Čo prinesie smernica NIS2?

Členské štáty Európskej únie vrátane Slovenska musia smernicu NIS2 zapracovať do svojej legislatívy najneskôr do polovice októbra 2024. Ide o legislatívny rámec, ktorý upravuje povinnosti organizácií vo vzťahu ku kybernetickej bezpečnosti. Aké zmeny NIS2 prinesie?

Čo predstavuje NIS2?

V porovnaní s predchádzajúcou verziou sa v novej smernici NIS odstraňuje rozdiel medzi prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb. Subjekty sú klasifikované na základe ich významu a rozdelené do dvoch kategórií: kľúčové a dôležité subjekty, ktoré budú podliehať rôznym režimom dohľadu.

Znamená to, že všetky odvetvia a organizácie, ktoré spadajú pod smernicu NIS2, majú pre komunity v členských štátoch EÚ veľký význam. Je zrejmé, že narušenie ich prevádzky by v spoločnosti spôsobilo vážne škody v prípade, ak by už neboli schopné vykonávať svoje funkcie. Tieto dve kategórie subjektov boli vytvorené s cieľom rozlíšiť skutočnosť, že nie všetky sektory majú v prípade incidentu rovnaký vplyv na spoločnosť. Nižšie vysvetľujeme rozdiel medzi týmito dvoma skupinami a ich dopad na to, aké zmeny prinesie NIS2.

Kľúčový alebo dôležitý subjekt?

Zavedením smernice NIS2 sa rozšíri regulačný rozsah pôvodnej smernice NIS. Konkrétne bude stanovené požiadavky musieť začať spĺňať viac organizácií. O aké požiadavky však ide a ako sa budú presadzovať?

Povinnosť náležitej starostlivosti a oznamovacia povinnosť

Všetky organizácie, ktoré spadajú pod NIS2 – kľúčové alebo dôležité – budú musieť začať dodržiavať povinnosť náležitej starostlivosti. Smernica obsahuje zoznam typov opatrení, ktoré musia poskytovatelia služieb dodržiavať ako minimum. Patrí medzi ne analýza rizík s cieľom odkontrolovať, či organizácia venuje dostatočnú pozornosť bezpečnosti informačných systémov, krízovému manažmentu a kontinuite prevádzky v prípade významného bezpečnostného incidentu, a či dokáže zaistiť ochranu svojho dodávateľského reťazca.

Povinnosť náležitej starostlivosti ďalej zahŕňa zaistenie bezpečnosti siete a informačných systémov, používanie kryptografie a šifrovania a zavedenie zásad a postupov posudzovania účinnosti opatrení na riadenie kybernetických rizík.

Na všetky organizácie, ktoré spadajú pod smernicu NIS2, sa bude vzťahovať aj oznamovacia povinnosť. Táto oznamovacia povinnosť si bude vyžadovať, aby dotknuté organizácie nahlásili incident národným orgánom do 24 hodín od zistenia incidentu, následne do 72 hodín podali oznámenie o incidente s aktualizáciou informácií a po jednom mesiaci vydali záverečnú správu.

Monitorovanie

Oba druhy subjektov majú povinnosti a záväzky; napr. členovia riadiacich orgánov kľúčových a dôležitých subjektov sú povinní absolvovať školenia a musia prijať vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov. Subjekty ich využívajú na prevádzku alebo poskytovanie služieb s cieľom predchádzať incidentom alebo minimalizovať ich vplyv na príjemcov svojich služieb alebo na ďalšie služby.

Od kľúčových organizácií sa tiež bude vyžadovať proaktívny prístup z hľadiska pripravenosti s cieľom vyhodnocovať vplyv nesprávneho riadenia aj bez toho, aby došlo k incidentu. V prípade druhej kategórie, dôležitých subjektov, sa dodržiavanie súladu s predpismi očakáva reaktívne. To znamená, že pri týchto organizáciách sa bude dodržiavanie právnych predpisov a požiadaviek kontrolovať až po incidente. Ak by sa dospelo k záveru, že neboli prijaté dostatočné opatrenia a splnené stanovené požiadavky, na oba typy subjektov sa budú vzťahovať rovnaké sankcie.

Je dôležité poznamenať, že do 17. apríla 2025 a potom každé dva roky príslušné orgány oznámia Komisii a skupine pre spoluprácu počet kľúčových a dôležitých subjektov pre každý sektor.