Koncom roka 2022 bola Radou EÚ schválená nová smernica NIS2, ktorá stanovuje povinnosti v oblasti kybernetickej bezpečnosti. Členské štáty majú 21 mesiacov od nadobudnutia účinnosti smernice na to, aby jej ustanovenia začlenili do svojho právneho poriadku.
Jej cieľom je priniesť nové a prísnejšie požiadavky na zabezpečenie kľúčových a dôležitých sektorov v členských štátoch Európskej únie, zvýšiť odolnosť a ochranu sietí a informačných systémov v celej EÚ.
So zavedením NIS2 (Network and Information Systems Directive 2) začnú platiť nové kybernetické opatrenia pre subjekty spadajúce pod NIS 1, no aj pre tisícky nových subjektov až v 18 odvetviach, vrátane zdravotníctva, dopravy, energetiky, bankovníctva, digitálnych služieb, chemického a potravinárskeho priemyslu, poštových a kuriérskych služieb a ďalších. „Cieľom je zvýšiť úroveň kybernetickej bezpečnosti v Európskej únii, reagovať na nové výzvy a hrozby, ktoré prináša digitalizácia a technologický pokrok,“ vysvetľuje odborník z IT Global Servis Peter Adam.
Aké sú hrozby a následky nedodržania NIS2?
Odborníci v prvom rade zdôrazňujú, že tou najväčšou hrozbou v prípade bezpečnostného incidentu je ohrozenie chodu a dostupnosti počítačov, serverov, ako aj možná strata všetkých dát. Nenávratna strata dát a škody spôsobené dlhodobým výpadkom služieb IT infraštruktúry je pre firmy najväčšia hrozba, ktorá môže mať v najhoršom prípade až likvidačné dôsledky.
- Právne dôsledky
Spoločnosti môžu čeliť právnym krokom zo strany regulátorov a môžu byť zodpovedné za škody spôsobené nedodržaním predpisov, najmä ak to vedie k bezpečnostným incidentom alebo únikom dát.
- Regulačné prehliadky a audity
Nedodržiavanie môže viesť k častejším regulačným prehliadkam a auditom, čo môže byť časovo a finančne náročné.
- Zvýšené náklady na bezpečnosť
Firmy, ktoré nedodržiavajú NIS2 môžu byť nútené investovať dodatočné prostriedky do zlepšenia svojej kybernetickej bezpečnosti, aby sa vyhli budúcim pokutám a sankciám.
- Reputácia
Nedodržiavanie kybernetických bezpečnostných noriem môže vážne poškodiť reputáciu firmy. Strata dôvery zákazníkov, partnerov a verejnosti môže mať dlhodobý negatívny vplyv na obchodné aktivity.
- Prevádzkové prerušenia
Nedostatočné zabezpečenie môže viesť k úspešným kybernetickým útokom, čo môže spôsobiť značné prevádzkové prerušenia, stratu dát a následné náklady na obnovu.
- Finančné sankcie
Firmy, ktoré nedodržiavajú požiadavky NIS2, môžu čeliť vysokým pokutám. Výška pokút môže byť stanovená na základe obratu firmy a môže dosiahnuť až niekoľko miliónov eur.
Cieľom NIS2 je zabezpečiť vyššiu odolnosť a bezpečnosť sietí a informačných systémov naprieč Európou, čím sa má dosiahnuť vyššia úroveň ochrany pre občanov a organizácie pred kybernetickými hrozbami. Potrebujete s implantáciou zákona vo vašej spoločnosti pomôcť? Obráťte sa na odborníkov z IT Global Servis.
Smernica NIS2 už bola transponovaná do prvého návrhu nového kybernetického zákona Slovenskej republiky. V súčasnosti je v medzirezortnom pripomienkovom konaní. Tento proces zahŕňa vyjadrenia a návrhy od rôznych ministerstiev, odbornej obce, ale aj širokej verejnosti, ktoré môžu ovplyvniť konečné znenie tejto legislatívy. NIS2 aktualizuje a nahrádza pôvodnú smernicu NIS z roku 2016.
