Smernica NIS2 platí od októbra 2024. Zákon o kybernetickej bezpečnosti, ktorý ju na Slovensku transponuje, rozšíril okruh povinných subjektov na tisíce organizácií, ktoré predtým nemali žiadnu formálnu regulačnú povinnosť v oblasti kybernetickej bezpečnosti. Veľká časť z nich stále nevie, že sa ich NIS2 týka. Menšia časť vie, ale nevie čo konkrétne urobiť. Tento článok je pre obe skupiny.
Čo je NIS2 a prečo je iná ako NIS1
NIS2 (smernica EÚ 2022/2555 o opatreniach pre vysokú spoločnú úroveň kybernetickej bezpečnosti) je nástupca pôvodnej smernice NIS z roku 2016. Zmeny sú zásadné — nie kozmetické:
- Rozsah sa rozšíril radikálne — NIS1 pokrývala úzku skupinu prevádzkovateľov základných služieb (energia, doprava, zdravotníctvo, bankovníctvo). NIS2 pridáva desiatky nových sektorov vrátane verejnej správy, potravinárstva, výroby, výskumu, odpadového hospodárstva, poštových služieb a ďalších
- Pribudli strední a väčší poskytovatelia digitálnych služieb — cloudové platformy, dátové centrá, managed service provideri, poskytovatelia DNS
- Osobná zodpovednosť manažmentu — štatutárne orgány môžu byť sankcionované osobne za zlyhania v oblasti kybernetickej bezpečnosti
- Prísnejšie sankcie — až 10 000 000 € alebo 2 % celkového ročného obratu (podľa toho, čo je vyššie) pre dôležité subjekty; až 7 000 000 € alebo 1,4 % pre menej dôležité
- Prísnejšie požiadavky na hlásenie incidentov — počiatočné upozornenie do 24 hodín, plné hlásenie do 72 hodín
Koho sa NIS2 týka na Slovensku
NIS2 rozlišuje dve kategórie subjektov — základné (essential) a dôležité (important) — podľa sektora a veľkosti organizácie. Veľkostné kritériá: stredné podniky (50+ zamestnancov alebo obrat/bilancia 10+ M€) a veľké podniky (250+ zamestnancov alebo obrat 50+ M€).
Dôležité upozornenie: regulátor môže zaradiť organizáciu do povinného okruhu aj mimo týchto kritérií, ak je jej výpadok kritický pre spoločnosť alebo ekonomiku — napríklad jediný dominantný dodávateľ v regióne bez ohľadu na veľkosť.
10 konkrétnych povinností, ktoré NIS2 vyžaduje
Článok 21 smernice NIS2 definuje minimálne bezpečnostné opatrenia. Nie sú to odporúčania — sú to záväzné požiadavky, ktorých splnenie musí organizácia vedieť preukázať:
1. Politiky analýzy rizík a bezpečnosti informačných systémov
Organizácia musí mať formalizovaný proces hodnotenia rizík — zdokumentovaný, pravidelne revidovaný a schválený vedením. Nestačí ad-hoc úsudok IT oddelenia. Hodnotenie rizík musí byť systematické, opakovateľné a auditovateľné.
2. Riešenie incidentov
Definovaný proces detekcie, klasifikácie, eskalácie a riešenia bezpečnostných incidentov. Vrátane povinnosti hlásiť závažné incidenty Národnému centru kybernetickej bezpečnosti (NBÚ): počiatočné upozornenie do 24 hodín, podrobné hlásenie do 72 hodín, záverečná správa do 1 mesiaca.
3. Kontinuita prevádzky a krízové riadenie
Plány obnovy (BCP/DRP) s definovanými cieľmi RTO (Recovery Time Objective) a RPO (Recovery Point Objective) pre kritické systémy. Zálohovanie a obnova musia byť otestované — nestačí mať plán na papieri.
4. Bezpečnosť dodávateľského reťazca
Hodnotenie bezpečnostných rizík u priamych dodávateľov a poskytovateľov služieb. Organizácia zodpovedá za kybernetickú bezpečnosť svojho supply chain — ak váš IKT dodávateľ nemá adekvátne opatrenia a stane sa vstupnou bránou útoku, zodpovedáte aj vy.
5. Bezpečnosť pri obstarávaní a vývoji sietí a systémov
Bezpečnostné požiadavky musia byť súčasťou procesu obstarávania IKT produktov a služieb — vrátane požiadaviek na záplaty, konfiguráciu a zverejňovanie zraniteľností.
