Slovensko prevzalo európsku smernicu NIS2 do vnútroštátneho práva novelou zákona o kybernetickej bezpečnosti, účinnou od 1. januára 2025. Nový rámec zásadne rozširuje okruh regulovaných subjektov a sprísňuje povinnosti v odvetviach, ktoré sú kľúčové pre chod štátu a ekonomiky. Zasahuje najmä energetiku, zdravotníctvo, finančný sektor, dopravu či prevádzkovateľov digitálnej infraštruktúry. Cieľom je posilniť odolnosť organizácií voči kybernetickým útokom a znížiť pravdepodobnosť incidentov s vážnymi následkami pre spoločnosť.
Jadrom zmien je posun od deklaratívnych pravidiel k praktickému riadeniu rizík, identít a prístupov. Organizácie musia jednoznačne určiť úlohy a zodpovednosti, zaviesť viacfaktorové overovanie pri vzdialenom prístupe, pravidelne prehodnocovať prístupové práva a uchovávať prevádzkové a bezpečnostné záznamy tak, aby vedeli spoľahlivo preukázať, kto, kedy a kam pristupoval.
V praxi to znamená cielené monitorovanie aktivít používateľov s prístupom k dôležitým systémom a dátam. Ide predovšetkým o evidenciu prihlasovania a kontrolu činností privilegovaných účtov, aby sa predišlo zneužitiu prístupových oprávnení, či už úmyselnému alebo z nedbanlivosti. Tento dohľad sa nevzťahuje na všetkých zamestnancov plošne. Má byť obmedzený na také pracovné roly, pri ktorých by zlyhanie mohlo spôsobiť významný dopad na bezpečnosť prevádzky alebo na dostupnosť a integritu poskytovaných služieb. To značí, že zamestnávatelia môžu sledovať na aké stránky pristupujete, odkiaľ tam pristupujete, čo všetko si sťahujete a podobne.
Zákon však nepredpisuje uzavretý zoznam konkrétnych dát, ktoré možno o zamestnancoch zhromažďovať. Hovorí iba to, že monitorovanie musí byť primerané účelu, transparentne komunikované dotknutým osobám a opreté o interné pravidlá, ktoré jasne opisujú, aké údaje sa spracúvajú, na aký účel a v akom rozsahu. Zároveň ukladá organizáciám povinnosť nastaviť technické a organizačné opatrenia tak, aby vedeli pred dohľadovými orgánmi obhájiť nevyhnutnosť a proporcionalitu každého sledovaného ukazovateľa.
Napriek tomu však môže byť táto možnosť monitorovania zamestnancov v niektorých organizáciách „nadinterpretovaná“ a preto by sa mal každý, kto pracuje na dôležitých pozíciách v dotknutých odvetviach presne zaujímať, čo a akým spôsobom organizácia, ktorá ho zamestnáva, monitoruje.
