Komplexné služby pre zdravotníctvo

Nariadenie NIS 2 (Network and Information Systems Directive 2) prináša významné zmeny v oblasti kybernetickej bezpečnosti na úrovni celej Európskej únie, pričom jeho dopad sa nevyhýba ani školám a školským zariadeniam. Cieľom tejto legislatívy je zvýšiť bezpečnostnú odolnosť a pripravenosť kľúčových sektorov vrátane verejných inštitúcií. Školy ako správcovia citlivých údajov, poskytovatelia služieb a súčasť národnej infraštruktúry sa musia prispôsobiť novým pravidlám, ktoré vyžadujú vyšší štandard v oblasti riadenia kybernetickej bezpečnosti.

V tomto článku sa podrobne pozrieme na to, čo presne NIS 2 znamená pre školy a školské zariadenia, aké konkrétne opatrenia budú musieť zaviesť, ako budú prebiehať kontroly a tiež aké sú sankcie za nedodržanie nariadenia. Tento rozsiahly sprievodca vo forme často kladených otázok (FAQ) vám pomôže pochopiť, ako sa pripraviť na nové výzvy kybernetickej ochrany v školskom prostredí.

Čo je to NIS 2 a prečo bolo prijaté?

Směrnica NIS 2 je aktualizáciou pôvodnej smernice NIS z roku 2016. Jej cieľom je zosúladiť požiadavky na kybernetickú bezpečnosť medzi členskými štátmi EÚ a zabezpečiť vyššiu odolnosť kritických služieb voči kybernetickým útokom. Vzhľadom na nárast počtu incidentov a ich závažnosť bolo nevyhnutné modernizovať právne predpisy.

Zásadné zmeny v rámci NIS 2:

• Rozšírenie pôsobnosti na viac sektorov – vrátane verejnej správy, vzdelávania a výskumu.
• Povinné pravidelné hodnotenia rizík, implementácia bezpečnostných opatrení a oznamovacia povinnosť incidentov.
• Vyššie pokuty pri nedodržaní pravidiel.

Tieto zmeny neobchádzajú ani školské zariadenia – školstvo sa podľa NIS 2 považuje za súčasť digitálnej verejnej správy.

Prečo sa NIS 2 týka aj škôl a školských zariadení?

Školy sú významnými správcami digitálnych údajov – zaisťujú nielen výučbu, ale spravujú aj osobné údaje žiakov, rodičov, pedagógov, finančné informácie a často prevádzkujú digitálnu infraštruktúru na vzdialené vyučovanie.

Preto ak:

• spravujete IS pre viacero školských subjektov,
• pracujete s centrálnymi dátami žiakov alebo pedagogických pracovníkov,
• zabezpečujete e-learning, online testovanie alebo elektronický obeh dokumentov,

…môže sa vás NIS 2 priamo týkať.

Následne školy spadajú do kategórie tzv. základných subjektov, ktoré musia zaviesť primeranú úroveň kybernetickej bezpečnosti.

Aké povinnosti vyplývajú z NIS 2 pre školy?

Podľa NIS 2 majú školy a školské zariadenia tieto hlavné povinnosti:

1. Zavedenie systému riadenia kybernetického rizika

To zahŕňa identifikáciu kritických prvkov IT infraštruktúry, analýzu hrozieb a prijatie opatrení na zmiernenie rizika. Školy musia plánovať svoje reakcie na incidenty vrátane obnovy po kybernetickom napadnutí.

2. Technické a organizačné opatrenia

Konkrétne opatrenia zahŕňajú:

• segmentáciu siete, oddelenie učebných a administratívnych systémov,
• zabezpečenie aktualizácií a záplat operačných systémov a softvéru,
• zavedenie viacúrovňového overovania prístupu,
• ochranu pred malvérom a phishingom,
• šifrovanie dát a zálohovanie dát na oddelené úložiská mimo siete.

3. Vzdelávanie a zvyšovanie povedomia

Je potrebné pravidelne školiť zamestnancov o aktuálnych hrozbách, princípoch kyberhygieny a správnom používaní digitálnych nástrojov.

Aké hrozby a útoky najčastejšie ohrozujú školy?

Podľa štatistík patria školy medzi časté ciele kybernetických útočníkov, najmä vzhľadom na:

• nízku mieru investícií do IT zabezpečení,
• neinformovanosť používateľov,
• cenné údaje dostupné v systémoch – osobné údaje, materiály, hodnotenia.

Najčastejšie typy útokov:

• Phishing a spear phishing – cielené e-maily vydávajúce sa za školské orgány.
• Ransomvér – šifrovanie citlivých údajov s cieľom vymáhať výkupné.
• Úniky údajov – spôsobené slabými heslami alebo kompromitáciou účtov.
• DoS útoky – zahltenie webových stránok alebo školských portálov.

NIS 2 upozorňuje práve na tieto riziká a núti školy systematicky sa nimi zaoberať.

Aký je rozdiel medzi základným a dôležitým subjektom?

Školské zariadenia sa budú najčastejšie radiť medzi dôležité subjekty, s výnimkou centrálnych školských správ alebo IT poskytovateľov pre viacero organizácií, ktorí môžu patriť medzi základné subjekty.

Rozdiel je najmä v miere kontroly:

• Základné subjekty – pravidelné a proaktívne kontroly zo strany dozorných orgánov.
• Dôležité subjekty – kontroly sa vykonávajú prioritarne pri podozrení na porušenie alebo po incidente.

Obe skupiny však podliehajú rovnakým požiadavkám na úroveň zabezpečenia.

Kto má kontrolu a aké sú sankcie za porušenie NIS 2?

Na Slovensku bude dohľad nad implementáciou NIS 2 pravdepodobne patriť pod Národný bezpečnostný úrad (NBÚ), prípadne pod gesciu ministerstiev pre školstvo a informatizáciu.

Kontroly budú môcť zahŕňať:

• inšpekciu IT dokumentácie,
• audit bezpečnostných opatrení,
• testovanie pripravenosti na incidenty,
• výsluch zamestnancov zodpovedných za správu IS v školách.

Sankcie za nedodržanie smernice sa pohybujú do výšky 10 miliónov EUR alebo 2 % ročného obratu (platí najvyššia z týchto dvoch hodnôt). Aj keď školský sektor nie je zameraný na profit, dodržiavanie zákonov a možnosť osobného postihu zo strany zodpovedných osôb robia túto tému naliehavou.

Čo by mali školy urobiť konkretne? – Odporúčania krok po kroku

Pre orientáciu uvádzame konkrétne kroky, ktoré môžu školy podniknúť pre splnenie požiadaviek NIS 2:

1. Vyhodnotenie rizík: Odfotografujte si aktuálny stav IT infraštruktúry a identifikujte citlivé časti.
2. Vypracovanie bezpečnostných politík: Zahrňte aj povinnosti zamestnancov, spôsob prihlasovania, zálohovania a správy incidentov.
3. Vytvorenie incident response plánu: Plán reagovania na kybernetické incidenty zníži dopady.
4. Zabezpečenie infraštruktúry: Implementujte bezpečnostné opatrenia – firewall, segmentácia, antivírus.
5. Školenia a zvýšenie povedomia: Pravidelné školenia pre učiteľský i nepedagogický personál.
6. Komunikácia s tretími stranami: Uistite sa, že vaši dodávatelia (napr. IS pre žiakov) spĺňajú rovnaké požiadavky.

Záver: Príležitosť na rozvoj digitálnej bezpečnosti škôl

NIS 2 nie je len nariadením, ktoré prináša povinnosti – dáva aj impulz pre systematické zlepšenie digitálnej bezpečnosti v školách.

Ak školy správne uchopia túto zmenu ako príležitosť:

• získajú väčšiu dôveru rodičov a študentov,
• vyhnú sa sankciám,
• posilnia svoje pripravenosti na incidenty a zabezpečia kontinuitu výučby v prípade krízy.

Je načase začať – kybernetická bezpečnosť je dnes nevyhnutnou súčasťou moderného školského prostredia.

Čo znamená NIS 2 pre samosprávy? Táto otázka rezonuje medzi vedeniami miest, obcí a ďalších verejných inštitúcií naprieč Slovenskom. Smernica NIS 2 (Network and Information Security Directive 2) predstavuje revíziu pôvodnej smernice NIS z roku 2016 a kladie oveľa prísnejšie požiadavky na kybernetickú bezpečnosť subjektov, ktoré poskytujú zásadné a dôležité služby občanom. Samosprávy sa tak dostávajú do pozornosti nielen ako poskytovatelia verejných služieb, ale aj ako možné ciele kybernetických útokov.

Cieľom tejto smernice je posilniť odolnosť celej Európskej únie voči rastúcim kybernetickým hrozbám a podporiť koordináciu medzi členskými štátmi. Pre samosprávy to znamená povinnosť zaviesť nové procesy, nástroje a stratégie, aby mohli predchádzať bezpečnostným incidentom, čeliť im v reálnom čase a minimalizovať ich následky. Tento článok vám prináša odpovede na časté otázky týkajúce sa dopadu NIS 2 na mestá a obce. Získate prehľad o požiadavkách, ktoré smernica prináša, a konkrétnych krokoch, ktoré by mali samosprávy podniknúť na zabezpečenie dôslednej ochrany svojich informačných systémov a údajov občanov.

Čo je to NIS 2 a prečo bola zavedená?

NIS 2 je európska smernica o kybernetickej bezpečnosti platná od januára 2023, ktorou sa aktualizujú a rozširujú požiadavky na bezpečnosť sietí a informácií. Reaguje na rýchlo sa meniace kybernetické hrozby a technologické prostredie, ktoré si vyžaduje silnejšiu legislatívnu oporu a konkrétne opatrenia v oblasti ochrany digitálnej infraštruktúry.

Smernica NIS 2 má za cieľ zvýšiť úroveň kybernetickej ochrany v celej Európskej únii a upriamiť pozornosť nielen na kritickú infraštruktúru ako sú energetické spoločnosti alebo nemocnice, ale po novom aj na sektory ako verejná správa či regionálne samosprávy.

