Nové povinnosti pre organizácie v oblasti kybernetickej bezpečnosti
Nové povinnosti pre organizácie v oblasti kybernetickej bezpečnosti. Prostredníctvom európskej smernice NIS2 únia reaguje na rast digitalizácie a zavádza nové opatrenia na ochranu dôležitej infraštruktúry členských štátov. Počet organizácií v SR, ktoré sú podľa aktuálneho zákona o kybernetickej bezpečnosti povinné sa ním riadiť, výrazne vzrastie. A to z niekoľkých stoviek na tisíce.
Počty kybernetických útokov na firmy z roka na rok narastajú. Hackeri neustále zdokonaľujú svoje techniky a k útokom začínajú využívať dokonca už aj umelú inteligenciu. Aj preto je dôležité, aby boli firmy schopné odhaliť zraniteľnosti v IT infraštruktúre a ochránili tak svoje cenné dáta.
43% kybernetických útokov je zameraných na malé a stredné podniky.
Nová smernica NIS2 o kybernetickej bezpečnosti sa týka približne 3 000 slovenských firiem.
Európska smernica NIS2
Skratkou NIS2 sa označuje nová smernica Európskeho parlamentu a Rady o opatreniach k zaisteniu vysokej spoločnej úrovne kybernetickej bezpečnosti v Európskej únii. NIS2 rozširuje pôsobnosť smernice NIS1, ktorá sa vzhľadom na stále rýchlejšiu digitálnu transformáciu stala nedostatočnou.
Nová európska legislatíva stanovuje povinné zavedenie kybernetickej bezpečnosti pre štáty a organizácie v rámci Európskej únie. V jednotlivých štátoch bude NIS2 transponovaná prostredníctvom zákonov – na Slovensku je to zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti.
Hlavným cieľom európskej smernice NIS2 je dosiahnuť to, aby organizácie zavádzali bezpečnostné opatrenia na posilnenie svojej kybernetickej bezpečnosti a tým zvyšovali bezpečnosť dôležitej infraštruktúry celej spoločnosti. Do tejto skupiny povinných subjektov budú spadať všetky organizácie, ktoré poskytujú aspoň jednu službu uvedenú v prílohách smernice NIS2 a zároveň sú stredným alebo veľkým podnikom (zamestnávajú 50 a viac ľudí, alebo dosahujú ročný obrat alebo bilančné sumy ročnej súvahy aspoň 10 miliónov eur).
Začať treba čo najskôr, čas sa organizáciám kráti. Slovenská republika by síce mala mať zavedený nový rámec povinností v národnej legislatíve (formou novelizácie zákona o kybernetickej bezpečnosti a niektorých ďalších relevantných predpisov) do októbra 2024, ale Národný bezpečnostný úrad odporúča čo najskôr začať prípravné práce na prispôsobenie svojho vnútorného prostredia novým požiadavkám. Než sa organizácia pustí do zavádzania bezpečnostných opatrení a nových, s tým spojených procesov, je potrebné vykonať analýzu rizík a bezpečnostný audit. To pomôže k jednoznačnej identifikácii rizikových oblastí, kritických miest, na ktoré bude jednoduchšie aplikovať bezpečnostné opatrenia.
Služby z prílohy smernice NIS2
- Energetika
- Vesmír
- Doprava
- Poštové služby
- Bankovníctvo
- Odpadové hospodárstvo
- Infraštruktúra finančných trhov
- Chemický priemysel
- Zdravotníctvo
- Potravinárstvo
- Pitná a odpadová voda
- Výroba
- Digitálna infraštruktúra
- Výskum
- Poskytovatelia ICT služieb
- Poskytovatelia digitálnych služieb
- Verejná správa
Pre množstvo organizácií bývajú nové povinnosti vyplývajúce z európskej legislatívy náročné nielen finančne, ale aj administratívne a procesne. A to aj z dôvodu zložitého výkladu legislatívnych predpisov. Preto odporúčame obrátiť sa na odborníkov, ktorí dokážu nájsť najmenej nákladné a efektívne riešenie v súlade s európskymi požiadavkami. Také ponúka napr. aj spoločnosť IXPERIA či DIGMIA.
Okrem poradenskej činnosti v oblasti kybernetickej bezpečnosti ponúkajú služby monitorovania hrozieb a zabezpečenia sietí, vyhodnotenie pripravenosti spoločnosti na audit formou rozdielovej analýzy nastavenia procesov, systémov a dokumentácie voči požiadavkám zákona, realizáciu auditu podľa zákona o kybernetickej bezpečnosti certifikovaným audítorom a poskytuje služieb externého manažéra kybernetickej bezpečnosti (CISO) pre zaistenie ochrany informačných aktív spoločnosti až po prípravu na certifikáciu v oblasti informačnej bezpečnosti (ISO 27001).