Smernica NIS2: Čo pre vás znamená a ako ju spĺňať?

Od roku 2025 platí na Slovensku nová direktíva NIS2, ktorá výrazne sprísňuje pravidlá kybernetickej bezpečnosti pre niektoré firmy. Chcete vedieť, či ju musí spĺňať aj vaša spoločnosť? Čo pre vás znamená v praxi? A komu hrozia pokuty? Čítajte ďalej.

 

NIS2 je najnovšou formou direktívy pre kybernetickú bezpečnosť. Jej predchodca – NIS1 – sa týkal iba relatívne veľkých spoločností v úzkom počte sektorov. S jej novou verziou však bude povinná pre oveľa viac spoločností – a možno aj pre tú vašu.

Poďme si preto rozobrať, čo konkrétne vyžaduje, kto ju musí dodržiavať a aké sú pokuty za jej nedodržiavanie.

Prečo prichádza smernica NIS2?

Nová verzia smernice NIS2 je priamou odpoveďou na bezpečnostné hrozby, ktoré v posledných rokoch udierajú na európske spoločnosti. Či už ide o útoky s cieľom krádeže osobných dát (British Airways, unikli dáta pol milióna zákazníkov) alebo dokonca útoky na kritickú infraštruktúru (ransomware, ktorý ochromil írske zdravotníctvo v roku 2021 a stál 600 mil. eur).

Kybernetické hrozby prichádzajú od organizovaných skupín aj štátom podporovaných hráčov a európske spoločnosti v kritických odvetviach musia byť na tieto hrozby pripravené.

Čo vyžaduje smernica NIS2?

NIS2 nastavuje pravidlá pre prácu s citlivými údajmi, postupy pri bezpečnostných incidentoch a povinnosti v oblastiach tréningu kyberbezpečnosti.

Vo všeobecnosti sa dajú zhrnúť do 10 bodov, ktorých by ste sa mali držať:

 

  1. Riadenie kybernetických rizík a bezpečnostná politika
    Aby ste mohli efektívne zamedziť bezpečnostným hrozbám, musíte vedieť, čo vám hrozí a ako na hrozby reagovať. Preto NIS2 vyžaduje, aby mali spoločnosti pripravené analýzy potenciálnych rizík a postupy, ako sa s týmito rizikami vysporiadať.

  2. Zvládanie incidentov
    Bezpečnostné incidenty treba detekovať, zaznamenávať a keď incident nastane, postupovať podľa nastavených postupov na obmedzenie ďalšieho rizika.

  3. Krízové riadenie a zachovanie prevádzky
    Bezpečnostný incident by nemal ochromiť alebo výrazne obmedziť fungovanie služieb. Je potrebné mať zálohy, disaster recovery plány a postupy pre zachovanie prevádzky pri incidente.

  4. Bezpečnosť dodávateľského reťazca
    Bezpečnosť nekončí vo vašej spoločnosti. Podľa NIS2 má každá spoločnosť povinnosť auditovať svojich dodávateľov a partnerov z hľadiska kybernetickej bezpečnosti. Funkčná ochrana je zodpovednosťou všetkých článkov reťazca.

  5. Bezpečnosť pri vývoji a prevádzke IT systémov
    Všetky IT systémy musia mať funkčné mechanizmy na nahlasovanie a opravovanie bezpečnostných slabín a chýb a taktiež strany pracujúce s týmito systémami musia mať funkčné systémy na nahlasovanie zistených chýb.

  6. Testovanie účinnosti bezpečnostných opatrení
    Organizácia musí pravidelne kontrolovať a auditovať, či bezpečnostné opatrenia fungujú.

  7. Základná kybernetická hygiena a vzdelávanie
    Zamestnanci musia mať pravidelné školenia v oblasti kybernetickej bezpečnosti a spoločnosti sa musia snažiť znižovať riziko ľudskej chyby na minimum.

  8. Používanie kryptografie a šifrovania
    Spoločnosti musia používať šifrovanie všade, kde sa dá v rozumnej miere očakávať incident. Taktiež musia existovať firemné postupy ohľadom kryptografie a šifrovania dát.

  9. Riadenie prístupov, HR bezpečnosť a správa aktív
    Spoločnosti musia spravovať prístupy k citlivým údajom (napr. heslá a úrovne autentifikácie na prístup k rôznym údajom). Taktiež musia mať zoznam všetkých dôležitých digitálnych aktív a postarať sa o to, aby sa s nimi nakladalo bezpečne.