6. Posúdenie efektívnosti riadenia kybernetickej bezpečnosti
Pravidelné hodnotenie, či zavedené opatrenia skutočne fungujú — vrátane interných auditov, penetračných testov a preskúmaní vedením. Efektívnosť musí byť merateľná a meraná.
7. Základná kybernetická hygiena a školenia
Dokumentované školenia pre všetkých zamestnancov, nie len IT. Kybernetická hygiena (silné heslá, MFA, aktualizácie, rozoznanie phishingu) musí byť preukázateľnou súčasťou onboardingu a pravidelného vzdelávania.
8. Politiky a postupy týkajúce sa kryptografie
Formalizované pravidlá pre používanie šifrovania — kde, kedy a aké algoritmy sú povolené. Vrátane správy kľúčov a certifikátov.
9. Bezpečnosť ľudských zdrojov a riadenie prístupu
Procesy pozaďových previerok, offboardingu (odobratie prístupov v deň odchodu), princíp najmenšieho privilégia a správa privilegovaných účtov. MFA pre prístupy k citlivým systémom je de facto požiadavka.
10. Používanie multi-faktorovej autentifikácie a šifrovania komunikácie
MFA pre vzdialené prístupy, privilegované účty a kritické systémy. Šifrovaná komunikácia pre prenos citlivých dát. Toto nie je odporúčanie — je to explicitná požiadavka NIS2.
Zodpovednosť manažmentu: čo NIS2 mení pre štatutárne orgány
Toto je najvýznamnejšia zmena oproti predchádzajúcej regulácii, na ktorú mnohé organizácie ešte nereagovali. NIS2 explicitne vyžaduje:
- Schválenie bezpečnostných opatrení štatutárnym orgánom (predstavenstvo, konatelia)
- Dohľad nad implementáciou opatrení na úrovni vedenia — nie delegovanie bez kontroly
- Absolvovanie školení v oblasti kybernetickej bezpečnosti členmi štatutárneho orgánu
- Osobná zodpovednosť — členovia vedenia môžu byť dočasne diskvalifikovaní z riadiacich funkcií pri opakovanom porušení
Praktický dopad: kybernetická bezpečnosť sa nemôže ďalej skrývať v IT oddelení ako technická agenda. Musí byť pravidelnou súčasťou rokovaní vedenia s formálnymi výstupmi — zápisnicami, rozhodnutiami, schválenými dokumentmi.
NIS2 vs. ISO 27001: pokrýva certifikácia súlad s NIS2?
Bežná otázka: “Máme ISO 27001 — sme automaticky v súlade s NIS2?” Odpoveď je: čiastočne áno, ale nie úplne.
ISO 27001 je dobrý základ. Mnohé požiadavky NIS2 — riadenie rizík, správa incidentov, kontinuita, školenia, riadenie dodávateľov — sú pokryté alebo sa výrazne prekrývajú s ISO 27001 kontrolami. Rozdiel je v niekoľkých oblastiach:
- Hlásenie incidentov regulátorovi — ISO 27001 nevyžaduje externé hlásenie s konkrétnymi termínmi; NIS2 áno
- Osobná zodpovednosť manažmentu — ISO 27001 zapája vedenie, ale nie na úrovni osobnej právnej zodpovednosti
- Bezpečnosť supply chain — NIS2 je v tejto oblasti explicitnejšia a prísnejšia
- MFA ako explicitná požiadavka — ISO 27001 to odporúča v kontexte riadenia prístupu; NIS2 to priamo vyžaduje
Záver: ISO 27001 výrazne skráti cestu k NIS2 súladu — ale nezamení ho. Organizácie s certifikáciou potrebujú doplniť špecifické NIS2 požiadavky, nie implementovať všetko od začiatku.
