• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Čo znamená NIS 2 pre školy a školské zariadenia?

Nariadenie NIS 2 (Network and Information Systems Directive 2) prináša významné zmeny v oblasti kybernetickej bezpečnosti na úrovni celej Európskej únie, pričom jeho dopad sa nevyhýba ani školám a školským zariadeniam. Cieľom tejto legislatívy je zvýšiť bezpečnostnú odolnosť a pripravenosť kľúčových sektorov vrátane verejných inštitúcií. Školy ako správcovia citlivých údajov, poskytovatelia služieb a súčasť národnej infraštruktúry sa musia prispôsobiť novým pravidlám, ktoré vyžadujú vyšší štandard v oblasti riadenia kybernetickej bezpečnosti.

V tomto článku sa podrobne pozrieme na to, čo presne NIS 2 znamená pre školy a školské zariadenia, aké konkrétne opatrenia budú musieť zaviesť, ako budú prebiehať kontroly a tiež aké sú sankcie za nedodržanie nariadenia. Tento rozsiahly sprievodca vo forme často kladených otázok (FAQ) vám pomôže pochopiť, ako sa pripraviť na nové výzvy kybernetickej ochrany v školskom prostredí.

Čo je to NIS 2 a prečo bolo prijaté?

Směrnica NIS 2 je aktualizáciou pôvodnej smernice NIS z roku 2016. Jej cieľom je zosúladiť požiadavky na kybernetickú bezpečnosť medzi členskými štátmi EÚ a zabezpečiť vyššiu odolnosť kritických služieb voči kybernetickým útokom. Vzhľadom na nárast počtu incidentov a ich závažnosť bolo nevyhnutné modernizovať právne predpisy.

Zásadné zmeny v rámci NIS 2:

  • Rozšírenie pôsobnosti na viac sektorov – vrátane verejnej správy, vzdelávania a výskumu.
  • Povinné pravidelné hodnotenia rizík, implementácia bezpečnostných opatrení a oznamovacia povinnosť incidentov.
  • Vyššie pokuty pri nedodržaní pravidiel.

Tieto zmeny neobchádzajú ani školské zariadenia – školstvo sa podľa NIS 2 považuje za súčasť digitálnej verejnej správy.

Prečo sa NIS 2 týka aj škôl a školských zariadení?

Školy sú významnými správcami digitálnych údajov – zaisťujú nielen výučbu, ale spravujú aj osobné údaje žiakov, rodičov, pedagógov, finančné informácie a často prevádzkujú digitálnu infraštruktúru na vzdialené vyučovanie.

Preto ak:

  • spravujete IS pre viacero školských subjektov,
  • pracujete s centrálnymi dátami žiakov alebo pedagogických pracovníkov,
  • zabezpečujete e-learning, online testovanie alebo elektronický obeh dokumentov,

…môže sa vás NIS 2 priamo týkať.

Následne školy spadajú do kategórie tzv. základných subjektov, ktoré musia zaviesť primeranú úroveň kybernetickej bezpečnosti.

Aké povinnosti vyplývajú z NIS 2 pre školy?

Podľa NIS 2 majú školy a školské zariadenia tieto hlavné povinnosti:

1. Zavedenie systému riadenia kybernetického rizika

To zahŕňa identifikáciu kritických prvkov IT infraštruktúry, analýzu hrozieb a prijatie opatrení na zmiernenie rizika. Školy musia plánovať svoje reakcie na incidenty vrátane obnovy po kybernetickom napadnutí.

2. Technické a organizačné opatrenia

Konkrétne opatrenia zahŕňajú:

  • segmentáciu siete, oddelenie učebných a administratívnych systémov,
  • zabezpečenie aktualizácií a záplat operačných systémov a softvéru,
  • zavedenie viacúrovňového overovania prístupu,
  • ochranu pred malvérom a phishingom,
  • šifrovanie dát a zálohovanie dát na oddelené úložiská mimo siete.

3. Vzdelávanie a zvyšovanie povedomia

Je potrebné pravidelne školiť zamestnancov o aktuálnych hrozbách, princípoch kyberhygieny a správnom používaní digitálnych nástrojov.

