Smernica NIS2 a kybernetická bezpečnosť

Smernica NIS2 je aktualizovaná legislatíva EÚ, ktorá nahrádza pôvodnú smernicu NIS. Hlavným cieľom je zvýšiť úroveň kybernetickej bezpečnosti vo všetkých členských štátoch a posilniť ochranu infraštruktúry kritických a dôležitých organizácií.

Smernica bola zapracovaná do prvého návrhu nového kybernetického zákona Slovenskej republiky a aktuálne prechádza medzirezortným pripomienkovým konaním. Do tohto procesu vstupujú ministerstvá, odborná obec aj širšia verejnosť a ich pripomienky môžu ovplyvniť konečné znenie zákona. Schválenie definitívnej podoby zákona musí prebehnúť do 17. októbra 2024, čo je konečný termín stanovený Európskou úniou. Zákon tak začne platiť 1. januára 2025, čo pre dotknuté subjekty znamená krátky čas na prípravu aj implementáciu opatrení.

Koho sa smernica NIS2 týka?

Oproti pôvodnej smernici NIS sa výrazne rozširuje rozsah pôsobnosti. Nová smernica zahŕňa širšie spektrum sektorov: zdravotníctvo, dopravu, energetiku, odpadové a vodné hospodárstvo, finančné a digitálne služby. Vzťahuje sa aj na poskytovateľov cloudových služieb a online trhoviská. Dotknutý je aj výrobný sektor: výrobcovia zdravotných pomôcok, strojov, elektronických zariadení, motorových vozidiel a iných dopravných prostriedkov. Celkovo sa smernica NIS2 dotkne približne 7 000 organizácií priamo na Slovensku.

Aké povinnosti musia organizácie splniť?

• Zistiť, identifikovať a zaevidovať bezpečnostné incidenty.
• Vypracovať postupy riešenia incidentov vrátane plánu obnovy a kontinuity prevádzky.
• Vykonať komplexnú analýzu rizík.
• Určiť osobu zodpovednú za kybernetickú bezpečnosť.
• Zabezpečiť pravidelné školenia zamestnancov na všetkých úrovniach.

Odkedy nadobúda NIS2 účinnosť?

Plánovaná účinnosť smernice je od 1. januára 2025. Organizácie, ktorých sa smernica týka, majú po nadobudnutí účinnosti 12 mesiacov na zosúladenie so všetkými požiadavkami.

Sankcie za porušenie povinností

Nesplnenie požiadaviek smernice NIS2 môže viesť k vysokým finančným sankciám. Pre prevádzkovateľov kritických služieb hrozí pokuta až do výšky 10 miliónov EUR alebo 2 % z čistého ročného obratu, podľa toho, ktorá suma je vyššia. Pri prevádzkovateľoch štandardných služieb je strop 7 miliónov EUR alebo 1,4 % z obratu. Kontrolný úrad môže udeliť opakovanú sankciu až do dvojnásobku týchto limitov.

Vplyv NIS2 na malé a stredné podniky

Aj keď sa NIS2 zameriava predovšetkým na veľké organizácie a kľúčových poskytovateľov služieb, dotkne sa aj malých a stredných podnikov v konkrétnych sektoroch a dodávateľských reťazcoch.

Riešiť súlad so smernicou je rozumné začať čo najskôr. Kybernetická bezpečnosť je dnes nevyhnutnosťou a každá organizácia s 50 a viac zamestnancami by ju mala riešiť v prvom rade vo vlastnom záujme, nie len kvôli regulačnej povinnosti.

Sektory, ktorých sa smernica týka

• zdravotníctvo
• doprava
• energetika
• bankovníctvo
• finančné trhy
• digitálna infraštruktúra
• riadenie služieb IKT
• verejná správa
• vesmír
• voda a odpadové hospodárstvo
• výroba (vybrané sektory)
• výskum
• chemický priemysel
• potravinárstvo
• digitálne služby
• pošta a kuriérske služby

Čo konkrétne musí každý sektor splniť?

Organizácie v uvedených sektoroch sú povinné ohlásiť sa voči NBÚ (Národný bezpečnostný úrad), identifikovať a evidovať bezpečnostné incidenty, vypracovať postupy ich riešenia vrátane plánu obnovy, vykonať analýzu rizík a zaviesť primerané bezpečnostné opatrenia. Nevyhnutná je aj poverená zodpovedná osoba a pravidelné školenia zamestnancov.

Najčastejšie bezpečnostné riziká

Najväčšími rizikami pre organizácie sú: chýbajúca sieťová segmentácia, nedostatočná ochrana perimetra, nezabezpečený prístup k internetu, slabá ochrana e-mailových služieb a nízke zabezpečenie koncových staníc.

Ďalšie kritické slabiny zahŕňajú nadmerné oprávnenia bežných používateľov, absenciu viacfaktorového overovania, slabé heslá, nefunkčný cyklus správy identít, zastaraný hardvér a softvér so známymi zraniteľnosťami a nízku viditeľnosť sieťovej prevádzky.

Na konci tohto reťazca stojí zlý alebo chýbajúci manažment logov, nedostatočné zálohovanie a absencia plánov obnovy a rýchlej reakcie na incidenty.

Osobitným rizikom zostáva nedostatočne vyškolený zamestnanec. Práve pri rutinných pracovných úkonoch vzniká priestor pre kybernetický incident. Osvedčeným prístupom je koncept Zero Trust, ktorý predpokladá, že žiadny používateľ, zariadenie ani sieť nie sú automaticky dôveryhodné, ani v rámci internej firemnej infraštruktúry. Organizácie by sa mali zamerať aj na centrálnu správu identít vrátane privilegovaných účtov.

Kybernetická bezpečnosť je komplexná oblasť bez univerzálneho riešenia. Vždy ide o kombináciu ľudí, procesov a technológií. Smernica NIS2 neprináša zásadne nové koncepty, vychádza z overených princípov bezpečnosti, ktoré by mali byť štandardom každej zodpovednej organizácie.