NIS2; riziká a príležitosti pre podniky

Úvod a právne predpisy

NIS je skratka, ktorá znamená „bezpečnosť sietí a informácií“.

Touto skratkou chcelo Európske spoločenstvo označiť legislatívne úsilie zamerané na stanovenie jednotného prístupu k kybernetickej bezpečnosti vo všetkých členských štátoch EÚ.

V roku 2018 bolo prijaté prvé európske nariadenie s názvom NIS1 (smernica EÚ 2016/1148), ktoré bolo na vnútroštátnej úrovni transponované legislatívnym dekrétom č. 65 z 18. mája 2018.

Nariadenie o NIS tiež stanovilo prijatie „národnej stratégie kybernetickej bezpečnosti“ a zriadilo taliansky tím CSIRT (Computer Security Incident Response Team), ktorého úlohou je v spolupráci s európskymi tímami CSIRT vykonávať technické úlohy súvisiace s prevenciou, riešením a monitorovaním kybernetických incidentov.

Systém NIS1 bol následne nahradený systémom NIS2 (smernica EÚ 2022/2555), ktorý bol na vnútroštátnej úrovni transponovaný legislatívnym dekrétom č. 138 zo 4. septembra 2024.

Cieľom smernice NIS 2 je prekonať obmedzenia smernice NIS 1, ktorá pri transpozícii ponechala členským štátom príliš veľkú voľnosť, čo viedlo k nesplneniu cieľa harmonizácie, a ktorá zároveň vylúčila určité kategórie subjektov, ktoré mali byť regulované vzhľadom na ich význam pre európsky trh.

Okrem toho bol systém NIS2 zavedený ako reakcia na zrýchlenie digitalizácie, ku ktorému došlo vo všetkých členských štátoch a ktoré ešte urýchlila pandémia; tá totiž rozšírila priestor pre kybernetické útoky bez toho, aby došlo k zodpovedajúcemu posilneniu bezpečnostných systémov.

A napokon, ďalším cieľom smernice NIS2 je zaviazať prevádzkovateľov kľúčových a dôležitých služieb a poskytovateľov digitálnych služieb, aby prijali primerané bezpečnostné opatrenia a aby bezodkladne hlásili incidenty príslušným orgánom a používateľom svojich služieb.

Nová smernica bola zosúladená s ďalšími osobitnými európskymi odvetvovými predpismi, medzi ktoré patria:

- smernica o digitálnej prevádzkovej odolnosti vo finančnom sektore (DORA). Ide o nariadenie schválené 10. novembra 2022, ktorého cieľom je posilniť bezpečnostné opatrenia v prospech odolnosti a kybernetickej bezpečnosti finančného sektora prostredníctvom zavedenia súboru povinných bezpečnostných opatrení, ktoré zaručujú integritu informácií a kybernetickú bezpečnosť služieb;

- smernica o odolnosti kritických subjektov (CER); jej cieľom je zabezpečiť právnu jasnosť a súlad medzi jednotlivými smernicami.

Príslušné spoločnosti boli rozdelené do nasledujúcich skupín:

• Kľúčové sektory (energetika; doprava; zdravotníctvo; zásobovanie vodou; verejná správa; financie; vesmír; digitálna infraštruktúra)
• Kľúčové odvetvia (výskum; chemický priemysel; potravinárstvo; priemyselná výroba; poskytovatelia digitálnych služieb; poštové služby; odpadové hospodárstvo)
• Verejné orgány: Ústredná vláda (ústavné a ústavne relevantné orgány; Úrad predsedu vlády a ministerstvá; daňové úrady; nezávislé správne orgány) | Regionálna samospráva (regióny a autonómne provincie) | Miestna samospráva (metropolitné mestá; obce s viac ako 100 000 obyvateľmi; regionálne hlavné mestá; miestne zdravotné úrady) | Ostatné verejné subjekty (orgány hospodárskej regulácie; poskytovatelia hospodárskych služieb; združenia; poskytovatelia sociálnych, rekreačných a kultúrnych služieb; výskumné orgány a inštitúcie; experimentálne zooprofilaktické ústavy) | Ostatné typy subjektov (subjekty poskytujúce služby miestnej verejnej dopravy; vzdelávacie inštitúcie vykonávajúce výskumnú činnosť; subjekty vykonávajúce činnosti kultúrneho záujmu; interné spoločnosti; spoločnosti, do ktorých sa investuje, a spoločnosti pod verejnou kontrolou)
• Dodávatelia: organizácie, ktoré poskytujú kľúčové služby subjektom, na ktoré sa vzťahuje smernica NIS2, musia posilniť svoju digitálnu bezpečnosť, a to aj v prípade, že sú výslovne zaradené do povinných sektorov.