Prečo je NIS 2 taká dôležitá?

• Vzrastajúci počet kybernetických útokov – samosprávy sú čoraz častejším terčom ransomvérových a phishingových kampaní.
• Digitálna transformácia verejnej správy – elektronické podateľne, e-služby a cloudu využívané mestami a obcami si vyžadujú vysoký stupeň ochrany dát.
• Povinnosť harmonizácie na úrovni EÚ – členské štáty sú povinné adaptovať svoje zákony tak, aby boli v súlade s NIS 2.

Koho sa NIS 2 konkrétne týka v oblasti samospráv?

Smernica NIS 2 sprísňuje definíciu „základných a dôležitých subjektov“. Medzi tieto subjekty už nepatria len veľké priemyselné podniky alebo nemocnice. Do pôsobnosti smernice sa zaraďujú aj samosprávy, ktoré spravujú a prevádzkujú IT infraštruktúru kritickú pre poskytovanie verejných služieb.

Príklady samospráv, na ktoré sa môže vzťahovať NIS 2:

• Stredne veľké a veľké mestá poskytujúce online služby občanom (napr. vybavovanie dokladov, dane, školské systémy).
• Obce prevádzkujúce inteligentné systémy (smart city technológie ako verejné osvetlenie, parkovanie, monitorovanie).
• Miestne úrady, ktoré uchovávajú veľké objemy osobných údajov a komunikujú s inými úradmi alebo databázami štátu.

Veľký dôraz pri tejto smernici sa kladie na veľkosť a význam inštitúcie. Nie všetky malé obce budú do smernice automaticky spadať, ale ich systémy môžu byť súčasťou väčších celkov – napríklad ak využívajú spoločnú IT infraštruktúru cez zmluvného poskytovateľa alebo združenie obcí.

Aké sú hlavné povinnosti samospráv podľa NIS 2?

Pre samosprávy, ktoré spadajú pod pôsobnosť smernice NIS 2, vznikajú konkrétne a legislatívne záväzné povinnosti. Ide o súbor opatrení a riadiacich mechanizmov zameraných na zamedzenie kybernetických incidentov a ich efektívne riešenie.

Medzi hlavné povinnosti patria:

• Hodnotenie rizík: vykonanie analýzy citlivých systémov a dát, vrátane rizika napadnutia alebo zneužitia.
• Vytvorenie politiky kybernetickej bezpečnosti: dôležitý dokument definujúci kompetencie, štandardy bezpečnosti a reakcie na incidenty.
• Zabezpečenie nepretržitého dohľadu nad sieťovou a informačnou bezpečnosťou: napr. monitoring, detekcia hrozieb a logistika incidentov.
• Zavedenie opatrení na obnovu údajov a systémov: pravidelné zálohovanie, plán obnovy po incidente (disaster recovery plan).
• Školenie zamestnancov: zvyšovanie povedomia zamestnancov úradu o rizikách a pravidlách kybernetickej hygieny.
• Nahlasovanie incidentov: povinnosť oznámiť vážny kybernetický incident do 24 hodín príslušnému štátnemu orgánu – pravdepodobne Národnému bezpečnostnému úradu (NBÚ) alebo novovzniknutému koordinátorovi NIS 2.

Čo hrozí pri nedodržaní smernice?

Smernica zavádza nielen požiadavky, ale aj významné sankčné mechanizmy, ak sa subjekty nedodržaním predpisov vystavia kybernetickému riziku. To sa týka aj samospráv, ktoré môžu čeliť:

• Finančným sankciám až do výšky 10 miliónov eur alebo 2 % z ročného obratu (v závislosti od právnej formy samosprávy a výkladu zákona).
• Odpovednosti vedúcich pracovníkov: vedúci IT oddelenia alebo starosta môžu niesť osobnú zodpovednosť za zlyhania v zabezpečení.
• Reputačnému poškodeniu a strate dôvery občanov, čo môže ovplyvniť ďalšie rozvojové programy a financovanie z fondov EÚ.

Aké kroky by mala samospráva podniknúť?

Prístup samosprávy by mal byť proaktívny a systematický. Odporúča sa vytvoriť projektový tím pre implementáciu požiadaviek NIS 2, do ktorého budú zahrnutí IT špecialisti, právnici a vedenie obce alebo mesta.

Odporúčané kroky:

1. Audit súčasného stavu kybernetickej bezpečnosti – identifikácia slabých miest a chýbajúcich opatrení.
2. Vypracovanie bezpečnostnej politiky – schválenie dokumentu, ktorý definuje postupy a zodpovednosti.
3. Vzdelávanie zamestnancov – zvýšenie povedomia a odhalenie najčastejších chýb používateľov.
4. Zavedenie technických opatrení – antivírusy, firewall, šifrovanie, viacfaktorová autentifikácia.
5. Uzatvorenie spolupráce s odborníkmi – napríklad bezpečnostnými konzultantmi alebo managed service providers (MSP) pre IT správu.
6. Pravidelné testovanie reakcie na incidenty – simulácie kybernetických útokov a preverenie odozvy systémov a ľudí.

Ako sa pripraviť na monitorovanie a nahlasovanie incidentov?

NIS 2 kladie veľký dôraz na proces reporting incidentov a transparentnosť. Samospráva musí byť pripravená incident rýchlo zaznamenať, analyzovať a odoslať správu Národnému kontaktnému bodu.

Praktické tipy na vytvorenie efektívneho reporting systému:

• Definujte zodpovedné osoby a určené formy komunikácie.
• Zavádzajte bezpečnostné systémy, ktoré automaticky detegujú anomálie.
• Vypracujte šablóny na hlásenie incidentov s časovou osou a logmi.
• Zdokumentujte incidenty a využívajte ich ako súčasť analytickej prevencie.

Na koho sa obrátiť – podpora samospráv v rámci NIS 2

Samosprávy sa nemusia spoliehať len na vlastné kapacity. K dispozícii sú viaceré štátne inštitúcie, vzdelávacie programy aj technologickí partneri.

Možnosti spolupráce a podpory:

• Národný bezpečnostný úrad – metodická príprava, konzultácie, kurzy a legislatívna podpora.
• Centrum kybernetickej bezpečnosti – pomoc s vypracovaním bezpečnostnej politiky a auditmi.
• Vzdelávacie združenia a vysoké školy – organizácia kurzov a školení pre zamestnancov samosprávy.
• Komunita samospráv – výmena skúseností, spoločné zdieľanie nástrojov a technológií.

Záver a odporúčanie pre samosprávy

NIS 2 nie je len „ďalšou európskou reguláciou“. Je to nástroj, ktorý má potenciál reálne zvýšiť bezpečnosť verejného sektora a tým aj dôveru občanov voči digitálnym službám. Pre samosprávy to znamená výzvu, ale aj príležitosť vybudovať robustnejšie a odolnejšie digitálne systémy.

Odporúčame konať bezodkladne: vyhodnotiť či spadáte pod pôsobnosť smernice, začať s auditom a pripraviť plán implementácie. Kľúčom k úspechu je pravidelná kontrola, vzdelávanie a proaktívna spolupráca s odborníkmi.

Implementácia smernice NIS 2 prináša významné zmeny pre súkromný sektor na Slovensku a v celej EÚ. Táto legislatíva, ktorá nadväzuje na pôvodnú smernicu NIS (Network and Information Systems), posilňuje bezpečnostné požiadavky a rozširuje svoje pôsobenie na širšie spektrum podnikov vrátane tých zo súkromného sektora. Cieľom je zlepšiť kybernetickú odolnosť spoločností a infraštruktúr, ktoré sú kľúčové pre fungovanie hospodárstva a spoločnosti.

V praxi to znamená, že oveľa viac firiem bude musieť prijať nové bezpečnostné opatrenia, zamerať sa na prevenciu kybernetických incidentov a zlepšiť spoluprácu so štátnymi orgánmi. Tento článok formou otázok a odpovedí objasňuje, čo NIS 2 znamená pre firmy v súkromnom sektore, aké sú ich nové povinnosti, ako sa pripraviť na splnenie požiadaviek, a prečo je dôležité nezaobchádzať s kybernetickou bezpečnosťou ľahkovážne.

Čo je smernica NIS 2 a prečo je dôležitá?

Smernica NIS 2 (Directive on Security of Network and Information Systems) je nová legislatíva EÚ, ktorá nadobudla účinnosť v januári 2023 a členské štáty, vrátane Slovenska, ju musia transponovať do svojich národných právnych poriadkov do októbra 2024.

Zameriava sa na:

• zvýšenie úrovne kybernetickej bezpečnosti v EÚ,
• zlepšenie koordinácie medzi členskými štátmi,
• zvýšenie odolnosti kritickej infraštruktúry voči kybernetickým hrozbám,
• rozšírenie počtu subjektov spadajúcich pod povinnosti regulácie.

Zatiaľ čo pôvodná verzia NIS sa vzťahovala najmä na verejný sektor a kľúčových poskytovateľov infraštruktúry, NIS 2 zahrňuje aj firmy v súkromnom sektore, ktoré sú „dôležité“ alebo „zásadné“ z hľadiska ich vplyvu na spoločnosť a hospodárstvo.

Ktoré subjekty v súkromnom sektore sú ovplyvnené?

Nová smernica rozlišuje medzi dvomi typmi spoločností:

1. Zásadné subjekty (Essential entities)

Ide o firmy, ktoré poskytujú služby ako sú:

• energetika,
• doprava,
• bankovníctvo,
• zdravotníctvo,
• verejné elektronické komunikácie,
• digitálne infraštruktúry.

Pre tieto firmy platia najprísnejšie bezpečnostné požiadavky a podliehajú priamej kontrole štátu.

2. Dôležité subjekty (Important entities)

Sem patria firmy, ktoré síce nespadajú do kategórie zásadných, ale ich činnosť má dopad na hospodársku a spoločenskú stabilitu. Napríklad:

• výroba (vrátane potravinárstva),
• digitálne služby (e-commerce, cloudové služby, vyhľadávače),
• výroba zdravotníckych pomôcok,
• spracovanie vody,
• prevádzkovanie online platforiem.

