• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Čo je to NIS 2?

Čo je to NIS 2? Je to rozšírená a prísnejšia smernica Európskej únie zameraná na kybernetickú bezpečnosť. Nadväzuje na pôvodnú smernicu NIS (Network and Information Systems Directive) z roku 2016 a reaguje na rastúce hrozby vo svete digitálnej bezpečnosti. S novelou prichádzajú vyššie nároky na rôzne odvetvia a poskytovateľov kľúčových služieb, ktorí sa stávajú čoraz atraktívnejším cieľom pre kybernetické útoky.

NIS 2 sa snaží zabezpečiť jednotný rámec pre zvyšovanie odolnosti proti kybernetickým útokom v celej EÚ a prehĺbiť spoluprácu medzi členskými štátmi. Význam tejto smernice výrazne narastá, pretože digitálna infraštruktúra je dnes kľúčovým pilierom fungovania ekonomiky, spoločnosti aj štátu. V tomto článku nájdete odpovede na najčastejšie otázky súvisiace s NIS 2 a zistíte, aký dopad môže mať jej implementácia na vaše podnikanie alebo organizáciu.

Čo je smernica NIS 2?

Smernica NIS 2 (Directive (EU) 2022/2555) je aktualizácia pôvodnej smernice o bezpečnosti sietí a informačných systémov (NIS), ktorú Európska únia prijala v roku 2016. Jej cieľom je posilniť úroveň kybernetickej bezpečnosti v členských štátoch EÚ a reagovať na čoraz častejšie a sofistikovanejšie kybernetické útoky, ktoré môžu mať závažné dopady na chod spoločnosti a hospodárstva.

NIS 2 výrazne rozširuje pôsobnosť pôvodnej smernice a zvyšuje požiadavky na subjekty, ktoré sú zapojené do poskytovania základných a dôležitých služieb. Dotýka sa aj sektorov, ktoré neboli zahrnuté v pôvodnej NIS smernici, ako napríklad výroba digitálnych produktov, výroba potravín či poštové služby.

Prečo vznikla nová verzia NIS smernice?

Kybernetická hrozba sa dramaticky vyvinula. Od prijatia prvej smernice NIS (2016) sa objem aj sofistikovanosť kybernetických útokov značne zvýšili:

  • Rast počtu útokov typu ransomware
  • Oslabenie dodávateľských reťazcov
  • Hybridné hrozby napojené na geopolitické konflikty

Organizácie a štáty sú čoraz viac závislé na digitálnych systémoch, a preto každé ich ohrozenie môže znamenať ekonomické straty alebo ohrozenie zdravia a bezpečnosti občanov – napríklad v oblasti zdravotníctva, energetiky či vodárenstva. NIS 2 má za cieľ zjednotiť pravidlá v EÚ a zvýšiť súčinnosť medzi členskými krajinami v prípade kybernetických incidentov.

Kto podlieha smernici NIS 2?

Jedným z najzásadnejších rozdielov oproti pôvodnej smernici je rozšírenie okruhu subjektov, na ktoré sa nová smernica vzťahuje. NIS 2 zavádza povinnosti pre dve kategórie organizácií:

1. Základné subjekty (Essential Entities)

Tieto organizácie sú považované za kritické pre fungovanie štátu a spoločnosti. Ide napríklad o:

  • Energetický sektor (napr. elektrárne, plynárne)
  • Vodárenstvo
  • Bankovníctvo a finančné trhy
  • Zdravotnícke zariadenia

2. Dôležité subjekty (Important Entities)

Aj keď nie sú nevyhnutne kritické, ich narušenie môže mať výrazný dopad. Patria sem napríklad:

  • IT a digitálne služby (napr. cloudové riešenia)
  • Výroba potravín
  • Výroba a distribúcia chemikálií
  • Poštové služby

Vo všeobecnosti platí, že smernica NIS 2 sa vzťahuje na spoločnosti s viac než 50 zamestnancami alebo s ročným obratom vyšším ako 10 miliónov eur – no sú aj výnimky pri subjektoch poskytujúcich kľúčové služby.