Obsah smernice NIS2

Všeobecné povinnosti vyplývajúce z obsahu smernice NIS2 možno zhrnúť na základe štyroch hlavných pilierov:

Riadenie: Vedenie musí schváliť opatrenia v oblasti riadenia rizík prijaté organizáciou a priebežne hodnotiť ich účinnosť: pravidelne sa zúčastňovať školení zameraných na otázky kyberbezpečnosti a ponúkať podobné školenia aj zamestnancom.

Riadenie rizík: organizácia musí posúdiť bezpečnostné a sieťové riziká a prijať primerané a úmerné technické, prevádzkové a organizačné opatrenia s cieľom predísť incidentom alebo minimalizovať ich vplyv na príjemcov jej služieb.

Kontinuita činnosti: organizácia musí zaviesť opatrenia na zabezpečenie kontinuity činnosti (napr. zálohovanie, plán obnovy po havárii a postupy krízového riadenia), ktorých cieľom je minimalizovať dopad akéhokoľvek prerušenia poskytovaných služieb.

Dodávateľský reťazec: spoločnosť musí posúdiť slabé miesta každého priameho dodávateľa, ako aj celkovú kvalitu produktov a postupov v oblasti kybernetickej bezpečnosti svojich dodávateľov. Posúdenie sa bude týkať dodávateľov IKT a ďalších kľúčových dodávateľov, ktorí by mohli spôsobiť narušenie služby, pre ktorú bola organizácia zaradená do rozsahu pôsobnosti smernice NIS2.

Spoločnosti budú preto povinné byť schopné merať a podávať správy o:

• Analýza rizík a zásady bezpečnosti informačných systémov
• Postupy riadenia incidentov
• Riešenia na zabezpečenie nepretržitej prevádzky (zálohovanie a obnova po havárii) a postupy krízového riadenia a komunikácie
• Zásady bezpečnosti dodávateľského reťazca (dodávatelia a poskytovatelia služieb)
• Bezpečnosť pri zavádzaní, vývoji, údržbe a správe informačných systémov a sieťových zraniteľností

Časová os NIS2

Spoločnosti a verejná správa budú musieť vykonať posúdenie, aby zistili, či sa na ne vzťahujú povinnosti vyplývajúce zo smernice NIS2.

V období od 1. decembra 2024 do 28. februára 2025 by sa spoločnosti mali prihlásiť na portáli ACN (Národná agentúra pre kyberbezpečnosť) pomocou svojich prihlasovacích údajov SPID. Počas tohto obdobia budú používatelia označení ako /Registration Service.

Konkrétne sa od spoločností vyžaduje, aby:

• Uveďte, či je subjekt súčasťou skupiny spoločností, a v prípade potreby uveďte daňové identifikačné číslo materskej spoločnosti.
  
• Uveďte zoznam pridružených spoločností a ich daňové identifikačné čísla.
  
• Uveďte kódy ATECO, ktoré opisujú činnosť subjektu.
• Uveďte príslušné sektorové nariadenia Európskej únie.
• Uveďte údaje o obrate, súvahe a počte zamestnancov, aby bolo možné určiť kategóriu spoločnosti.
• Uveďte typy subjektov, ku ktorým spoločnosť patrí.

Do 17. januára 2025 by sa na platforme mali zaregistrovať prevádzkovatelia registrov domén najvyššej úrovne, poskytovatelia služieb systému doménových mien a registrácie doménových mien, poskytovatelia cloudových služieb, dátové centrá, poskytovatelia sietí na doručovanie obsahu, poskytovatelia spravovaných služieb, poskytovatelia spravovaných bezpečnostných služieb, ako aj prevádzkovatelia online trhovísk, poskytovatelia online vyhľadávačov a poskytovatelia platforiem sociálnych sietí.

Do 31. marca 2025 zostavila ACN zoznam kľúčových a dôležitých subjektov na základe registrácií prijatých prostredníctvom platformy.

V období od 1. apríla 2025 do 15. apríla 2025 informovala ACN dotknuté subjekty o tom, či boli zaradené do zoznamu kľúčových alebo dôležitých subjektov.

Do 15. apríla 2025 boli subjekty, ktoré dostali oznámenie, povinné prostredníctvom osobitného aktu vymenovať subjekt zodpovedný za plnenie povinností vyplývajúcich z nariadenia.