Tieto subjekty musia prijímať rovnaké bezpečnostné opatrenia ako zásadné, ale podléhajú auditom len v prípade podozrenia na nedostatky.

Aké sú hlavné povinnosti podnikov podľa NIS 2?

Pre podniky zaradené medzi zásadné alebo dôležité subjekty platia nové požiadavky v oblasti bezpečnosti a riadenia rizík. Medzi ne patria:

Zavedenie opatrení na riadenie kybernetických rizík

• Analýza rizík a bezpečnostné politiky: Každá firma musí pravidelne vykonávať analýzu kybernetických hrozieb a prijímať opatrenia na ich zmiernenie.
• Incident management: Vybudovanie schopnosti reagovať na kybernetické incidenty a ich riešenie.
• Kontrola prístupov: Zavedenie pravidiel pre zabezpečenie systémov a kontrolu identít.
• Vzdelávanie zamestnancov: Pravidelné školenia a testovanie kybernetickej gramotnosti.

Povinnosť hlásiť incidenty

Firmy musia hlásiť významné bezpečnostné incidenty národnému úradu (na Slovensku Národný bezpečnostný úrad – NBÚ) v lehote 24 hodín. Počiatočné hlásenie musí byť doplnené do 72 hodín podrobnosťami a o 30 dní neskôr podrobnou správou.

Čo hrozí firmám, ktoré nerešpektujú NIS 2?

Porušenie povinností definovaných v NIS 2 môže viesť ku:

• zmluvným alebo finančným postihom – pokuty až do výšky 10 miliónov eur alebo 2% z celosvetového obratu (záleží, čo je vyššie),
• reputačnej škode – únik údajov môže poškodiť dôveru klientov,
• obmedzeniu činností – v extrémnych prípadoch môže úrad nariadiť zastavenie činností, kým sa nezabezpečí náprava.

Okrem sankcií môžu firmy čeliť súdnym sporom zo strany zákazníkov či partnerov, čo môže mať dlhodobý dopad na ich podnikanie.

Ako sa môže firma pripraviť na splnenie NIS 2?

Príprava si vyžaduje systematický prístup:

1. Identifikácia statusu firmy

Zistite, či vaša spoločnosť spadá do kategórie zásadných alebo dôležitých subjektov. Túto klasifikáciu by mal určiť štát, ale firmy majú povinnosť spolupracovať.

2. Vykonanie bezpečnostného auditu

Audítori alebo interné IT tímy by mali preveriť aktuálny stav bezpečnosti v spoločnosti, odhalia slabé miesta a navrhnú opatrenia.

3. Vypracovanie bezpečnostnej stratégie

Na báze auditu vytvorte plán kybernetickej bezpečnosti. Zahŕňa technické, procesné aj personálne opatrenia.

4. Vzdelávanie a školenia

Zamestnanci, najmä v oblasti IT a riadenia, musia prejsť školeniami o postupoch, zabezpečení a reakciách na incidenty.

5. Simulácie a testovanie

Pravidelne simulujte kybernetické útoky a incidenty, aby ste otestovali pripravenosť tímov aj systémov.

Aké benefity prináša dodržiavanie NIS 2?

Aj keď sa môže zdať, že NIS 2 prináša len nové povinnosti, v skutočnosti prináša firmám aj niekoľko významných výhod:

• Vyššia úroveň bezpečnosti: Zníženie rizika kybernetických útokov a únikov dát.
• Dôvera zákazníkov: Klienti viac dôverujú firmám, ktoré chránia ich dáta a správajú sa zodpovedne.
• Konkurenčná výhoda: Firmy pripravené na dodržiavanie regulácií majú výhodu pri verejných obstarávaniach a v medzinárodnom obchode.
• Prevencia finančných škôd: Investícia do bezpečnosti je nižšia než náklady na obnovu po incidente.

Záver: Prečo by firmy nemali NIS 2 podceniť

Smernica NIS 2 mení štandardy v oblasti kybernetickej bezpečnosti a jej implementácia nebude pre firmy fakultatívna, ale povinná. Dotkne sa tisícok subjektov aj v súkromnom sektore, bez ohľadu na odvetvie. Včasná príprava a investície do bezpečnosti sa preto môžu ukázať ako strategická výhoda. Firmy, ktoré podcenia túto smernicu, riskujú nielen vysoké pokuty, ale aj poškodenie svojho mena a dôveryhodnosti na trhu.

Súkromný sektor by mal vnímať NIS 2 nie ako prekážku, ale ako príležitosť zvýšiť odolnosť, digitalizovať bezpečnostné procesy a posilniť informačné štruktúry smerom k modernému a bezpečnému podnikaniu v digitálnom veku.

Bezpečnosť informačných systémov je v súčasnosti kľúčovou prioritou nielen pre veľké organizácie a štátne inštitúcie, ale aj pre samosprávy, obce a mestá. Smernica Európskej únie NIS 2 (Network and Information Systems Directive 2) má za cieľ zvýšiť úroveň kybernetickej bezpečnosti vo všetkých členských krajinách, a to aj na lokálnej úrovni. Obce a mestá sú čoraz častejšie cieľom kyberútokov, a preto je dôležité pripraviť sa na novú legislatívu, ktorá prináša povinnosti v oblasti ochrany kritickej infraštruktúry, správy citlivých údajov a zabezpečenia sieťových služieb.

Odpoveď na otázku, či je vaša obec pripravená na NIS 2, závisí od viacerých faktorov – od úrovne IT infraštruktúry, cez aktuálne bezpečnostné opatrenia, až po školenia zamestnancov a vytváranie interných bezpečnostných protokolov. V nasledujúcich častiach článku si podrobne vysvetlíme, čo NIS 2 obsahuje, aké kroky by mala obec podniknúť, a ako sa efektívne pripraviť, aby spĺňala nové bezpečnostné štandardy.

Čo je smernica NIS 2 a koho sa týka?

Smernica NIS 2 je pokračovaním pôvodnej smernice NIS, ktorá bola prvou celoeurópskou legislatívou v oblasti kybernetickej bezpečnosti. Cieľom NIS 2 je rozšíriť ochranu na širšie spektrum subjektov a zaviesť prísnejšie bezpečnostné a hlásovacie požiadavky.

Koho sa NIS 2 týka?

NIS 2 sa vzťahuje na tzv. základné a dôležité subjekty. Základné subjekty sú organizácie z kľúčových sektorov ako:

• energia
• vodárenstvo
• zdravotníctvo
• finančné služby
• verejná správa vrátane samospráv

Do kategórie dôležitých subjektov môžu patriť aj obce, ktoré poskytujú digitálne služby alebo spracúvajú citlivé údaje občanov.

Prečo sa týka aj obcí?

Obec ako orgán verejnej moci zodpovedá za správu osobných údajov, vydáva rozhodnutia s právnymi dôsledkami a prevádzkuje systémy, ktoré môžu byť cieľom útokov. Preto je zaradenie obcí do pôsobnosti NIS 2 logickým krokom smerujúcim k zabezpečeniu dôveryhodnosti verejného sektora.

Aké sú hlavné povinnosti podľa NIS 2?

NIS 2 výrazne sprísňuje požiadavky kladené na organizácie. Pre obce to znamená zavedenie konkrétnych opatrení na zníženie kybernetických rizík.

Zodpovednosti stanovené NIS 2:

• Riadenie rizík: Implementovanie technických a organizačných opatrení na prevenciu a reakciu na hrozby.
• Incident reporting: Povinnosť hlásiť bezpečnostné incidenty do 24 hodín od ich zistenia.
• Hodnotenie bezpečnosti: Pravidelné hodnotenie bezpečnosti systémov a služieb, ktoré obec poskytuje.
• Školenia zamestnancov: Vzdelávanie pracovníkov v otázkach kybernetickej bezpečnosti.
• Spolupráca s národným CSIRT tímom: Aktívna výmena informácií o incidentoch a hrozbách.

Nesplnenie týchto povinností môže viesť k sankciám vrátane vysokých pokút a reputačných dôsledkov.

Ako zistiť aktuálny stav vašej obce v oblasti kybernetickej bezpečnosti?

Prvým krokom k príprave na NIS 2 je hodnotenie aktuálnej úrovne kybernetickej bezpečnosti vo vašej obci. Tento audit by mal byť komplexný a mal by zahrnúť technickú aj organizačnú rovinu.

Oblasti, ktoré by mal audit zahŕňať:

• Informačné systémy: Sú v súlade s bezpečnostnými štandardmi? Sú aktualizované?
• Pracovné postupy: Obsahuje interná dokumentácia bezpečnostné protokoly a politiky?
• Zamestnanci: Sú informovaní a pravidelne školení v oblasti kybernetickej bezpečnosti?
• Zálohovanie: Existuje funkčná politika záloh a obnovy dát?
• Reakcia na incidenty: Má obec plán reakcie na kybernetický útok?

Na hodnotenie môžete využiť aj externé spoločnosti špecializujúce sa na audity kybernetickej bezpečnosti vo verejnej správe.

Praktické kroky na zvýšenie pripravenosti na NIS 2

Po vykonaní auditu nastáva fáza implementácie konkrétnych opatrení. Tieto opatrenia môžu byť technického aj organizačného charakteru.

1. Vytvorenie tímu pre kybernetickú bezpečnosť

Zriadenie interného tímu alebo zodpovednej osoby (napr. bezpečnostného manažéra), ktorá bude mať na starosti implementáciu bezpečnostných politík a dohľad nad prevádzkou systémov.

2. Aktualizácia informačných systémov

Odporúča sa pravidelne inštalovať bezpečnostné záplaty, aktualizovať softvér a zaviesť centralizovaný monitoring systémov.

3. Zavedenie politiky pre správu hesiel a oprávnení

Bezpečnostná politika by mala definovať dĺžku a komplexnosť hesiel, ich pravidelnú zmenu, ako aj oprávnenia jednotlivých používateľov podľa role.