Aké sú hlavné povinnosti podľa NIS 2?

Organizácie zahrnuté do pôsobnosti smernice NIS 2 musia splniť rad požiadaviek. Tie sa zameriavajú najmä na prevenciu, riadenie rizík a oznamovanie incidentov:

Prevencia a riadenie kybernetických rizík

  • Zavedenie politiky riadenia kybernetickej bezpečnosti
  • Pravidelné hodnotenie rizík a zraniteľností
  • Technické opatrenia na zvýšenie bezpečnosti IT infraštruktúry

Oznamovanie bezpečnostných incidentov

  • Povinnosť nahlásiť incident do 24 hodín príslušnému orgánu
  • Spolupráca s tímami CSIRT (Computer Security Incident Response Team)

Správa a zodpovednosť

  • Poučenie a zapojenie vedenia organizácie
  • Školenia pre zamestnancov o bezpečnostných opatreniach

Aké sú sankcie za nedodržiavanie NIS 2?

Tak ako pri iných európskych legislatívach (napr. GDPR), aj pri NIS 2 sa stanovujú prísne sankcie v prípade nedodržania:

  • Pre základné subjekty môžu pokuty dosiahnuť až 10 miliónov € alebo 2 % z celosvetového obratu
  • Pre dôležité subjekty až 7 miliónov € alebo 1,4 % z obratu

Okrem toho môže byť manažment dočasne zbavený funkcie alebo môže byť organizácia zverejnená ako „rizikový subjekt“. Prípadné incidenty môžu mať tiež vplyv na reputáciu a dôveru zo strany klientov či partnerov.

Implementačný harmonogram smernice NIS 2

Aj keď bola smernica NIS 2 schválená Európskym parlamentom v roku 2022, členské štáty majú čas na jej implementáciu do národnej legislatívy:

  • Termín transpozície: do 17. októbra 2024
  • Začiatok kontrol a sankcií: od nadobudnutia účinnosti národnej legislatívy

Preto je veľmi dôležité, aby sa organizácie pripravili v dostatočnom predstihu. Prispôsobenie vnútorných procesov, bezpečnostnej politiky a školenie pracovníkov môže trvať mesiace.

Tipy na prípravu organizácie na NIS 2

Nasledujúce kroky môžu pomôcť organizáciám efektívne sa pripraviť na dodržiavanie nových právnych požiadaviek:

  • Audit súčasného stavu kybernetickej bezpečnosti
  • Identifikácia kritických aktív a procesov
  • Vypracovanie a aktualizácia bezpečnostnej stratégie
  • Školenie zamestnancov o základných bezpečnostných zručnostiach
  • Stanovenie postupu na nahlasovanie incidentov
  • Komunikácia s dodávateľmi a partnerstvami o ich úrovni bezpečnosti

Ideálnym riešením je vytvorenie špecializovaného tímu alebo vymenovanie zodpovednej osoby (CISO), ktorá bude koordinovať všetky aktivity súvisiace s kybernetickou bezpečnosťou.

Záver a odporúčania

Smernica NIS 2 prináša zásadné zmeny v oblasti noriem kybernetickej bezpečnosti v EÚ. Očakáva sa, že jej implementácia zvýši odolnosť organizácií voči hrozbám, posilní dôveru verejnosti v digitálne riešenia a zlepší koordináciu medzi štátmi.

Organizácie by nemali čakať na poslednú chvíľu. Príprava podniku na NIS 2 by mala byť strategickou prioritou už dnes. Ak patríte medzi tých, ktorých sa smernica týka, začnite konať – vykonajte bezpečnostný audit, zapojte vedenie a vypracujte plán súladu.

Správne implementovaná NIS 2 nie je len o splnení povinnosti, ale je predovšetkým investíciou do lepšej, bezpečnejšej a odolnejšej budúcnosti vášho podniku.