NIS2

Termín registrácie na Národnom bezpečnostnom úrade (NBÚ) podľa Zákona o kybernetickej bezpečnosti uplynul minulý týždeň. Z približne 5 000 subjektov, ktoré mali povinnosť prihlásiť sa ako prevádzkovatelia základnej služby, tak urobila len približne jedna tretina. Táto informácia vychádza z aktuálneho Registra prevádzkovateľov základnej služby v rámci Jednotného informačného systému kybernetickej bezpečnosti NBÚ. Slabá informačná kampaň regulátora nezvýšila všeobecnú znalosť problematiky a zároveň odhalila kritický nedostatok manažérov kybernetickej bezpečnosti (MKB) – na celom Slovensku ich aktuálne pôsobí len okolo 200.

V dôsledku tohto stavu došlo k nárastu nekalých praktík zo strany subjektov, ktoré pod zámienkou pomoci ponúkajú pochybné služby. Mnohí podnikatelia sú tak v tieto dni vystavení nielen neistote, ale aj riziku pokút až do výšky 500 000 EUR.

Komora manažérov kybernetickej bezpečnosti (KMKB) upozorňuje na vážnosť situácie a ponúka riešenie.

„Firmy sa ocitli pod tlakom, pričom im chýba jasná metodická podpora. KMKB združuje viac ako 80 percent certifikovaných MKB, ktorí sú pripravení poskytnúť odborné služby v súlade s NIS2,“ uvádza Igor Straka, predseda komory.

KMKB poskytuje transparentnú a profesionálnu asistenciu, vrátane odborného poradenstva a prístupu k bezplatnému dokumentačnému setu NIS2 v hodnote 55 000 EUR. Cieľom je zabezpečiť súlad s legislatívou a eliminovať priestor pre nekalé praktiky.

Regulačné povinnosti sú už účinné a ich nedodržanie môže viesť k sankciám. Subjekty, ktoré si ešte nevybrali spoľahlivého partnera, môžu využiť služby KMKB.

Od 1. januára 2025 platí novela zákona o kybernetickej bezpečnosti, ktorý zásadným spôsobom ovplyvní fungovanie firiem a organizácií. Podľa tejto novely môžete spadať medzi subjekty s najvyššou úrovňou kritickosti práve Vy.

Národný bezpečnostný úrad (NBÚ) sprísňuje sankcie a očakáva prvé povinné oznámenia o závažných kybernetických bezpečnostných incidentoch. Viete, aké informácie musí obsahovať hlásenie a v akej lehote ste povinní predložiť podrobnú správu od momentu zaznamenania kybernetickej hrozby? A aký je správny postup pri nahlasovaní kybernetických útokov v súlade s novou legislatívou? Čítajte ďalej.

Smernica NIS2 (Directive (EU) 2022/2555) predstavuje aktualizovaný rámec Európskej únie pre kybernetickú bezpečnosť, ktorý nahrádza pôvodnú smernicu NIS z roku 2016. Jej cieľom je posilniť a harmonizovať úroveň kybernetickej bezpečnosti naprieč členskými štátmi EÚ, pričom rozširuje rozsah pôsobnosti na viac odvetví a zavádza prísnejšie požiadavky na riadenie rizík a oznamovanie incidentov. 

Rozšírený rozsah pôsobnosti

Smernica NIS2 rozširuje pôsobnosť na 15 sektorov, čím zvyšuje počet organizácií, ktoré musia dodržiavať jednotné bezpečnostné štandardy. Medzi tieto sektory patria:​

• Energetika: Zahŕňa subjekty pôsobiace v oblasti elektriny, ropy a plynu.​

• Doprava: Vrátane leteckej, železničnej, vodnej a cestnej dopravy.​

• Bankovníctvo: Finančné inštitúcie poskytujúce bankové služby.​

• Finančné trhy: Subjekty pôsobiace na finančných trhoch.​

• Zdravotníctvo: Nemocnice, zdravotnícke zariadenia a ďalšie subjekty poskytujúce zdravotnú starostlivosť.​

• Zásobovanie a distribúcia vody: Subjekty zabezpečujúce dodávku a distribúciu pitnej vody.​

• Digitálna infraštruktúra: Vrátane poskytovateľov služieb výmeny internetového pripojenia, registrov domén najvyššej úrovne a poskytovateľov cloud computingu.​

• Verejná správa: Orgány verejnej správy na centrálnej aj regionálnej úrovni.​

• Poštové a kuriérske služby: Subjekty poskytujúce poštové a kuriérske služby.​

• Odpadové hospodárstvo: Subjekty zaoberajúce sa zberom, spracovaním a likvidáciou odpadu.​

• Vesmír: Subjekty pôsobiace v oblasti vesmírnych technológií a služieb.​

• Potravinárstvo: Výroba, spracovanie a distribúcia potravín.​

• Výroba: Subjekty zaoberajúce sa výrobou rôznych produktov.​

• Chemický priemysel: Získavanie, výroba a distribúcia chemických látok.​

• Výskum: Subjekty zaoberajúce sa výskumom a vývojom.​

Kľúčové požiadavky smernice NIS2

Smernica NIS2 zavádza niekoľko zásadných opatrení na zvýšenie kybernetickej bezpečnosti:​

• Riadenie rizík: Organizácie sú povinné implementovať primerané technické a organizačné opatrenia na riadenie kybernetických rizík. To zahŕňa pravidelné hodnotenie rizík, zavedenie bezpečnostných politík a zabezpečenie kontinuity prevádzky. ​

• Oznamovanie incidentov: Subjekty musia nahlasovať významné kybernetické incidenty príslušným národným orgánom. Tento proces zahŕňa včasné oznamovanie a následné poskytovanie podrobných správ o incidente a prijatých opatreniach. ​

• Dohľad a presadzovanie: Členské štáty sú povinné ustanoviť národné orgány zodpovedné za dohľad nad dodržiavaním smernice NIS2 a za prijímanie opatrení v prípade nedodržania povinností. ​

Implementácia smernice na Slovensku

Slovenská republika transponovala smernicu NIS2 do národnej legislatívy prostredníctvom novely Zákona o kybernetickej bezpečnosti (zákon č. 69/2018 Z.z.), ktorá nadobudla účinnosť 1. januára 2025. Tento zákon stanovuje práva a povinnosti pre subjekty pôsobiace v kritických sektoroch a zavádza mechanizmy na zabezpečenie vysokej úrovne kybernetickej bezpečnosti. ​

Odporúčania pre organizácie

Pre zabezpečenie súladu so smernicou NIS2 a národnou legislatívou by organizácie mali:

• Vykonať analýzu rizík – Identifikovať a vyhodnotiť potenciálne kybernetické hrozby a zraniteľnosti vo svojich systémoch.

• Implementovať bezpečnostné opatrenia – Zaviesť technické a organizačné opatrenia na zmiernenie identifikovaných rizík, ako sú bezpečnostné politiky, školenia zamestnancov a technické riešenia na ochranu systémov.

• Zabezpečiť oznamovacie procesy – Nastaviť interné postupy na včasné oznamovanie kybernetických incidentov príslušným orgánom a zabezpečiť, aby zamestnanci boli oboznámení s týmito postupmi.

• Monitorovať legislatívne zmeny – Pravidelne sledovať aktualizácie v oblasti kybernetickej bezpečnosti a prispôsobovať svoje postupy a politiky v súlade s novými požiadavkami.