Nová smernica NIS2 o kybernetickej bezpečnosti sa týka približne 3 000 slovenských firiem. Patrí k nim aj váš podnik? Čo to pre vás táto smernica znamená? A ako sa môžete pripraviť zmeny, ktoré s ňou súvisia?
Legislatívne pozadie európskej smernice NIS2
Skratkou NIS2 sa označuje nová smernica Európskeho parlamentu a Rady o opatreniach k zaisteniu vysokej spoločnej úrovne kybernetickej bezpečnosti v Európskej únii. NIS2 rozširuje pôsobnosť smernice NIS1, ktorá sa vzhľadom na stále rýchlejšiu digitálnu transformáciu stala nedostatočnou.
Nová európska legislatíva stanovuje povinné zavedenie kybernetickej bezpečnosti pre štáty a organizácie v rámci Európskej únie. V jednotlivých štátoch bude NIS2 transponovaná prostredníctvom zákonov – na Slovensku je to zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti.
V minulosti sa kybernetická bezpečnosť legislatívne riešila len v organizáciách tzv. kritickej infraštruktúry, ako sú napríklad energetika, ministerstvá, bankový sektor atď. V súčasnosti sa kybernetická bezpečnosť povinne zavádza aj v ďalších typoch organizácií. Európska únia zahrnula do smernice organizácie, ktorých napadnutie by znamenalo ohrozenie ľudských životov. Do jej pôsobnosti patrí dnes preto veľké množstvo organizácií, ktoré predtým bezpečnosť vôbec neriešili.
Zdroj: istock
Požiadavky smernice musí splniť každá organizácia, ktorá poskytuje aspoň jednu službu uvedenú v prílohe smernice, a zároveň je stredným alebo veľkým podnikom – teda zamestnáva najmenej 50 zamestnancov alebo dosahuje ročný obrat aspoň 10 miliónov eur. Pri niektorých odvetviach budú pod NIS2 spadať všetky organizácie sektora bez ohľadu na ich veľkosť.
Kybernetická bezpečnosť je dôležitá. Nielen kvôli smernici
V dôsledku neustáleho nárastu kybernetických útokov, ktoré ohrozujú ekonomiku, nadobúda kybernetická bezpečnosť stále väčší význam. Útoky sú spravidla automatizované – hackeri vyhľadávajú známe, kritické zraniteľnosti a za krátky čas dokážu napadnúť stovky rôznych subjektov.
Kybernetická bezpečnosť sa preto týka každej organizácie. Požiadavky smernice by ste však nemali riešiť len kvôli tomu, že ich stanovuje vyhláška alebo že vám hrozia pokuty. Ale preto, že nebezpečenstvo útoku je reálne.
Čo sa týka samotných požiadaviek smernice NIS2, organizácie budú musieť v prvom rade vykonať podrobnú analýzu rizík, zaviesť účinný systém riadenia, predchádzať incidentom a odhaľovať ich alebo zabezpečiť kontinuitu činnosti a krízové riadenie. Na vybrané subjekty sa bude vzťahovať nová oznamovacia povinnosť, na základe ktorej budú musieť bezodkladne informovať príslušné úrady o každom závažnom incidente v oblasti kybernetickej bezpečnosti. Keďže zodpovednosť za implementáciu pravidiel budú mať štatutárne orgány, manažment by mal vopred absolvovať príslušné školenia v oblasti kybernetickej bezpečnosti.
Organizácie budú musieť povinne implementovať dvojfaktorové overovanie prístupu do systémov, do počítačov, do kritických aplikácií. Budú musieť zavádzať kryptografiu – teda šifrovanie komunikácie nielen medzi ľuďmi, ale aj medzi servermi. A budú tiež musieť zavádzať zálohovanie a bezpečnú infraštruktúru.
Ako sa pripraviť na zmeny?
Ak patríte medzi organizácie podliehajúce smernici NIS2, vzhľadom na komplexnosť požiadaviek z nej vyplývajúcich je kľúčové nájsť partnerov, ktorí sú schopní pomôcť tieto požiadavky zvládnuť. Partnerské spoločnosti vám poradia, ako kybernetickú bezpečnosť riešiť a aké technológie si zaobstarať, aby bolo riešenie aj cenovo efektívne. Spojte sa preto s integrátorom, ktorý je schopný zastrešiť jednotlivé procesy ako celok.
Zdroj: istock
Jedným z takýchto integrátorov je spoločnosť IXPERTA, ktorá poskytuje komplexné bezpečnostné riešenia vrátane zabezpečenia sietí, dvojfaktorovej autentifikácie a kryptografie, a tiež monitoringu kybernetických hrozieb.
Pripravte sa na zmeny včas
Národný bezpečnostný úrad (NBÚ), ktorý zastrešuje problematiku kybernetickej bezpečnosti na Slovensku, nemá povinnosť informovať organizácie o povinnostiach vyplývajúcich zo smernice NIS2. Sami musíte vedieť, že sa vás smernica týka a nahlásiť sa úradu. Deklarujete tým, že povinnosti beriete na vedomie a že urobíte potrebné kroky.
Ak NÚB zistí, že ste si svoje povinnosti nesplnili, hrozí vám pokuta až do výšky 10 miliónov eur alebo 2 % z celosvetového obratu firmy. Cieľom smernice však nie je udeľovať sankcie, ale pomôcť spoločnostiam s kybernetickou bezpečnosťou. Európska únia túto politiku podporuje aj prostredníctvom dotačných programov, ktoré organizáciám umožnia získať požadované technológie.
V tejto súvislosti treba mať na zreteli dôležité termíny. Oficiálne znenie smernice NIS2 bolo zverejnené 27. decembra 2022 a vstúpil do platnosti v polovici januára 2023. Od tohto dátumu začala členským štátom EÚ plynúť 21-mesačná lehota, v priebehu ktorej musia transponovať smernicu do svojich zákonov. Na Slovensku by sa mali zmeny začať uplatňovať od októbra 2024.
Z tohto dôvodu by ste mali začať implementáciu riešení NIS2 čím najskôr. Hoci samotná implementácia trvá len niekoľko dní, je potrebné venovať dostatok času kvalitnej projektovej príprave, ktorá nie je v tomto prípade finančne ani kapacitne náročná. Ak čakáte na zdroje z dotačného programu, celý proces sa môže predĺžiť.
Rovnako treba rátať s tým, že implementácia NIS2 vyžaduje čas na prípravu a tiež kapacitu všetkých zúčastnených strán. Jedným zo skúsených partnerov na oblasť kybernetickej bezpečnosti a NIS2 je technologická spoločnosť IXPERTA. Ak sa vás teda smernica NIS2 týka, rezervujte si nezáväznú konzultáciu s expertami a začnite s konkrétnymi krokmi. Čím skôr začnete kybernetickú bezpečnosť riešiť, tým budete mať väčšiu istotu, že požiadavky stihnete splniť a riešenie sa nepredraží.
Článok vznikol v spolupráci s IXPERTA.