Čo znamená NIS 2 pre školy a školské zariadenia?

Nariadenie NIS 2 (Network and Information Systems Directive 2) prináša významné zmeny v oblasti kybernetickej bezpečnosti na úrovni celej Európskej únie, pričom jeho dopad sa nevyhýba ani školám a školským zariadeniam. Cieľom tejto legislatívy je zvýšiť bezpečnostnú odolnosť a pripravenosť kľúčových sektorov vrátane verejných inštitúcií. Školy ako správcovia citlivých údajov, poskytovatelia služieb a súčasť národnej infraštruktúry sa musia prispôsobiť novým pravidlám, ktoré vyžadujú vyšší štandard v oblasti riadenia kybernetickej bezpečnosti.

V tomto článku sa podrobne pozrieme na to, čo presne NIS 2 znamená pre školy a školské zariadenia, aké konkrétne opatrenia budú musieť zaviesť, ako budú prebiehať kontroly a tiež aké sú sankcie za nedodržanie nariadenia. Tento rozsiahly sprievodca vo forme často kladených otázok (FAQ) vám pomôže pochopiť, ako sa pripraviť na nové výzvy kybernetickej ochrany v školskom prostredí.

Čo je to NIS 2 a prečo bolo prijaté?

Směrnica NIS 2 je aktualizáciou pôvodnej smernice NIS z roku 2016. Jej cieľom je zosúladiť požiadavky na kybernetickú bezpečnosť medzi členskými štátmi EÚ a zabezpečiť vyššiu odolnosť kritických služieb voči kybernetickým útokom. Vzhľadom na nárast počtu incidentov a ich závažnosť bolo nevyhnutné modernizovať právne predpisy.

Zásadné zmeny v rámci NIS 2:

• Rozšírenie pôsobnosti na viac sektorov – vrátane verejnej správy, vzdelávania a výskumu.
• Povinné pravidelné hodnotenia rizík, implementácia bezpečnostných opatrení a oznamovacia povinnosť incidentov.
• Vyššie pokuty pri nedodržaní pravidiel.

Tieto zmeny neobchádzajú ani školské zariadenia – školstvo sa podľa NIS 2 považuje za súčasť digitálnej verejnej správy.

Prečo sa NIS 2 týka aj škôl a školských zariadení?

Školy sú významnými správcami digitálnych údajov – zaisťujú nielen výučbu, ale spravujú aj osobné údaje žiakov, rodičov, pedagógov, finančné informácie a často prevádzkujú digitálnu infraštruktúru na vzdialené vyučovanie.

Preto ak:

• spravujete IS pre viacero školských subjektov,
• pracujete s centrálnymi dátami žiakov alebo pedagogických pracovníkov,
• zabezpečujete e-learning, online testovanie alebo elektronický obeh dokumentov,

…môže sa vás NIS 2 priamo týkať.

Následne školy spadajú do kategórie tzv. základných subjektov, ktoré musia zaviesť primeranú úroveň kybernetickej bezpečnosti.

Aké povinnosti vyplývajú z NIS 2 pre školy?

Podľa NIS 2 majú školy a školské zariadenia tieto hlavné povinnosti:

1. Zavedenie systému riadenia kybernetického rizika

To zahŕňa identifikáciu kritických prvkov IT infraštruktúry, analýzu hrozieb a prijatie opatrení na zmiernenie rizika. Školy musia plánovať svoje reakcie na incidenty vrátane obnovy po kybernetickom napadnutí.

2. Technické a organizačné opatrenia

Konkrétne opatrenia zahŕňajú:

• segmentáciu siete, oddelenie učebných a administratívnych systémov,
• zabezpečenie aktualizácií a záplat operačných systémov a softvéru,
• zavedenie viacúrovňového overovania prístupu,
• ochranu pred malvérom a phishingom,
• šifrovanie dát a zálohovanie dát na oddelené úložiská mimo siete.

3. Vzdelávanie a zvyšovanie povedomia

Je potrebné pravidelne školiť zamestnancov o aktuálnych hrozbách, princípoch kyberhygieny a správnom používaní digitálnych nástrojov.

