Smernica NIS 2 (Network and Information Security) predstavuje nový právny rámec EÚ pre kybernetickú bezpečnosť, ktorý kladie zvýšené nároky na ochranu kľúčových sektorov pred kybernetickými hrozbami. Vychádza z pôvodnej smernice NIS z roku 2016, no výrazne rozširuje svoj dosah a zavádza prísnejšie pravidlá.
Termín na transpozíciu smernice NIS 2 uplynul 18. október 2024 a každý členský štát EÚ (vrátane SR) by mal mať smernicu zavedenú do svojho národného právneho rámca a začať ju efektívne uplatňovať. Zákon je v súčasnosti v Národnej rade SR a začne platiť pár dní po schválení, pravdepodobne 1. januára 2025
Na ktoré organizácie sa smernica NIS 2 vzťahuje?
Smernica NIS 2 definuje dva hlavné typy subjektov, ktorých sa povinnosti dotýkajú:
Kritické subjekty – tieto organizácie sú považované za najvýznamnejšie z hľadiska verejného záujmu a bezpečnosti EÚ. Ide o:
- Energetiku (dodávateľov plynu, elektriny, ropy)
- Dopravu (leteckú, železničnú, vodnú a cestnú dopravu)
- Bankovníctvo (banky a iné finančné inštitúcie)
- Zdravotníctvo (nemocnice, kliniky, lekárske laboratóriá, výrobcov zdravotníckych zariadení)
- Digitálne infraštruktúry (cloudové služby, dátové centrá, komunikačné siete)
- Dodávateľov pitnej vody a spracovania odpadovej vody
Dôležité subjekty – patria sem organizácie, ktoré síce nie sú priamo považované za kritické, no ich narušenie by mohlo výrazne ovplyvniť ekonomiku a bezpečnosť občanov. Tieto subjekty zahŕňajú:
- Poštové a kuriérske služby
- Odpadové hospodárstvo
- Výrobcov potravín
- Chemický a farmaceutický priemysel
- Potravinársky priemysel
- Výrobný priemysel
- Verejné inštitúcie a administratíva
Kľúčové povinnosti a zmeny zavedené NIS 2
Smernica NIS 2 zavádza zásadné zmeny v oblasti kybernetickej bezpečnosti a kladie nové povinnosti na kritické a dôležité subjekty:
Zavedenie robustných bezpečnostných opatrení
- Organizácie sú povinné implementovať komplexné bezpečnostné opatrenia na ochranu dát, napríklad šifrovanie citlivých informácií, overovanie používateľov a monitorovanie kybernetických hrozieb.
- Zavedenie riadenia rizík a vyhodnocovania zraniteľností. Organizácie musia vykonávať pravidelné audity a hodnotiť riziká.
Rýchle nahlasovanie kybernetických incidentov
- Pri vážnom kybernetickom útoku alebo úniku dát je potrebné nahlásiť incident do 24 hodín príslušným úradom, ako napríklad národnému bezpečnostnému centru.
- Následne sa očakáva detailná správa do 72 hodín s popisom riešenia problému a nápravnými opatreniami.
Zvýšená zodpovednosť manažmentu
- Vrcholový manažment organizácií nesie priamu zodpovednosť za kybernetickú bezpečnosť a dodržiavanie opatrení NIS 2.
- Vedúci pracovníci musia byť preškolení a oboznámení s kybernetickými rizikami a povinnosťami smernice.
Ochrana dodávateľského reťazca a subdodávateľov
- Subjekty musia kontrolovať aj bezpečnostné opatrenia svojich dodávateľov a partnerov, čím sa znižuje riziko prenesenia útoku z iných článkov reťazca.
Pravidelné hodnotenie a testovanie systémov
- Organizácie musia vykonávať pravidelné simulácie a testy kybernetických útokov, aby preverili pripravenosť svojich systémov na prípadné ohrozenia.
Aké sú sankcie za nedodržanie NIS 2?
Smernica zavádza rôzne pokuty v závislosti od typu subjektu a závažnosti porušenia:
- Kritické subjekty – môžu čeliť pokutám až do výšky 10 miliónov eur alebo 2 % z ročného globálneho obratu spoločnosti, podľa toho, ktorá suma je vyššia.
- Dôležité subjekty – hrozia im pokuty až do výšky 7 miliónov eur alebo 1,4 % z ročného globálneho obratu spoločnosti.
Okrem finančných sankcií môžu príslušné regulačné orgány podniknúť aj ďalšie kroky, ako je obmedzenie činnosti, povinnosť nápravného opatrenia alebo pozastavenia povolenia na časť alebo všetky relevantné služby a činnosti, ktoré subjekt poskytuje. Manažéri a vedúci pracovníci môžu byť za nedodržanie opatrení NIS 2 osobne postihovaní, čím smernica zdôrazňuje zodpovednosť vedenia organizácie.
Aký prínos má NIS 2 pre občanov?
NIS 2 prináša občanom lepšiu ochranu ich osobných údajov a zvyšuje odolnosť kľúčových služieb voči kybernetickým útokom. Očakáva sa, že vďaka prísnejším bezpečnostným opatreniam budú digitálne služby, ako online bankovníctvo, zdravotnícke systémy a energetická infraštruktúra, bezpečnejšie a spoľahlivejšie.