4. Vytvorenie plánu reakcie na incidenty

Incident Response Plan definuje, ako má obec postupovať pri rôznych typoch útokov – od útokov ransomvérom po phishing alebo únik údajov.

5. Pravidelné školenia zamestnancov

Zamestnanci by mali byť školení nielen technicky, ale aj prakticky – ako rozpoznať podvodný e-mail, ako nahlásiť incident, alebo ako pracovať s citlivými informáciami.

Spolupráca s odbornými organizáciami a podpora štátu

Národné autority ako NBU (Národný bezpečnostný úrad) alebo CSIRT.SK ponúkajú metodiky, konzultácie a odporúčania pre implementáciu kybernetických opatrení. Vaša obec by mala byť s týmito organizáciami v aktívnom kontakte.

Výhody spolupráce:

• Prístup k aktuálnym hrozbám v SR a EÚ
• Podpora pri oznamovaní incidentov
• Konzultácie pri tvorbe bezpečnostných politík
• Odporúčania k auditným nástrojom

Štát a jeho zložky pripravujú aj finančné programy alebo výzvy, ktorými podporujú kybernetickú infraštruktúru obcí – odporúča sa ich sledovať a zapojiť sa.

Monitorovanie a udržiavanie súladu s NIS 2

NIS 2 nie je jednorazová aktivita – ide o dynamický proces, ktorý si vyžaduje pravidelný dohľad a prispôsobovanie sa novým hrozbám.

Odporúčané opatrenia na udržiavanie súladu:

• Polročné alebo ročné audity bezpečnosti
• Simulácie reakcií na kybernetické incidenty
• Aktualizácia interných dokumentov a politík
• Účasť na odborných konferenciách a školeniach
• Sledovanie legislatívy a metodických odporúčaní

Zabezpečiť nepretržitý súlad vyžaduje dlhodobý prístup, ktorý je riadený manažmentom obce a podporovaný rozpočtovo i personálne.

Záver: Je vaša obec pripravená?

Ak vaša obec ešte neuskutočnila bezpečnostný audit, nemá zavedené základné bezpečnostné opatrenia a jej zamestnanci nie sú školení, pravdepodobne nie je pripravená na splnenie požiadaviek NIS 2.

Naopak, ak obec systematicky:

• mapuje bezpečnostné hrozby,
• má zavedené politiky a procesy,
• a rieši kybernetickú bezpečnosť ako manažérsku prioritu,

je na dobrej ceste k dodržaniu požiadaviek smernice.

Zabezpečenie súladu s NIS 2 nie je len legislatívna povinnosť – je to aj ochrana vašich občanov, ich údajov a dôvery v miestnu samosprávu. Zodpovedná príprava obce na NIS 2 je kľúčovým predpokladom pre bezpečnú digitalizáciu verejných služieb.

Týkajú sa sankcie NIS 2 aj vedúcich funkcií v organizáciách? Áno, a to veľmi konkrétnym spôsobom. Nová legislatíva NIS 2 (Network and Information Systems Directive 2), ktorá nahrádza NIS smernicu z roku 2016, posilňuje požiadavky na kybernetickú bezpečnosť organizácií v Európskej únii. V jej rámci sú osobitne zdôraznené povinnosti vrcholového manažmentu – teda vedúcich funkcií – pri riadení rizík a zabezpečení informačných systémov. Vedúci pracovníci už viac nenesú len všeobecné zodpovednosti, ale sú priamo zaviazaní dodržiavať legislatívne povinnosti, pričom v prípade porušenia hrozia konkrétne sankcie.

V článku sa dozviete podrobnosti o tom, ako táto smernica ovplyvňuje vedúcich pracovníkov v rámci ich rozhodovacích právomocí a zodpovedností. Preberieme, aké sankcie môžu byť uplatnené, čo znamená osobná zodpovednosť manažmentu, ako sa pripraviť na nové nariadenia a čo môže organizácia urobiť pre minimalizovanie rizík. Ak pôsobíte v manažérskej funkcii alebo pripravujete svoju organizáciu na dodržiavanie NIS 2, článok vám poskytne komplexný prehľad a praktické odporúčania.

Prečo bola prijatá smernica NIS 2

Kybernetické hrozby sa neustále vyvíjajú a čoraz viac ohrozujú kritickú infraštruktúru, verejné inštitúcie, ale aj súkromné firmy. Pôvodná smernica NIS (z roku 2016) už nedokázala primerane reflektovať rastúce nároky na odolnosť digitálnych systémov.

Hlavné ciele NIS 2:

• Posilniť zabezpečenie sietí a informačných systémov v EÚ.
• Rozšíriť rozsah pôsobnosti – viac sektorov a viac typov organizácií.
• Zvýšiť osobnú zodpovednosť vedenia organizácií.
• Zaistiť jednotný prístup ku kybernetickej odolnosti naprieč členskými štátmi.

Vďaka týmto cieľom sa NIS 2 dostáva hlbšie do organizačnej štruktúry firiem a výrazne ovplyvňuje rolu vedúcich funkcií.

Kto konkrétne nesie zodpovednosť podľa NIS 2

NIS 2 definuje nové normy zodpovednosti pre tzv. „riadiacich pracovníkov“ (anglicky „management bodies“). Títo pracovníci sa v súčasnom kontexte nepovažujú len za strategických rozhodovateľov, ale aj za nositeľov právne záväzných zodpovedností.

Typické pozície zodpovedné podľa NIS 2:

• CEO (výkonný riaditeľ)
• CTO (technický riaditeľ)
• CISO (riaditeľ kybernetickej bezpečnosti)
• CFO (finančný riaditeľ), ak sa podieľa na posudzovaní rizík
• Členovia predstavenstiev a dozornej rady

Podľa smernice sú tieto osoby zodpovedné za udržanie primeranej úrovne kybernetickej bezpečnosti, schválenie bezpečnostných opatrení a finančné zabezpečenie zdrojov na ochranu systémov.

Osobná zodpovednosť a individuálne sankcie

NIS 2 zavádza niečo, čo bolo v oblasti kybernetickej bezpečnosti len málo kontrolované – priama osobná zodpovednosť vedúcich pracovníkov. V praxi to znamená, že v prípade zanedbania povinností sa môže udeliť sankcia nielen inštitúcii ako celku, ale aj konkrétnej osobe vo vedúcej funkcii.

Možné individuálne postihy:

• Správne pokuty (podobné ako GDPR – môžu dosahovať milióny EUR)
• Dočasné alebo trvalé vylúčenie z riadiacej funkcie
• Osobná zodpovednosť za ujmu spôsobenú tretím stranám

Pre majetok firmy aj jej reputáciu to znamená značné riziko strát v prípade zlyhania manažmentu pri dodržiavaní požiadaviek smernice.

Čo musia nadriadení robiť, aby sa vyhli sankciám

Vedúce pozície musia prevziať aktívnu rolu v oblasti kybernetickej bezpečnosti. Nestačí len „delegovať“ túto zodpovednosť na IT oddelenie.

Dôležité povinnosti manažmentu:

• Schválenie interných bezpečnostných politík a postupov
• Zaistenie pravidelného školenia a zvyšovania povedomia o kybernetickej bezpečnosti
• Dohľad nad vykonávaním posúdení rizík a testov odolnosti
• Zabezpečenie dostatočných finančných a ľudských zdrojov na implementáciu bezpečnostných opatrení
• Informovanie príslušných orgánov v prípade kybernetického incidentu

Vedúci pracovníci musia byť súčasťou strategického rozhodovania o bezpečnosti a musia byť schopní preukázať svoju angažovanosť v prípade auditov alebo vyšetrovania.

Komu sa smernica NIS 2 aplikuje

NIS 2 rozširuje pôsobnosť nielen na veľké organizácie, ale aj na niektoré stredne veľké firmy a organizácie pôsobiace v „kľúčových sektoroch“.

Kategórie podľa smernice:

• Základné subjekty (Essential Entities) – napr. poskytovatelia energetických služieb, dopravné spoločnosti, banky, zdravotnícke zariadenia.
• Dôležité subjekty (Important Entities) – napr. výrobcovia digitálnych technológií, poštové služby, výskumné inštitúcie.

Tieto subjekty musia identifikovať a menovať osoby zodpovedné za dodržiavanie pravidiel smernice – teda najčastejšie ľudí v top manažmente.

Dopady na organizáciu – ako pripraviť vedenie na NIS 2

Príprava začína porozumením rizikám a implementáciou náprav. Legitímna obrana pred sankciami vychádza z aktívneho prístupu a záznamu o opatreniach.

Kroky, ktoré by vedenie malo podniknúť:

1. Audit súčasnej úrovne kybernetickej bezpečnosti
2. Vytvorenie stratégie a politiky informačnej bezpečnosti
3. Vymenovanie zodpovedných osôb – ideálne v top manažmente
4. Zabezpečenie priebežného vzdelávania a školení
5. Simulácia možných incidentov a vypracovanie reakčných plánov

Dôležité je tiež, aby si sami vedúci pracovníci osvojili základy kybernetickej bezpečnosti a rozumeli dôsledkom svojho rozhodovania.

Záver: Kyberzodpovednosť nie je len technická téma

Smernica NIS 2 vťahuje vrcholový manažment do oblasti kyberbezpečnosti tak, ako nikdy predtým. Vedúce pozície nesú nielen morálnu a organizačnú, ale aj právnu zodpovednosť za pripravenosť inštitúcií na kybernetické hrozby. Navyše musí vedenie aktívne rozhodovať, alokovať zdroje a vytvárať kultúru bezpečnosti na všetkých úrovniach organizácie.

Ak sa kyberbezpečnosť nezaradí medzi strategické priority organizácie, vedenie sa vystavuje riziku nielen pokút, ale aj diskreditácie a straty dôvery stakeholderov. Práve preto by mala byť implementácia NIS 2 vnímaná ako príležitosť zlepšiť technologickú aj organizačnú odolnosť podniku.

