NIS2 v praxi: 10 konkrétnych povinností, ktoré musí vaša organizácia splniť

admin

Smernica NIS2 platí od októbra 2024. Zákon o kybernetickej bezpečnosti, ktorý ju na Slovensku transponuje, rozšíril okruh povinných subjektov na tisíce organizácií, ktoré predtým nemali žiadnu formálnu regulačnú povinnosť v oblasti kybernetickej bezpečnosti. Veľká časť z nich stále nevie, že sa ich NIS2 týka. Menšia časť vie, ale nevie čo konkrétne urobiť. Tento článok je pre obe skupiny.

Čo je NIS2 a prečo je iná ako NIS1

NIS2 (smernica EÚ 2022/2555 o opatreniach pre vysokú spoločnú úroveň kybernetickej bezpečnosti) je nástupca pôvodnej smernice NIS z roku 2016. Zmeny sú zásadné — nie kozmetické:

  • Rozsah sa rozšíril radikálne — NIS1 pokrývala úzku skupinu prevádzkovateľov základných služieb (energia, doprava, zdravotníctvo, bankovníctvo). NIS2 pridáva desiatky nových sektorov vrátane verejnej správy, potravinárstva, výroby, výskumu, odpadového hospodárstva, poštových služieb a ďalších
  • Pribudli strední a väčší poskytovatelia digitálnych služieb — cloudové platformy, dátové centrá, managed service provideri, poskytovatelia DNS
  • Osobná zodpovednosť manažmentu — štatutárne orgány môžu byť sankcionované osobne za zlyhania v oblasti kybernetickej bezpečnosti
  • Prísnejšie sankcie — až 10 000 000 € alebo 2 % celkového ročného obratu (podľa toho, čo je vyššie) pre dôležité subjekty; až 7 000 000 € alebo 1,4 % pre menej dôležité
  • Prísnejšie požiadavky na hlásenie incidentov — počiatočné upozornenie do 24 hodín, plné hlásenie do 72 hodín
NIS2 smernica kybernetická bezpečnosť EÚ
NIS2 nie je aktualizácia NIS1. Je to zásadná zmena v rozsahu a hĺbke regulácie kybernetickej bezpečnosti v EÚ.

Koho sa NIS2 týka na Slovensku

NIS2 rozlišuje dve kategórie subjektov — základné (essential) a dôležité (important) — podľa sektora a veľkosti organizácie. Veľkostné kritériá: stredné podniky (50+ zamestnancov alebo obrat/bilancia 10+ M€) a veľké podniky (250+ zamestnancov alebo obrat 50+ M€).

SektorKategória
Energia (elektrina, plyn, ropa, vodík)Základné
Doprava (letecká, železničná, vodná, cestná)Základné
Bankovníctvo a finančná infraštruktúraZákladné
Zdravotníctvo (nemocnice, výskum, farmaciá)Základné
Pitná a odpadová vodaZákladné
Digitálna infraštruktúra (DNS, cloud, DC, CDN)Základné
Verejná správaZákladné
VesmírZákladné
Poštové a kuriérske službyDôležité
Odpadové hospodárstvoDôležité
Výroba (zdravotnícke pomôcky, elektronika, stroje, motorové vozidlá)Dôležité
Potraviny (výroba, spracovanie, distribúcia)Dôležité
Digitálni poskytovatelia (online trhoviská, vyhľadávače, sociálne siete)Dôležité
Výskum a vývojDôležité

Dôležité upozornenie: regulátor môže zaradiť organizáciu do povinného okruhu aj mimo týchto kritérií, ak je jej výpadok kritický pre spoločnosť alebo ekonomiku — napríklad jediný dominantný dodávateľ v regióne bez ohľadu na veľkosť.

10 konkrétnych povinností, ktoré NIS2 vyžaduje

Článok 21 smernice NIS2 definuje minimálne bezpečnostné opatrenia. Nie sú to odporúčania — sú to záväzné požiadavky, ktorých splnenie musí organizácia vedieť preukázať:

1. Politiky analýzy rizík a bezpečnosti informačných systémov

Organizácia musí mať formalizovaný proces hodnotenia rizík — zdokumentovaný, pravidelne revidovaný a schválený vedením. Nestačí ad-hoc úsudok IT oddelenia. Hodnotenie rizík musí byť systematické, opakovateľné a auditovateľné.

2. Riešenie incidentov

Definovaný proces detekcie, klasifikácie, eskalácie a riešenia bezpečnostných incidentov. Vrátane povinnosti hlásiť závažné incidenty Národnému centru kybernetickej bezpečnosti (NBÚ): počiatočné upozornenie do 24 hodín, podrobné hlásenie do 72 hodín, záverečná správa do 1 mesiaca.

3. Kontinuita prevádzky a krízové riadenie

Plány obnovy (BCP/DRP) s definovanými cieľmi RTO (Recovery Time Objective) a RPO (Recovery Point Objective) pre kritické systémy. Zálohovanie a obnova musia byť otestované — nestačí mať plán na papieri.

