S novou európskou smernicou pre kyberbezpečnosť NIS 2 prichádza veľa zmien pre tisícky subjektov na Slovensku, vrátane súkromných firiem. Aj keď termín, dokedy musí Slovensko NIS 2 zakomponovať do svojich zákonov je tu už o pár mesiacov, problematika NIS 2 je pre mnohých stále neznáma.
Aké odvetvia a typy firiem budú pod smernicu spadať, a čo ich čaká v najbližších mesiacoch? Na to sa pozrieme v tomto článku.
Kto v súkromnom sektore bude spadať pod NIS 2?
Podľa smernice by sa nové nariadenia kyberbezpečnosti mali týkať celkovo až 18 odvetví, z čoho jedno je verejná správa. Avšak každý členský štát musí smernicu zakomponovať do vlastného zákona o kybernetickej bezpečnosti, čo znamená, že finálny počet sektorov pre Slovensko môže byť vyšší.
Zároveň musí byť firma pôsobiaca v danom odvetví stredným až veľkým podnikom. V praxi to znamená, že musí mať viac ako 50 zamestnancov alebo/a ročný obrat nad 10 miliónov eur.
V niektorých prípadoch sa však nebude pozerať na veľkosť firmy a nariadenia NIS 2 budú platiť pre všetky firmy daného typu alebo v danom odvetví. Príkladom sú poskytovatelia elektronických komunikačných služieb a sietí. Všetky takéto výnimky budú vo finálnom zákone taxatívne vymenované, aby pre firmy nebolo zložité zistiť, či pod NIS 2 spadajú alebo nie.
Kompletný zoznam odvetví spadajúcich pod NIS 2
Firmy pôsobiace v nasledovných odvetviach budú patriť medzi kľúčové subjekty, pretože budú po novom definované ako prevádzkovatelia kritických základných služieb:
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb vB2B segmente,
- verejná správa
- vesmír,
- a zdravotníctvo.
Okrem toho pod NIS 2 spadá ešte ďalších 7 odvetví. Firmy pôsobiace v týchto odvetviach budú patriť pod dôležité subjekty a budú to ostatní prevádzkovatelia základných služieb.
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- a získavanie, výroba a distribúcia chemických látok.
Aké opatrenia NIS 2 prináša pre súkromné firmy?
Smernica prináša široké spektrum nových opatrení a povinností s cieľom zabezpečiť čo najvyššiu úroveň kyberbezpečnosti naprieč Európskou úniou. Nové nariadenia sa týkajú nielen samotného zabezpečenia dát, sietí a systémov, ale aj prevencie, komunikácie s relevantnými úradmi a orgánmi v štáte, či zmien v ukladaní sankcií.
Nové bezpečnostné požiadavky
Okrem základných kybernetických opatrení, ktoré boli zahrnuté už v NIS 1, budú musieť firmy zaviesť napríklad kontroly stavu bezpečnosti, nastaviť postupy v prípade ohrozenia, ako aj plán na znovuobnovenia činnosti po útoku. Okrem toho NIS 2 zahŕňa aj opatrenia ako šifrovanie komunikácie, či používanie dvojfaktorového overenia.
Tieto opatrenia vychádzajú priamo zo smernice NIS 2, no konečný zoznam opatrení, ktoré budú musieť firmy pôsobiace na Slovensku dodržiavať, prinesie až finálne znenie novely zákona o kybernetickej bezpečnosti.
Zmeny v nahlasovaní incidentov a zdieľaní informácií
Firmy budú mať po novom tiež nové ohlasovacie povinnosti – 24-hodinovú, 48-hodinovú a 72-hodinovú povinnosť ohlásenia kybernetického incidentu podľa závažnosti danej udalosti. Menia sa však aj samotné procesy nahlasovania incidentov a subjekty budú motivované nahlasovať dobrovoľne nielen incidenty, ale aj zraniteľnosti.
Nové definície
Publikovaný návrh novely kybernetického zákona NBÚ, ktorý zapracováva NIS 2, obsahuje viacero re-definícií alebo úplne nových definícií, ktoré sú pre firmy dôležité. Čiastočne sa mení definícia prevádzkovateľa základnej služby, definícia kritickej základnej služby a posilňuje sa napríklad aj funkcia manažéra kybernetickej bezpečnosti.
Úpravy v sankčných mechanizmoch
Zmeny nastanú aj v mechanizme udeľovania sankcií subjektom, ktoré nariadenia nebudú dodržiavať alebo ich budú porušovať. Nový sankčný mechanizmus bude fungovať ako aktuálny mechanizmus pri GDPR. Subjekty budú teda dostávať administratívne pokuty. Podľa návrhu novely sa štát bude sústreďovať najmä na dodržiavanie povinnosti nahlasovania a riadenia rizík kybernetickej bezpečnosti.
Viac o nových opatreniach a zmenách, ktoré obsahuje návrh novely o kybernetickom zákone môžete nájsť v tomto článku.
Ako sa majú na NIS 2 firmy pripraviť?
Novela zákona o kybernetickej bezpečnosti, ktorá transponuje smernicu NIS 2, musí byť schválený najneskôr do 17. októbra 2024, kedy smernici začne účinnosť. Od tohto dátumu budú mať firmy pravdepodobne len pár mesiacov, aby všetky nové nariadenia začali dodržiavať a aby sa zaregistrovali v určenom štátnom orgáne, ak sa ich smernica dotýka.
Keďže všetky opatrenia uvedené v smernici NIS 2 Slovensko musí splniť, môžu sa firmy začať postupne pripravovať už teraz. Prvým krokom je samo-určenie, či sa vašej firmy NIS 2 týka. Ak si nie ste istí, neváhajte nás kontaktovať a my vám radi pomôžeme.
Ďalším krokom je posúdenie, či zmeny zvládnete sami v rámci IT oddelenia vašej firmy alebo vyhľadáte služby špecialistu – manažéra kyberbezpečnosti. Našim odporúčaním je dohodnúť si aspoň konzultáciu s takýmto odborníkom a potom sa rozhodnúť, ktorá cesta je pre vás lepšia.
Je však dôležité si uvedomiť, že Slovensko má v oblasti kybernetických špecialistov a manažérov kyberbezpečnosti veľký podstav. Posledné údaje hovorili o nedostatku viac ako 8 000 expertov.
Ak teda máte akékoľvek obavy o implementácii NIS 2 vo vašej firme, je lepšie získať kybernetického špecialistu čím skôr. Po finálnom schválení novely sa množstvo dostupných odborníkov bude rýchlo znižovať.