Od 17. októbra 2024 nadobúda platnosť európska smernica NIS 2, ktorá prináša zásadné zmeny v oblasti kybernetickej bezpečnosti pre veľké množstvo spoločností na Slovensku. Týka sa to nielen verejného sektora, ale aj súkromných firiem, ktoré sa musia pripraviť na nové požiadavky. Slovensko má povinnosť začleniť túto smernicu do svojich zákonov, čo znamená, že spoločnosti budú mať nové povinnosti týkajúce sa ochrany ich infraštruktúr, systémov a údajov.
Ktoré odvetvia sa týkajú NIS 2?
Pod smernicu NIS 2 spadajú dve hlavné kategórie subjektov – prevádzkovatelia kritických základných služieb a ostatní prevádzkovatelia základných služieb. Spolu ide o 18 sektorov, ktoré sú kľúčové pre správne fungovanie spoločnosti a ekonomiky.
Prevádzkovatelia kritických základných služieb
Túto kategóriu tvoria subjekty, ktorých služby sú považované za kľúčové pre fungovanie krajiny. Ide o nasledujúce odvetvia:
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb v B2B segmente,
- verejná správa,
- vesmír,
- zdravotníctvo.
Ostatní prevádzkovatelia základných služieb
Do tejto skupiny patria odvetvia, ktoré tiež zohrávajú dôležitú úlohu, no ich význam je mierne nižší v porovnaní s kritickými službami. Patria sem:
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb,
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- získavanie, výroba a distribúcia chemických látok.
Výnimky z hľadiska veľkosti spoločnosti
Smernica NIS 2 sa zameriava predovšetkým na stredné a veľké podniky, teda spoločnosti s viac ako 50 zamestnancami alebo ročným obratom nad 10 miliónov eur. Avšak v niektorých prípadoch budú nariadenia platiť aj pre menšie firmy. Tieto výnimky sa týkajú najmä poskytovateľov elektronických komunikačných služieb a sietí. V prípade týchto odvetví budú povinnosti NIS 2 platné pre všetky subjekty bez ohľadu na ich veľkosť. Všetky výnimky budú jasne definované v národnej legislatíve.
Kľúčové opatrenia, ktoré NIS 2 prináša
Jedným z hlavných cieľov smernice NIS 2 je zvýšiť úroveň kybernetickej bezpečnosti v rámci Európskej únie. Firmy budú musieť zaviesť viacero opatrení, ako napríklad pravidelné bezpečnostné audity, šifrovanie komunikácie a dvojfaktorovú autentifikáciu. Okrem toho bude dôležité pripraviť sa na prípadné incidenty a zaviesť plány na obnovenie prevádzky po kybernetických útokoch.
Nové povinnosti pri hlásení incidentov
Zásadnou zmenou bude aj povinnosť rýchleho nahlasovania kybernetických incidentov. Firmy budú musieť hlásiť udalosti do 24, 48 alebo 72 hodín od ich zistenia, v závislosti od závažnosti incidentu. Okrem povinného hlásenia incidentov budú spoločnosti motivované nahlasovať aj dobrovoľne prípadné zraniteľnosti systémov.
Ako sa pripraviť na NIS 2?
Firmy by sa mali začať pripravovať už teraz, keďže na implementáciu nových opatrení budú mať po účinnosti smernice len niekoľko mesiacov. Prvým krokom je posúdenie, či sa na firmu NIS 2 vzťahuje. Ďalej by mali zvážiť, či implementáciu nových opatrení zvládnu interné IT oddelenia, alebo bude potrebné najať odborníka. Na Slovensku je však nedostatok špecialistov na kybernetickú bezpečnosť, čo môže výrazne ovplyvniť dostupnosť odborných konzultácií.