NIS 2 má priniesť viac kybernetickej bezpečnosti

Je to smernica Európskej únie zameraná na nové a prísnejšie požiadavky na zabezpečenie kľúčových a dôležitých sektorov vo svojich štátoch.

Nové kybernetické opatrenia budú platiť pre subjekty spadajúce pod doterajšiu smernicu NIS 1, ale aj pre tisícky nových subjektov v až 18 odvetviach, vrátane zdravotníctva, dopravy, energetiky, bankovníctva, digitálnych služieb či potravinárskeho priemyslu. Cieľom je zvýšiť úroveň kybernetickej bezpečnosti členských štátov EÚ a zlepšiť ochranu infraštruktúry kritických a dôležitých podnikov.

Ktoré odvetvia spadajú pod smernicu NIS 2?

Medzi kľúčové subjekty, čiže prevádzkovateľov kritických základných služieb, patria firmy alebo organizácie v odvetviach: bankovníctvo, digitálna infraštruktúra, doprava, energetika, infraštruktúra finančných trhov, odpadová voda, pitná voda, poskytovanie IKT služieb v B2B segmente, verejná správa, vesmír a zdravotníctvo.

K dôležitým subjektom, teda ostatným prevádzkovateľom základných služieb, sa radia firmy alebo organizácie v odvetviach: odpadové hospodárstvo, poskytovatelia digitálnych služieb, poštové a kuriérske služby, výroba, výroba, spracovanie a distribúcia potravín, výskum a získavanie, výroba a distribúcia chemických látok.

Patrí naša spoločnosť pod novú smernicu?

To, či vaša firma, alebo organizácia spadá pod smernicu NIS 2, určuje okrem oblasti podnikania aj jej veľkosť. Nariadenia sa týkajú subjektov v spomínaných odvetviach, ktoré sú stredným alebo veľkým podnikom, teda majú viac ako 50 zamestnancov a/alebo ročný obrat viac ako 10 miliónov eur.

Podľa stránky nis2smernica.sk však existujú aj výnimky, na ktoré sa pravidlo o veľkosti podniku nevzťahuje a pod NIS 2 spadajú bez ohľadu na veľkosť. Medzi tieto výnimky patria napríklad poskytovatelia služieb DNS, poskytovatelia verejných elektronických komunikačných služieb a sietí, či kvalifikovaní poskytovatelia dôveryhodných služieb a registrov názvov domén najvyššej úrovne.

Smernicu sme u nás transponovali do prvého návrhu kybernetického zákona Slovenskej republiky. Zákon začne platiť pár mesiacov po schválení, pravdepodobne už od 1. januára 2025. Pre spoločnosti je to pomerne krátky čas na prípravu a zavedenie potrebných opatrení, preto je potrebné začať s nimi čo najskôr.

Čo musia firmy splniť?

Zapracovanie súladu s NIS 2 vyžaduje, aby obidve kategórie vybraných subjektov prijali prísne bezpečnostné opatrenia a zaviedli postupy na monitorovanie a riadenie kybernetických rizík. Nové opatrenia zahŕňajú plán na znovuobnovenie činnosti po útoku, zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým údajom, šifrovanie komunikácie či ohlasovacie povinnosti.

Aké nariadenia zahŕňa NIS 2?

Smernica prináša široké spektrum nových opatrení a pravidiel. Keďže Národný bezpečnostný úrad už zverejnil prvý návrh zákona o kybernetickej bezpečnosti, niektoré uvedené body pochádzajú priamo z tohto návrhu.

Nové povinnosti v kybernetickej bezpečnosti

Vykonávanie pravidelných bezpečnostných auditov
Nastavenia postupov v prípade ohrozenia
Príprava plánu na znovuobnovenie činnosti po útoku
Šifrovanie komunikácie
Používanie dvojfaktorového overenie
Ohlasovacie povinnosti (24-/48-/72-hodinová) podľa závažnosti incidentu
Zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým alebo dôležitým údajom
Nastavenie politík a postupov hodnotenia účinnosti bezpečnostných opatrení
Vzdelávanie a školenie zamestnancov v oblasti kybernetickej bezpečnosti
A ďalšie bezpečnostné požiadavky

Ďalšie zmeny NIS 2

Nová definícia kritickej základnej služby a definícia prevádzkovateľa základnej služby
Povinnosti pre dodávateľov / tretie strany
Zmeny sankčných mechanizmov (administratívne pokuty a pokuty až do výšky 10.000.000 eur alebo 2 % ročného obratu)
Zvýšenie dohľadovej činnosti
Aktualizácia minimálnych požiadaviek na kybernetickú hygienu pre firmy