Aké nariadenia vyplývajú z NIS 2?

Na otázku „Aké nariadenia vyplývajú z NIS 2?“ možno stručne odpovedať takto: Smernica NIS 2 predstavuje rozsiahlu legislatívu Európskej únie, ktorá si kladie za cieľ zvýšiť úroveň kybernetickej bezpečnosti v členských štátoch. Oproti predchádzajúcej smernici NIS (Network and Information Systems Directive) rozširuje povinnosti na viac organizácií, sprísňuje bezpečnostné požiadavky, zavádza tvrdšie sankcie a požaduje transparentnejší manažment kybernetických rizík. Dotýka sa subjektov poskytujúcich základné aj dôležité služby, a to bez ohľadu na to, či ide o verejný alebo súkromný sektor.

V nasledujúcich kapitolách sa podrobne pozrieme na konkrétne opatrenia, ktoré NIS 2 prináša. Článok je určený pre firmy, verejné inštitúcie, bezpečnostných manažérov, IT špecialistov, ale aj kohokoľvek, koho zaujíma, ako bude vyzerať budúcnosť kybernetickej legislatívy v EÚ. Vysvetlíme si, ktoré organizácie budú regulované, aké povinnosti budú musieť plniť, aké budú hrozby za neplnenie uvedených podmienok a aké konkrétne kroky majú podniknúť na zabezpečenie compliance so smernicou NIS 2.

Rozšírený rozsah pôsobnosti smernice NIS 2

Kto všetko spadá pod novú legislatívu?

Smernica NIS 2 výrazne rozširuje okruh organizácií, ktoré budú podliehať jej pravidlám. Zatiaľ čo pôvodná smernica sa týkala len „prevádzkovateľov základných služieb“ a „digitálnych poskytovateľov“, nová legislatíva zavádza dve nové kategórie subjektov:

• Základné subjekty (Essential Entities) – ide o subjekty z odvetví ako energetika, doprava, zdravotníctvo, voda, digitálna infraštruktúra, verejná správa a finančné služby.
• Dôležité subjekty (Important Entities) – patria sem napríklad poskytovatelia poštových služieb, správa odpadu, výroba či niektoré IT služby vrátane cloudových riešení a správnych centier.

Rozdelenie medzi základné a dôležité subjekty ovplyvňuje spôsob dohľadu a mieru povinností, ale smernica požaduje vysokú úroveň bezpečnostných štandardov od oboch kategórií.

Bezpečnostné a preventívne povinnosti

Aké minimálne opatrenia musia zaviesť regulované organizácie?

Organizácie, ktoré spadajú pod smernicu NIS 2, sú povinné implementovať súbor technických, organizačných a procesných opatrení na zvýšenie úrovne kybernetickej bezpečnosti. Medzi hlavné požiadavky patrí:

• Rizikové hodnotenie – pravidelná identifikácia a analýza rizík v oblasti kybernetickej bezpečnosti.
• Incident response plán – pripravenosť na kybernetické útoky vrátane plánov na obnovu operácií.
• Kryptografia a ochrana dát – ochrana citlivých a osobných údajov prostredníctvom vhodných šifrovacích riešení.
• Zabezpečenie dodávateľského reťazca – hodnotenie a zabezpečenie informačných tokov u tretích strán.
• Školenia zamestnancov – pravidelné školenia o hrozbách a postupoch kybernetickej bezpečnosti.

Okrem toho musia organizácie zaviesť aj politiku riadenia užívateľských prístupov, pravidelné aktualizácie softvérov a zabezpečený diaľkový prístup k systémom.

Hlášenie incidentov a reakcia na ne

Čo robiť v prípade kybernetického útoku?

Jedným z hlavných pilierov smernice NIS 2 je včasné hlásenie bezpečnostných incidentov. Organizácie musia postupovať podľa nasledovného režimu:

• Prvé upozornenie do 24 hodín – v prípade významného incidentu je potrebné nahlásiť základné informácie národnému kontaktnému bodu (typicky orgán pre kybernetickú bezpečnosť) do 24 hodín od jeho zistenia.
• Podrobné hlásenie do 72 hodín – organizácia musí poskytnúť detailnejšie analýzy vrátane dôsledkov a prijatých opatrení do 3 dní.
• Záverečné hodnotenie do jedného mesiaca – opis celého incidentu, poučenie z krízy, implementované zlepšenia.

