NIS2 (Network and Information Systems Directive 2) je európska legislatíva, ktorá aktualizuje a nahrádza pôvodnú NIS smernicu (Network and Information Security Directive) z roku 2016. Jej cieľom je zvýšiť úroveň kybernetickej bezpečnosti v EÚ, reagovať na nové výzvy a hrozby, ktoré prináša digitalizácia a technologický pokrok. Novela nášho kybernetického zákona, ktorá prevedie NIS2 do našej legislatívy, by mala byť schválená do polovice októbra 2024.
Smernica NIS2 sa týka širokej škály subjektov v rámci členských štátov EÚ:
Subjekty zásadného významu:
Tieto subjekty pôsobia v kritických sektoroch, ako je:
- energetika
- doprava
- finančné trhy
- zdravotná starostlivosť
- vodné hospodárstvo
- digitálna infraštruktúra
- verejná správa
- vesmírny priemysel
Subjekty dôležitého významu:
Patria sem:
- poštové a kuriérske služby
- odpadové hospodárstvo
- chemický priemysel
- potravinársky priemysel
- výrobný priemysel
- výskum
NIS2 smernica obsahuje viacero dôležitých prvkov:
Rozšírený rozsah pôsobnosti:
Smernica sa vzťahuje na širšie spektrum sektorov a subjektov vrátane zdravotníctva, energetiky, dopravy, bankovníctva, digitálnej infraštruktúry, verejnej správy a mnohých ďalších. V rámci nových sektorov sú zahrnuté aj napríklad výroba liekov, chemický priemysel a vesmírne technológie.
Prísnejšie bezpečnostné požiadavky:
Subjekty musia zaviesť opatrenia na riadenie rizík a zabezpečenie informačných systémov, ktoré zahŕňajú technické a organizačné opatrenia, školenia pre zamestnancov, pravidelné testovanie bezpečnosti, a nápravné opatrenia v prípade incidentov.
Hlásenie incidentov:
Povinnosť rýchlo hlásiť významné kybernetické incidenty národným kompetentným orgánom alebo CSIRT (Computer Security Incident Response Teams). Hlásenia musia byť vykonané v špecifikovaných časových rámcoch a obsahovať konkrétne informácie o incidente.
Lepšia koordinácia a spolupráca:
Zavedenie mechanizmov na zlepšenie spolupráce a výmeny informácií medzi členskými štátmi, vrátane vytvorenia európskeho siete pre kybernetickú bezpečnosť.
Zodpovednosť a sankcie:
Smernica zavádza prísne sankcie za nedodržanie povinností, ktoré môžu zahŕňať vysoké pokuty. Subjekty musia byť schopné preukázať, že prijali všetky potrebné opatrenia na ochranu svojich informačných systémov.
Na základe významu jednotlivých subjektov musia prijať nasledujúce opatrenia:
Podporovanie aktívnej kybernetickej ochrany:
Táto činnosť zahŕňa aktívnu prevenciu, monitoring a odhaľovanie hrozieb, analýzu a zmierňovanie narušení bezpečnosti.
Riadenie kybernetických rizík:
Ide o implementáciu opatrení na identifikáciu a riadenie kybernetických rizík vrátane pravidelných bezpečnostných hodnotení.
Využívať inovatívne technológie vrátanie AI a strojového učenia:
Ich používanie má dopomôcť zlepšeniu odhaľovania a k prevencii voči kybernetických útokov
Incident management:
Je nutné zaviesť postupy na identifikáciu, reakciu a hlásenie kybernetických incidentov.
Spolupráca s národnými autoritami:
Úzko spolupracovať s národnými kompetentnými orgánmi a CSIRT, poskytovať im potrebné informácie a riadiť sa ich pokynmi.
Zabezpečenie kontinuity:
Pravidelne revidovať a zlepšovať svoje bezpečnostné opatrenia a systémy na základe najnovších hrozieb a osvedčených postupov, tak aby bola zabezpečená kontinuita výrobno-pracovného procesu. To znamená riadenie zálohovanie a obnova systémov po havárii a krízové riadenie.
Aké sú hrozby a následky nedodržania NIS2?
V prvom rade je správne uviesť, že tou najväčšou hrozbou v prípade bezpečnostného incidentu je ohrozenie chodu a dostupnosti počítačov, serverov ako aj možná strata všetkých dát. Nenávratna strata dát a škody spôsobené dlhodobým výpadkom služieb IT infraštruktúry. To je najväčšia hrozba, ktorá môže predstavovať obrovské škody a v niektorom prípade, až likvidačné škody.
Právne dôsledky:
Spoločnosti môžu čeliť právnym krokom zo strany regulátorov a môžu byť zodpovedné za škody spôsobené nedodržaním predpisov, najmä ak to vedie k bezpečnostným incidentom alebo únikom dát.
Regulačné prehliadky a audity:
Nedodržiavanie môže viesť k častejším regulačným prehliadkam a auditom, čo môže byť časovo a finančne náročné.
Zvýšené náklady na bezpečnosť:
Firmy, ktoré nedodržiavajú NIS2, môžu byť nútené investovať dodatočné prostriedky do zlepšenia svojej kybernetickej bezpečnosti, aby sa vyhli budúcim pokutám a sankciám.
Reputácia:
Nedodržiavanie kybernetických bezpečnostných noriem môže vážne poškodiť reputáciu firmy. Strata dôvery zákazníkov, partnerov a verejnosti môže mať dlhodobý negatívny vplyv na obchodné aktivity.
Prevádzkové prerušenia:
Nedostatočné zabezpečenie môže viesť k úspešným kybernetickým útokom, čo môže spôsobiť značné prevádzkové prerušenia, stratu dát a následné náklady na obnovu.
Finančné sankcie:
Firmy, ktoré nedodržiavajú požiadavky NIS2, môžu čeliť vysokým pokutám. Výška pokút môže byť stanovená na základe obratu firmy a môže dosiahnuť až niekoľko miliónov eur.
Čo na záver?
Cieľom NIS2 je zabezpečiť vyššiu odolnosť a bezpečnosť sietí a informačných systémov naprieč Európou, čím sa má dosiahnuť vyššia úroveň ochrany pre občanov a organizácie pred kybernetickými hrozbami, ako aj zaviesť štandardné hlásenie incidentov a riadenie rizík kybernetickej bezpečnosti. Hoci smernica NIS2 sa bude uplatňovať až od jesene 2024, je dôležité, aby sa na ňu spoločnosti pripravili čo najskôr. V prípade, že potrebujete pomôcť a poradiť s touto problematikou neváhajte nás kontaktovať cez náš kontaktný formulár a naši kolegovia Vám radi poradia a pomôžu.