  10. Silná autentifikácia a bezpečná komunikácia
    Firmy musia používať viacfaktorovú autentifikáciu, a kde je to potrebné, tiež kontinuálnu autentifikáciu. Šifrovanie hlasovej, textovej a videokomunikácie, rovnako ako bezpečný šifrovaný kanál na komunikáciu ohľadom bezpečnostných incidentov.

Koho sa týka smernica NIS2?

S NIS2 sa povinnosti rozšírili na väčšie množstvo firiem, hlavne v kritických sektoroch ale tiež na stredné podniky, ktoré môžu byť potenciálnou hrozbou ako dodávatelia. Povinnosť sa tak rozširuje od prevádzkvateľmi základnej kritickej služby (essential entities) aj na prevádzkovateľov základnej služby (important entities).

Prevádzkvateľmi základnej kritickej služby sú spoločnosti, ktoré majú 250 a viac zamestnancov, ročný obrat cez 50 miliónov eur alebo aktíva v hodnote nad 43 miliónov eur.
Taktiež musia podnikať v niektorom z týchto sektorov:

  • Energetika
  • Doprava
  • Financie
  • Verejná správa
  • Zdravotníctvo
  • Vesmírny výskum a vývoj
  • Vodohospodárstvo
  • Digitálna infraštruktúra (napr. cloudové úložiská, telekomunikácie, datové centrá …)

 

Prevádzkvateľmi základnej služby sú spoločnosti s viac ako 50 zamestnancami, s ročným obratom nad 10 miliónov eur alebo 10 miliónmi v aktívach a podnikajúce v týchto oblastiach:

  • Pošta a doručovanie
  • Spracovanie odpadov
  • Chemická výroba
  • Výskum a vývoj
  • Potravinárstvo
  • Výroba
  • Poskytovatelia digitálnych služieb (napr. vyhľadávače, online trhoviská, sociálne siete …)

Hrozia za nedodržiavanie smernice NIS2 pokuty?

Aby pritlačila na dodržiavanie týchto smerníc, Európska únia nastavila okrem pokút aj ďalšie možnosti potrestania.

Pre prevádzkovateľov základnej kritickej služby hrozia pokuty až do výšky 10 miliónov eur alebo 2 % celkového obratu (v prípade nadnárodných spoločností). Prevádzkovatelia základnej služby majú nastavené hranice o niečo nižšie, ale stále môžu dosiahnuť až 7 miliónov eur, alebo 1,4 % z celosvetového obratu.

Čo je však dôležitejšie, po novom je za nesplnenie smerníc osobne zodpovedný manažment spoločnosti, a môže byť priamo trestne stíhaný.

Chcete si byť istí pri implementácií NIS2? Spojte sa s nami

Ak si nie ste istí, či sa táto smernica vzťahuje aj na vašu firmu, napíšte nám email, alebo si zavolajme. Pozrieme sa na vašu situáciu, vyhodnotíme, kde sa nachádzate a podáme odborné stanovisko.


A ak si netrúfate sami na implementáciu všetkých potrebných postupov, alebo chcete vedieť, či vo všetkom spĺňate potrebné predpisy, vieme pre vás urobiť GAP analýzu spoločne s prípravou všetkých chýbajúcich postupov a bezpečnostných opatrení.

Stačí napísať cez kontaktný formulár nižšie, alebo nám môžete priamo zavolať.

Príprava na audit kybernetickej bezpečnosti: 5 otázok, na ktoré by ste mali poznať odpoveď

Príprava na audit kybernetickej bezpečnosti: 5 otázok, na ktoré by ste mali poznať odpoveď Smernica NIS2 je na Slovensku platná ...

Čítať viac
Showing Slide 1 of 2

Automatizácia priemyselných procesov, realizácia prístupových, dochádzkových, bezpečnostných systémov a vývoj nových aplikácií. Už 24 rokov Vám vkladáme do rúk kontrolu, zvyšujeme bezpečnosť a nasadzujeme funkčnú ochranu Vašich aktív. Inteligentné a efektívne riešenia 21. storočia.

CS4OT KFT Logo

Pre zobrazenie kompletnej ponuky nás navštívte na:

www.kfb.sk