Schválenie finálnej podoby zákona musí prebehnúť do 17. októbra 2024, čo je konečný dátum stanovený Európskou úniou. Zákon začne platiť pár dní po schválení, pravdepodobne už 1. januára 2025. „Toto poskytuje subjektom pomerne krátky čas na prípravu a zapracovanie potrebných opatrení. Preto je potrebné začať s prípravou už teraz,“ varuje Peter Adam.
Smernica sa týka širokej škály subjektov v rámci členských štátov EÚ. Subjekty zásadného významu pôsobia v kritických sektoroch, ako je energetika, doprava, finančné trhy, zdravotná starostlivosť, vodné hospodárstvo, digitálna infraštruktúra, verejná správa a vesmírny priemysel. Medzi subjekty dôležitého významu patria poštové a kuriérske služby, odpadové hospodárstvo, chemický priemysel, potravinársky priemysel, výrobný priemysel.
NIS2 obsahuje viacero dôležitých prvkov
- Rozšírený rozsah pôsobnosti
Vzťahuje sa na širšie spektrum sektorov a subjektov vrátane zdravotníctva, energetiky, dopravy, bankovníctva, digitálnej infraštruktúry, verejnej správy a mnohých ďalších. V rámci nových sektorov sú zahrnuté napríklad aj výroba liekov, chemický priemysel a vesmírne technológie.
- Prísnejšie bezpečnostné požiadavky
Subjekty musia zaviesť opatrenia na riadenie rizík a zabezpečenie informačných systémov, ktoré zahŕňajú technické a organizačné opatrenia, školenia pre zamestnancov, pravidelné testovanie bezpečnosti a nápravné opatrenia v prípade incidentov.
- Hlásenie incidentov
Povinnosť rýchlo hlásiť významné kybernetické incidenty národným kompetentným orgánom alebo CSIRT (Computer Security Incident Response Teams). Hlásenia musia byť vykonané v špecifikovaných časových rámcoch a obsahovať konkrétne informácie o incidente.
- Lepšia koordinácia a spolupráca
Zavedenie mechanizmov na zlepšenie spolupráce a výmeny informácií medzi členskými štátmi, vrátane vytvorenia európskej siete pre kybernetickú bezpečnosť.
- Zodpovednosť a sankcie
Smernica zavádza prísne sankcie za nedodržanie povinností, ktoré môžu zahŕňať vysoké pokuty. Podľa Adama musia byť všetky subjekty schopné preukázať, že prijali všetky potrebné opatrenia na ochranu svojich informačných systémov
Na základe významu jednotlivých subjektov je potrebné prijať niekoľko opatrení, medzi ktoré patrí aj podporovanie aktívnej kybernetickej ochrany, táto činnosť zahŕňa aktívnu prevenciu, monitoring a odhaľovanie hrozieb, analýzu a zmierňovanie narušení bezpečnosti.
„Ďalším opatrením je riadenie kybernetických rizík, čiže implementácia opatrení na identifikáciu a riadenie kybernetických rizík, vrátane pravidelných bezpečnostných hodnotení. Je potrebné využívať inovatívne technológie, vrátane AI a strojového učenia. Ich používanie má dopomôcť zlepšeniu odhaľovania a k prevencii voči kybernetických útokom,“ vysvetľuje.
K navrhovaným opatreniami patrí aj incident management, teda zavedenie postupov na identifikáciu, reakciu a hlásenie kybernetických incidentov.
Medzi ďalšie opatrenia patrí spolupráca s národnými autoritami – úzka spolupráca s národnými kompetentnými orgánmi a CSIRT, poskytovanie potrebných informácií a riadenie sa ich pokynmi.
Posledným je zabezpečenie kontinuity – pravidelne revidovať a zlepšovať svoje bezpečnostné opatrenia a systémy na základe najnovších hrozieb a osvedčených postupov, tak aby bola zabezpečená kontinuita výrobno-pracovného procesu. To znamená riadenie zálohovanie a obnovu systémov po havárii a krízové riadenie.