4. Bezpečnosť dodávateľského reťazca

Hodnotenie bezpečnostných rizík u priamych dodávateľov a poskytovateľov služieb. Organizácia zodpovedá za kybernetickú bezpečnosť svojho supply chain — ak váš IKT dodávateľ nemá adekvátne opatrenia a stane sa vstupnou bránou útoku, zodpovedáte aj vy.

5. Bezpečnosť pri obstarávaní a vývoji sietí a systémov

Bezpečnostné požiadavky musia byť súčasťou procesu obstarávania IKT produktov a služieb — vrátane požiadaviek na záplaty, konfiguráciu a zverejňovanie zraniteľností.

6. Posúdenie efektívnosti riadenia kybernetickej bezpečnosti

Pravidelné hodnotenie, či zavedené opatrenia skutočne fungujú — vrátane interných auditov, penetračných testov a preskúmaní vedením. Efektívnosť musí byť merateľná a meraná.

7. Základná kybernetická hygiena a školenia

Dokumentované školenia pre všetkých zamestnancov, nie len IT. Kybernetická hygiena (silné heslá, MFA, aktualizácie, rozoznanie phishingu) musí byť preukázateľnou súčasťou onboardingu a pravidelného vzdelávania.

8. Politiky a postupy týkajúce sa kryptografie

Formalizované pravidlá pre používanie šifrovania — kde, kedy a aké algoritmy sú povolené. Vrátane správy kľúčov a certifikátov.

9. Bezpečnosť ľudských zdrojov a riadenie prístupu

Procesy pozaďových previerok, offboardingu (odobratie prístupov v deň odchodu), princíp najmenšieho privilégia a správa privilegovaných účtov. MFA pre prístupy k citlivým systémom je de facto požiadavka.

10. Používanie multi-faktorovej autentifikácie a šifrovania komunikácie

MFA pre vzdialené prístupy, privilegované účty a kritické systémy. Šifrovaná komunikácia pre prenos citlivých dát. Toto nie je odporúčanie — je to explicitná požiadavka NIS2.

NIS2 implementácia a kybernetická bezpečnosť v praxi
10 povinností NIS2 — každá s požiadavkou na preukázateľnosť, nie len splnenie.

Zodpovednosť manažmentu: čo NIS2 mení pre štatutárne orgány

Toto je najvýznamnejšia zmena oproti predchádzajúcej regulácii, na ktorú mnohé organizácie ešte nereagovali. NIS2 explicitne vyžaduje:

  • Schválenie bezpečnostných opatrení štatutárnym orgánom (predstavenstvo, konatelia)
  • Dohľad nad implementáciou opatrení na úrovni vedenia — nie delegovanie bez kontroly
  • Absolvovanie školení v oblasti kybernetickej bezpečnosti členmi štatutárneho orgánu
  • Osobná zodpovednosť — členovia vedenia môžu byť dočasne diskvalifikovaní z riadiacich funkcií pri opakovanom porušení

Praktický dopad: kybernetická bezpečnosť sa nemôže ďalej skrývať v IT oddelení ako technická agenda. Musí byť pravidelnou súčasťou rokovaní vedenia s formálnymi výstupmi — zápisnicami, rozhodnutiami, schválenými dokumentmi.

NIS2 vs. ISO 27001: pokrýva certifikácia súlad s NIS2?

Bežná otázka: “Máme ISO 27001 — sme automaticky v súlade s NIS2?” Odpoveď je: čiastočne áno, ale nie úplne.

ISO 27001 je dobrý základ. Mnohé požiadavky NIS2 — riadenie rizík, správa incidentov, kontinuita, školenia, riadenie dodávateľov — sú pokryté alebo sa výrazne prekrývajú s ISO 27001 kontrolami. Rozdiel je v niekoľkých oblastiach:

  • Hlásenie incidentov regulátorovi — ISO 27001 nevyžaduje externé hlásenie s konkrétnymi termínmi; NIS2 áno
  • Osobná zodpovednosť manažmentu — ISO 27001 zapája vedenie, ale nie na úrovni osobnej právnej zodpovednosti
  • Bezpečnosť supply chain — NIS2 je v tejto oblasti explicitnejšia a prísnejšia
  • MFA ako explicitná požiadavka — ISO 27001 to odporúča v kontexte riadenia prístupu; NIS2 to priamo vyžaduje

Záver: ISO 27001 výrazne skráti cestu k NIS2 súladu — ale nezamení ho. Organizácie s certifikáciou potrebujú doplniť špecifické NIS2 požiadavky, nie implementovať všetko od začiatku.

Compliance manažér pracujúci s NIS2 požiadavkami
ISO 27001 je dobrý základ. Nie je to kompletné riešenie NIS2 súladu.