Aké hrozby a útoky najčastejšie ohrozujú školy?

Podľa štatistík patria školy medzi časté ciele kybernetických útočníkov, najmä vzhľadom na:

  • nízku mieru investícií do IT zabezpečení,
  • neinformovanosť používateľov,
  • cenné údaje dostupné v systémoch – osobné údaje, materiály, hodnotenia.

Najčastejšie typy útokov:

  • Phishing a spear phishing – cielené e-maily vydávajúce sa za školské orgány.
  • Ransomvér – šifrovanie citlivých údajov s cieľom vymáhať výkupné.
  • Úniky údajov – spôsobené slabými heslami alebo kompromitáciou účtov.
  • DoS útoky – zahltenie webových stránok alebo školských portálov.

NIS 2 upozorňuje práve na tieto riziká a núti školy systematicky sa nimi zaoberať.

Aký je rozdiel medzi základným a dôležitým subjektom?

Školské zariadenia sa budú najčastejšie radiť medzi dôležité subjekty, s výnimkou centrálnych školských správ alebo IT poskytovateľov pre viacero organizácií, ktorí môžu patriť medzi základné subjekty.

Rozdiel je najmä v miere kontroly:

  • Základné subjekty – pravidelné a proaktívne kontroly zo strany dozorných orgánov.
  • Dôležité subjekty – kontroly sa vykonávajú prioritarne pri podozrení na porušenie alebo po incidente.

Obe skupiny však podliehajú rovnakým požiadavkám na úroveň zabezpečenia.

Kto má kontrolu a aké sú sankcie za porušenie NIS 2?

Na Slovensku bude dohľad nad implementáciou NIS 2 pravdepodobne patriť pod Národný bezpečnostný úrad (NBÚ), prípadne pod gesciu ministerstiev pre školstvo a informatizáciu.

Kontroly budú môcť zahŕňať:

  • inšpekciu IT dokumentácie,
  • audit bezpečnostných opatrení,
  • testovanie pripravenosti na incidenty,
  • výsluch zamestnancov zodpovedných za správu IS v školách.

Sankcie za nedodržanie smernice sa pohybujú do výšky 10 miliónov EUR alebo 2 % ročného obratu (platí najvyššia z týchto dvoch hodnôt). Aj keď školský sektor nie je zameraný na profit, dodržiavanie zákonov a možnosť osobného postihu zo strany zodpovedných osôb robia túto tému naliehavou.

Čo by mali školy urobiť konkretne? – Odporúčania krok po kroku

Pre orientáciu uvádzame konkrétne kroky, ktoré môžu školy podniknúť pre splnenie požiadaviek NIS 2:

  1. Vyhodnotenie rizík: Odfotografujte si aktuálny stav IT infraštruktúry a identifikujte citlivé časti.
  2. Vypracovanie bezpečnostných politík: Zahrňte aj povinnosti zamestnancov, spôsob prihlasovania, zálohovania a správy incidentov.
  3. Vytvorenie incident response plánu: Plán reagovania na kybernetické incidenty zníži dopady.
  4. Zabezpečenie infraštruktúry: Implementujte bezpečnostné opatrenia – firewall, segmentácia, antivírus.
  5. Školenia a zvýšenie povedomia: Pravidelné školenia pre učiteľský i nepedagogický personál.
  6. Komunikácia s tretími stranami: Uistite sa, že vaši dodávatelia (napr. IS pre žiakov) spĺňajú rovnaké požiadavky.

Záver: Príležitosť na rozvoj digitálnej bezpečnosti škôl

NIS 2 nie je len nariadením, ktoré prináša povinnosti – dáva aj impulz pre systematické zlepšenie digitálnej bezpečnosti v školách.

Ak školy správne uchopia túto zmenu ako príležitosť:

  • získajú väčšiu dôveru rodičov a študentov,
  • vyhnú sa sankciám,
  • posilnia svoje pripravenosti na incidenty a zabezpečia kontinuitu výučby v prípade krízy.

Je načase začať – kybernetická bezpečnosť je dnes nevyhnutnou súčasťou moderného školského prostredia.