31 júla, 2023 Martina Mišáková

Čo je NIS2?

S4B

Od GDPR k NIS2

GDPR bolo pravdepodobne najvýznamnejšou regulačnou normou, ktorá zmenila spôsob fungovania podnikov. Bol to právny predpis vydaný EÚ, ale organizácie a spoločnosti na celom svete si uvedomili rozsah tejto regulačnej normy a rozhodli sa, že má zmysel dodržiavať GDPR, aj keď má spoločnosť v EÚ len minimálne operácie.

GDPR potrebovalo zabezpečiť súkromie, bezpečnosť, bezpečnosť a práva na úrovni používateľov a zákazníkov. Nariadenie bolo navrhnuté tak, aby používateľom poskytlo väčšiu kontrolu a prehľad o údajoch, ktoré o nich spoločnosti zhromažďujú. Hoci od zavedenia zákona uplynulo len niekoľko rokov, spôsob, akým organizácie zaobchádzajú s údajmi používateľov, sa zmenil.

Veríme, že sa objavil nový štandard súladu, ktorý môže mať taký veľký vplyv ako GDPR, a napriek tomu sa o ňom málo diskutuje. Ide o smernicu NIS2, ktorá vychádza z pôvodnej smernice NIS a má vplyv na oveľa širšiu škálu organizácií.

NIS2 je nová smernica o kybernetickej bezpečnosti, ktorej cieľom je zaviesť štandardné hlásenie incidentov, riadenie rizík kybernetickej bezpečnosti a riadenie rizík dodávateľského reťazca a ukladá vysoké pokuty za nedodržanie predpisov. Tam, kde sa GDPR snaží zlepšiť štandardy ochrany súkromia a bezpečnosti na úrovni údajov používateľov, sa NIS2 snaží zlepšiť štandardy ochrany osobných údajov a bezpečnosti pre spoločnosti a organizácie ako celok.

Hoci smernica NIS2 sa bude uplatňovať až od jesene 2024, je dôležité, aby sa na ňu spoločnosti pripravili čo najskôr, pretože zabezpečenie súladu s týmito nariadeniami si môže vyžadovať značné množstvo práce a nákladov v závislosti od súčasných kontrol a stratégie kybernetickej bezpečnosti, ktorú spoločnosti uplatňujú. Ak sa podniky a organizácie začnú zameriavať na dodržiavanie noriem NIS2 teraz, budú mať dostatok času na dodržiavanie predpisov a vyhnú sa potenciálnym sankciám za ich nedodržanie.

V tomto článku sa budeme zaoberať najčastejšími otázkami, ktoré môžu prísť na myseľ v súvislosti s NIS2.

NIS2 – často kladené otázky

Čo je smernica NIS?

Nová smernica o sieťovej a informačnej bezpečnosti (NIS2) je celoúnijným právnym predpisom o kybernetickej bezpečnosti a je rozšírením pôvodnej smernice NIS.

NIS2 rozširuje rozsah pokrytých spoločností. Zasahuje do viacerých oblastí a vymedzuje konkrétnejšie a prísnejšie požiadavky na kybernetickú bezpečnosť a riadenie rizík, pričom zvyšuje pokuty a sankcie za nedodržiavanie predpisov.

NIS2 okrem iného vyžaduje:

  • Riadenie rizík v rámci ich sietí a informačných systémov.
  • Stanovte minimálny štandard bezpečnostných opatrení týkajúcich sa bezpečnosti dodávateľského reťazca, riadenia zraniteľností, hodnotenia rizík kybernetickej bezpečnosti a ďalších.
  • Zamerajte sa viac na riadenie kritických rizík dodávateľského reťazca.
  • Vytvorenie riadiaceho tímu, ktorý bude dohliadať, schvaľovať a školiť opatrenia kybernetickej bezpečnosti.
  • Dodržujte konkrétnu lehotu reakcie na incident, ktorá sa môže pohybovať od 24 hodín do 72 hodín po zistení incidentu, a mesiac po podaní oznámenia o incidente vydajte záverečnú správu.