Nariadenie NIS 2 (Network and Information Systems Directive 2) prináša významné zmeny v oblasti kybernetickej bezpečnosti na úrovni celej Európskej únie, pričom jeho dopad sa nevyhýba ani školám a školským zariadeniam. Cieľom tejto legislatívy je zvýšiť bezpečnostnú odolnosť a pripravenosť kľúčových sektorov vrátane verejných inštitúcií. Školy ako správcovia citlivých údajov, poskytovatelia služieb a súčasť národnej infraštruktúry sa musia prispôsobiť novým pravidlám, ktoré vyžadujú vyšší štandard v oblasti riadenia kybernetickej bezpečnosti.

V tomto článku sa podrobne pozrieme na to, čo presne NIS 2 znamená pre školy a školské zariadenia, aké konkrétne opatrenia budú musieť zaviesť, ako budú prebiehať kontroly a tiež aké sú sankcie za nedodržanie nariadenia. Tento rozsiahly sprievodca vo forme často kladených otázok (FAQ) vám pomôže pochopiť, ako sa pripraviť na nové výzvy kybernetickej ochrany v školskom prostredí.

Čo je to NIS 2 a prečo bolo prijaté?

Směrnica NIS 2 je aktualizáciou pôvodnej smernice NIS z roku 2016. Jej cieľom je zosúladiť požiadavky na kybernetickú bezpečnosť medzi členskými štátmi EÚ a zabezpečiť vyššiu odolnosť kritických služieb voči kybernetickým útokom. Vzhľadom na nárast počtu incidentov a ich závažnosť bolo nevyhnutné modernizovať právne predpisy.

Zásadné zmeny v rámci NIS 2:

• Rozšírenie pôsobnosti na viac sektorov – vrátane verejnej správy, vzdelávania a výskumu.
• Povinné pravidelné hodnotenia rizík, implementácia bezpečnostných opatrení a oznamovacia povinnosť incidentov.
• Vyššie pokuty pri nedodržaní pravidiel.

Tieto zmeny neobchádzajú ani školské zariadenia – školstvo sa podľa NIS 2 považuje za súčasť digitálnej verejnej správy.

Prečo sa NIS 2 týka aj škôl a školských zariadení?

Školy sú významnými správcami digitálnych údajov – zaisťujú nielen výučbu, ale spravujú aj osobné údaje žiakov, rodičov, pedagógov, finančné informácie a často prevádzkujú digitálnu infraštruktúru na vzdialené vyučovanie.

Preto ak:

• spravujete IS pre viacero školských subjektov,
• pracujete s centrálnymi dátami žiakov alebo pedagogických pracovníkov,
• zabezpečujete e-learning, online testovanie alebo elektronický obeh dokumentov,

…môže sa vás NIS 2 priamo týkať.

Následne školy spadajú do kategórie tzv. základných subjektov, ktoré musia zaviesť primeranú úroveň kybernetickej bezpečnosti.

Aké povinnosti vyplývajú z NIS 2 pre školy?

Podľa NIS 2 majú školy a školské zariadenia tieto hlavné povinnosti:

1. Zavedenie systému riadenia kybernetického rizika

To zahŕňa identifikáciu kritických prvkov IT infraštruktúry, analýzu hrozieb a prijatie opatrení na zmiernenie rizika. Školy musia plánovať svoje reakcie na incidenty vrátane obnovy po kybernetickom napadnutí.

2. Technické a organizačné opatrenia

Konkrétne opatrenia zahŕňajú:

• segmentáciu siete, oddelenie učebných a administratívnych systémov,
• zabezpečenie aktualizácií a záplat operačných systémov a softvéru,
• zavedenie viacúrovňového overovania prístupu,
• ochranu pred malvérom a phishingom,
• šifrovanie dát a zálohovanie dát na oddelené úložiská mimo siete.

3. Vzdelávanie a zvyšovanie povedomia

Je potrebné pravidelne školiť zamestnancov o aktuálnych hrozbách, princípoch kyberhygieny a správnom používaní digitálnych nástrojov.

Aké hrozby a útoky najčastejšie ohrozujú školy?

Podľa štatistík patria školy medzi časté ciele kybernetických útočníkov, najmä vzhľadom na:

• nízku mieru investícií do IT zabezpečení,
• neinformovanosť používateľov,
• cenné údaje dostupné v systémoch – osobné údaje, materiály, hodnotenia.

Najčastejšie typy útokov:

• Phishing a spear phishing – cielené e-maily vydávajúce sa za školské orgány.
• Ransomvér – šifrovanie citlivých údajov s cieľom vymáhať výkupné.
• Úniky údajov – spôsobené slabými heslami alebo kompromitáciou účtov.
• DoS útoky – zahltenie webových stránok alebo školských portálov.

NIS 2 upozorňuje práve na tieto riziká a núti školy systematicky sa nimi zaoberať.

Aký je rozdiel medzi základným a dôležitým subjektom?

Školské zariadenia sa budú najčastejšie radiť medzi dôležité subjekty, s výnimkou centrálnych školských správ alebo IT poskytovateľov pre viacero organizácií, ktorí môžu patriť medzi základné subjekty.

Rozdiel je najmä v miere kontroly:

• Základné subjekty – pravidelné a proaktívne kontroly zo strany dozorných orgánov.
• Dôležité subjekty – kontroly sa vykonávajú prioritarne pri podozrení na porušenie alebo po incidente.

Obe skupiny však podliehajú rovnakým požiadavkám na úroveň zabezpečenia.

Kto má kontrolu a aké sú sankcie za porušenie NIS 2?

Na Slovensku bude dohľad nad implementáciou NIS 2 pravdepodobne patriť pod Národný bezpečnostný úrad (NBÚ), prípadne pod gesciu ministerstiev pre školstvo a informatizáciu.

Kontroly budú môcť zahŕňať:

• inšpekciu IT dokumentácie,
• audit bezpečnostných opatrení,
• testovanie pripravenosti na incidenty,
• výsluch zamestnancov zodpovedných za správu IS v školách.

Sankcie za nedodržanie smernice sa pohybujú do výšky 10 miliónov EUR alebo 2 % ročného obratu (platí najvyššia z týchto dvoch hodnôt). Aj keď školský sektor nie je zameraný na profit, dodržiavanie zákonov a možnosť osobného postihu zo strany zodpovedných osôb robia túto tému naliehavou.

Čo by mali školy urobiť konkretne? – Odporúčania krok po kroku

Pre orientáciu uvádzame konkrétne kroky, ktoré môžu školy podniknúť pre splnenie požiadaviek NIS 2:

1. Vyhodnotenie rizík: Odfotografujte si aktuálny stav IT infraštruktúry a identifikujte citlivé časti.
2. Vypracovanie bezpečnostných politík: Zahrňte aj povinnosti zamestnancov, spôsob prihlasovania, zálohovania a správy incidentov.
3. Vytvorenie incident response plánu: Plán reagovania na kybernetické incidenty zníži dopady.
4. Zabezpečenie infraštruktúry: Implementujte bezpečnostné opatrenia – firewall, segmentácia, antivírus.
5. Školenia a zvýšenie povedomia: Pravidelné školenia pre učiteľský i nepedagogický personál.
6. Komunikácia s tretími stranami: Uistite sa, že vaši dodávatelia (napr. IS pre žiakov) spĺňajú rovnaké požiadavky.

Záver: Príležitosť na rozvoj digitálnej bezpečnosti škôl

NIS 2 nie je len nariadením, ktoré prináša povinnosti – dáva aj impulz pre systematické zlepšenie digitálnej bezpečnosti v školách.

Ak školy správne uchopia túto zmenu ako príležitosť:

• získajú väčšiu dôveru rodičov a študentov,
• vyhnú sa sankciám,
• posilnia svoje pripravenosti na incidenty a zabezpečia kontinuitu výučby v prípade krízy.

Je načase začať – kybernetická bezpečnosť je dnes nevyhnutnou súčasťou moderného školského prostredia.

Čo znamená NIS 2 pre samosprávy? Táto otázka rezonuje medzi vedeniami miest, obcí a ďalších verejných inštitúcií naprieč Slovenskom. Smernica NIS 2 (Network and Information Security Directive 2) predstavuje revíziu pôvodnej smernice NIS z roku 2016 a kladie oveľa prísnejšie požiadavky na kybernetickú bezpečnosť subjektov, ktoré poskytujú zásadné a dôležité služby občanom. Samosprávy sa tak dostávajú do pozornosti nielen ako poskytovatelia verejných služieb, ale aj ako možné ciele kybernetických útokov.

Cieľom tejto smernice je posilniť odolnosť celej Európskej únie voči rastúcim kybernetickým hrozbám a podporiť koordináciu medzi členskými štátmi. Pre samosprávy to znamená povinnosť zaviesť nové procesy, nástroje a stratégie, aby mohli predchádzať bezpečnostným incidentom, čeliť im v reálnom čase a minimalizovať ich následky. Tento článok vám prináša odpovede na časté otázky týkajúce sa dopadu NIS 2 na mestá a obce. Získate prehľad o požiadavkách, ktoré smernica prináša, a konkrétnych krokoch, ktoré by mali samosprávy podniknúť na zabezpečenie dôslednej ochrany svojich informačných systémov a údajov občanov.

Čo je to NIS 2 a prečo bola zavedená?

NIS 2 je európska smernica o kybernetickej bezpečnosti platná od januára 2023, ktorou sa aktualizujú a rozširujú požiadavky na bezpečnosť sietí a informácií. Reaguje na rýchlo sa meniace kybernetické hrozby a technologické prostredie, ktoré si vyžaduje silnejšiu legislatívnu oporu a konkrétne opatrenia v oblasti ochrany digitálnej infraštruktúry.

Smernica NIS 2 má za cieľ zvýšiť úroveň kybernetickej ochrany v celej Európskej únii a upriamiť pozornosť nielen na kritickú infraštruktúru ako sú energetické spoločnosti alebo nemocnice, ale po novom aj na sektory ako verejná správa či regionálne samosprávy.

