Nové kybernetické opatrenia budú platiť pre subjekty spadajúce pod doterajšiu smernicu NIS 1, ale aj pre tisícky nových subjektov v až 18 odvetviach, vrátane zdravotníctva, dopravy, energetiky, bankovníctva, digitálnych služieb či potravinárskeho priemyslu. Cieľom je zvýšiť úroveň kybernetickej bezpečnosti členských štátov EÚ a zlepšiť ochranu infraštruktúry kritických a dôležitých podnikov.
Ktoré odvetvia spadajú pod smernicu NIS 2?
Medzi kľúčové subjekty, čiže prevádzkovateľov kritických základných služieb, patria firmy alebo organizácie v odvetviach: bankovníctvo, digitálna infraštruktúra, doprava, energetika, infraštruktúra finančných trhov, odpadová voda, pitná voda, poskytovanie IKT služieb v B2B segmente, verejná správa, vesmír a zdravotníctvo.
K dôležitým subjektom, teda ostatným prevádzkovateľom základných služieb, sa radia firmy alebo organizácie v odvetviach: odpadové hospodárstvo, poskytovatelia digitálnych služieb, poštové a kuriérske služby, výroba, výroba, spracovanie a distribúcia potravín, výskum a získavanie, výroba a distribúcia chemických látok.
Patrí naša spoločnosť pod novú smernicu?
To, či vaša firma, alebo organizácia spadá pod smernicu NIS 2, určuje okrem oblasti podnikania aj jej veľkosť. Nariadenia sa týkajú subjektov v spomínaných odvetviach, ktoré sú stredným alebo veľkým podnikom, teda majú viac ako 50 zamestnancov a/alebo ročný obrat viac ako 10 miliónov eur.
Podľa stránky nis2smernica.sk však existujú aj výnimky, na ktoré sa pravidlo o veľkosti podniku nevzťahuje a pod NIS 2 spadajú bez ohľadu na veľkosť. Medzi tieto výnimky patria napríklad poskytovatelia služieb DNS, poskytovatelia verejných elektronických komunikačných služieb a sietí, či kvalifikovaní poskytovatelia dôveryhodných služieb a registrov názvov domén najvyššej úrovne.
Smernicu sme u nás transponovali do prvého návrhu kybernetického zákona Slovenskej republiky. Zákon začne platiť pár mesiacov po schválení, pravdepodobne už od 1. januára 2025. Pre spoločnosti je to pomerne krátky čas na prípravu a zavedenie potrebných opatrení, preto je potrebné začať s nimi čo najskôr.
Čo musia firmy splniť?
Zapracovanie súladu s NIS 2 vyžaduje, aby obidve kategórie vybraných subjektov prijali prísne bezpečnostné opatrenia a zaviedli postupy na monitorovanie a riadenie kybernetických rizík. Nové opatrenia zahŕňajú plán na znovuobnovenie činnosti po útoku, zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým údajom, šifrovanie komunikácie či ohlasovacie povinnosti.
Aké nariadenia zahŕňa NIS 2?
Smernica prináša široké spektrum nových opatrení a pravidiel. Keďže Národný bezpečnostný úrad už zverejnil prvý návrh zákona o kybernetickej bezpečnosti, niektoré uvedené body pochádzajú priamo z tohto návrhu.
Nové povinnosti v kybernetickej bezpečnosti
- Vykonávanie pravidelných bezpečnostných auditov
- Nastavenia postupov v prípade ohrozenia
- Príprava plánu na znovuobnovenie činnosti po útoku
- Šifrovanie komunikácie
- Používanie dvojfaktorového overenie
- Ohlasovacie povinnosti (24-/48-/72-hodinová) podľa závažnosti incidentu
- Zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým alebo dôležitým údajom
- Nastavenie politík a postupov hodnotenia účinnosti bezpečnostných opatrení
- Vzdelávanie a školenie zamestnancov v oblasti kybernetickej bezpečnosti
- A ďalšie bezpečnostné požiadavky
Ďalšie zmeny NIS 2
- Nová definícia kritickej základnej služby a definícia prevádzkovateľa základnej služby
- Povinnosti pre dodávateľov / tretie strany
- Zmeny sankčných mechanizmov (administratívne pokuty a pokuty až do výšky 10.000.000 eur alebo 2 % ročného obratu)
- Zvýšenie dohľadovej činnosti
- Aktualizácia minimálnych požiadaviek na kybernetickú hygienu pre firmy
Odvetvia s kľúčovými subjektami
Medzi kľúčové subjekty (teda prevádzkovateľov kritických základných služieb) sa radia firmy, organizácie a pod., v týchto odvetviach:
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb v B2B segmente,
- verejná správa,
- vesmír,
- a zdravotníctvo.
Odvetvia s dôležitými subjektami
Medzi dôležité subjekty (teda ostatných prevádzkovateľov základných služieb) sa radia firmy, organizácie a pod., v týchto odvetviach:
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb,
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- a získavanie, výroba a distribúcia chemických látok.
Pripravte sa na nové kybernetické opatrenia so spoločnosťou PROMA TECHNOLOGY https://bit.ly/promatechnology
Zdroj: https://nis2smernica.sk/ , https://eur-lex.europa.eu/
