Kto spadá pod smernicu NIS 2? To je otázka, ktorú si dnes kladú mnohé organizácie po celej Európskej únii. Smernica NIS 2, ktorá nadväzuje na pôvodnú smernicu NIS z roku 2016, stanovuje nové a prísnejšie pravidlá pre kybernetickú bezpečnosť v Európe. Jej cieľom je zvýšiť úroveň ochrany kritickej infraštruktúry pred čoraz sofistikovanejšími kybernetickými hrozbami. V porovnaní s pôvodnou smernicou sa NIS 2 týka nielen väčšieho počtu odvetví, ale aj širšieho spektra organizácií – vrátane verejného, súkromného sektora a dokonca aj niektorých malých a stredne veľkých podnikov.
V nasledujúcich častiach tohto článku sa pozrieme na to, koho konkrétne sa smernica NIS 2 týka, aké sú kategórie povinných subjektov, aké právne a technické povinnosti musia tieto subjekty spĺňať a aké sankcie hrozia pri nedodržaní požiadaviek. Tento prehľad Ti pomôže pochopiť, či Tvoja organizácia spadá pod túto reguláciu, a ak áno, ako sa pripraviť na jej implementáciu.
Rozšírený rozsah pôsobnosti smernice NIS 2
Smernica NIS 2 výrazne rozširuje okruh subjektov, ktoré podliehajú európskym požiadavkám na kybernetickú bezpečnosť. Táto smernica teda nezasahuje len klasickú kritickú infraštruktúru, ale aj ďalšie kľúčové sektory, ktoré predtým neboli explicitne regulované.
Kľúčová zmena oproti pôvodnej NIS
Na rozdiel od pôvodnej smernice, kde sa povinnosti vzťahovali len na „prevádzkovateľov základných služieb“ a „poskytovateľov digitálnych služieb“, NIS 2 zavádza dve hlavné kategórie:
- Základné subjekty (Essential Entities)
- Dôležité subjekty (Important Entities)
Rozdiel medzi nimi spočíva v type sankcií a intenzite dohľadu, nie však v rozsahu povinností, ktoré musia plniť. Obe skupiny majú takmer identické legislatívne a technické povinnosti.
Sektory a odvetvia podliehajúce NIS 2
Smernica NIS 2 sa vzťahuje na množstvo sektorov, ktoré sú považované za strategicky dôležité pre fungovanie spoločnosti a hospodárstva.
Medzi základné sektory patria:
- Energetika – elektrická energia, plyn, ropný priemysel
- Doprava – letecká, železničná, námorná a cestná doprava
- Bankovníctvo – bankové inštitúcie a poskytovanie úverov
- Finančný trh – správa investícií, poisťovne
- Zdravotníctvo – nemocnice, kliniky, laboratóriá, poskytovatelia lekárskych databáz
- Digitálna infraštruktúra – DNS poskytovatelia, dátové centrá, služby cloud computingu
- Voda – pitná voda a odpadová voda
Medzi dôležité sektory patria napríklad:
- Výroba určitých tovarov – chemikálie, elektronika, potraviny
- Poštové a doručovacie služby
- Služby poskytujúce spravodajské médium na diaľku (elektronické komunikačné služby)
- Výskum a vývoj v oblasti technológií
Ak Vaša spoločnosť pôsobí v niektorom z uvedených sektorov, je pravdepodobné, že bude podliehať pravidlám smernice NIS 2.
Ktoré organizácie budú konkrétne regulované
Smernica NIS 2 nezavádza svoje pravidlá na základe veľkosti organizácie plošne, ale aplikuje tzv. veľkostné prahové hodnoty a sektorovú relevanciu.
Veľkostné kritériá:
- Organizácie strednej alebo veľkej veľkosti – štandardne nad 50 zamestnancov alebo s ročným obratom nad 10 miliónov EUR.
- V prípade vybraných sektorov môže byť regulácia aplikovaná aj na menšie subjekty, ak sú považované za kľúčové.
Konkrétne subjekty, ktoré môžu patriť pod reguláciu:
- Nemocnice a laboratóriá pracujúce s biologickými hrozbami
- Významné telekomunikačné spoločnosti
- Správcovia infraštruktúry internetu a doménových služieb
- Banky a poskytovatelia finančných služieb
- Priemyselné podniky využívajúce senzory, automatizáciu a výrobné systémy riadené IT
Povinnosti vyplývajúce zo smernice NIS 2
Každý subjekt, ktorý podlieha NIS 2, je povinný dodržať súbor technických, organizačných a operačných opatrení, ktoré zabezpečujú jeho kybernetickú odolnosť.
Hlavné povinnosti zahŕňajú:
- Hodnotenie rizík a zavedenie opatrení kybernetickej bezpečnosti – pravidelné analýzy a plánovanie
- Incident management – zavedenie postupov na detekciu, reakciu a oznamovanie kybernetických incidentov
- Zabezpečenie dodávateľského reťazca – vrátane tretích strán
- Správa prístupov a identít
- Vypracovanie politiky reakcie na incidenty
Oznamovanie kybernetických incidentov:
Incidenty musia byť nahlásené kompetentnému orgánu (v Slovenskej republike je to Národný bezpečnostný úrad) do 24 hodín od zistenia relevantného incidentu.
Výhľad na implementáciu a sankcie
Členské štáty EÚ majú povinnosť transponovať smernicu NIS 2 do svojej legislatívy do októbra 2024. Slovensko preto pripravuje novú legislatívu, ktorá bude sprísňovať dohľad nad digitálnou bezpečnosťou vo verejnom aj súkromnom sektore.
Pokuty za porušenie pravidiel:
- Pre základné subjekty – do 10 miliónov EUR alebo 2 % z celkového obratu (podľa toho, ktorá suma je vyššia)
- Pre dôležité subjekty – do 7 miliónov EUR alebo 1,4 % z obratu
Okrem finančných sankcií môže dôjsť aj k reputačným poškodeniam, zákazom výkonu činností či dokonca odvolaniu osôb z vedenia spoločnosti.
Praktické odporúčania pre firmy
Ak patríte medzi firmy, ktoré sú pravdepodobne zahrnuté pod pôsobnosť NIS 2, je kľúčové začať s prípravami už dnes.
Odporúčané kroky:
- Vykonať interný audit a analýzu toho, či podliehate smernici
- Začať s mapovaním rizík v IT infraštruktúre
- Vypracovať plán reakcie na incidenty
- Zabezpečiť školenie zamestnancov o kybernetickej bezpečnosti
- Zaviesť monitoring aktív a logovanie prístupov
Skorá príprava pomáha nielen splniť požiadavky legislatívy, ale aj skutočne posilniť odolnosť organizácie voči čoraz častejším a závažnejším kybernetickým hrozbám.