Európsky zákonodarcovia prijali koncom minulého roka kľúčovú smernicu o bezpečnosti sietí a informačných systémov NIS2. Nový právny rámec má za cieľ posilniť odolnosť organizácií voči kybernetickým hrozbám naprieč celou Európskou úniou. Ide o reakciu na rastúcu závislosť kritickej infraštruktúry od digitalizácie a s ňou spätú vyššiu mieru vystavenia digitálnym rizikám. Mnohé firmy tak musia prijať nové technické aj prevádzkové opatrenia.
Ochrana kritickej infraštruktúry
Novoprijatá smernica nahrádza pôvodnú smernicu o bezpečnosti sietí a informačných systémov, ktorá bola predstavená v roku 2016 ako vôbec prvý celoeurópsky právny predpis o kybernetickej bezpečnosti. Smernica NIS2 zavádza širší rozsah pôsobnosti pravidiel, ktoré sa tak dotknú väčšieho počtu subjektov z kriticky dôležitých sektorov verejnej aj súkromnej sféry, ako sú energetika, doprava, bankovníctvo, pitná voda, odpadové vody a iné. Nové povinnosti sa zavádzajú aj pre subjekty v iných kritických odvetviach, napríklad výroba, potravinárstvo, chemický priemysel, odpadové hospodárstvo či poštové a kuriérske služby.
Podniky klasifikované ako kriticky dôležité budú musieť na dosiahnutie súladu so smernicou NIS2 prijať technické aj prevádzkové opatrenia zahŕňajúce riešenie incidentov, zabezpečenie dodávateľského reťazca, šifrovanie a zverejňovanie informácií o zraniteľnostiach, primeranú analýzu rizík, testovanie a audit stratégií kybernetickej bezpečnosti a plánovanie krízového riadenia s cieľom zabezpečiť kontinuitu podnikania.
V prípade bezpečnostného incidentu budú tieto subjekty povinné poskytnúť prvotné oznámenie do 24 hodín a podrobnejšie informácie do 72 hodín. Za nedodržiavanie smernice NIS2 hrozia pokuty, ako aj pozastavenie certifikácie a vyvodenie osobnej zodpovednosti na vedúcich pozíciách v súlade s vnútroštátnymi právnymi predpismi.
Smernicou sa tiež zriaďuje Európska sieť styčných organizácií pre kybernetické krízy, EU-CyCLONe, ktorá umožní spoluprácu medzi vnútroštátnymi agentúrami a orgánmi zodpovednými za kybernetickú bezpečnosť. Každý členský štát bude takisto povinný jasne určiť jednotný kontakt na nahlasovanie bezpečnostných incidentov.
Musia NIS2 dodržiavať aj malé a stredné podniky (SME)?
V smernici NIS2 sa zavádza pravidlo, v rámci ktorého všetky stredné a veľké podniky (small and medium enterprises) definované v rámci odporúčania Európskej komisie č. 2003/361/ES a pôsobiace v príslušných odvetviach alebo poskytujúce služby, na ktoré sa vzťahuje smernica, budú patriť do jej pôsobnosti. Z povinnosti dodržiavať nové pravidlá sú síce malé podniky a mikropodniky vyňaté, ale niektoré výnimky sa vzťahujú napríklad na menšie firmy v odvetviach elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb, poskytovateľov dôveryhodných služieb alebo registrov domén najvyššej úrovne (TLD).
Malé a stredné podniky sa čoraz častejšie stávajú terčom útokov na dodávateľský reťazec z dôvodu obmedzených bezpečnostných zdrojov. Takéto útoky môžu následne negatívne ovplyvniť aj väčšie subjekty, ktorým sú dodávky poskytované. Členské štáty by mali prostredníctvom svojich vnútroštátnych stratégií kybernetickej bezpečnosti pomáhať malým a stredným podnikom pri riešení výziev, ktorým čelia v rámci príslušných dodávateľských reťazcov. Členské štáty by mali pre malé a stredné podniky sprostredkovať kontaktné miesto na národnej alebo regionálnej úrovni, ktoré by im poskytovalo potrebné usmernenia a pomoc alebo by ich nasmerovalo na príslušné orgány v otázkach súvisiacich s kybernetickou bezpečnosťou.
V marci minulého roka aliancia European DIGITAL SME Alliance, najväčšia sieť SME v EÚ v oblasti informačných a komunikačných technológií, zverejnila svoje stanovisko ku konzultácii o návrhu NIS2, v ktorom novú smernicu uvítala, ale zároveň upozornila na jej nepriamy vplyv na malé a stredné podniky.