Aké hrozby a útoky najčastejšie ohrozujú školy?

Podľa štatistík patria školy medzi časté ciele kybernetických útočníkov, najmä vzhľadom na:

• nízku mieru investícií do IT zabezpečení,
• neinformovanosť používateľov,
• cenné údaje dostupné v systémoch – osobné údaje, materiály, hodnotenia.

Najčastejšie typy útokov:

• Phishing a spear phishing – cielené e-maily vydávajúce sa za školské orgány.
• Ransomvér – šifrovanie citlivých údajov s cieľom vymáhať výkupné.
• Úniky údajov – spôsobené slabými heslami alebo kompromitáciou účtov.
• DoS útoky – zahltenie webových stránok alebo školských portálov.

NIS 2 upozorňuje práve na tieto riziká a núti školy systematicky sa nimi zaoberať.

Aký je rozdiel medzi základným a dôležitým subjektom?

Školské zariadenia sa budú najčastejšie radiť medzi dôležité subjekty, s výnimkou centrálnych školských správ alebo IT poskytovateľov pre viacero organizácií, ktorí môžu patriť medzi základné subjekty.

Rozdiel je najmä v miere kontroly:

• Základné subjekty – pravidelné a proaktívne kontroly zo strany dozorných orgánov.
• Dôležité subjekty – kontroly sa vykonávajú prioritarne pri podozrení na porušenie alebo po incidente.

Obe skupiny však podliehajú rovnakým požiadavkám na úroveň zabezpečenia.

Kto má kontrolu a aké sú sankcie za porušenie NIS 2?

Na Slovensku bude dohľad nad implementáciou NIS 2 pravdepodobne patriť pod Národný bezpečnostný úrad (NBÚ), prípadne pod gesciu ministerstiev pre školstvo a informatizáciu.

Kontroly budú môcť zahŕňať:

• inšpekciu IT dokumentácie,
• audit bezpečnostných opatrení,
• testovanie pripravenosti na incidenty,
• výsluch zamestnancov zodpovedných za správu IS v školách.

Sankcie za nedodržanie smernice sa pohybujú do výšky 10 miliónov EUR alebo 2 % ročného obratu (platí najvyššia z týchto dvoch hodnôt). Aj keď školský sektor nie je zameraný na profit, dodržiavanie zákonov a možnosť osobného postihu zo strany zodpovedných osôb robia túto tému naliehavou.

Čo by mali školy urobiť konkretne? – Odporúčania krok po kroku

Pre orientáciu uvádzame konkrétne kroky, ktoré môžu školy podniknúť pre splnenie požiadaviek NIS 2:

1. Vyhodnotenie rizík: Odfotografujte si aktuálny stav IT infraštruktúry a identifikujte citlivé časti.
2. Vypracovanie bezpečnostných politík: Zahrňte aj povinnosti zamestnancov, spôsob prihlasovania, zálohovania a správy incidentov.
3. Vytvorenie incident response plánu: Plán reagovania na kybernetické incidenty zníži dopady.
4. Zabezpečenie infraštruktúry: Implementujte bezpečnostné opatrenia – firewall, segmentácia, antivírus.
5. Školenia a zvýšenie povedomia: Pravidelné školenia pre učiteľský i nepedagogický personál.
6. Komunikácia s tretími stranami: Uistite sa, že vaši dodávatelia (napr. IS pre žiakov) spĺňajú rovnaké požiadavky.

Záver: Príležitosť na rozvoj digitálnej bezpečnosti škôl

NIS 2 nie je len nariadením, ktoré prináša povinnosti – dáva aj impulz pre systematické zlepšenie digitálnej bezpečnosti v školách.

Ak školy správne uchopia túto zmenu ako príležitosť:

• získajú väčšiu dôveru rodičov a študentov,
• vyhnú sa sankciám,
• posilnia svoje pripravenosti na incidenty a zabezpečia kontinuitu výučby v prípade krízy.

Je načase začať – kybernetická bezpečnosť je dnes nevyhnutnou súčasťou moderného školského prostredia.