Následne budú subjekty, na ktoré sa smernica vzťahuje, musieť splniť ďalšie požiadavky:

• do 1. januára 2026; povinnosť hlásiť nehody
• do 1. októbra 2026; je potrebné splniť povinnosti týkajúce sa správnych orgánov a bezpečnostných opatrení

ACN bude každý rok aktualizovať zoznam dotknutých subjektov. Spoločnosti a verejná správa budú mať možnosť zaregistrovať sa každý rok v období od januára do februára, ak sa považujú za dotknuté subjekty.

Riziká pre firmy, ale aj príležitosti

Po nadobudnutí účinnosti smernice NIS2 a identifikácii dotknutých prevádzkovateľov môžu príslušné orgány vykonávať dohľad a náhodné kontroly s cieľom overiť, či dodržiavajú ustanovenia smernice. V prípade nedodržania predpisov budú dotknutým spoločnostiam uložené sankcie.

Sankcie sú veľmi prísne: pre veľké podniky až 10 miliónov eur alebo 2 % celosvetového obratu; pre stredné podniky až 7 miliónov eur alebo 1,4 % celosvetového obratu.

Hoci dodržiavanie predpisov si zo strany podnikov vyžaduje značné úsilie a investície, treba si zároveň uvedomiť, že samotné predpisy sa snažia priniesť podstatné riešenie problému kybernetických útokov, voči ktorým sú talianske podniky stále veľmi zraniteľné a ktoré z dôvodov ochrany svojej reputácie často zamlčujú. Z ekonomického hľadiska sa odhadovaná priemerná škoda spôsobená jedným kybernetickým útokom pohybuje nad hranicou 2 miliónov eur, a to bez ohľadu na obrat daného podniku.

Ako môže ERA pomôcť pri riadení súladu s nariadením NIS2

Napriek všetkému uvedenému, čo by mohlo naznačovať, že firmy prejavujú o otázky kybernetickej bezpečnosti veľký záujem a aktívne sa nimi zaoberajú, nie je zriedkavé – najmä medzi malými a strednými podnikmi – nájsť firmy, ktoré v tejto oblasti urobili len málo alebo vôbec nič a v súčasnosti nie sú schopné zhodnotiť svoju situáciu z hľadiska rizík, ktorým sú vystavené, a to tak z technického hľadiska, ako aj z hľadiska dodržiavania rôznych platných predpisov.

Niektoré spoločnosti riešia otázku kyberbezpečnosti prostredníctvom poistného krytia. Poisťovne sa však často zdráhajú ponúknuť tento typ ochrany spoločnostiam, ktoré nikdy nepodnikli konkrétne kroky v kybernetickej sfére. Dôvodom je skutočnosť, že neexistuje spoľahlivá metóda na presné odhadnutie škôd spôsobených kybernetickým útokom. V dôsledku toho sa „balíky NIS2“ zameriavajú na služby posudzovania kybernetických rizík, ale ponechávajú na spoločnostiach, aby prijali potrebné opatrenia na odstránenie akýchkoľvek nedostatkov. Spoločnosť ERA môže ponúknuť komplexnejšie služby, pričom sa opiera o sieť vysoko kvalifikovaných dodávateľov za veľmi konkurencieschopných obchodných podmienok.

Konkrétne; Podpora zo strany ERA zahŕňa:

• Posúdenie organizačnej a technickej štruktúry spoločnosti; s využitím dotazníkov na sebahodnotenie na základe vopred stanovených ukazovateľov;
• Školenia zamerané na zvyšovanie povedomia; vrátane základných kurzov pre všetkých zamestnancov a pokročilých modulov pre vrcholový a stredný manažment; v súlade s usmerneniami NIS2;
• Špecifické a vysoko kvalifikované testy v oblasti analýzy zraniteľnosti; riešenie phishingu a posudzovanie rizík spojených s ransomwarom;
• Podpora zo strany špecializovaných konzultantov počas fázy nápravy po vykonaní posúdenia;
• Odborná podpora zo strany špecializovaných konzultantov pri strategickom rozhodovaní v oblasti kyberbezpečnosti.

Naše riešenie zahŕňa analýzu súladu s nariadením NIS2, čo je nepochybne najnaliehavejšia úloha; môžeme však zákazníkovi pomáhať aj pri riadení projektu v nápravnej fáze, t. j. vo fáze, v ktorej musí zákazník odstrániť rôzne „nedostatky“ zistené v rámci diagnostického procesu; práve v tejto fáze sa najviac prejavujú ťažkosti niektorých spoločností, a to tak z hľadiska interných zručností, ako aj dostupnosti času a zdrojov.