Čo môžu firmy očakávať od NIS2?

Informačná alebo kybernetická bezpečnosť už je súčasťou našich životov a nedá sa bez nej fungovať. Tak, ako berieme automaticky, že sa v aute pripútame, že použijeme elektronický zámok pri vstupe do “paneláku”, tak potrebujeme aj nejaký základ informačnej a kybernetickej bezpečnosti. Sila bezpečnostných opatrení bude daná možnými dopadmi na spoločnosť, počtom a dôležitosťou aktív - teda na základe analýzy rizík, ktorú si daná spoločnosť spraví. Okrem toho, že legislatíva alebo štandardy vyžadujú a budú vyžadovať nejaké povinnosti od organizácií, tak je to zároveň aj prirodzený vývoj v spoločnosti. 


Nadobudnutie platnosti a rozsah pôsobnosti 

1. januára 2023 bola zverejnená európska smernica NIS2 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v EÚ (2022/2555). V danú dobu to väčšina organizácií ani nepostrehla. Aj z dôvodu, že táto smernica musí byť prenesená do národných legislatív. Termín, kedy má začať platiť je 17. 10. 2024, na Slovensku dúfame v termín 1. 1. 2025. To už je pomerne blízko a táto téma sa začína skloňovať pomerne často. Je to dané aj jej dopadom - zahŕňa 18 segmentov národného hospodárstva a odhaduje sa, že len na Slovensku to bude do 5000 organizácií, z toho cez 3400 podnikov. Ak si chcete byť istý, či segment hospodárstva, kde pôsobíte, spadá pod tento zákon, tak odporúčame prílohu č. 1 a č. 2 návrhu novely zákona, kde sú prehľadne v tabuľke sumarizované jednotlivé odvetvia.

Zistiť, či podnik bude spadať pod pripravovanú reguláciu je pomerne jednoduché:

  • ak spadáte do niektorého z 18-tich segmentov,

  • spĺňate minimálne definíciu pre stredný podnik,

tak budete spadať minimálne do základného režimu (prevádzkovateľ základnej služby). 


Ak:

  • presahujete definíciu stredného podniku,

  • spadáte do niektorého z 11-segmentov, 

tak budete v prísnejšom režime (prevádzkovateľ kritickej základnej služby, viac o oboch definíciach v §17 a §18 návrhu novely zákona). 

18 segmentov hospodárstva dotknutých NIS2 


Existujú aj viaceré výnimky, kedy sa vás zákon bude týkať, aj nie je podstatná veľkosť podniku (napríklad poskytuje službu DNS). Je to z toho dôvodu, že daný segment je dôležitý pre štát a incident by mohol spôsobiť reťazovú reakciu. Ďalším spôsobom, ako sa dostať pod vplyv tohto zákona je, ak ste významným dodávateľom z pohľadu vplyvu dostupnosti, dôvernosti a integrity prevádzky sietí a informačných systémov prevádzkovateľa základnej služby. Pre tento účel má dodávateľ postavenia poskytovateľa základnej služby a teda bude musieť plniť podmienky dané týmto zákonom. Dokonca, ak by sa jednalo o významnú dodávku pre poskytovateľa kritickej základnej služby, tak kontrolu bude môcť vykonávať aj priamo Národný bezpečnostný úrad (NBÚ).

Návrh novely zákona je v súčasnosti v legislatívnom procese a zapracovávajú sa pripomienky, ktoré boli obdržané. Nevieme zatiaľ návrh textácie nových vyhlášok, takže ťažko hodnotiť celkové povinnosti organizácií. Je však pravdepodobné, že nedôjde ku skokovej zmene oproti súčasnému stavu. Teda, ak ste spadali pod zákon 69/2018 o kyberbezpečnosti, tak to pre vás veľká zmena nebude, a zároveň pre vás bude platiť prechodné obdobie až do 31.12.2026, do kedy budete musieť zosúladiť svoje súčasné nastavenie v organizácii. Ak je táto legislatíva pre vás nová, tak budete mať 12 mesiacov odo dňa zápisu do registra poskytovateľov základných služieb, do ktorého vás zapíše NBÚ podľa zákonom vymenovaných dôvodov.

Čo ak si firmy nesplnia povinnosti

Legislatíva pamätá aj na “nespolupracujúce” organizácie, okrem iného zavádza pokuty:

  • Pri základnej službe - do 7 000 000 eur, resp. do 1,4% celosvetového ročného obratu - platí suma, ktorá je vyššia.

  • Pri kritickej základnej službe - do 10 000 000 eur, resp. do 2% celosvetového ročného obratu - platí suma, ktorá je vyššia.

Čo je zaujímavé, tak sa objavuje zodpovednosť štatutárneho orgánu v organizácii. Ak by sa vyhýbala plneniu svojich povinností, tak okrem pokút, je možné aj zakázať vykonávanie funkcie členom štatutárneho orgánu až do odstránenia nedostatkov.

Ak dodržiavate (alebo ste certifikovaný) ISO 27001, tak veľmi zjednodušene bude zákon pre vás nový vstup pre ohraničenie vášho ISMS a najväčšie zmena bude pre vás komunikácia so štátom v prípade bezpečnostných incidentov. Ak budete mať polemiku, ako postupovať pri implementácií vo svojej firme, veľmi užitočnými môžu byť pre vás ISO 27002 alebo NIST CSF 2.0. 


NIS2 pamätá na viacero dôležitých konceptov - medzi inými aj Zero trust, z ktorého je aj samostatne spomenutá správa identít a prístupov. Obe sú nevyhnutné najmä v dnešnej dobe, kedy množstvo zamestnancov pracuje z domu, dáta sú uložené v cloudoch, mimo firemných serverovní. Bez vytvorenej správy aktív a správy identít a prístupov je veľmi náročné vybudovať efektívnu kybernetickú bezpečnosť. České návrhy vyhlášok k NIS2 im venujú samostatné časti. V smernici sa tiež zvýrazňuje rola open source prístupu, ktorý má pozitívny vplyv na inovácie, otvorené štandardy môžu pomôcť pred tzv. vendor lock-om - extrémnou náročnosťou, až nemožnosťou migrácie od jedného produktu k druhému.



Autorom článku je Peter Pištek, audítor a CEO firmy Securedo.

Aj túto aktivitu sme prinášame vďaka grantovej podpore Center for International Enterprise. Ak Vás táto téma zaujala, neváhajte nás kontaktovať. Ďalšie témy zo sveta kybernetickej bezpečnosti prinesieme čoskoro.

Previous
Previous

Bridging Bratislava & Vienna Innovation

Next
Next

Sme súčasťou Woman4 Cyber Slovakia