Máte obavy zo smernice NIS2?
Najprv si ujasnime, čo smernica NIS2 je a čo obsahuje. Ide o aktualizovanú legislatívu EÚ, ktorá by mala nahradiť pôvodnú smernicu NIS. Hlavným cieľom je zvýšiť úroveň kybernetickej bezpečnosti všetkých členských štátov a zároveň zlepšiť ochranu infraštruktúry kritických a dôležitých spoločností.
Smernica bola prenesená do prvého návrhu nového kybernetického zákona Slovenskej republiky a aktuálne je v medzirezortnom pripomienkovom konaní. Tento proces obsahuje vyjadrenia a návrhy od rôznych ministerstiev, odbornej obce a aj širokej verejnosti, ktoré stále môžu ovplyvniť konečné znenie tejto legislatívy. Schválenie definitívnej podoby zákona musí prebehnúť do dátumu 17. október 2024, ktorý konečný termín stanovený Európskou úniou. Zákon tak začne platiť niekoľko mesiacov po schválení a to už 1. januára 2025. To je pre dotknuté subjekty dosť šibeničný čas nielen na prípravu, ale aj implementáciu potrebných opatrení.
Koho sa smernica NIS2 týka?
Oproti pôvodnej NIS smernici sa dosť rozširuje rozsah pôsobnosti. Ide o zahŕňanie širšieho spektra pôsobnosti sektorov a to vrátane zdravotníctva, dopravy, energetiky, odpadového a vodného hospodárstva, ako aj finančných a digitálnych zdrojov. Spadajú sem aj poskytovatelia cloudových služieb a online trhoviská. Neobíde to ani výrobný sektor a smernica sa dotkne výrobcov zdravotných pomôcok, strojov, elektronických zariadení, ako aj motorových vozidiel a iných dopravných prostriedkov. Ak by sme to mali zhrnúť, tak smernica NIS2 sa dotkne pibližne 7000 organizácií priamo na Slovensku.
Aké povinnosti a opatrenia musia organizácie splniť?
- zistiť, identifikovať a zaevidovať bezpečnostné incidenty
- dôležitá je tvorba postupov pri riešení incidentov a plán na obnovu a chod po incidente
- nevyhnutná je kompletná analýza rizík
- určenie osoby zodpovednej za kybernetickú bezpečnosť (prijímanie a evidencia hlásení)
- zabezpečenie pravidelného školenia zamestnancov kybernetickej bezpečnosti na každej úrovni
Odkedy nadobudne účinnosť NIS2?
Plánovaná účinnosť tejto smernice sa datuje k 1.1.2025. Organizácie, ktoré do toho spadajú budú mať 12 mesiacov na to, aby sa dokázali zosúladiť so všetkým požiadavkami.
Sankcie za porušenie povinností
Ak organizácia nesplní požiadavky smernice NIS2 môže to viesť k vysokým finančným sankciám a to až do výšky 10 miliónov EUR alebo 2 % z čistého ročného obratu. Záleží to od toho, ktorá suma je vyššia. To sa dotkne hlavne prevádzkovateľov kritických služieb. Pri prevádzkovateľoch štandardnej služby to môže byť 7 miliónov EUR alebo 1,4 % z obratu. Každopádne ide o dosť významnú sumu a kontrolný úrad môže udeliť opakovanú sankciu do výšky dvojnásobku týchto limitov.
Vplyv NIS2 pre malé a stredné podniky
Aj keď sa NIS2 zameriava v prvom rade na veľké organizácie a tie, ktoré sú kľúčovým poskytovateľom služieb, neobíde to ani malé a stredné podniky pre konkrétne sektory, dodávateľské reťazce a iné.
Je rozumné už teraz konzultovať smernicu NIS2 a riešiť, ako sa to dotkne práve vašej firmy, sektoru a čo môžete urobiť. Kyberbezpečnosť je v dnešnej dobe nevyhnutá a každá organizácia s 50 a viac zamestnancov to robí v prvom rade pre seba a nie kvôli nariadeniu.
Sektory, ktoré do toho spadajú
- zdravotníctvo
- doprava
- energetika
- bankovníctvo
- finančné trhy
- digitálna infraštruktúra
- riadenie služieb IKT
- verejná správa
- vesmír
- voda a atmosféra
- výroba (vybrané výrobné sektory)
- výskum
- odpadové hospodárstvo
- chemický priemysel
- potravinárstvo
- digitálne služby
- pošta a kuriérske služby
Povinnosť týchto sektorov spočíva v splnení ohlásenia voči NBÚ (národný bezpečnostný úrad). Identifikovanie a evidencia bezpečnostného incidentu a vytvorenie postupu a riešení incidentov s vypracovaným postupom po incidente. Vykonanie komplexnej analýzy rizík a implementácia adekvátnej sady bezpečnostných opatrení. Zodpovedná, poverená osoba o ktorej sme sa už zmienili a samozrejme školiť a znova školiť svojich zamestnancov v rámci kybernetickej bezpečnosti.
Najväčším rizikom pre organizácie je chýbajúca sieťová segmentácia, nedostatočná ochrana perimetru, nezabezpečený alebo slabo zabezpečený prístup k internetu, slabá alebo úplne chýbajúca ochrana e-mailových služieb, nízke zabezpečenie koncových staníc.
K ďalším kritickým bodom patria: nadmerné oprávnenie bežných užívateľov, absencia viacfaktorového overenie v kombinácii slabého hesla a nefunkčný cyklus užívateľských identít, neaktualizovaný hardvér a softvér obsahujúci zraniteľnosti a nízka viditeľnosť v rámci sieťovej prevádzky.
To všetko vás môže priviesť do problémov. Na konci tohto reťazca je zlý alebo chýbajúci manažment a centralizácia logov, ako aj nedostatočné zálohovanie a absencia plánov obnovy a rýchla reakcia na bezpečnostné incidenty.
Častým rizikom je slabý a nedostatočne informovaný, školený zamestnanec. Ako sa vraví, mýliť sa je ľudské a preto nepodceňujte školenie zamestnancov v tomto smere. Práve pri rutinných pracovných úkonoch vzniká trhlina pre vznik kybernetického incidentu. Dobrým postupom je využitie koncepcie Zero trust. Tá predpokladá, že žiadny používateľ, zariadenie alebo sieť nie sú automaticky dôveryhodní a to ani v rámci firemnej infraštruktúry. Organizácia sa musí zamerať aj na centrálnu správu identít a to aj tých privilegovaných.
Kybernetická bezpečnosť je dosť komplexná oblasť a v podstate neexistuje žiadne univerzálne riešenie. Dodržiavanie je vždy viac menej o ľuďoch, procesoch a technológiách. Smernica NIS2 nie je nič nové, práve naopak čerpá zo známeho konceptu bezpečnosti.