Všetkých 7 odvetví, ktoré spadali pod NIS 1, teda prvú smernicu kybernetickej bezpečnosti EÚ, automaticky spadajú aj pod novú smernicu NIS 2. Okrem toho sa však pridáva až ďalších 11 odvetví, ktoré doteraz museli kybernetickú bezpečnosť riešiť minimálne, ak vôbec. NIS 2 sa teda dotkne celkovo 18 odvetví rozdelených do dvoch skupín, ktoré subjekty v daných odvetviach delia na kľúčové a dôležité.
Odvetvia s kľúčovými subjektami
Medzi kľúčové subjekty (teda prevádzkovateľov kritických základných služieb) sa radia firmy, organizácie a pod., v týchto odvetviach:
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb v B2B segmente,
- verejná správa,
- vesmír,
- a zdravotníctvo.
Odvetvia s dôležitými subjektami
Medzi dôležité subjekty (teda ostatných prevádzkovateľov základných služieb) sa radia firmy, organizácie a pod., v týchto odvetviach:
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb,
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- a získavanie, výroba a distribúcia chemických látok.
Ktoré firmy/organizácie v týchto odvetviach spadajú pod NIS 2?
To, či vaša firma alebo organizácia pôsobiaca v jednom z týchto odvetví spadá pod NIS 2 tiež určuje veľkosť vašej organizácie. Nariadenia NIS 2 sa dotýkajú subjektov v týchto odvetviach, ktoré sú stredným alebo veľkým podnikom, teda majú viac ako 50 zamestnancov a/alebo ročný obrat nad 10 miliónov eur.
Existujú však aj výnimky, na ktorých sa pravidlo o veľkosti podniku nevzťahuje a pod NIS 2 spadajú bez ohľadu na veľkosť. Medzi výnimky patria napríklad poskytovatelia služieb DNS, poskytovatelia verejných elektronických komunikačných služieb a sietí, či kvalifikovaní poskytovatelia dôveryhodných služieb a registrov názvov domén najvyššej úrovne.
Aké nariadenia musia tieto firmy/organizácie splniť?
Implementácia NIS 2 vyžaduje, aby obe kategórie subjektov prijali prísne bezpečnostné opatrenia a zaviedli postupy na monitorovanie a riadenie kybernetických rizík. Nové opatrenia zahŕňajú plán na znovuobnovenia činnosti po útoku, zavedenie bezpečnostných postupov pre zamestnancov s prístupom k citlivým alebo dôležitým údajom, šifrovanie komunikácie, či ohlasovacie povinnosti. Podrobnejší prehľad opatrení NIS 2 nájdete v tomto článku.
Kedy začať s prípravou na NIS 2?
Vybrané subjekty v týchto odvetviach by mali začať implementovať nariadenia NIS 2 čím skôr. Slovensko, ako aj všetky ostatné členské štáty EÚ, musí smernicu NIS 2 zapracovať do vlastnej legislatívy. Tento proces je už v plnom prúde, keďže NBÚ zverejnila prvý návrh nového kybernetického zákona, ktorý zahŕňa aj nariadenia NIS 2 a ktorý tým prešiel do medzirezortného pripomienkového konania. Finálna verzia zákona však musí byť schválená najneskôr do 17. októbra 2024, pri čom sa predpokladá, že zákon začne platiť už 1. januára 2025.
Keďže je v celom svete a aj na Slovensku dlhodobý a výrazný nedostatok kybernetických špecialistov, odporúčame zaistiť si odborné služby s prípravou na NIS 2 čo najskôr.