Prečo je NIS 2 taká dôležitá?

• Vzrastajúci počet kybernetických útokov – samosprávy sú čoraz častejším terčom ransomvérových a phishingových kampaní.
• Digitálna transformácia verejnej správy – elektronické podateľne, e-služby a cloudu využívané mestami a obcami si vyžadujú vysoký stupeň ochrany dát.
• Povinnosť harmonizácie na úrovni EÚ – členské štáty sú povinné adaptovať svoje zákony tak, aby boli v súlade s NIS 2.

Koho sa NIS 2 konkrétne týka v oblasti samospráv?

Smernica NIS 2 sprísňuje definíciu „základných a dôležitých subjektov“. Medzi tieto subjekty už nepatria len veľké priemyselné podniky alebo nemocnice. Do pôsobnosti smernice sa zaraďujú aj samosprávy, ktoré spravujú a prevádzkujú IT infraštruktúru kritickú pre poskytovanie verejných služieb.

Príklady samospráv, na ktoré sa môže vzťahovať NIS 2:

• Stredne veľké a veľké mestá poskytujúce online služby občanom (napr. vybavovanie dokladov, dane, školské systémy).
• Obce prevádzkujúce inteligentné systémy (smart city technológie ako verejné osvetlenie, parkovanie, monitorovanie).
• Miestne úrady, ktoré uchovávajú veľké objemy osobných údajov a komunikujú s inými úradmi alebo databázami štátu.

Veľký dôraz pri tejto smernici sa kladie na veľkosť a význam inštitúcie. Nie všetky malé obce budú do smernice automaticky spadať, ale ich systémy môžu byť súčasťou väčších celkov – napríklad ak využívajú spoločnú IT infraštruktúru cez zmluvného poskytovateľa alebo združenie obcí.

Aké sú hlavné povinnosti samospráv podľa NIS 2?

Pre samosprávy, ktoré spadajú pod pôsobnosť smernice NIS 2, vznikajú konkrétne a legislatívne záväzné povinnosti. Ide o súbor opatrení a riadiacich mechanizmov zameraných na zamedzenie kybernetických incidentov a ich efektívne riešenie.

Medzi hlavné povinnosti patria:

• Hodnotenie rizík: vykonanie analýzy citlivých systémov a dát, vrátane rizika napadnutia alebo zneužitia.
• Vytvorenie politiky kybernetickej bezpečnosti: dôležitý dokument definujúci kompetencie, štandardy bezpečnosti a reakcie na incidenty.
• Zabezpečenie nepretržitého dohľadu nad sieťovou a informačnou bezpečnosťou: napr. monitoring, detekcia hrozieb a logistika incidentov.
• Zavedenie opatrení na obnovu údajov a systémov: pravidelné zálohovanie, plán obnovy po incidente (disaster recovery plan).
• Školenie zamestnancov: zvyšovanie povedomia zamestnancov úradu o rizikách a pravidlách kybernetickej hygieny.
• Nahlasovanie incidentov: povinnosť oznámiť vážny kybernetický incident do 24 hodín príslušnému štátnemu orgánu – pravdepodobne Národnému bezpečnostnému úradu (NBÚ) alebo novovzniknutému koordinátorovi NIS 2.

Čo hrozí pri nedodržaní smernice?

Smernica zavádza nielen požiadavky, ale aj významné sankčné mechanizmy, ak sa subjekty nedodržaním predpisov vystavia kybernetickému riziku. To sa týka aj samospráv, ktoré môžu čeliť:

• Finančným sankciám až do výšky 10 miliónov eur alebo 2 % z ročného obratu (v závislosti od právnej formy samosprávy a výkladu zákona).
• Odpovednosti vedúcich pracovníkov: vedúci IT oddelenia alebo starosta môžu niesť osobnú zodpovednosť za zlyhania v zabezpečení.
• Reputačnému poškodeniu a strate dôvery občanov, čo môže ovplyvniť ďalšie rozvojové programy a financovanie z fondov EÚ.

Aké kroky by mala samospráva podniknúť?

Prístup samosprávy by mal byť proaktívny a systematický. Odporúča sa vytvoriť projektový tím pre implementáciu požiadaviek NIS 2, do ktorého budú zahrnutí IT špecialisti, právnici a vedenie obce alebo mesta.

Odporúčané kroky:

1. Audit súčasného stavu kybernetickej bezpečnosti – identifikácia slabých miest a chýbajúcich opatrení.
2. Vypracovanie bezpečnostnej politiky – schválenie dokumentu, ktorý definuje postupy a zodpovednosti.
3. Vzdelávanie zamestnancov – zvýšenie povedomia a odhalenie najčastejších chýb používateľov.
4. Zavedenie technických opatrení – antivírusy, firewall, šifrovanie, viacfaktorová autentifikácia.
5. Uzatvorenie spolupráce s odborníkmi – napríklad bezpečnostnými konzultantmi alebo managed service providers (MSP) pre IT správu.
6. Pravidelné testovanie reakcie na incidenty – simulácie kybernetických útokov a preverenie odozvy systémov a ľudí.

Ako sa pripraviť na monitorovanie a nahlasovanie incidentov?

NIS 2 kladie veľký dôraz na proces reporting incidentov a transparentnosť. Samospráva musí byť pripravená incident rýchlo zaznamenať, analyzovať a odoslať správu Národnému kontaktnému bodu.

Praktické tipy na vytvorenie efektívneho reporting systému:

• Definujte zodpovedné osoby a určené formy komunikácie.
• Zavádzajte bezpečnostné systémy, ktoré automaticky detegujú anomálie.
• Vypracujte šablóny na hlásenie incidentov s časovou osou a logmi.
• Zdokumentujte incidenty a využívajte ich ako súčasť analytickej prevencie.

Na koho sa obrátiť – podpora samospráv v rámci NIS 2

Samosprávy sa nemusia spoliehať len na vlastné kapacity. K dispozícii sú viaceré štátne inštitúcie, vzdelávacie programy aj technologickí partneri.

Možnosti spolupráce a podpory:

• Národný bezpečnostný úrad – metodická príprava, konzultácie, kurzy a legislatívna podpora.
• Centrum kybernetickej bezpečnosti – pomoc s vypracovaním bezpečnostnej politiky a auditmi.
• Vzdelávacie združenia a vysoké školy – organizácia kurzov a školení pre zamestnancov samosprávy.
• Komunita samospráv – výmena skúseností, spoločné zdieľanie nástrojov a technológií.

Záver a odporúčanie pre samosprávy

NIS 2 nie je len „ďalšou európskou reguláciou“. Je to nástroj, ktorý má potenciál reálne zvýšiť bezpečnosť verejného sektora a tým aj dôveru občanov voči digitálnym službám. Pre samosprávy to znamená výzvu, ale aj príležitosť vybudovať robustnejšie a odolnejšie digitálne systémy.

Odporúčame konať bezodkladne: vyhodnotiť či spadáte pod pôsobnosť smernice, začať s auditom a pripraviť plán implementácie. Kľúčom k úspechu je pravidelná kontrola, vzdelávanie a proaktívna spolupráca s odborníkmi.

Implementácia smernice NIS 2 prináša významné zmeny pre súkromný sektor na Slovensku a v celej EÚ. Táto legislatíva, ktorá nadväzuje na pôvodnú smernicu NIS (Network and Information Systems), posilňuje bezpečnostné požiadavky a rozširuje svoje pôsobenie na širšie spektrum podnikov vrátane tých zo súkromného sektora. Cieľom je zlepšiť kybernetickú odolnosť spoločností a infraštruktúr, ktoré sú kľúčové pre fungovanie hospodárstva a spoločnosti.

V praxi to znamená, že oveľa viac firiem bude musieť prijať nové bezpečnostné opatrenia, zamerať sa na prevenciu kybernetických incidentov a zlepšiť spoluprácu so štátnymi orgánmi. Tento článok formou otázok a odpovedí objasňuje, čo NIS 2 znamená pre firmy v súkromnom sektore, aké sú ich nové povinnosti, ako sa pripraviť na splnenie požiadaviek, a prečo je dôležité nezaobchádzať s kybernetickou bezpečnosťou ľahkovážne.

Čo je smernica NIS 2 a prečo je dôležitá?

Smernica NIS 2 (Directive on Security of Network and Information Systems) je nová legislatíva EÚ, ktorá nadobudla účinnosť v januári 2023 a členské štáty, vrátane Slovenska, ju musia transponovať do svojich národných právnych poriadkov do októbra 2024.

Zameriava sa na:

• zvýšenie úrovne kybernetickej bezpečnosti v EÚ,
• zlepšenie koordinácie medzi členskými štátmi,
• zvýšenie odolnosti kritickej infraštruktúry voči kybernetickým hrozbám,
• rozšírenie počtu subjektov spadajúcich pod povinnosti regulácie.

Zatiaľ čo pôvodná verzia NIS sa vzťahovala najmä na verejný sektor a kľúčových poskytovateľov infraštruktúry, NIS 2 zahrňuje aj firmy v súkromnom sektore, ktoré sú „dôležité“ alebo „zásadné“ z hľadiska ich vplyvu na spoločnosť a hospodárstvo.

Ktoré subjekty v súkromnom sektore sú ovplyvnené?

Nová smernica rozlišuje medzi dvomi typmi spoločností:

1. Zásadné subjekty (Essential entities)

Ide o firmy, ktoré poskytujú služby ako sú:

• energetika,
• doprava,
• bankovníctvo,
• zdravotníctvo,
• verejné elektronické komunikácie,
• digitálne infraštruktúry.

Pre tieto firmy platia najprísnejšie bezpečnostné požiadavky a podliehajú priamej kontrole štátu.

2. Dôležité subjekty (Important entities)

Sem patria firmy, ktoré síce nespadajú do kategórie zásadných, ale ich činnosť má dopad na hospodársku a spoločenskú stabilitu. Napríklad:

• výroba (vrátane potravinárstva),
• digitálne služby (e-commerce, cloudové služby, vyhľadávače),
• výroba zdravotníckych pomôcok,
• spracovanie vody,
• prevádzkovanie online platforiem.

