NIS 2 je smernica EÚ o kyberbezpečnosti, ktorá prináša nové a prísnejšie požiadavky na zabezpečenie kľúčových a dôležitých sektorov v členských štátoch EÚ. Jej cieľom je zvýšiť odolnosť a ochranu sietí a informačných systémov v celej Európskej únii. S jej príchodom začnú platiť nové kybernetické opatrenia pre subjekty spadajúce pod NIS 1, no aj pre tisícky nových subjektov v až 18 odvetviach, vrátane zdravotníctva, dopravy, energetiky, bankovníctva, digitálnych služieb, chemického a potravinárskeho priemyslu, poštových a kuriérskych službách, a ďalších.
Smernica NIS 2 na Slovensku
Smernica už bola transponovaná do prvého návrhu nového kybernetického zákona Slovenskej republiky a aktuálne je v medzirezortnom pripomienkovom konaní. Tento proces zahŕňa vyjadrenia a návrhy od rôznych ministerstiev, odbornej obce, ale aj širokej verejnosti, ktoré môžu ovplyvniť konečné znenie tejto legislatívy. Schválenie finálnej podoby zákona musí prebehnúť do 17. októbra 2024, čo je konečný termín stanovený Európskou úniou. Zákon začne platiť pár mesiacov po schválení, pravdepodobne už 1. januára 2025, čo poskytuje subjektom pomerne krátky čas na prípravu a implementáciu potrebných opatrení. Je preto optimálne začať s prípravou už teraz.
Čo hrozí pri nesplnení nariadení NIS 2?
Pri nedodržiavaní smernice bude platiť sankčný mechanizmus podobný tomu pri GDPR, teda administratívne pokuty. V niektorých prípadoch sa môžu pokuty vyšplhať až do výšky 10 000 000 EUR alebo 2% celkového celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia. Tento sankčný mechanizmus má slúžiť ako odstrašujúci prostriedok a motivovať subjekty k dodržiavaniu predpisov a k zlepšovaniu svojich kyberbezpečnostných opatrení.
Aké konkrétne opatrenia NIS 2 vyžaduje?
Implementácia NIS 2 smernice bude znamenať aj zvýšené nároky na monitoring a hlásenie kybernetických incidentov, zlepšenie riadenia rizík a zavedenie pravidelných auditov kyberbezpečnosti. Organizácie v súkromnom aj verejnom sektore budú musieť zaviesť potrebné opatrenia v technickej, ale aj personálnej oblasti, teda vyškoliť personál, aby dokázali čeliť stále sofistikovanejším kybernetickým hrozbám. Podrobnejší prehľad opatrení vyplývajúcich z NIS 2, ako aj návrhu kybernetického zákona od NBÚ, nájdete v tomto článku.