Plné znenie NIS2 nájdete v českom preklade tu, v anglickom origináli tu.

Prečo som nikdy nepočul o smernici NIS1?

NIS1 (alebo len NIS) bol pôvodne prijatý v roku 2016, ale počet organizácií, na ktoré sa vzťahuje, bol obmedzený. NIS mala tiež minimálne možnosti presadzovania a oveľa menej prísne sankcie za nedodržanie predpisov.

Koho bude mať NIS2 vplyv?

Keďže NIS2 je smernica EÚ, vzťahuje sa na všetky spoločnosti so sídlom v členskom štáte EÚ.

Nová smernica sa vzťahuje na spoločnosti označené ako „základné subjekty“ a „významné subjekty„. Hoci sa veľkostné limity líšia v závislosti od odvetvia, medzi základné subjekty patria spoločnosti s 250 alebo viac zamestnancami, obratom 50 miliónov EUR alebo súvahou 43 miliónov EUR. Medzi významné subjekty patria spoločnosti s viac ako 50 zamestnancami a ročným obratom alebo súvahou 10 miliónov EUR.

Príslušné sektory v rámci „základné subjektov“ zahŕňajú:

  • Energia
  • Doprava
  • Bankovníctvo a finančné trhy
  • Pitná voda a odpad
  • Digitálna infraštruktúra a riadenie služieb IKT vrátane poskytovateľov cloudových služieb
  • Verejná správa
  • Vesmír

Medzi relevantné sektory v rámci kategórie „Významné subjekty“ patria:

  • Všetky sektory v rámci kľúčových subjektov, ale s obmedzením veľkosti pre „Dôležité subjekty“.
  • Poštové a kuriérske služby
  • Odpadového
  • Výroba, výroba a distribúcia chemických látok
  • Výroba
  • Poskytovatelia digitálnych služieb
  • Výskumné organizácie

Ak subjekt nespĺňa tieto požiadavky, ale je „jediným poskytovateľom“ pre spoločnosť alebo hospodárstvo v členskom štáte, môže byť určený za hlavný alebo dôležitý subjekt. Členské štáty však musia dokončiť svoj zoznam hlavných a významných subjektov do apríla 2025.

Aké sú hlavné rozdiely medzi NIS a NIS2?

Okrem výrazného rozšírenia okruhu spoločností, ktoré musia spĺňať požiadavky smernice NIS2, nová smernica zavádza aj oveľa prísnejšie pokuty a podrobne opisuje prísnejšie pravidlá a opatrenia na presadzovanie, ktoré majú regulačné orgány k dispozícii na zabezpečenie súladu s požiadavkami smernice NIS2.

To zahŕňa právomoci v oblasti vyšetrovania a dohľadu, ako napríklad:

  • Kontroly na mieste
  • Bezpečnostné audity
  • Ďalšie požiadavky na informácie na posúdenie opatrení kybernetickej bezpečnosti organizácie.
  • Bezpečnostná kontrola
  • Požadovanie dôkazov a informácií na posúdenie politík riadenia rizík a kybernetickej bezpečnosti, požadovanie potrebných dôkazov, údajov, dokumentácie a iných informácií.

Základné subjekty podliehajú auditom a kontrolám prakticky kedykoľvek. Na druhej strane, významné  subjekty je možné skontrolovať až po incidente.

Mal by ma NIS2 zaujímať, aj keď nepatrím do EÚ?

Očakávajú sa zmeny smernice NIS2, ale veríme, že táto smernica sa bude vzťahovať na všetky spoločnosti podnikajúce v EÚ.

Aké sú pokuty alebo sankcie, ak organizácia nedodržiava smernicu NIS2?

Organizácie, ktoré nedodržia smernicu NIS2, môžu čeliť vysokým pokutám.

