Európska smernica NIS2 prináša sprísnené pravidlá kybernetickej bezpečnosti a nové povinnosti pre mnohé organizácie. Ak vaša spoločnosť patrí medzi subjekty, na ktoré sa táto regulácia vzťahuje, musíte sa zaregistrovať. Ignorovanie tejto povinnosti môže viesť k pokutám až do výšky 500 000 eur. V tomto článku sa pozrieme na to, kto musí registráciu vykonať, aký je proces registrácie a aké dôsledky hrozia pri jej zanedbaní.
Ktoré organizácie spadajú pod NIS2?
Nie všetky spoločnosti musia podstúpiť registráciu, preto je dôležité zistiť, či sa vás povinnosť týka. Smernica NIS2 sa vzťahuje na podniky pôsobiace v strategických odvetviach, ako sú energetika, doprava, bankovníctvo, zdravotníctvo, IT služby či verejná správa. Hlavným kritériom je veľkosť organizácie – registráciu musia vykonať stredné a veľké podniky s viac ako 50 zamestnancami alebo ročným obratom nad 10 miliónov eur. Niektoré subjekty, ako poskytovatelia internetových a telekomunikačných služieb, však podliehajú regulácii bez ohľadu na svoju veľkosť. Je preto nevyhnutné, aby ste sa informovali o všetkých podmienkach na stránke Národného bezpečnostného úradu (NBÚ).
Ako prebieha registrácia?
Proces registrácie je jednoduchý a prebieha elektronicky prostredníctvom portálu NBÚ. Deadline je 60 dní odo dňa, keď subjekt začal vykonávať akúkoľvek činnosť, ktorá spadá pod danú reguláciu. Organizácia musí vyplniť formulár a uviesť požadované údaje o svojej činnosti. Po spracovaní žiadosti NBÚ subjekt oficiálne zapíše do registra a bezokladne mu odošle potvrdenie.
Aké sankcie hrozia pri nesplnení povinnosti?
Ak sa organizácia nezaregistruje v stanovenom termíne, hrozí jej pokuta od 300 do 500 000 eur. Okrem toho môžu byť uložené aj ďalšie sankcie za neplnenie požiadaviek smernice. V extrémnych prípadoch môže byť pokuta až 10 miliónov eur alebo 2 % z celkového obratu organizácie.
Čo robiť po registrácii?
Registráciou povinnosti nekončia. Organizácie musia zabezpečiť súlad s bezpečnostnými opatreniami, vykonávať audity a hlásiť kybernetické incidenty. Subjekty, ktoré už predtým podliehali regulácii podľa starších predpisov, majú na implementáciu nových pravidiel prechodné obdobie do konca roka 2026. Všeobecne však platí že do dvoch rokov od zápisu do registra je potrebné vykonať bezpečnostný audit.
Ako sa pripraviť na splnenie požiadaviek?
NIS2 obsahuje veľa nových požiadaviek a kladie dôraz najmä na pravidelné testovanie systémov, školenie zamestnancov o kybernetických hrozbách, zavedenie efektívnych postupov na riešenie incidentov a hlásenie incidentov. Organizácie by mali taktiež pravidelne kontrolovať svoju IT infraštruktúru a zabezpečiť, že spĺňajú všetky požiadavky zákona, čím predídu možným sankciám a kybernetickým útokom.
Ak vaša organizácia spadá pod NIS2, neodkladajte registráciu. Vyhnete sa tak vysokým pokutám a zároveň zabezpečíte ochranu vašich digitálnych systémov pred kybernetickými hrozbami. Dodržiavanie pravidiel nie je len legislatívna povinnosť, ale aj krok k vyššej odolnosti voči útokom.