V decembri 2022 prijala Európska únia novú smernicu s označením NIS2 (Network and Information Security), ktorej cieľom je posilniť kybernetickú bezpečnosť naprieč členskými štátmi. Táto smernica nahrádza predchádzajúcu NIS1 z roku 2016 a prináša významné zmeny v oblasti ochrany sietí a informačných systémov.
Obsah
Rozšírený rozsah pôsobnosti
Jedným z hlavných cieľov NIS2 je rozšíriť okruh subjektov, na ktoré sa vzťahujú požiadavky na kybernetickú bezpečnosť. Kým NIS1 sa zameriavala na obmedzený počet odvetví, NIS2 zahrňuje až 18 kritických sektorov, medzi ktoré patria energetika, doprava, zdravotníctvo, finančné služby, vodné hospodárstvo, digitálna infraštruktúra, verejná správa, výroba kritických produktov, poštové a kuriérske služby, odpadové hospodárstvo, chemický priemysel, potravinárstvo, výskum a vývoj, vesmírny sektor a ďalšie.
Toto rozšírenie znamená, že mnohé organizácie, ktoré doteraz nepodliehali reguláciám v oblasti kybernetickej bezpečnosti, budú musieť implementovať adekvátne opatrenia na ochranu svojich systémov a dát. Odhaduje sa, že na Slovensku sa počet regulovaných subjektov zvýši o niekoľko tisíc.
Ktorých firiem sa NIS2 týka?
Smernica sa týka širokého spektra spoločností v kritických a dôležitých sektoroch. Na Slovensku sa bude vzťahovať na:
- Veľké podniky a organizácie v sektoroch ako energetika, zdravotníctvo, doprava, verejná správa a digitálna infraštruktúra.
- Stredné a malé podniky, ak sú považované za kritické pre bezpečnosť spoločnosti.
- Dodávateľov a subdodávateľov, ktorí poskytujú služby alebo produkty dôležité pre fungovanie kritickej infraštruktúry.
Povinnosti pre regulované subjekty
Organizácie spadajúce pod NIS2 budú musieť prijať opatrenia na riadenie kybernetických rizík a zabezpečiť primeranú ochranu svojich sietí a informačných systémov. Medzi hlavné povinnosti patrí implementácia bezpečnostných opatrení a zavedenie technických a organizačných opatrení na ochranu pred kybernetickými hrozbami.
Okrem toho budú organizácie povinné hlásiť významné kybernetické incidenty príslušným národným autoritám v stanovených lehotách, riadiť dodávateľský reťazec a zabezpečiť, aby aj dodávatelia a tretie strany spĺňali požiadavky na kybernetickú bezpečnosť.
Tým sa minimalizuje riziko útokov cez dodávateľský reťazec. Dôležitým aspektom je aj zodpovednosť vedenia – vrcholový manažment organizácií bude niesť zodpovednosť za dodržiavanie požiadaviek NIS2 a môže čeliť sankciám v prípade ich nedodržania.
Sankcie za nedodržanie povinností
Nedodržanie požiadaviek NIS2 môže viesť k významným sankciám. Maximálna výška pokuty môže dosiahnuť 10 miliónov eur alebo 2 % z celkového ročného obratu organizácie, podľa toho, ktorá suma je vyššia. Tieto prísne sankcie majú motivovať organizácie k serióznemu prístupu k otázkam kybernetickej bezpečnosti.
Implementácia smernice na Slovensku
Členské štáty EÚ, vrátane Slovenska, sú povinné transponovať smernicu NIS2 do svojich národných legislatív do 17. októbra 2024. Na Slovensku je za túto úlohu zodpovedný Národný bezpečnostný úrad (NBÚ), ktorý pripravuje nový zákon o kybernetickej bezpečnosti a súvisiace vyhlášky. Očakáva sa, že nový zákon nadobudne účinnosť v priebehu roka 2025.
NBÚ už zverejnil návrhy legislatívnych zmien a poskytuje usmernenia pre organizácie, aby sa mohli pripraviť na nové požiadavky. Odporúča sa, aby organizácie začali s prípravami čo najskôr, vrátane analýzy súčasného stavu kybernetickej bezpečnosti, identifikácie nedostatkov a implementácie potrebných opatrení.
Výzvy a odporúčania pre organizácie
Implementácia požiadaviek NIS2 predstavuje pre mnohé organizácie významnú výzvu, najmä pre tie, ktoré doteraz neboli regulované v oblasti kybernetickej bezpečnosti.
Odporúča sa preto vykonať audit súčasného stavu, identifikovať aktuálnu úroveň kybernetickej bezpečnosti a oblasti, ktoré je potrebné zlepšiť, vypracovať plán opatrení s konkrétnymi krokmi na dosiahnutie súladu s požiadavkami NIS2, vrátane časového harmonogramu a pridelenia zodpovedností, vzdelávať zamestnancov, aby si uvedomovali význam kybernetickej bezpečnosti a boli oboznámení s internými postupmi a politikami, a spolupracovať s odborníkmi na bezpečnostné audity a konzultácie.
Záver
Smernica NIS2 predstavuje významný krok vpred v oblasti kybernetickej bezpečnosti v Európskej únii. Rozšírením pôsobnosti na nové sektory a zavedením prísnejších pravidiel zabezpečí lepšiu ochranu pred kybernetickými hrozbami.
Organizácie by nemali čakať na poslednú chvíľu a už teraz by mali začať s prípravami, aby zabezpečili súlad s novými reguláciami a minimalizovali riziko sankcií. Kybernetická bezpečnosť sa stáva neoddeliteľnou súčasťou moderného podnikania, a preto je dôležité venovať jej dostatočnú pozornosť.
Zdroje: portal.nukib, uropa.eu, ebe
Natálie Schönová je študentkou Vysokej školy ekonomickej v Prahe. Fascinuje ju alternatívne umenie, je vášnivou milovníčkou nevšedného jedla a písania. Neustále zdokonaľuje svoje kuchárske zručnosti a pracuje na svojich textoch. Písanie ju sprevádza od detstva, keď prvýkrát vzala do ruky ceruzku, a stále objavuje nové formy vyjadrenia.