V ére digitálnej transformácie je kybernetická bezpečnosť kľúčovým faktorom pre stabilitu a bezpečnosť organizácií. Smernica NIS 2, ako aktualizácia pôvodnej smernice NIS, prináša nové nariadenia a požiadavky, ktoré majú za cieľ zvýšiť odolnosť a bezpečnosť informačných systémov naprieč Európskou úniou. Táto smernica sa dotýka širokej škály subjektov, od verejných inštitúcií po súkromné firmy, a vyžaduje implementáciu konkrétnych opatrení na posilnenie kybernetickej ochrany.
Nové povinnosti pre vybrané subjekty
Opatrenia NIS 2 sa budú týkať verejnej správy, bankovníctvu, vodného hospodárstva, poštových a kuriérskych služieb a ďalších 14 sektorov. Ak má subjekt pôsobiaci v jednom, či viacerych, z týchto sektorov dostatočnú veľkosť (stredné a veľké podniky), tak spadá do pôsobnosti NIS 2. Niektoré výnimky pod smernicu spadajú bez ohľadu na veľkosť, napríklad orgány štátnej správy na centrálnej a regionálnej úrovni.
Deadline pre splnenie nariadení
Smernica NIS 2 bola prijatá už minulý rok, no jej účinnosť začne 17. októbra 2024. Dovtedy majú všetky členské štáty EÚ povinnosť smernicu transponovať do svojej legislatívy a prijať ju. Na Slovensku sa podobne ako v mnohých ďalších krajinách pracuje na príprave finálnej podoby noviel zákonov o kybernetickej bezpečnosti. Po schválení tejto legislatívy budú mať vybrané subjekty len pár mesiacov na to, aby naplnili všetky požiadavky NIS 2, ak tak samozrejme neurobili už skôr.
Zmeny pre firmy a organizácie
V súčasnosti je bezpečnosť digitálnej infraštruktúry nevyhnutná pre stabilné a efektívne fungovanie organizácií. Smernica NIS 2 prináša nové pravidlá a požiadavky, ktoré majú zlepšiť kybernetickú odolnosť firiem a organizácií.
Širšie opatrenia
- Hodnotenie bezpečnosti: Pravidelné kontroly bezpečnostného stavu.
- Postupy pri incidente: Stanovenie postupov v prípade kyberútoku.
- Obnova činnosti: Príprava plánu na obnovenie prevádzky po incidente.
- Bezpečnostné postupy: Implementácia bezpečnostných opatrení pre zamestnancov s prístupom k citlivým údajom.
- Hodnotenie účinnosti: Zavedenie politík na hodnotenie efektivity bezpečnostných opatrení.
Opatrenia v každodennej prevádzke
- Šifrovanie: Zabezpečenie šifrovania komunikácie.
- Dvojfaktorová autentifikácia: Používanie dvojúrovňového overovania.
- Nahlasovacie povinnosti: Povinnosť ohlásiť incidenty do 24, 48 alebo 72 hodín podľa ich závažnosti.
Zmeny pre kontrolný orgán
Kontrolné orgány zohrávajú kľúčovú úlohu pri zabezpečovaní dodržiavania smernice NIS 2. Nové pravidlá posilňujú ich právomoci a zodpovednosti.
- Sankčné mechanizmy: Uloženie pokút až do výšky 10.000.000 EUR alebo 2% ročného obratu.
- Dohľad: Zvýšenie dohľadu nad dodržiavaním kybernetických štandardov.
- Minimálne požiadavky: Aktualizácia minimálnych štandardov kybernetickej hygieny.
Ďalšie požiadavky
Smernica NIS 2 tiež zavádza ďalšie dôležité zmeny, ktoré majú významný vplyv na bezpečnosť digitálnej infraštruktúry.
- Nové definície: Nové definície kritickej základnej služby a prevádzkovateľa základnej služby.
- Zodpovednosť dodávateľov: Povinnosti pre dodávateľov a tretie strany týkajúce sa dodržiavania bezpečnostných štandardov.