  • Základné subjekty čelia až 10 miliónom EUR alebo 2 % celosvetového obratu.
  • Významné  subjekty čelia až 7 miliónom EUR alebo 1,4 % celosvetového obratu.

V prípade všetkých subjektov sa v prípade pokuty použije vyšší počet oboch vyššie uvedených. Organizáciám, ktoré nespĺňajú požiadavky, možno uložiť dodatočné nepeňažné sankcie. Patria sem predpisy o dodržiavaní predpisov, záväzné usmernenia, požiadavky na oznamovanie a podávanie správ pre dotknuté strany a vykonávacie opatrenia, ktoré môžu vyplynúť zo zistení bezpečnostného auditu.

Kedy sa bude smernica NIS2 vykonávať?

NIS2 bol oficiálne uverejnený 27. decembra 2022 a účinnosť nadobudol 16. januára 2023. Členské štáty EÚ sú povinné začleniť NIS2 do svojich právnych predpisov do 18. októbra 2024. Dotknuté organizácie musia takisto dosiahnuť súlad s touto smernicou najneskôr do 18. októbra 2024.

Ako sa môžem uistiť, že spĺňam normu NIS2?

Hoci sa v NIS2 stále robia zmeny, neočakávame, že sa toho veľa zmení a spoločnosti by mali začať mobilizovať svoje oddelenia, aby boli schopné dodržiavať túto novú smernicu. Tu je niekoľko odporúčaných krokov.

  • Identifikujte, ktoré obchodné jednotky, oddelenia a dcérske spoločnosti patria do rozsahu pôsobnosti smernice NIS2.
  • Posúďte súčasný stav riadenia rizík a kybernetickej bezpečnosti vo vašej organizácii a identifikujte nedostatky, ktoré je potrebné riešiť, aby sa dosiahol súlad s regulačnými požiadavkami.
  • Prediskutujte s právnym oddelením harmonogram a stratégiu dodržiavania NIS2.
  • Obráťte sa na svoj dodávateľský reťazec a nezávislých dodávateľov, aby ste sa uistili, že aj oni vedia o NIS2 a že budete musieť spolupracovať na riešení nových požiadaviek dodávateľského reťazca a riadenia rizík tretích strán v rámci NIS2.
  • Spolupracujte s vedúcimi oddelení a zainteresovanými stranami, aby ste sa uistili, že sa dohodnú na stratégii a dokážu včas mobilizovať svoje oddelenia, systémy a zdroje.

Súlad so smernicou NIS2

Spôsob, akým organizácie dosahujú súlad s normou NIS2, sa bude líšiť v závislosti od prostredia, existujúcich bezpečnostných opatrení a politík a súčasnej stratégie riadenia rizík. Ak má organizácia robustnú stratégiu kybernetickej bezpečnosti a kybernetickej odolnosti, možno nebude potrebné zmeniť takmer nič. Pre menšie organizácie alebo oddelenia s menšími zdrojmi to však môže byť väčšia výzva.

Analytické oddelenia spoločnosti Bitdefender sú informované o všetkých nových regulačných rámcoch a predpisoch, aby naše riešenia a dostupné partnerstvá pomohli zabezpečiť súlad s NIS2 v dostatočnom predstihu.

Ak sa chcete dozvedieť viac o tom, ako môžete pripraviť svoju organizáciu tak, aby spĺňala požiadavky normy NIS2, kontaktujte nás.

image title

Aj tieto články
by vás mohli zaujímať

S4B
Power BI
3 min.
25 apríla, 2024
Čo je dátová analýza? 
S4B
Bezpečnostné riešenia
5 min.
10 apríla, 2023
Zvýšte bezpečnosť svojej firmy online vzdelávaním
S4B
iPodnik Cloud
5 min.
18 marca, 2024
Najčastejšie pasce cloudových ponúk
Prihlásiť sa
0