Smernica NIS 2 predstavuje významný krok v oblasti kybernetickej bezpečnosti pre Európsku úniu a teda aj Slovensko. Jej cieľom je posilniť ochranu kritickej infraštruktúry a zvýšiť odolnosť proti kybernetickým hrozbám. Zameriava sa na široké spektrum odvetví a delí subjekty na dve hlavné skupiny podľa ich dôležitosti pre bezpečnosť a fungovanie spoločnosti.
Dve skupiny podľa dôležitosti
Subjekty sú rozdelené na:
- kritické subjekty: prevádzkovatelia kritických základných služieb
- dôležité subjekty: ostatní prevádzkovatelia základných služieb
Dokopy až 18 odvetví
Smernica NIS 2 sa dotýka celkovo 18 odvetví.. Tieto odvetvia sú rozdelené medzi kritické a dôležité subjekty, pričom každá skupina má svoje špecifické oblasti pôsobenia. Ich zahrnutie do smernice je kľúčové pre komplexnú ochranu pred kybernetickými hrozbami.
Ktoré odvetvia zahŕňajú kľúčové subjekty?
Kľúčové subjekty zahŕňajú prevádzkovateľov kritických základných služieb:
- verejná správa,
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb v B2B segmente,
- vesmír,
- zdravotníctvo.
Ktoré odvetvia zahŕňajú dôležité subjekty?
Dôležité subjekty zahŕňajú ostatných prevádzkovateľov základných služieb:
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb,
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- získavanie, výroba a distribúcia chemických látok.
Ďalšie kritéria pre subjekty v týchto odvetviach
Okrem samotného odvetvia je dôležitým kritériom aj veľkosť subjektu. Smernica NIS 2 sa vzťahuje najmä na stredné a veľké podniky či organizácie, teda tie, ktoré majú:
- viac ako 50 zamestnancov
a/alebo
- ročný obrat presahujúci 10 miliónov eur.
Existujú však výnimky, kde sa smernica uplatňuje bez ohľadu na veľkosť, napríklad::
- poskytovatelia DNS služieb,
- poskytovatelia registrov názvov domén najvyššej úrovne,
- poskytovatelia verejných elektronických komunikačných služieb a sietí.
POZOR: Subjekty verejnej správy na centrálnej a regionálnej úrovni sú tiež zahrnuté bez ohľadu na veľkosť.
Nariadenia a požiadavky NIS 2
Smernica NIS 2 prináša nové nariadenia a požiadavky na posilnenie kybernetickej bezpečnosti, ktoré musia dotknuté subjekty implementovať. To zahŕňa zlepšenie schopnosti identifikovať a reagovať na kybernetické hrozby, zvýšený zabezpečenie kritických informačných systémov a infraštruktúry a pravidelné hodnotenie rizík. Subjekty musia tiež zabezpečiť kontinuitu svojich služieb a rýchle obnovenie po útokoch.
Deadline zavedenia nariadení NIS 2
Zákon, ktorý integruje smernicu NIS 2 do slovenskej legislatívy, musí byť schválený najneskôr do 17. 10. 2024. Vtedy bude stanovený aj dátum začiatku platnosti zákona. To teda poskytuje vybraným subjektom ešte niekoľko mesiacov na prípravu.
Slovensko však čelí výzvam, najmä v podobe nedostatku špecialistov na kybernetickú bezpečnosť, čo môže komplikovať implementáciu smernice. Aby ste sa teda vyhli problémom so získaním špecialistu alebo predraženým riešeniam, odporúčame začať s prípravou na NIS 2 hneď ako to je možné.
