a partnerské podniky: kľúčová slabina slovenskej transpozície.

Ako možný regulovaný subjekt si preto pri určovaní toho, či spadáte/nespadáte pod ZoKB nekladiete iba otázku: „Akí veľkí sme?“ ale aj: „Aké všetky hodnoty máme pripočítať pri počítaní veľkosti nášho podniku?“ Práve tu Smernica NIS 2 v recitáli číslo 16 ponúka členským štátom možnosť zvážiť mieru nezávislosti podnikov s ohľadom na siete a informačné systémy či služby, ktoré podnik poskytuje.

Žiaľ, Slovensko túto možnosť osobitného posudzovania nezávislosti podnikov nevyužilo. Transpozícia Smernice NIS 2 do ZoKB vo svojich ustanoveniach nepredpokladá žiadne zohľadnenie nezávislosti podnikov s ohľadom na siete a informačné systémy či služby, ktoré podnik poskytuje (s výnimkou dôvodovej správy k Zákonu o KB, ktorá nie je právne záväzná a jej správnosť rozoberieme na záver). Výsledkom je možné plošné „zachytávanie“ všetkých spoločností, pre ktoré by regulácia predstavovala viac byrokracie než prínosu pre kyberbezpečnosť. Podľa ZoKB je rozhodujúcim kritériom v podstate akékoľvek spojenie s prepojenými alebo partnerskými spoločnosťami bez ohľadu na nezávislosť (samostatnosť) posudzovaného podniku. Tento prístup vedie k situáciám, kedy sa na Slovensku môžu pod reguláciu ZoKB dostať aj také podniky, ktoré by v iných členských štátoch vďaka reálnej nezávislosti ostali mimo režimu Smernice NIS 2, čo vedie k odlišnému posudzovaniu regulovaných subjektov na Slovensku oproti iným členským štátom EÚ.

Transpozícia pochopiteľne prebieha rozlične, pričom každá krajina využíva určitý priestor na prispôsobenie požiadaviek smernice svojim národným špecifikám. Hoci ide o harmonizovaný právny rámec, národné prístupy sa v niektorých bodoch odlišujú. Jednou z takýchto oblastí je zohľadňovanie prepojenia podnikov pri posudzovaní veľkosti podniku.

Nakoľko proces transpozície Smernice NIS 2 prebieha vo všetkých členských krajinách, pozreli sme sa na to, ako posudzujú prepojené/partnerské podniky aj iné členské štáty. zohľadnili recitál 16 Smernice NIS 2, t. j. ako umožnili zvážiť mieru nezávislosti od svojich partnerských alebo prepojených podnikov.

Príklady z iných členských štátov

Česká republika

Česká republika plánuje transponovať Smernicu NIS 2 do Zákona č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů („Český zákon o KB“)3 . Na rozdiel od slovenskej úpravy, Český zákon o KB reflektuje mieru nezávislosti podnikov pri posudzovaní ich veľkosti.

Konkrétne, podľa § 7 písm. c) Českého zákona o KB platí, že: „(o)dchylně od pravidel doporučení Komise 2003/361/ ES pro účely tohoto zákona platí, že ... za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby.“

Dôvodová správa k § 7 Českého zákona o KB explicitne uvádza, že uvedenie tohto pravidla vychádza z recitálu 16 Smernice NIS 2 a že cieľom tohto pravidla je vylúčiť spod regulácie tie subjekty, ktorých jedinou „kvalifikáciou“ pre zaradenie pod pôsobnosť regulácie je majetková účasť iného subjektu.

Zavedenie takejto výnimky český zákonodarca odôvodňuje ďalej aj tým, že podmienka veľkosti podniku je založená na Odporúčaní, ktoré bolo vytvorené pre iné potreby ako kybernetickej bezpečnosti a pravidlá v ňom obsiahnuté sú úplne neprimerané potrebám v regulovanej oblasti. Dôvodová správa ako príklad uvádza investovanie spoločností do start- upov. V týchto spoločnostiach okrem majetkového substrátu neexistuje žiadne prepojenie informačných systémov alebo fungovania oboch entít.