Kde väčšina organizácií zaostáva: päť kritických medzier
Na základe skúseností z praxe identifikujeme päť oblastí, kde je implementačný deficit najväčší:
- Neexistujúci alebo neaktuálny register dodávateľov — organizácie nevedia vymenovať všetkých IKT dodávateľov s prístupom k ich systémom, nehovoriac o hodnotení ich bezpečnostného profilu
- Incident management bez termínov — procesy riešenia incidentov existujú, ale chýbajú formalizované postupy pre klasifikáciu “závažný incident” a eskaláciu do 24 hodín; v stresovej situácii sa spoliehajú na improvizáciu
- BCP/DRP plány na papieri — zálohovacie plány a plány obnovy existujú, ale posledný test obnovy bol pred rokom a pol — alebo nikdy
- Manažment nie je zapojený — vedenie podpísalo bezpečnostnú politiku, ale nevie ju vysvetliť a nezúčastňuje sa pravidelných preskúmaní; pri dohľadovom audite to bude viditeľné okamžite
- Školenia bez dôkazov — zamestnanci boli informovaní ústne alebo e-mailom, bez záznamu o absolvovaní; toto nestačí pre preukázateľnosť NIS2 požiadavky
Ako vyzerá praktická implementácia: päť krokov
Ak vaša organizácia patrí do rozsahu NIS2 a implementácia ešte nezačala alebo stagnuje, odporúčame tento postup:
- Krok 1 — Potvrdte, či sa vás NIS2 týka: overte sektor, veľkosť a prípadné špecifické zaradenie. Na Slovensku je gestorom NBÚ (Národný bezpečnostný úrad). Niektoré organizácie sú povinné sa samy registrovať.
- Krok 2 — Gap analýza voči 10 povinnostiam: systematické porovnanie aktuálneho stavu s každou z povinností NIS2. Výstupom je prioritizovaný plán s reálnymi odhadmi zdrojov a časov.
- Krok 3 — Formalizujte incident management: toto je najčastejší dôvod zlyhaní pri dohľadových kontrolách. Zdokumentujte proces klasifikácie, eskalácie a hlásenia so zodpovednosťami a hodinovými termínmi.
- Krok 4 — Zapojte vedenie: prezentujte NIS2 požiadavky štatutárnym orgánom, nastavte pravidelný reporting o stave kybernetickej bezpečnosti, zaistite absolvovanie školení. Dokumentujte zápisnicami.
- Krok 5 — Zaveďte systémový nástroj pre správu súladu: ručná správa NIS2 povinností v Exceli je krátkodobé riešenie. Pre preukázateľnosť, audit trail a dlhodobú udržateľnosť potrebujete platformu, ktorá sleduje stav každej požiadavky, vlastníkov a termíny — a automaticky generuje dôkazy pre regulátora.
Sankcie a dohľad: čo hrozí za nesúlad
NBÚ má od účinnosti zákona o kybernetickej bezpečnosti právomoc vykonávať dohľad, nariaďovať nápravné opatrenia a ukladať sankcie. Výška pokút:
- Základné subjekty: až 10 000 000 € alebo 2 % celkového ročného svetového obratu
- Dôležité subjekty: až 7 000 000 € alebo 1,4 % celkového ročného svetového obratu
- Fyzické osoby / manažment: osobná zodpovednosť vrátane dočasného zákazu výkonu riadiacej funkcie
Dohľadové aktivity NBÚ zahŕňajú dokumentačné audity, priame inšpekcie aj reaktívne preverovanie po nahlásení incidentu. Organizácie, ktoré nenotifikujú závažný incident v zákonných termínoch, čelia nielen sankcii za incident samotný, ale aj za nesplnenie oznamovacej povinnosti.
Záver: NIS2 nie je IT projekt — je to organizačná transformácia
Organizácie, ktoré NIS2 delegujú výhradne na IT oddelenie, nepochopia podstatu smernice. NIS2 vyžaduje zmenu v tom, ako organizácia ako celok — vedenie, HR, právnici, IT, prevádzka — pristupuje ku kybernetickej bezpečnosti. Nie ako k technickej úlohe, ale ako k riadiacemu procesu s merateľnými výsledkami a právnou zodpovednosťou.
Dobrá správa: organizácie, ktoré NIS2 uchopiť správne — so systémovým nástrojom, zapojením vedenia a pravidelným cyklom hodnotenia — získajú nielen regulačný súlad. Získajú skutočne fungujúci systém riadenia kybernetickej bezpečnosti, ktorý znižuje pravdepodobnosť incidentu a zmenšuje jeho dopad. A to je návratnosť, ktorú žiadna pokuta neilustruje lepšie ako jej absencia.
Ak chcete vedieť, či sa NIS2 vzťahuje na vašu organizáciu a kde presne stojíte voči jej požiadavkám, radi vám pomôžeme s úvodnou gap analýzou.