Národný bezpečnostný úrad zverejnil návrh novely zákona o kybernetickej bezpečnosti, ktorá implementuje novú smernicu Európskej únie NIS 2. Tento návrh prináša zásadné zmeny, ktoré ovplyvnia množstvo subjektov na Slovensku. Zároveň už bol doručený do Národnej rady a čoskoro sa o ňom bude hlasovať. Pozrime sa preto na to, čo prinesie.
Rozšírenie pôsobnosti zákona
Jednou z najvýraznejších zmien je rozšírenie pôsobnosti zákona. Novela pokrýva širšie spektrum subjektov, vrátane stredných a veľkých firiem, ktoré predtým neboli priamo regulované. Kľúčovým kritériom bude sektor, v ktorom firma pôsobí, a jej veľkosť – NIS 2 sa týka najmä stredných a veľkých podnikov.
Nové kritériá pre prevádzkovateľov základných služieb
Novela mení aj definíciu prevádzkovateľov základných služieb. Títo poskytovatelia sú po novom rozdelení do dvoch kategórií: kľúčové a dôležité subjekty. Kľúčové subjekty, ako sú prevádzkovatelia kritických infraštruktúr, budú mať vyššie bezpečnostné požiadavky než dôležité subjekty. Zmeny reflektujú zvýšené hrozby, ktorým tieto firmy čelia.
Zjednodušenie pravidiel pre identifikáciu subjektov
Aby bol proces identifikácie firiem, ktoré spadajú pod nové regulácie, jasnejší, novela zavádza jednoduchšie pravidlá. Vychádza sa z dvoch už spomenutých hlavných aspektov: sektoru a veľkosti firmy, no platia aj výnimky k tomuto pravidlu. Zjednodušenie tohto procesu pomôže subjektom lepšie pochopiť, aké povinnosti sa na nich vzťahujú.
Povinnosti pre dodávateľov
Významná novinka sa týka dodávateľov. Novela zavádza nové povinnosti aj pre externých partnerov, ktorí poskytujú služby subjektom spadajúcim pod NIS 2. V minulosti sa ukázalo, že zraniteľnosti tretích strán môžu byť vstupnou bránou pre kybernetické útoky. Preto budú dodávatelia povinní dodržiavať bezpečnostné normy.
Nové mechanizmy riadenia rizík
Pôvodná klasifikácia informačných systémov je nahradená novým modelom, ktorý kladie dôraz na analýzu zraniteľností a rizík. Tento prístup umožní lepšie monitorovať bezpečnostné hrozby a promptne reagovať na potenciálne kybernetické incidenty.
Zmeny v nahlasovaní incidentov
Novela tiež upravuje procesy nahlasovania kybernetických incidentov. Subjekty budú povinné incidenty nahlasovať promptnejšie, no budú zároveň motivované nahlasovať aj menšie zraniteľnosti dobrovoľne, čo prispeje k lepšiemu prehľadu o kybernetických hrozbách.
Iné dôležité úpravy
Ďalšie zmeny zahŕňnajú…
- zvýšenie dohľadovej činnosti
- posilnenie vzdelávania o kybernetickej bezpečnosti
- zvýšenie funkcií manažérov kybernetickej bezpečnosti
- zavedenie minimálnych požiadaviek na kybernetickú hygienu pre firmy
Pripravte sa na nové pravidlá
Keďže sa nové pravidlá budú čoskoro týkať širokého spektra subjektov, je nevyhnutné, aby firmy začali promptne pripravovať svoje systémy na tieto zmeny. Kybernetická bezpečnosť sa tak stane kľúčovým prvkom pre udržanie kontinuity a bezpečnosti podnikania.