Prečo je NIS2 dôležitá

Európska smernica NIS2 zavádza jednotnejší rámec kybernetickej bezpečnosti pre podniky a organizácie v odvetviach s významným spoločenským dopadom. Jej cieľ je znížiť pravdepodobnosť úspešných útokov, zrýchliť reakciu pri incidente a preniesť riadenie kybernetických rizík z úzkej technickej témy na zodpovednosť vedenia. Vrcholový manažment musí poznať pravidlá, dohliadať na ich uplatňovanie a absolvovať školenia, pričom musí v praxi preukázať dosiahnuté výsledky.

Koho sa NIS2 týka

Smernica sa spravidla vzťahuje na stredné a veľké subjekty v oblastiach ako energetika, doprava, bankovníctvo a infraštruktúry finančných trhov, zdravotníctvo, zásobovanie pitnou vodou a správa odpadových vôd, digitálna infraštruktúra a poskytovanie digitálnych služieb, verejná správa, poštové a kuriérske služby, odpadové hospodárstvo, potravinárstvo, chemický priemysel a vybrané segmenty výroby. Menšie organizácie môžu do režimu patriť vtedy, ak sú z hľadiska rizika považované za kritické alebo spĺňajú osobitné kritériá. Rozlíšenie medzi esenciálnymi a dôležitými subjektmi ovplyvňuje intenzitu dohľadu aj horné hranice sankcií.

Čo NIS2 vyžaduje

Základom je ucelený systém riadenia kybernetických rizík. Organizácia má mať nastavenú a pravidelne vyhodnocovanú bezpečnostnú politiku, zabezpečiť detekciu a riešenie incidentov, udržiavať kontinuitu činností vrátane účinného zálohovania a obnovy a dôsledne manažovať riziká v dodávateľskom reťazci. Dôraz sa kladie aj na bezpečnosť pri obstarávaní a vývoji softvéru, na správu a zverejňovanie zraniteľností, na pravidelné školenia a kyberhygienu, ako aj na používanie kryptografických mechanizmov a viacfaktorového overenia vždy, keď to povaha systému vyžaduje. Nejde o formálne smernice, ale o opatrenia, ktorých účinnosť vie organizácia preukázať.

Hlásenie incidentov

Pri významnom incidente sa postupuje vo viacerých krokoch. Bez zbytočného odkladu a najneskôr do 24 hodín od zistenia sa odošle skoré varovanie, ktoré stručne opíše podstatu problému a možný dopad. Do 72 hodín nasleduje oznámenie s prvotným vyhodnotením závažnosti a účinkov. Počas riešenia sa poskytujú priebežné informácie podľa pokynov príslušného orgánu alebo tímu CSIRT. Po stabilizácii situácie sa doručí záverečná správa najneskôr do jedného mesiaca od 72 hodinového oznámenia. Ak riešenie trvá dlhšie, odošle sa priebežná správa a finálna po ukončení.

Dohľad a sankcie

Esenciálne subjekty podliehajú proaktívnym kontrolám, môžu očakávať audity a požiadavky na nápravné opatrenia. Dôležité subjekty sú kontrolované najmä ex post, teda po podnete alebo po vzniku dôvodného podozrenia na nesúlad. Sankčný rámec motivuje k prevencii aj k promptnej náprave. Pri esenciálnych subjektoch môžu pokuty dosiahnuť desať miliónov eur alebo dve percentá z celkového celosvetového ročného obratu podľa toho, ktorá hodnota je vyššia. Pri dôležitých subjektoch je horná hranica sedem miliónov eur alebo jedna celá štyri percenta z obratu opäť s aplikáciou prísnejšej z dvoch možností.

Ako sa pripraviť

Praktický postup začína overením, či a do akej kategórie pod NIS2 patríte. Nasleduje gap analýza voči minimálnym požiadavkám a z nej odvodený plán zavedenia opatrení s jasne priradenou zodpovednosťou a rozpočtom. Súčasťou je nastavenie procesov detekcie, eskalácie a hlásenia incidentov, ako aj revízia zmlúv s kľúčovými dodávateľmi informačných a cloudových služieb, kde sa upraví plnenie bezpečnostných štandardov, auditovateľnosť a spolupráca pri riešení incidentov. Manažment a tímy musia pravidelne absolvovať školenia a praktické cvičenia reakcie na incident, aby organizácia dokázala zareagovať rýchlo a koordinovane aj v strese.

ISO 27001 a NIS2

Ak už uplatňujete ISO 27001, máte náskok. Stále však odporúčame skontrolovať, či procesy pokrývajú aj špecifiká NIS2, najmä oznamovacie lehoty, riadenie dodávateľov a povinnosti vedenia. Opatrenia, ktoré vyzerajú robustne na papieri, je dobré preveriť simuláciou reálneho incidentu a následným zlepšením slabých miest.

Niekedy stačí poradiť, inokedy treba konať.

V našej advokátskej kancelárii robíme oboje. Poskytujeme nielen odborné poradenstvo, ale aj profesionálne zastupovanie v sporoch. Vďaka skúsenostiam, ktoré máme, sa radíme k špičke sporových advokátov. Spájame poctivé právne remeslo s moderným prístupom a dôsledne nastavujeme najlepšiu stratégiu. Pri základných riešeniach si aj my radi pomáhame umelou inteligenciou, no riziku chybného výsledku AI algoritmu Vás nikdy nevystavíme. Preto každý krok, úkon, či zásadné rozhodnutie prejde rukami skúseného právnika, ktorý na rozdiel od AI, rozumie nielen právu, ale aj ľuďom. Spoľahnite sa na nás a vymeňte svoj problém za riešenie a právnu istotu.