James Philpot, projektový manažér pre DIGITAL SME, v rozhovore so spoločnosťou ESET poznamenal, že prvým krokom, ktorý by mali podniky urobiť, aby si osvojili konkrétne postupy na posilnenie kybernetickej bezpečnosti, je pozrieť sa na príručky a odporúčania príslušného národného centra kybernetickej bezpečnosti a agentúry ENISA. Prístup k správnym informáciám však nie je jednotný, keďže rôzne členské štáty poskytujú rôzne zdroje. Nová smernica NIS2 však štátom nariaďuje, aby zabezpečili potrebnú podporu a zdroje, najmä pokiaľ ide o poskytovanie informácií o rozsahu pôsobnosti tejto legislatívy a o tom, či sa na konkrétnych zákazníkov bude vzťahovať, aby si podniky dokázali potrebné kroky včas naplánovať.
Premena výziev na príležitosti
Philpot zdôraznil, že subjekty v dolnej časti dodávateľského reťazca budú pravdepodobne zasiahnuté najviac, pričom niektoré spoločnosti ani nemajú osvojené potrebné technické zručnosti a hlavne pre ne môže byť ťažké pochopiť požiadavky na podávanie oznámení o incidentoch a aj to, ako sa smernica NIS2 prelína s inými právnymi predpismi.
Dodal však, že celkovo musíme myslieť pozitívne a že úsilie o zlepšenie úrovne kybernetickej bezpečnosti v európskych firmách je vo všeobecnosti vítané. Philpot upozornil, že dôležitým aspektom bude úroveň implementácie a podpory, ako aj celkový prístup a riadenie tejto problematiky, keďže práve to v konečnom dôsledku rozhodne, či nová legislatíva malým a stredným podnikom pomôže alebo sa stane len regulačnou záťažou.
Spoločnosť ESET a aliancia DIGITAL SME sú presvedčené, že tento nový právny rámec môže predstavovať istú príležitosť. Philpot sa vyjadril, že v Európe máme k dispozícii technické riešenia na zabezpečenie požadovanej úrovne kybernetickej bezpečnosti, ale podniky sa musia vyhnúť hľadaniu toho najlukratívnejšieho mena či najlacnejšej ponuky, ktorá zvyčajne prichádza z krajín mimo Európy. Preto je podľa neho také dôležité prepojiť podporu a zdroje, aby táto legislatíva priniesla svoje ovocie a posilnila európske inovácie.
Firmy sa môžu v prípade nedostatočnej pomoci od iných vnútroštátnych orgánov obrátiť aj na miestne špecializované tímy pre riešenie počítačových bezpečnostných incidentov (CSIRT) alebo využiť rôzne zdroje, ako napríklad príručku DIGITAL SME/SBS, príručku DIGITAL SME o kontrolách informačnej bezpečnosti alebo certifikácie kybernetickej bezpečnosti.
Smerovanie k bezpečnejším firmám
Správa o náladách firiem v oblasti digitálnej bezpečnosti od spoločnosti ESET ukázala, že hoci 83 % malých a stredných podnikov verí, že kybernetický zločin predstavuje veľmi reálnu hrozbu, a 71 % má primeranú až vysokú dávku dôvery vo svoju schopnosť zistiť hlavnú príčinu kybernetických útokov, 43 % MSP považuje za primárny dôvod obáv nedostatočnú informovanosť zamestnancov, pričom len 32 % skutočné využíva riešenia EDR (riešenia na detekciu a reakciu na útoky na koncové zariadenia), ktoré sú priamo určené na pomoc v tejto oblasti.
Ako Philpot v rozhovore so spoločnosťou ESET tiež poznamenal, následky bezpečnostných incidentov sú pre malé a stredné podniky dobre známe a ide najmä o úniky údajov, značné finančné škody a stratu dôvery zákazníkov. Dodal, že zo širšieho hľadiska teda musíme na smernicu NIS2 nazerať pozitívne, pretože bude prinajmenšom zohrávať dôležitú úlohu pri zvyšovaní povedomia o tejto oblasti, a to aj v prípade tých spoločností, ktoré nie sú povinné ju dodržiavať, no stále sa môžu niečo dozvedieť.
Smernica NIS2 nadobudne účinnosť až po tom, ako ju členské štáty EÚ transponujú do svojich vnútroštátnych právnych predpisov, najneskôr to musia stihnúť do októbra 2024. Napriek tomu sa na ňu môžu organizácie chcieť pripraviť s predstihom, a to nielen z dôvodu jej včasnej implementácie, ale aj otestovania rôznych osvedčených postupov v oblasti politík kontroly, ako aj riešenia incidentov a ich správneho hlásenia. Smernica NIS2 predovšetkým definuje minimálnu úroveň kybernetickej bezpečnosti naprieč Európou a mali by sme ju vnímať ako dobrý základ, na ktorom sa dá stavať, nie ako vrchol nášho snaženia v tejto oblasti.