Tieto opatrenia majú zabezpečiť včasnú reakciu, zdieľanie informácií medzi štátnymi orgánmi a lepšiu koordináciu na úrovni Európskej únie.

Riadenie rizík na úrovni vedenia spoločnosti

Zodpovednosť vedúcich pracovníkov

Na rozdiel od predošlej verzie smernice, NIS 2 priamo zaväzuje zodpovedných štatutárov firiem a inštitúcií. Manažéri na najvyššej úrovni (napr. CEO, CIO, CSO) budú musieť:

• Preukázať znalosť rizík a politík kybernetickej bezpečnosti vo svojej organizácii
• Zabezpečiť financovanie a personálne kapacity pre bezpečnostné opatrenia
• Prijať strategické rozhodnutia vyplývajúce z kybernetických analýz

Orgány EÚ upozorňujú, že prípadná nedbanlivosť vedenia môže viesť k osobnej zodpovednosti a sankciám vrátane finančných pokút či občianskoprávnych dôsledkov.

Kontrola a sankcie za nedodržiavanie pravidiel

Čo hrozí v prípade porušenia NIS 2?

Pre organizačné zlyhania alebo porušenie povinností hrozia regulovaným subjektom výrazne prísnejšie sankcie než v predošlej legislatíve:

• Pokuty až do výšky 10 mil. € alebo 2 % z celosvetového ročného obratu (podľa toho, čo je vyššie)
• Príkazy na nápravu alebo odstránenie prevádzkových manažérov
• Verejné zverejnenie nedostatkov

Dohľad nad plnením smernice zabezpečujú národné dozorné orgány, ktoré budú oprávnené vykonávať kontroly, auditovať organizácie a aplikovať represívne kroky v prípade nesúladu.

Kroky k dosiahnutiu compliance s NIS 2

Čo má organizácia konkrétne urobiť?

Ak sa vaša firma alebo inštitúcia zaraďuje medzi základné alebo dôležité subjekty, mali by ste pristúpiť k nasledovným krokom:

1. Vykonať právnu a technickú analýzu dopadu NIS 2 na vašu činnosť
2. Menovať zodpovednú osobu (napr. CISO) pre oblast‘ kybernetickej bezpečnosti
3. Implementovať systém riadenia kybernetickej bezpečnosti (ISMS)
4. Vytvoriť a testovať incident response plan
5. Budovať interné kapacity bezpečnostného tímu
6. Spolupracovať s dodávateľmi na monitorovaní bezpečnosti v reťazci
7. Začať s pravidelným školením personálu ohľadom povinností podľa smernice

Compliance s NIS 2 neznamená len právnu povinnosť, ale aj zvýšenie dôvery vašich zákazníkov a obchodných partnerov.

Dátumy a časový rámec implementácie

Kedy nadobúda smernica platnosť?

NIS 2 bola prijatá na úrovni EÚ v decembri 2022 a členské štáty sú povinné prevziať túto legislatívu do svojej národnej formy do 17. októbra 2024. To znamená, že:

• Do októbra 2024 musia jednotlivé krajiny (vrátane Slovenska) pripraviť a prijať implementačný zákon
• Od konca roka 2024 začnú dozor a vykonávanie povinností

Odporúča sa začať s prípravami čo najskôr, keďže implementácia potrebných systémov, školení a kultúry bezpečnosti môže trvať niekoľko mesiacov až rokov.

Záver: NIS 2 ako nový štandard kybernetickej obrany

Smernica NIS 2 mení paradigmu chápania kybernetickej bezpečnosti v EÚ. Nejde len o technickú výzvu pre IT oddelenia, ale o zodpovednosť celej organizácie – od riaditeľa cez manažment až po jednotlivých zamestnancov. Je to príležitosť zlepšiť procesy, posilniť infraštruktúru a pripraviť sa na narastajúcu vlnu útokov, ktoré čoraz častejšie zasahujú verejné a súkromné systémy.

Nezabúdajme: príprava na NIS 2 nie je len nakupovanie technológie. Je to o kultúre bezpečnosti, strategickom plánovaní a kontinuálnom úsilí o ochranu digitálnych operácií. Organizácie, ktoré zvládnu implementáciu efektívne, budú nielen legálne v súlade, ale získajú aj konkurenčnú výhodu na trhu.