Novela k smernici NIS2: pripravte sa s nami na zmeny v kybernetickej bezpečnosti

Ako sme vás informovali v predchádzajúcom článku, smernica NIS (EÚ 2016/1148) o bezpečnosti sietí a informačných systémov nadobúda širší rozmer. S cieľom zvýšiť kybernetickú bezpečnosť v celej Európe sa smernica NIS nahradí novou smernicou NIS2 (EÚ 2022/2555) , ktorá nadobudne účinnosť 16. januára 2024. Členské štáty vrátane Slovenskej republiky majú povinnosť do 17.10.2024 prijať a uverejniť opatrenia potrebné na dosiahnutie súladu so Smernicou NIS2

Spolu s vývojom rizík sa neustále musia inovovať aj obranné a detekčné stratégie, preto vzniká smernica NIS2, ktorá konsoliduje a zjednocuje požiadavky pre všetky členské štáty EU v oblasti riadenia kybernetických rizík, testovania kybernetickej odolnosti a hlásení incidentov. Jednou z významných zmien je rozšírenie požiadaviek na ďalšie inštitúcie a organizácie. Za týmto účelom smernica poskytuje súbor pravidiel a regulačný rámec pre spoluprácu orgánov. Aby mohlo byť plnenie vymožitelné, stanuvujú sa v NIS2 sankcie (až do výšky 10mil. EUR alebo 2% z celosvetového obratu spoločnosti) a nápravné opatrenia (napr.  v podobe pozastavenia činnosti).

Riadenie kybernetických rizík

• Základnou povinnosťou spoločnosti je zavedenie bezpečnostných opatrení. V prvom rade je potrebné zmapovať aktuálny stav organizácie, vykonať podrobnú analýzu rizík,  vypracovať tvz. business impact analýzu, zaviesť účinný systém riadenia a zamerať sa na školenie relevantných osôb a predchádzať incidentom.

Testovanie kybernetickej odolnosti

• Dôležitým pojmom, skloňovaným v rámci stratégie kybernetickej bezpečnosti EÚ, je "testovanie a dokazovanie kybernetickej bezpečnosti". Európska únia podáva inštitúciám v tejto súvislosti pomocnú ruku vo forme TIBER-EU (Threat Intelligence-based Ethical Red Teaming Framework). Ide o súbor návodov, ako by mali organizácie postupovať pri testovaní a zlepšovaní kybernetickej odolnosti.

Oznamovacia povinnosť

• Smernica formálne zriaďuje sieť styčných organizácií pre kybernetickú krízu tvz. EU-CyCLONe (Cyber Crisis Liaison Organisation Network), ktorá bude podporovať koordinované riadenie kybernetických, bezpečnostných incidentov. Každý členský štát bude mať povinnosť jasne určiť kontaktné miesto pre hlásenie kybernetických incidentov. Odborníci tak získajú priestor na spoluprácu, učenie a zvyšovanie dôvery.

Návrh zahŕňa sedem hlavných oblastí, ktoré vzájomne súvisia a slúžia na zvyšovanie úrovne kybernetickej bezpečnosti v Únii. Vzťahuje sa na verejné alebo súkromné kľúčové subjekty pôsobiace v odvetviach - energetika, doprava, bankovníctvo, infraštruktúry, finančných trhov, zdravotníctvo, pitná voda, odpadová voda, digitálna infraštruktúra, verejná správa a kozmonautika ako aj určité dôležité subjekty pôsobiace v odvetviach - poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, výroba, spracovanie a distribúcia potravín, výroba a digitálni poskytovatelia.

NIS2 zavádza uplatňovanie pravidla veľkostného limitu, podľa ktorého spadajú do oblasti pôsobenia všetky stredné a veľké podniky, ktoré pôsobia v odvetviach alebo poskytujú služby, na ktoré sa vzťahuje smernica (zamestnáva najmenej 50 zamestnancov alebo dosahuje ročný obrat 10 miliónov EUR)

O povinnostiach vyplývajúcich zo smernice vás budeme včas informovať, aby ste sa spolu s nami mohli pripraviť na zmeny

Zdroj: Smernica NIS2 2022/2555, Smernica Európskeho parlamentu a rady