Kybernetická bezpečnosť podľa NIS2

Povinné subjekty podľa smernice NIS2

Európska smernica NIS2 rozširuje pôsobnosť pravidiel kybernetickej bezpečnosti na nové sektory aj subjekty. Slovenská legislatíva definuje dva typy regulovaných subjektov:

• Kľúčové subjekty – prevádzkujú kritické základné služby.
• Dôležité subjekty – ostatní poskytovatelia základných služieb.

Zákon sa vzťahuje na organizácie, ktoré:

• patria do určených sektorov ako energetika, zdravotníctvo, doprava, financie, potravinárstvo, verejná správa, výroba, výskum, chemický priemysel
• majú ≥ 50 zamestnancov alebo ročný obrat / súvahu ≥ 10 mil. €,
• alebo sú vymedzené ako výnimky, bez ohľadu na veľkosť (napr. ústredné orgány štátnej správy, správcovia domén, subjekty s celoštátnym vplyvom, významní dodávatelia, ktorých služby sú kritické pre ich fungovanie).

 

Kľúčové zmeny podľa smernice NIS2

• Rozšírenie regulovaných subjektov - do pôsobnosti zákona spadajú aj nové sektory ako potraviny, výroba, výskum či digitálni poskytovatelia.
• Ruší sa kategorizácia IS - zákon zjednodušuje klasifikáciu – už žiadne delenie informačných systémov do kategórií I., II. a III.
• Zodpovednosť za dodávateľský reťazec - subjekty musia identifikovať a hlásiť kľúčových dodávateľov, ktorí majú vplyv na ich kybernetickú bezpečnosť.

 

Nahlasovanie incidentov podľa smernice NIS2

Závažné incidenty treba nahlásiť NBÚ (Národný bezpečnostný úrad):

• do 24 hodín (predbežné oznámenie),
• do 72 hodín (detaily),
• do 30 dní (záverečná správa).

 

Bezpečnostné opatrenia podľa analýzy rizík

Do 12 mesiacov od zápisu do registra musia subjekty zaviesť technické a organizačné opatrenia na základe odbornej analýzy rizík.

 

Povinné audity a samohodnotenia

• Kritické subjekty musia realizovať povinný audit certifikovaným audítorom každé 2 roky.
• Nekritické subjekty musia realizovať samohodnotenie každé 2 roky + povinný audit každých 5 rokov.

 

Sankcie pri nesplnení kritérií smernice NIS2

Nesplnenie povinností môže viesť k:

• pokutám do 10 miliónov € alebo 2 % ročného obratu,
• osobnej zodpovednosti štatutára alebo vedúcich zamestnancov.

 

Implementácia smernice NIS2 s InterWay

V InterWay máme bohaté praktické skúsenosti s implementáciou NIS2 požiadaviek. Pomôžeme vám:

1. Zanalyzovať aktuálny stav a identifikovať nedostatky
2. Vypracovať bezpečnostnú dokumentáciu a opatrenia
3. Realizovať analýzu rizík
4. Zaviesť systém interného reportingu kybernetickej bezpečnosti
5. Plniť úlohu manažéra kybernetickej bezpečnosti
6. Pripraviť sa na audit alebo samohodnotenie
7. Zabezpečiť súlad s legislatívou, znížiť riziká a predísť sankciám

 

InterWay koná zodpovedne voči legislatíve

Aj InterWay, a. s. spadá pod NIS2. V roku 2024 sme zrealizovali projekt na vytvorenie komplexnej bezpečnostnej dokumentácie podľa zákona o kybernetickej bezpečnosti. Projekt bol podporený grantom FSTP/0001/2024 v spolupráci s Európskym kompetenčným centrom pre kybernetickú bezpečnosť a mechanizmom na podporu obnovy a odolnosti.