Tieto subjekty musia prijímať rovnaké bezpečnostné opatrenia ako zásadné, ale podléhajú auditom len v prípade podozrenia na nedostatky.

Aké sú hlavné povinnosti podnikov podľa NIS 2?

Pre podniky zaradené medzi zásadné alebo dôležité subjekty platia nové požiadavky v oblasti bezpečnosti a riadenia rizík. Medzi ne patria:

Zavedenie opatrení na riadenie kybernetických rizík

• Analýza rizík a bezpečnostné politiky: Každá firma musí pravidelne vykonávať analýzu kybernetických hrozieb a prijímať opatrenia na ich zmiernenie.
• Incident management: Vybudovanie schopnosti reagovať na kybernetické incidenty a ich riešenie.
• Kontrola prístupov: Zavedenie pravidiel pre zabezpečenie systémov a kontrolu identít.
• Vzdelávanie zamestnancov: Pravidelné školenia a testovanie kybernetickej gramotnosti.

Povinnosť hlásiť incidenty

Firmy musia hlásiť významné bezpečnostné incidenty národnému úradu (na Slovensku Národný bezpečnostný úrad – NBÚ) v lehote 24 hodín. Počiatočné hlásenie musí byť doplnené do 72 hodín podrobnosťami a o 30 dní neskôr podrobnou správou.

Čo hrozí firmám, ktoré nerešpektujú NIS 2?

Porušenie povinností definovaných v NIS 2 môže viesť ku:

• zmluvným alebo finančným postihom – pokuty až do výšky 10 miliónov eur alebo 2% z celosvetového obratu (záleží, čo je vyššie),
• reputačnej škode – únik údajov môže poškodiť dôveru klientov,
• obmedzeniu činností – v extrémnych prípadoch môže úrad nariadiť zastavenie činností, kým sa nezabezpečí náprava.

Okrem sankcií môžu firmy čeliť súdnym sporom zo strany zákazníkov či partnerov, čo môže mať dlhodobý dopad na ich podnikanie.

Ako sa môže firma pripraviť na splnenie NIS 2?

Príprava si vyžaduje systematický prístup:

1. Identifikácia statusu firmy

Zistite, či vaša spoločnosť spadá do kategórie zásadných alebo dôležitých subjektov. Túto klasifikáciu by mal určiť štát, ale firmy majú povinnosť spolupracovať.

2. Vykonanie bezpečnostného auditu

Audítori alebo interné IT tímy by mali preveriť aktuálny stav bezpečnosti v spoločnosti, odhalia slabé miesta a navrhnú opatrenia.

3. Vypracovanie bezpečnostnej stratégie

Na báze auditu vytvorte plán kybernetickej bezpečnosti. Zahŕňa technické, procesné aj personálne opatrenia.

4. Vzdelávanie a školenia

Zamestnanci, najmä v oblasti IT a riadenia, musia prejsť školeniami o postupoch, zabezpečení a reakciách na incidenty.

5. Simulácie a testovanie

Pravidelne simulujte kybernetické útoky a incidenty, aby ste otestovali pripravenosť tímov aj systémov.

Aké benefity prináša dodržiavanie NIS 2?

Aj keď sa môže zdať, že NIS 2 prináša len nové povinnosti, v skutočnosti prináša firmám aj niekoľko významných výhod:

• Vyššia úroveň bezpečnosti: Zníženie rizika kybernetických útokov a únikov dát.
• Dôvera zákazníkov: Klienti viac dôverujú firmám, ktoré chránia ich dáta a správajú sa zodpovedne.
• Konkurenčná výhoda: Firmy pripravené na dodržiavanie regulácií majú výhodu pri verejných obstarávaniach a v medzinárodnom obchode.
• Prevencia finančných škôd: Investícia do bezpečnosti je nižšia než náklady na obnovu po incidente.

Záver: Prečo by firmy nemali NIS 2 podceniť

Smernica NIS 2 mení štandardy v oblasti kybernetickej bezpečnosti a jej implementácia nebude pre firmy fakultatívna, ale povinná. Dotkne sa tisícok subjektov aj v súkromnom sektore, bez ohľadu na odvetvie. Včasná príprava a investície do bezpečnosti sa preto môžu ukázať ako strategická výhoda. Firmy, ktoré podcenia túto smernicu, riskujú nielen vysoké pokuty, ale aj poškodenie svojho mena a dôveryhodnosti na trhu.

Súkromný sektor by mal vnímať NIS 2 nie ako prekážku, ale ako príležitosť zvýšiť odolnosť, digitalizovať bezpečnostné procesy a posilniť informačné štruktúry smerom k modernému a bezpečnému podnikaniu v digitálnom veku.

Bezpečnosť informačných systémov je v súčasnosti kľúčovou prioritou nielen pre veľké organizácie a štátne inštitúcie, ale aj pre samosprávy, obce a mestá. Smernica Európskej únie NIS 2 (Network and Information Systems Directive 2) má za cieľ zvýšiť úroveň kybernetickej bezpečnosti vo všetkých členských krajinách, a to aj na lokálnej úrovni. Obce a mestá sú čoraz častejšie cieľom kyberútokov, a preto je dôležité pripraviť sa na novú legislatívu, ktorá prináša povinnosti v oblasti ochrany kritickej infraštruktúry, správy citlivých údajov a zabezpečenia sieťových služieb.

Odpoveď na otázku, či je vaša obec pripravená na NIS 2, závisí od viacerých faktorov – od úrovne IT infraštruktúry, cez aktuálne bezpečnostné opatrenia, až po školenia zamestnancov a vytváranie interných bezpečnostných protokolov. V nasledujúcich častiach článku si podrobne vysvetlíme, čo NIS 2 obsahuje, aké kroky by mala obec podniknúť, a ako sa efektívne pripraviť, aby spĺňala nové bezpečnostné štandardy.

Čo je smernica NIS 2 a koho sa týka?

Smernica NIS 2 je pokračovaním pôvodnej smernice NIS, ktorá bola prvou celoeurópskou legislatívou v oblasti kybernetickej bezpečnosti. Cieľom NIS 2 je rozšíriť ochranu na širšie spektrum subjektov a zaviesť prísnejšie bezpečnostné a hlásovacie požiadavky.

Koho sa NIS 2 týka?

NIS 2 sa vzťahuje na tzv. základné a dôležité subjekty. Základné subjekty sú organizácie z kľúčových sektorov ako:

• energia
• vodárenstvo
• zdravotníctvo
• finančné služby
• verejná správa vrátane samospráv

Do kategórie dôležitých subjektov môžu patriť aj obce, ktoré poskytujú digitálne služby alebo spracúvajú citlivé údaje občanov.

Prečo sa týka aj obcí?

Obec ako orgán verejnej moci zodpovedá za správu osobných údajov, vydáva rozhodnutia s právnymi dôsledkami a prevádzkuje systémy, ktoré môžu byť cieľom útokov. Preto je zaradenie obcí do pôsobnosti NIS 2 logickým krokom smerujúcim k zabezpečeniu dôveryhodnosti verejného sektora.

Aké sú hlavné povinnosti podľa NIS 2?

NIS 2 výrazne sprísňuje požiadavky kladené na organizácie. Pre obce to znamená zavedenie konkrétnych opatrení na zníženie kybernetických rizík.

Zodpovednosti stanovené NIS 2:

• Riadenie rizík: Implementovanie technických a organizačných opatrení na prevenciu a reakciu na hrozby.
• Incident reporting: Povinnosť hlásiť bezpečnostné incidenty do 24 hodín od ich zistenia.
• Hodnotenie bezpečnosti: Pravidelné hodnotenie bezpečnosti systémov a služieb, ktoré obec poskytuje.
• Školenia zamestnancov: Vzdelávanie pracovníkov v otázkach kybernetickej bezpečnosti.
• Spolupráca s národným CSIRT tímom: Aktívna výmena informácií o incidentoch a hrozbách.

Nesplnenie týchto povinností môže viesť k sankciám vrátane vysokých pokút a reputačných dôsledkov.

Ako zistiť aktuálny stav vašej obce v oblasti kybernetickej bezpečnosti?

Prvým krokom k príprave na NIS 2 je hodnotenie aktuálnej úrovne kybernetickej bezpečnosti vo vašej obci. Tento audit by mal byť komplexný a mal by zahrnúť technickú aj organizačnú rovinu.

Oblasti, ktoré by mal audit zahŕňať:

• Informačné systémy: Sú v súlade s bezpečnostnými štandardmi? Sú aktualizované?
• Pracovné postupy: Obsahuje interná dokumentácia bezpečnostné protokoly a politiky?
• Zamestnanci: Sú informovaní a pravidelne školení v oblasti kybernetickej bezpečnosti?
• Zálohovanie: Existuje funkčná politika záloh a obnovy dát?
• Reakcia na incidenty: Má obec plán reakcie na kybernetický útok?

Na hodnotenie môžete využiť aj externé spoločnosti špecializujúce sa na audity kybernetickej bezpečnosti vo verejnej správe.

Praktické kroky na zvýšenie pripravenosti na NIS 2

Po vykonaní auditu nastáva fáza implementácie konkrétnych opatrení. Tieto opatrenia môžu byť technického aj organizačného charakteru.

1. Vytvorenie tímu pre kybernetickú bezpečnosť

Zriadenie interného tímu alebo zodpovednej osoby (napr. bezpečnostného manažéra), ktorá bude mať na starosti implementáciu bezpečnostných politík a dohľad nad prevádzkou systémov.

2. Aktualizácia informačných systémov

Odporúča sa pravidelne inštalovať bezpečnostné záplaty, aktualizovať softvér a zaviesť centralizovaný monitoring systémov.

3. Zavedenie politiky pre správu hesiel a oprávnení

Bezpečnostná politika by mala definovať dĺžku a komplexnosť hesiel, ich pravidelnú zmenu, ako aj oprávnenia jednotlivých používateľov podľa role.