Kde väčšina organizácií zaostáva: päť kritických medzier

Na základe skúseností z praxe identifikujeme päť oblastí, kde je implementačný deficit najväčší:

  • Neexistujúci alebo neaktuálny register dodávateľov — organizácie nevedia vymenovať všetkých IKT dodávateľov s prístupom k ich systémom, nehovoriac o hodnotení ich bezpečnostného profilu
  • Incident management bez termínov — procesy riešenia incidentov existujú, ale chýbajú formalizované postupy pre klasifikáciu “závažný incident” a eskaláciu do 24 hodín; v stresovej situácii sa spoliehajú na improvizáciu
  • BCP/DRP plány na papieri — zálohovacie plány a plány obnovy existujú, ale posledný test obnovy bol pred rokom a pol — alebo nikdy
  • Manažment nie je zapojený — vedenie podpísalo bezpečnostnú politiku, ale nevie ju vysvetliť a nezúčastňuje sa pravidelných preskúmaní; pri dohľadovom audite to bude viditeľné okamžite
  • Školenia bez dôkazov — zamestnanci boli informovaní ústne alebo e-mailom, bez záznamu o absolvovaní; toto nestačí pre preukázateľnosť NIS2 požiadavky

Ako vyzerá praktická implementácia: päť krokov

Ak vaša organizácia patrí do rozsahu NIS2 a implementácia ešte nezačala alebo stagnuje, odporúčame tento postup:

  • Krok 1 — Potvrdte, či sa vás NIS2 týka: overte sektor, veľkosť a prípadné špecifické zaradenie. Na Slovensku je gestorom NBÚ (Národný bezpečnostný úrad). Niektoré organizácie sú povinné sa samy registrovať.
  • Krok 2 — Gap analýza voči 10 povinnostiam: systematické porovnanie aktuálneho stavu s každou z povinností NIS2. Výstupom je prioritizovaný plán s reálnymi odhadmi zdrojov a časov.
  • Krok 3 — Formalizujte incident management: toto je najčastejší dôvod zlyhaní pri dohľadových kontrolách. Zdokumentujte proces klasifikácie, eskalácie a hlásenia so zodpovednosťami a hodinovými termínmi.
  • Krok 4 — Zapojte vedenie: prezentujte NIS2 požiadavky štatutárnym orgánom, nastavte pravidelný reporting o stave kybernetickej bezpečnosti, zaistite absolvovanie školení. Dokumentujte zápisnicami.
  • Krok 5 — Zaveďte systémový nástroj pre správu súladu: ručná správa NIS2 povinností v Exceli je krátkodobé riešenie. Pre preukázateľnosť, audit trail a dlhodobú udržateľnosť potrebujete platformu, ktorá sleduje stav každej požiadavky, vlastníkov a termíny — a automaticky generuje dôkazy pre regulátora.

Sankcie a dohľad: čo hrozí za nesúlad

NBÚ má od účinnosti zákona o kybernetickej bezpečnosti právomoc vykonávať dohľad, nariaďovať nápravné opatrenia a ukladať sankcie. Výška pokút:

  • Základné subjekty: až 10 000 000 € alebo 2 % celkového ročného svetového obratu
  • Dôležité subjekty: až 7 000 000 € alebo 1,4 % celkového ročného svetového obratu
  • Fyzické osoby / manažment: osobná zodpovednosť vrátane dočasného zákazu výkonu riadiacej funkcie

Dohľadové aktivity NBÚ zahŕňajú dokumentačné audity, priame inšpekcie aj reaktívne preverovanie po nahlásení incidentu. Organizácie, ktoré nenotifikujú závažný incident v zákonných termínoch, čelia nielen sankcii za incident samotný, ale aj za nesplnenie oznamovacej povinnosti.

NIS2 sankcie a regulačný dohľad na Slovensku
Sankcie za nesúlad s NIS2 sú konkrétne. Regulátor má právomoci aj vôľu ich uplatňovať.

Záver: NIS2 nie je IT projekt — je to organizačná transformácia

Organizácie, ktoré NIS2 delegujú výhradne na IT oddelenie, nepochopia podstatu smernice. NIS2 vyžaduje zmenu v tom, ako organizácia ako celok — vedenie, HR, právnici, IT, prevádzka — pristupuje ku kybernetickej bezpečnosti. Nie ako k technickej úlohe, ale ako k riadiacemu procesu s merateľnými výsledkami a právnou zodpovednosťou.

Dobrá správa: organizácie, ktoré NIS2 uchopiť správne — so systémovým nástrojom, zapojením vedenia a pravidelným cyklom hodnotenia — získajú nielen regulačný súlad. Získajú skutočne fungujúci systém riadenia kybernetickej bezpečnosti, ktorý znižuje pravdepodobnosť incidentu a zmenšuje jeho dopad. A to je návratnosť, ktorú žiadna pokuta neilustruje lepšie ako jej absencia.

Ak chcete vedieť, či sa NIS2 vzťahuje na vašu organizáciu a kde presne stojíte voči jej požiadavkám, radi vám pomôžeme s úvodnou gap analýzou.

Share this post