Naopak, v situáciách, keď sa dcérska spoločnosť začlenení do centrálneho riadenia informačných systémov materskej spoločnosti, už nemožno naďalej hovoriť o nezávislosti technických prostriedkov. V takýchto prípadoch sa už majú uplatňovať pravidlá pre výpočet veľkosti podniku v Odporúčaní.4

Podľa nášho názoru tak česká práva úprava veľmi presne vystihuje, prečo by mala byť výnimka podľa recitálu 16 Smernice NIS 2 vo vnútroštátnej právnej úprave zakotvená, čím sa docieli, že regulovanými sa stanú iba subjekty, ktoré majú spadať pod reguláciu Smernice NIS 2.

Poľsko

jasne uznalo potrebu rozlišovať medzi podnikmi na základe miery nezávislosti ich informačných systémov. Navyše tento dôležitý princíp nezávislosti nezapracovalo len do dôvodovej správy, ako to urobilo Slovensko, ale priamo do zákonného znenia, čím podľa nášho názoru výrazne posilnilo právnu istotu a predvídateľnosť celého systému.

Nemecko

Podobný prístup ako Poľsko zvolilo aj Nemecko, ktoré prijalo návrh nového zákona o kybernetickej bezpečnosti6 , podľa ktorého sa hodnoty partnerských alebo pridružených podnikov nezapočítavajú, ak sa preukáže, že daný subjekt je nezávislý od svojich partnerov či pridružených spoločností. Z návrhu zákona sme porozumeli, že nezávislosť sa pritom posudzuje z troch aspektov – právneho, ekonomického a faktického (technického) – a týka sa prevádzky informačných technológií. Inými slovami, jednotlivé podniky môžu byť kapitálovo prepojené, ak si zachovajú nezávislosť pri riadení IT infraštruktúry.

Taliansko

Talianska právna úprava zas umožňuje uplatniť „ochrannú doložku“7 , a tým vylúčiť určitý subjekt z pôsobnosti Smernice NIS 2, ak subjekt kumulatívne preukáže kumulatívne splnenie dvoch kritérií úplnej nezávislosti:

  • nezávislosť informačných a sieťových systémov - (informačné systémy prepojených subjektov nemajú vplyv na fungovanie systému druhého subjektu), a zároveň,
  • nezávislosť výkonu činností a poskytovania služieb - (činnosti a služby prepojených subjektov nie sú vzájomne nijako previazané).

Podľa nášho názoru tak aj Taliansko dôsledne reflektovalo zavedenie osobitého posudzovania prepojenia podnikov s poukazom práve na recitál č. 16 Smernice NIS 2.

Novelizácia ZoKB ako spôsob cielenej regulácie?

Skúsenosti z Česka, Poľska, Nemecka či Talianska dokazujú, že Smernicu NIS 2 možno transponovať tak, aby si zachovala prísnu úroveň kybernetickej ochrany, ale zároveň bola určená tým subjektom, ktorí môžu čeliť naozaj značným rizikám s možnými veľkými dopadmi na sektor a ekonomiku. Starostlivo nastavené výnimky založené na miere nezávislosti podnikov dokážu reguláciu spresniť, znížiť administratívnu záťaž a pritom zachovať vysokú úroveň kybernetickej ochrany. Tieto príklady ukazujú, že cieľom nemá byť čo najširší záber vnútroštátneho zákona, ale čo najpresnejšie zacielenie na skutočne rizikové subjekty.

ZoKB v súčasnosti takýto diferencovaný mechanizmus neobsahuje. Hoci sa v legislatívnom procese k ZoKB objavil návrh o zohľadňovaní miery nezávislosti posudzovaných podnikov, takýto návrh sa nakoniec do ZoKB nedostal

Namiesto toho ZoKB vo svojej dôvodovej správe obsahuje iba nasledovné strohé odôvodnenie: „Ak pôjde o prepojený podnik, pričom jeden podnik nespadá pod reguláciu smernice NIS 2, ale je prepojený k podniku, ktorý spadá pod reguláciu smernice NIS 2, tak sa bude prihliadať na každý podnik samostatne.“8 Na prvý pohľad by takéto odôvodnenie mohlo postačovať, avšak podľa nášho názoru dôvodová správa iba vyvoláva ďalšie otázky. V prvom rade poukazujeme, že dôvodová správa ako taká totiž nemôže meniť ani nahrádzať normatívne znenie ZoKB, t. j. dôvodová správa nie je právne záväzná.

