• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Týkajú sa sankcie NIS 2 aj vedúcich funkcií v organizáciách?

Týkajú sa sankcie NIS 2 aj vedúcich funkcií v organizáciách? Áno, a to veľmi konkrétnym spôsobom. Nová legislatíva NIS 2 (Network and Information Systems Directive 2), ktorá nahrádza NIS smernicu z roku 2016, posilňuje požiadavky na kybernetickú bezpečnosť organizácií v Európskej únii. V jej rámci sú osobitne zdôraznené povinnosti vrcholového manažmentu – teda vedúcich funkcií – pri riadení rizík a zabezpečení informačných systémov. Vedúci pracovníci už viac nenesú len všeobecné zodpovednosti, ale sú priamo zaviazaní dodržiavať legislatívne povinnosti, pričom v prípade porušenia hrozia konkrétne sankcie.

V článku sa dozviete podrobnosti o tom, ako táto smernica ovplyvňuje vedúcich pracovníkov v rámci ich rozhodovacích právomocí a zodpovedností. Preberieme, aké sankcie môžu byť uplatnené, čo znamená osobná zodpovednosť manažmentu, ako sa pripraviť na nové nariadenia a čo môže organizácia urobiť pre minimalizovanie rizík. Ak pôsobíte v manažérskej funkcii alebo pripravujete svoju organizáciu na dodržiavanie NIS 2, článok vám poskytne komplexný prehľad a praktické odporúčania.

Prečo bola prijatá smernica NIS 2

Kybernetické hrozby sa neustále vyvíjajú a čoraz viac ohrozujú kritickú infraštruktúru, verejné inštitúcie, ale aj súkromné firmy. Pôvodná smernica NIS (z roku 2016) už nedokázala primerane reflektovať rastúce nároky na odolnosť digitálnych systémov.

Hlavné ciele NIS 2:

  • Posilniť zabezpečenie sietí a informačných systémov v EÚ.
  • Rozšíriť rozsah pôsobnosti – viac sektorov a viac typov organizácií.
  • Zvýšiť osobnú zodpovednosť vedenia organizácií.
  • Zaistiť jednotný prístup ku kybernetickej odolnosti naprieč členskými štátmi.

Vďaka týmto cieľom sa NIS 2 dostáva hlbšie do organizačnej štruktúry firiem a výrazne ovplyvňuje rolu vedúcich funkcií.

Kto konkrétne nesie zodpovednosť podľa NIS 2

NIS 2 definuje nové normy zodpovednosti pre tzv. „riadiacich pracovníkov“ (anglicky „management bodies“). Títo pracovníci sa v súčasnom kontexte nepovažujú len za strategických rozhodovateľov, ale aj za nositeľov právne záväzných zodpovedností.

Typické pozície zodpovedné podľa NIS 2:

  • CEO (výkonný riaditeľ)
  • CTO (technický riaditeľ)
  • CISO (riaditeľ kybernetickej bezpečnosti)
  • CFO (finančný riaditeľ), ak sa podieľa na posudzovaní rizík
  • Členovia predstavenstiev a dozornej rady

Podľa smernice sú tieto osoby zodpovedné za udržanie primeranej úrovne kybernetickej bezpečnosti, schválenie bezpečnostných opatrení a finančné zabezpečenie zdrojov na ochranu systémov.

Osobná zodpovednosť a individuálne sankcie

NIS 2 zavádza niečo, čo bolo v oblasti kybernetickej bezpečnosti len málo kontrolované – priama osobná zodpovednosť vedúcich pracovníkov. V praxi to znamená, že v prípade zanedbania povinností sa môže udeliť sankcia nielen inštitúcii ako celku, ale aj konkrétnej osobe vo vedúcej funkcii.

Možné individuálne postihy:

  • Správne pokuty (podobné ako GDPR – môžu dosahovať milióny EUR)
  • Dočasné alebo trvalé vylúčenie z riadiacej funkcie
  • Osobná zodpovednosť za ujmu spôsobenú tretím stranám

Pre majetok firmy aj jej reputáciu to znamená značné riziko strát v prípade zlyhania manažmentu pri dodržiavaní požiadaviek smernice.

Čo musia nadriadení robiť, aby sa vyhli sankciám

Vedúce pozície musia prevziať aktívnu rolu v oblasti kybernetickej bezpečnosti. Nestačí len „delegovať“ túto zodpovednosť na IT oddelenie.

Dôležité povinnosti manažmentu:

  • Schválenie interných bezpečnostných politík a postupov
  • Zaistenie pravidelného školenia a zvyšovania povedomia o kybernetickej bezpečnosti
  • Dohľad nad vykonávaním posúdení rizík a testov odolnosti
  • Zabezpečenie dostatočných finančných a ľudských zdrojov na implementáciu bezpečnostných opatrení
  • Informovanie príslušných orgánov v prípade kybernetického incidentu

Vedúci pracovníci musia byť súčasťou strategického rozhodovania o bezpečnosti a musia byť schopní preukázať svoju angažovanosť v prípade auditov alebo vyšetrovania.

Komu sa smernica NIS 2 aplikuje

NIS 2 rozširuje pôsobnosť nielen na veľké organizácie, ale aj na niektoré stredne veľké firmy a organizácie pôsobiace v „kľúčových sektoroch“.

Kategórie podľa smernice:

  • Základné subjekty (Essential Entities) – napr. poskytovatelia energetických služieb, dopravné spoločnosti, banky, zdravotnícke zariadenia.
  • Dôležité subjekty (Important Entities) – napr. výrobcovia digitálnych technológií, poštové služby, výskumné inštitúcie.

Tieto subjekty musia identifikovať a menovať osoby zodpovedné za dodržiavanie pravidiel smernice – teda najčastejšie ľudí v top manažmente.

Dopady na organizáciu – ako pripraviť vedenie na NIS 2

Príprava začína porozumením rizikám a implementáciou náprav. Legitímna obrana pred sankciami vychádza z aktívneho prístupu a záznamu o opatreniach.

Kroky, ktoré by vedenie malo podniknúť:

  1. Audit súčasnej úrovne kybernetickej bezpečnosti
  2. Vytvorenie stratégie a politiky informačnej bezpečnosti
  3. Vymenovanie zodpovedných osôb – ideálne v top manažmente
  4. Zabezpečenie priebežného vzdelávania a školení
  5. Simulácia možných incidentov a vypracovanie reakčných plánov

Dôležité je tiež, aby si sami vedúci pracovníci osvojili základy kybernetickej bezpečnosti a rozumeli dôsledkom svojho rozhodovania.

Záver: Kyberzodpovednosť nie je len technická téma

Smernica NIS 2 vťahuje vrcholový manažment do oblasti kyberbezpečnosti tak, ako nikdy predtým. Vedúce pozície nesú nielen morálnu a organizačnú, ale aj právnu zodpovednosť za pripravenosť inštitúcií na kybernetické hrozby. Navyše musí vedenie aktívne rozhodovať, alokovať zdroje a vytvárať kultúru bezpečnosti na všetkých úrovniach organizácie.

Ak sa kyberbezpečnosť nezaradí medzi strategické priority organizácie, vedenie sa vystavuje riziku nielen pokút, ale aj diskreditácie a straty dôvery stakeholderov. Práve preto by mala byť implementácia NIS 2 vnímaná ako príležitosť zlepšiť technologickú aj organizačnú odolnosť podniku.