Slovenské firmy a iné subjekty, ktorých sa bude novelizovaný zákon týkať, majú úž len niekoľko mesiacov na prípravu a dodržiavanie jeho ustanovení.

Európska únia v snahe o posilnenie kybernetickej bezpečnosti na vnútroštátnej aj nadnárodnej úrovni, vypracovala a schválila novú smernicu o bezpečnosti sieťových a informačných systémov. Nazýva sa NIS2 a je platná od 16. januára 2023.

Novelizácia pôvodnej smernice, NIS2, sa zameriava na zvýšenie bezpečnostných opatrení v odvetviach s vysokou úrovňou kritickosti, ako aj v ďalších dôležitých odvetviach. Zavádza prísnejšie požiadavky na správu rizík a hlásenie incidentov. Smernicu musia do svojej legislatívy aplikovať všetky štáty Európskej únie.

Slovensko ju aplikuje prostredníctvom novely zákona 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá by mala podľa dostupných informácií začať platiť od 1. januára 2025. V praxi to znamená, že slovenské firmy a iné subjekty, ktorých sa bude novelizovaný zákon týkať, majú úž len niekoľko mesiacov na prípravu a dodržiavanie jeho ustanovení.

Ktorých firiem a subjektov sa týka NIS2?

NIS2 rozširuje rozsah pôvodnej smernice tým, že zahŕňa viac sektorov a typov spoločností, ktoré sú rozdelené do dvoch kategórií – kritické a dôležité subjekty. Podmienkou je tiež počet zamestnancov, viac ako 50, a ročný obrat resp. súvaha na úrovni viac ako 10 miliónov eur. Sú definované sektory, na ktoré sa bude novelizovaný zákon o KB vzťahovať bez ohľadu na počet zamestnancov a ročný obrat.

Všetky subjekty zahrnuté pod smernicou sú povinné implementovať bezpečnostné opatrenia, zlepšiť správu rizík a posilniť schopnosť odolávať a reagovať na kybernetické útoky. Takisto musia zabezpečiť pravidelné auditovanie bezpečnostných opatrení a reportovať vážne kybernetické incidenty príslušným národným orgánom.

Všetky dôležité informácie o novelizácii smernice nájdete na stránke nis2info.sk, ktorú pripravil a pravidelne aktualizuje operátor Slovanet v spolupráci so spoločnosťou Cyllium. Slovanet nedávno zorganizoval aj odbornú diskusiu, ktorá bola zameraná na prenesenie smernice NIS2 do právneho poriadku SR a obsahovala praktické odporúčania. Ak vás teda zaujímajú detaily, pozrite si ju a pozrite si aj náš videorozhovor na túto tému.

Subjekty, ktorých sa týka smernica NIS1Zdroj: nis2info.sk
Sektory, ktorých sa týka smernica NIS1
Subjekty, ktorých sa týka smernica NIS2Zdroj: nis2info.sk
Sektory, ktorých sa týka novelizácia smernice

NIS2 nie je nutné zlo

NIS2 je už vnímaný takmer ako buzzword. Ale som rád, ako prospel k zvýšeniu pozornosti na kybernetickú bezpečnosť,“ povedal v odbornej diskusii Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Podľa jeho slov sa počet regulovaných subjektov (viď. informácie vyššie) zvýši z približne 1500 na 5000 subjektov, pričom najväčšiu zmenu pocítia najmä stredné podniky.

Jednou z hlavných zmien, ktorú novelizácia pôvodnej smernice prinesie, bude fakt, že bude potrebné nahlasovať aj závažné bezpečnostné zraniteľnosti.

„Čo by mohlo byť obavou, stále sú subjekty, ktoré si nechcú uvedomiť problematiku kybernetickej bezpečnosti. Pristupujú k tomu tak, že je to len regulácia, ktorá má k niečomu núti,“ povedal na margo smernice NIS2 Michal Ďorda, partner pre expertné služby zo skupiny Cyllium. Domácnosť si tiež zamykáme, keď odchádzame. Podobne by to malo fungovať aj vo virtuálnom svete,“ dodal.

Jeho slová potvrdil aj Jozef Priesol, bezpečnostný manažér Slovanetu, podľa ktorého možno firmy rozdeliť do dvoch skupín – na tie, ktoré už závažný kybernetický incident riešili a na tie, ktoré to ešte len čaká. „Firmy a subjekty, ktoré sa už dnes riadia kybernetickou bezpečnosťou a dodržiavajú legislatívu, nebudú mať s NIS2 až také problémy,“ dodal.

Je vaša firma pripravená na NIS2?Zdroj: TOUCHIT
„NIS2 je už vnímaný takmer ako buzzword. Ale som rád, ako prospel k zvýšeniu pozornosti na kybernetickú bezpečnosť,“ povedal v odbornej diskusii Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti

Ako sa pripraviť na NIS2?

„Každý subjekt bude musieť spraviť analýzu rizík,“ povedal Michal Ďorda, partner pre expertné služby zo skupiny Cyllium. „Aktuálne čakáme na transponovaný zákon, ktorý bude obsahovať všetky potrebné nové opatrenia.“

Pre kritické subjekty bude potrebný audit, pre dôležité subjekty bude zrejme možný aj audit samohodnotením,“ zosumarizoval Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti.

Návrh novely zákona si môžete už teraz pozrieť na webe slov-lex.sk. Do pozornosti dávame sekciu Sprievodná dokumentácia a dokument s názvom informativne-konsolidovane-znenie_69_2018.docx.

Jozef Priesol zo Slovanetu odporúča firmám a subjektom, ktoré spadajú pod NIS2, aby nečakali do októbra 2024, kedy by mala byť platná novela zákona 69/2018 Z. z. o kybernetickej bezpečnosti, ale začali sa aktívne zaujímať už teraz o to, ako si chránia svoje dáta, aktíva, majetok a ako identifikujú, analyzujú a riadia riziká.

S touto úlohou firmám rád pomôže aj Slovanet. Či už prostredníctvom webovej stránky nis2info.sk alebo prostredníctvom služieb, ktoré ponúka.

Je vaša firma pripravená na NIS2?Zdroj: TOUCHIT
„Každý subjekt bude musieť spraviť analýzu rizík,“ povedal Michal Ďorda (v strede), partner pre expertné služby zo skupiny Cyllium. Vpravo je Jozef Priesol, bezpečnostný manažér Slovanetu

Článok vznikol v spolupráci so spoločnosťou Slovanet.

Zdroj: nis2info.sk, vlastné

Prečítajte si aj:

Roman Kadlec

Roman Kadlec
Špecializujem sa na Apple, ASUS, Garmin, smart hodinky, robotické vysávače a herné zariadenia. Nájdete ma na sociálnych sieťach @roman_fitit

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.