Smernica NIS 2 prináša široké spektrum nových opatrení a pravidiel. Keďže NBÚ už zverejnila prvý návrh zákona o kybernetickej bezpečnosti, niektoré nižšie uvedené body pochádzajú priamo z tohto návrhu.
Nové povinnosti v kybernetickej bezpečnosti
- Kontrola stavu bezpečnosti
- Nastavenia postupov v prípade ohrozenia
- Príprava plánu na znovuobnovenie činnosti po útoku
- Šifrovanie komunikácie
- Používanie dvojfaktorového overenia
- Ohlasovacie povinnosti (24-/48-/72-hodinová) podľa závažnosti incidentu
- Zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým alebo dôležitým údajom
- Nastavenie politík a postupov hodnotenia účinnosti bezpečnostných opatrení
- A ďalšie bezpečnostné požiadavky
Ďalšie zmeny NIS 2
- Nové definícia kritickej základnej služby a definícia prevádzkovateľa základnej služby
- Povinnosti pre dodávateľov / tretie strany
- Zmeny sankčných mechanizmov (administratívne pokuty a pokuty až do výšky 10.000.000 EUR alebo 2% ročného obratu)
- Zvýšenie dohľadovej činnosti
- Aktualizácia minimálnych požiadaviek na kybernetickú hygienu pre firmy
Koho sa týkajú nariadenia NIS 2?
Pod NIS 2 budú spadať vybrané subjekty z 18 odvetví, ako verejná správa, bankovníctvo, digitálna infraštruktúra, zdravotníctvo, potravinársky a chemický priemysel a poskytovatelia digitálnych služieb. Tieto subjekty sa podľa odvetvia delia na kľúčové a dôležité, a to, či sa na nich nariadenia NIS 2 vzťahujú záleží aj od ich veľkosti. Kompletný zoznam odvetví a úplne kritériá nájdete v tomto článku.
Kedy začať s implementáciou nariadení NIS 2?
Do 17. októbra 2024 musia všetky členské štáty EÚ zakomponovať NIS 2 do svojej legislatívy. Na Slovensku ide najmä o zákon o kybernetickej bezpečnosti, ktorého aktualizovaná verzia zahŕňajúca NIS 2 je aktuálne v medzirezortnom pripomienkovom konaní. Od momentu schválenia finálnej podoby zákona budú mať subjekty spadajúce pod NIS 2 iba niekoľko mesiacov na naplnenie požiadaviek smernice. Odporúčame preto s prípravou na NIS 2 začať čo najskôr.