Podľa pôvodnej smernice NIS sa na poskytovateľov základných služieb a poskytovateľov digitálnych služieb vzťahuje dvojaká povinnosť: oznamovacia povinnosť a povinnosť náležitej starostlivosti. V tomto článku si vysvetlíme druhú z nich. Predchádzajúca verzia smernice hovorí, že povinnosť náležitej starostlivosti sa vzťahuje na poskytovateľov základných služieb aj na poskytovateľov digitálnych služieb. Zahŕňa prijatie vhodných a primeraných technických, prevádzkových a organizačných opatrení na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov.
Nová smernica NIS2 zavádza rozlišovanie na kľúčové a dôležité subjekty, ktoré odráža mieru ich významu z hľadiska odvetvia, do ktorého spadajú, alebo druhu služieb, ktoré poskytujú, ako aj ich veľkosti. Oba typy subjektov budú musieť dodržiavať povinnosť náležitej starostlivosti. Je na členských štátoch, aby vytvorili zoznam kľúčových a dôležitých subjektov na základe najvhodnejších vnútroštátnych mechanizmov a umožnili im, aby sa zaregistrovali samé. Subjekty po registrácii v rámci jednej z týchto kategórií podliehajú opatreniam na riadenie kybernetických rizík. Tieto by mali byť primerané stupňu vystavenia kľúčového alebo dôležitého subjektu rizikám a spoločenskému a hospodárskemu vplyvu, ktorý by incident mal. Náležite by sa mala zohľadniť aj kritickosť subjektu, jeho veľkosť a pravdepodobnosť výskytu incidentov.
V tomto kontexte sa bezpečnosť vzťahuje na schopnosť sietí a informačných systémov odolávať akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť údajov a služieb. Vykonávacie nariadenie Komisie (nariadenie (EÚ) 2018/151) bližšie špecifikuje bezpečnostné prvky, ktoré je potrebné zohľadňovať: bezpečnosť systémov a zariadení, riešenie incidentov, riadenie kontinuity činnosti, monitorovanie, audit a skúšanie a medzinárodné normy.
Minimálne opatrenia
Smernica NIS2 uvádza minimálny zoznam opatrení vrátane vykonania analýzy rizík a zavedenia politík v oblasti bezpečnosti informačných systémov, presadzovania opatrení na riešenie incidentov, kontinuity činností a krízového manažmentu, bezpečnosti dodávateľského reťazca a bezpečnosti pri obstarávaní, vývoji a údržbe sietí a informačných systémov. Zahrnuté sú aj zásady a postupy posudzovania účinnosti opatrení na riadenie kybernetických rizík a používanie kryptografie a šifrovania.
Kľúčové a dôležité subjekty by mali tiež prijať širokú škálu základných postupov kybernetickej bezpečnosti, ako sú zásady nulovej dôvery, aktualizácie softvéru, konfigurácia zariadení, segmentácia siete, správa identity a prístupu alebo informovanosť používateľov, organizovať školenia pre svojich zamestnancov a zvyšovať informovanosť o kybernetických hrozbách, phishingu či technikách sociálneho inžinierstva. Okrem toho by uvedené subjekty mali vyhodnotiť vlastné spôsobilosti v oblasti kybernetickej bezpečnosti a podľa potreby sa usilovať o integráciu technológií zvyšujúcich kybernetickú bezpečnosť, ako sú systémy umelej inteligencie alebo strojového učenia, s cieľom posilniť svoje spôsobilosti a bezpečnosť sietí a informačných systémov.
Členské štáty takisto môžu na preukázanie súladu s týmito opatreniami požadovať, aby kľúčové a dôležité subjekty používali konkrétne produkty, služby alebo procesy IKT, ktoré budú certifikované v rámci európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa aktu o kybernetickej bezpečnosti (nariadenie (EÚ) 2019/881).
Európska komisia je tiež splnomocnená prijímať vykonávacie a delegované akty, ktorými bližšie špecifikuje opatrenia na riadenie kybernetických rizík. Týmto sa môžu spresniť povinnosti a zohľadniť nové kybernetické hrozby, technologický vývoj alebo špecifiká jednotlivých odvetví.
Monitorovanie a presadzovanie
Členské štáty musia zabezpečiť účinný dohľad s cieľom zaistiť súlad s požiadavkami smernice. Pri kľúčových subjektoch je dohľad proaktívny. Dôležitým subjektom zasa zo smernice vyplýva reaktívny dohľad, ktorý môže byť vyvolaný na základe dôkazov, indícií alebo informácií, že subjekt údajne porušuje smernicu. V druhom prípade by sa mali prijať opatrenia len vtedy, ak sa členskému štátu zdá, že dôležitý subjekt neplní povinnosti stanovené v smernici. Na tento účel majú dozorné orgány pridelený súbor právomocí dohľadu a nástroje na presadzovanie práva. Smernica NIS2 rozširuje zodpovednosť aj na fyzické osoby, ktoré môžu niesť následky za porušenie povinnosti náležitej starostlivosti. Okrem právnickej osoby tak môže byť zodpovedný aj riaditeľ organizácie.