Taktiež samotné znenie dôvodovej správy pôsobí protirečivo. Nie je napríklad jasné, čo sa myslí pod pojmom „pričom jeden podnik nespadá pod reguláciu smernice NIS 2.“ Znamená to, že nepôsobí vo vybraných sektoroch v prílohe č. 1 a č. 2 ZoKB alebo nie je aspoň stredným podnikom?

Ku dňu písania tohto článku Národný bezpečnostný úrad („NBÚ“) vydal na svojom webe aj usmernenie k recitálu 16 Smernice NIS 29 . NBÚ v ňom však len stroho konštatuje, že z dôvodu zaužívanej tvorby predpisov sa recitál netransponoval, ale NBÚ ho však „bude brať do úvahy“ v súlade s dôvodovou správou. Bližšiu vysvetlenie sporného znenia dôvodovej správy však neponúkol. Otázka interpretácie tejto dôvodovej správy a jej aplikácia v praxi je tak naďalej nejasná.

Snímek obrazovky 2025 07 11 141427

NBÚ navyše vydalo aj viaceré usmernenia10 k posudzovaniu veľkosti firiem v holdingových štruktúrach. Otázku, či možno „dcérske“ spoločnosti posudzovať samostatne ako malé podniky, alebo treba vždy sčítať údaje celej skupiny, čím podnik automaticky naplní kritéria stredného podniku, rieši NBÚ striktne formálne: odkazuje výhradne na odporúčanie Komisie 2003/361/ES. Dôvodovú správu v nich vôbec nezmieňuje a už vôbec nie skutočný vplyv podniku na trh či jeho prevádzkovú nezávislosť.

Príklady z Česka, Poľska, Nemecka či Talianska dokazujú, že transpozícia Smernice NIS 2 môže byť strategicky premyslená tak, aby zachovala vysokú úroveň kybernetickej ochrany a zároveň zohľadnila reálne možnosti podnikateľského sektora. Namiesto univerzálnej, plošnej regulácie, ktorá často zaťažuje predovšetkým menšie podniky, je možnézaviesť skutočne diferencované kritériá založené na miere nezávislosti IT infraštruktúr a poskytovaných služieb.

Ak chceme zosúladiť podnikateľské, bezpečnostné aj európske záujmy, je nevyhnutné ZoKB novelizovať. Explicitné zavedenie výnimky podľa recitálu 16 by odstránilo právnu neistotu, znížilo náklady na súlad a zameralo štátny dohľad na skutočne rizikové subjekty. Takýto krok by Slovensku umožnil plniť európske požiadavky spôsobom, ktorý podporuje inovácie, nebrzdí hospodársky rast a zároveň posilňuje kybernetickú bezpečnosť všetkých relevantných subjektov.

Snímek obrazovky 2025 07 11 141601Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Snímek obrazovky 2025 07 11 141847Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou:

  1. Zákon č. 366/2024 Z. z. ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony. Dostupný tu: https://static.slov-lex.sk/static/SK/ZZ/2024/366/20250101.html 
  2. Smernica č. 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej
  3. Dostupné na: https://www.psp.cz/sqw/text/orig2.sqw?idd=244062
  4. Dostupná na: https://www.psp.cz/sqw/text/orig2.sqw?idd=244062 
  5. Legislatívny návrh je dostupný tu: https://legislacja.gov.pl/docs/2/12384504/13055217/13055218/dokument693213.pdf (článok 5 ods. 6 a 7).
  6. Zákon na implementáciu Smernice NIS 2 a na úpravu základných princípov riadenia informačnej bezpečnosti vo federálnej správe (nem. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.) (§ 28 ods. 3). Zákon je dostupný tu: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/ nis2-regierungsentwurf.pdf?__blob=publicationFile&v=2
  7. Kritériá uplatňovania ochrannej doložky stanovenej v článku 3, ods. 4 a 12 legislatívneho dekrétu č. 138 zo 4. septembra 2024, ktorý transponoval Smernicu NIS 2. Dostupné na: https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG
  8. Dôvodová správa k ZoKB. Dôvodová správa dostupná tu: https://www.nrsr.sk/web/Dynamic/DocumentPreview.aspx?DocID=553677 
  9. Metodika online dostupná tu: https://www.nbu.gov.sk/data/att/3218.pdf 
  10. Metodické usmernenie NBÚ: https://www.nbu.gov.sk/data/att/3183.pdf a https://www.nbu.gov.sk/jedna-zahranicna-spolocnost-prevadzkuje- -11-sro-v-sr-su-pzs/
Vytisknout