4. Vytvorenie plánu reakcie na incidenty

Incident Response Plan definuje, ako má obec postupovať pri rôznych typoch útokov – od útokov ransomvérom po phishing alebo únik údajov.

5. Pravidelné školenia zamestnancov

Zamestnanci by mali byť školení nielen technicky, ale aj prakticky – ako rozpoznať podvodný e-mail, ako nahlásiť incident, alebo ako pracovať s citlivými informáciami.

Spolupráca s odbornými organizáciami a podpora štátu

Národné autority ako NBU (Národný bezpečnostný úrad) alebo CSIRT.SK ponúkajú metodiky, konzultácie a odporúčania pre implementáciu kybernetických opatrení. Vaša obec by mala byť s týmito organizáciami v aktívnom kontakte.

Výhody spolupráce:

• Prístup k aktuálnym hrozbám v SR a EÚ
• Podpora pri oznamovaní incidentov
• Konzultácie pri tvorbe bezpečnostných politík
• Odporúčania k auditným nástrojom

Štát a jeho zložky pripravujú aj finančné programy alebo výzvy, ktorými podporujú kybernetickú infraštruktúru obcí – odporúča sa ich sledovať a zapojiť sa.

Monitorovanie a udržiavanie súladu s NIS 2

NIS 2 nie je jednorazová aktivita – ide o dynamický proces, ktorý si vyžaduje pravidelný dohľad a prispôsobovanie sa novým hrozbám.

Odporúčané opatrenia na udržiavanie súladu:

• Polročné alebo ročné audity bezpečnosti
• Simulácie reakcií na kybernetické incidenty
• Aktualizácia interných dokumentov a politík
• Účasť na odborných konferenciách a školeniach
• Sledovanie legislatívy a metodických odporúčaní

Zabezpečiť nepretržitý súlad vyžaduje dlhodobý prístup, ktorý je riadený manažmentom obce a podporovaný rozpočtovo i personálne.

Záver: Je vaša obec pripravená?

Ak vaša obec ešte neuskutočnila bezpečnostný audit, nemá zavedené základné bezpečnostné opatrenia a jej zamestnanci nie sú školení, pravdepodobne nie je pripravená na splnenie požiadaviek NIS 2.

Naopak, ak obec systematicky:

• mapuje bezpečnostné hrozby,
• má zavedené politiky a procesy,
• a rieši kybernetickú bezpečnosť ako manažérsku prioritu,

je na dobrej ceste k dodržaniu požiadaviek smernice.

Zabezpečenie súladu s NIS 2 nie je len legislatívna povinnosť – je to aj ochrana vašich občanov, ich údajov a dôvery v miestnu samosprávu. Zodpovedná príprava obce na NIS 2 je kľúčovým predpokladom pre bezpečnú digitalizáciu verejných služieb.

Týkajú sa sankcie NIS 2 aj vedúcich funkcií v organizáciách? Áno, a to veľmi konkrétnym spôsobom. Nová legislatíva NIS 2 (Network and Information Systems Directive 2), ktorá nahrádza NIS smernicu z roku 2016, posilňuje požiadavky na kybernetickú bezpečnosť organizácií v Európskej únii. V jej rámci sú osobitne zdôraznené povinnosti vrcholového manažmentu – teda vedúcich funkcií – pri riadení rizík a zabezpečení informačných systémov. Vedúci pracovníci už viac nenesú len všeobecné zodpovednosti, ale sú priamo zaviazaní dodržiavať legislatívne povinnosti, pričom v prípade porušenia hrozia konkrétne sankcie.

V článku sa dozviete podrobnosti o tom, ako táto smernica ovplyvňuje vedúcich pracovníkov v rámci ich rozhodovacích právomocí a zodpovedností. Preberieme, aké sankcie môžu byť uplatnené, čo znamená osobná zodpovednosť manažmentu, ako sa pripraviť na nové nariadenia a čo môže organizácia urobiť pre minimalizovanie rizík. Ak pôsobíte v manažérskej funkcii alebo pripravujete svoju organizáciu na dodržiavanie NIS 2, článok vám poskytne komplexný prehľad a praktické odporúčania.

Prečo bola prijatá smernica NIS 2

Kybernetické hrozby sa neustále vyvíjajú a čoraz viac ohrozujú kritickú infraštruktúru, verejné inštitúcie, ale aj súkromné firmy. Pôvodná smernica NIS (z roku 2016) už nedokázala primerane reflektovať rastúce nároky na odolnosť digitálnych systémov.

Hlavné ciele NIS 2:

• Posilniť zabezpečenie sietí a informačných systémov v EÚ.
• Rozšíriť rozsah pôsobnosti – viac sektorov a viac typov organizácií.
• Zvýšiť osobnú zodpovednosť vedenia organizácií.
• Zaistiť jednotný prístup ku kybernetickej odolnosti naprieč členskými štátmi.

Vďaka týmto cieľom sa NIS 2 dostáva hlbšie do organizačnej štruktúry firiem a výrazne ovplyvňuje rolu vedúcich funkcií.

Kto konkrétne nesie zodpovednosť podľa NIS 2

NIS 2 definuje nové normy zodpovednosti pre tzv. „riadiacich pracovníkov“ (anglicky „management bodies“). Títo pracovníci sa v súčasnom kontexte nepovažujú len za strategických rozhodovateľov, ale aj za nositeľov právne záväzných zodpovedností.

Typické pozície zodpovedné podľa NIS 2:

• CEO (výkonný riaditeľ)
• CTO (technický riaditeľ)
• CISO (riaditeľ kybernetickej bezpečnosti)
• CFO (finančný riaditeľ), ak sa podieľa na posudzovaní rizík
• Členovia predstavenstiev a dozornej rady

Podľa smernice sú tieto osoby zodpovedné za udržanie primeranej úrovne kybernetickej bezpečnosti, schválenie bezpečnostných opatrení a finančné zabezpečenie zdrojov na ochranu systémov.

Osobná zodpovednosť a individuálne sankcie

NIS 2 zavádza niečo, čo bolo v oblasti kybernetickej bezpečnosti len málo kontrolované – priama osobná zodpovednosť vedúcich pracovníkov. V praxi to znamená, že v prípade zanedbania povinností sa môže udeliť sankcia nielen inštitúcii ako celku, ale aj konkrétnej osobe vo vedúcej funkcii.

Možné individuálne postihy:

• Správne pokuty (podobné ako GDPR – môžu dosahovať milióny EUR)
• Dočasné alebo trvalé vylúčenie z riadiacej funkcie
• Osobná zodpovednosť za ujmu spôsobenú tretím stranám

Pre majetok firmy aj jej reputáciu to znamená značné riziko strát v prípade zlyhania manažmentu pri dodržiavaní požiadaviek smernice.

Čo musia nadriadení robiť, aby sa vyhli sankciám

Vedúce pozície musia prevziať aktívnu rolu v oblasti kybernetickej bezpečnosti. Nestačí len „delegovať“ túto zodpovednosť na IT oddelenie.

Dôležité povinnosti manažmentu:

• Schválenie interných bezpečnostných politík a postupov
• Zaistenie pravidelného školenia a zvyšovania povedomia o kybernetickej bezpečnosti
• Dohľad nad vykonávaním posúdení rizík a testov odolnosti
• Zabezpečenie dostatočných finančných a ľudských zdrojov na implementáciu bezpečnostných opatrení
• Informovanie príslušných orgánov v prípade kybernetického incidentu

Vedúci pracovníci musia byť súčasťou strategického rozhodovania o bezpečnosti a musia byť schopní preukázať svoju angažovanosť v prípade auditov alebo vyšetrovania.

Komu sa smernica NIS 2 aplikuje

NIS 2 rozširuje pôsobnosť nielen na veľké organizácie, ale aj na niektoré stredne veľké firmy a organizácie pôsobiace v „kľúčových sektoroch“.

Kategórie podľa smernice:

• Základné subjekty (Essential Entities) – napr. poskytovatelia energetických služieb, dopravné spoločnosti, banky, zdravotnícke zariadenia.
• Dôležité subjekty (Important Entities) – napr. výrobcovia digitálnych technológií, poštové služby, výskumné inštitúcie.

Tieto subjekty musia identifikovať a menovať osoby zodpovedné za dodržiavanie pravidiel smernice – teda najčastejšie ľudí v top manažmente.

Dopady na organizáciu – ako pripraviť vedenie na NIS 2

Príprava začína porozumením rizikám a implementáciou náprav. Legitímna obrana pred sankciami vychádza z aktívneho prístupu a záznamu o opatreniach.

Kroky, ktoré by vedenie malo podniknúť:

1. Audit súčasnej úrovne kybernetickej bezpečnosti
2. Vytvorenie stratégie a politiky informačnej bezpečnosti
3. Vymenovanie zodpovedných osôb – ideálne v top manažmente
4. Zabezpečenie priebežného vzdelávania a školení
5. Simulácia možných incidentov a vypracovanie reakčných plánov

Dôležité je tiež, aby si sami vedúci pracovníci osvojili základy kybernetickej bezpečnosti a rozumeli dôsledkom svojho rozhodovania.

Záver: Kyberzodpovednosť nie je len technická téma

Smernica NIS 2 vťahuje vrcholový manažment do oblasti kyberbezpečnosti tak, ako nikdy predtým. Vedúce pozície nesú nielen morálnu a organizačnú, ale aj právnu zodpovednosť za pripravenosť inštitúcií na kybernetické hrozby. Navyše musí vedenie aktívne rozhodovať, alokovať zdroje a vytvárať kultúru bezpečnosti na všetkých úrovniach organizácie.

Ak sa kyberbezpečnosť nezaradí medzi strategické priority organizácie, vedenie sa vystavuje riziku nielen pokút, ale aj diskreditácie a straty dôvery stakeholderov. Práve preto by mala byť implementácia NIS 2 vnímaná ako príležitosť zlepšiť technologickú aj organizačnú odolnosť podniku.