Čo hrozí pri nedodržaní NIS 2? Všeobecne možno povedať, že ignorovanie požiadaviek smernice NIS 2 môže mať vážne a často veľmi nákladné dôsledky pre organizácie v oblasti kybernetickej bezpečnosti. Táto nová európska legislatíva nadväzuje na pôvodnú smernicu NIS a zásadne rozširuje počet subjektov, ktoré musia zabezpečiť adekvátne opatrenia na ochranu svojich informačných systémov. Nedodržanie týchto povinností môže viesť nielen k priamym finančným postihom, ale aj k strate dôvery zákazníkov, poškodenému imidžu alebo dokonca k ohrozeniu prevádzky organizácie.
V nasledujúcich častiach sa podrobne venujeme tomu, aké povinnosti vyplývajú zo smernice NIS 2, čo konkrétne hrozí pri ich nedodržaní, ako môžu firmy predísť sankciám a ako celé nariadenie ovplyvní slovenské firmy. Pozrieme sa tiež na konkrétne prípady, kybernetické hrozby a príklady sankcií, ktoré môžu byť uložené v prípade zlyhania.
Rozšírenie rozsahu smernice NIS 2
NIS 2 (Smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii) nadväzuje na predchádzajúcu smernicu NIS 1 prijatú v roku 2016, no so zásadnými rozšíreniami.
Ako sa rozšíril okruh povinných subjektov
Pod NIS 2 nespadajú iba veľké kritické infraštruktúry ako nemocnice, energetické spoločnosti a banky, ale aj menšie a stredne veľké firmy pôsobiace v odvetviach ako napríklad:
- veľkoobchod a dovoz zdravotníckych zariadení,
- odvetvie odpadového hospodárstva,
- digitálni poskytovatelia služieb (hosting, cloudové služby),
- verejná správa a samosprávy,
- vodárenské podniky a správcovia kanalizácie.
Rozšírením sa zásadne zvyšuje počet subjektov, ktoré musia zavádzať interné politiky, analyzovať riziká a prijímať opatrenia na detekciu, prevenciu a zmierňovanie kybernetických hrozieb.
Právne a finančné dôsledky pri nedodržaní NIS 2
Neplnenie požiadaviek smernice NIS 2 môže viesť nielen k pokutám, ale aj k právnym následkom v prípade vážnych incidentov.
Výška možných pokút
Smernica NIS 2 stanovuje maximálne pokuty, ktoré môžu príslušné orgány udeliť:
- pre základné subjekty – až do výšky 10 miliónov EUR alebo 2 % z celkového obratu,
- pre menej kritické subjekty – až do výšky 7 miliónov EUR alebo 1,4 % z obratu.
Výška pokuty sa stanovuje podľa závažnosti zistení, dĺžky trvania porušenia, miery neplnenia opatrení a reálnych škôd.
Možné civilné žaloby a reputačné škody
Okrem pokút môže byť organizácia vystavená civilným žalobám zo strany dotknutých osôb — typicky klientov, ktorých dáta boli kompromitované. Navyše strata dôvery verejnosti a partnerov môže viesť ku
- zniženiu tržieb,
- odchodom kľúčových zákazníkov,
- problematickému zmluvnému vzťahu s partnermi.
Najčastejšie pochybenia, ktoré vedú k postihu
Nie všetky nedostatky vedú automaticky k maximálnym pokutám – dôležité je porozumieť, ktoré chyby sú najčastejšie a najnebezpečnejšie.
1. Nedostatočná analýza rizík
Mnohé organizácie podceňujú rizikové hodnotenie, neurobia audit bezpečnostných procesov alebo neidentifikujú kritické aktíva. Absentujúca metodika analýzy rizík môže znamenať, že sa organizácia nemá ako brániť voči kybernetickým hrozbám.
2. Chýbajúce bezpečnostné opatrenia
Častým problémom je absencia technickej či organizačnej ochrany, ako napríklad:
- systémy detekcie a reakcie na incidenty,
- šifrovanie citlivých údajov,
- pravidelné testovanie zraniteľností,
- audit prístupových práv.
3. Nereportovanie incidentov
Podľa NIS 2 je organizácia povinná hlásiť významný kybernetický incident do 24 hodín. Niektoré firmy si však nevytvoria jasné interné postupy a incident sa neodovzdá včas, čo vedie k sankcii.
Možnosti inšpekcie a kontroly
Dozor nad plnením NIS 2 zabezpečujú národné autority, v prípade Slovenska ide hlavne o Národný bezpečnostný úrad (NBÚ), ktorý je hlavným kontrolným orgánom.
Ako prebieha kontrola
Úrad má možnosť vykonávať:
- plánované aj neohlásené kontroly,
- žiadať dokumentáciu a podporu informačných systémov,
- vypočúvať zodpovedných zamestnancov a preskúmať interné politiky.
Neplná spolupráca s orgánmi môže tiež viesť k sekundárnym sankciám a vyššej pokute.
Odporúčania: Ako sa pripraviť a predísť sankciám
Aby ste rizikám spojeným s NIS 2 predchádzali, odporúča sa vytvoriť dlhodobú stratégiu zabezpečenia podľa metodík kybernetickej bezpečnosti.
Interné procesy, ktoré by ste mali zaviesť
- Vypracovať politiku informačnej bezpečnosti.
- Zaviesť školenia pre zamestnancov ohľadom kybernetických hrozieb a phishingu.
- Implementovať a pravidelne aktualizovať plán reakcie na incidenty.
- Viesť dokumentáciu o všetkých opatreniach a monitorovať ich udržiavanie.
Odporúčanie zapojiť externých expertov
Pre organizácie s obmedzenými kapacitami je vhodné využiť služby tzv. MSSP (Managed Security Services Providers), ktorí zabezpečia externý monitoring, preventívne skenovanie zraniteľností či reporting incidentov.
Praktické príklady a precedensy zo zahraničia
Podobné smernice už v minulosti preukázali svoju silu. V iných krajinách EÚ už boli uložené pokuty pre firmy, ktoré:
- zanedbali aktualizáciu softvéru, čo viedlo k rozsiahlemu úniku údajov,
- ignorovali odporúčania analytických auditov bezpečnostnej politiky,
- dlhodobo porušovali povinnosť hlásiť incidenty.
Príkladom môže byť nemocnica v Nemecku, ktorá čelila vážnemu útoku ransomvérom – zistilo sa, že nemala implementované ani základné zálohovanie systémov, čo vyústilo do pokuty 1,2 milióna EUR.
Záver: Prečo sa oplatí nepodceňovať NIS 2
NIS 2 nie je len ďalším byrokratickým nariadením, ale zrkadlí reálne potreby kybernetickej bezpečnosti v čase rastúcich hrozieb. Uvedomenie si rozsahu a dopadov smernice je prvým krokom. Nedodržanie NIS 2 nie je iba o pokutách — je to o strate dôvery, ohrození reputácie, strate podnikateľskej kontinuity a následnej právnej zodpovednosti.
Pokiaľ sa organizácia zodpovedne pripraví — vytvorí interné mechanizmy, bude investovať do ochrany a spolupracovať s kontrolnými orgánmi — nielen že predíde sankciám, ale strategicky ochráni svoju budúcnosť vo svete digitálnych hrozieb.