Smernica NIS2: Čo pre vás znamená a ako ju spĺňať?

Od roku 2025 platí na Slovensku nová direktíva NIS2, ktorá výrazne sprísňuje pravidlá kybernetickej bezpečnosti pre niektoré firmy. Chcete vedieť, či ju musí spĺňať aj vaša spoločnosť? Čo pre vás znamená v praxi? A komu hrozia pokuty? Čítajte ďalej.

NIS2 je najnovšou formou direktívy pre kybernetickú bezpečnosť. Jej predchodca – NIS1 – sa týkal iba relatívne veľkých spoločností v úzkom počte sektorov. S jej novou verziou však bude povinná pre oveľa viac spoločností – a možno aj pre tú vašu.

Poďme si preto rozobrať, čo konkrétne vyžaduje, kto ju musí dodržiavať a aké sú pokuty za jej nedodržiavanie.

Prečo prichádza smernica NIS2?

Nová verzia smernice NIS2 je priamou odpoveďou na bezpečnostné hrozby, ktoré v posledných rokoch udierajú na európske spoločnosti. Či už ide o útoky s cieľom krádeže osobných dát (British Airways, unikli dáta pol milióna zákazníkov) alebo dokonca útoky na kritickú infraštruktúru (ransomware, ktorý ochromil írske zdravotníctvo v roku 2021 a stál 600 mil. eur).

Kybernetické hrozby prichádzajú od organizovaných skupín aj štátom podporovaných hráčov a európske spoločnosti v kritických odvetviach musia byť na tieto hrozby pripravené.

Čo vyžaduje smernica NIS2?

NIS2 nastavuje pravidlá pre prácu s citlivými údajmi, postupy pri bezpečnostných incidentoch a povinnosti v oblastiach tréningu kyberbezpečnosti.

Vo všeobecnosti sa dajú zhrnúť do 10 bodov, ktorých by ste sa mali držať:

1. Riadenie kybernetických rizík a bezpečnostná politika
   Aby ste mohli efektívne zamedziť bezpečnostným hrozbám, musíte vedieť, čo vám hrozí a ako na hrozby reagovať. Preto NIS2 vyžaduje, aby mali spoločnosti pripravené analýzy potenciálnych rizík a postupy, ako sa s týmito rizikami vysporiadať.
2. Zvládanie incidentov
   Bezpečnostné incidenty treba detekovať, zaznamenávať a keď incident nastane, postupovať podľa nastavených postupov na obmedzenie ďalšieho rizika.
3. Krízové riadenie a zachovanie prevádzky
   Bezpečnostný incident by nemal ochromiť alebo výrazne obmedziť fungovanie služieb. Je potrebné mať zálohy, disaster recovery plány a postupy pre zachovanie prevádzky pri incidente.
4. Bezpečnosť dodávateľského reťazca
   Bezpečnosť nekončí vo vašej spoločnosti. Podľa NIS2 má každá spoločnosť povinnosť auditovať svojich dodávateľov a partnerov z hľadiska kybernetickej bezpečnosti. Funkčná ochrana je zodpovednosťou všetkých článkov reťazca.
5. Bezpečnosť pri vývoji a prevádzke IT systémov
   Všetky IT systémy musia mať funkčné mechanizmy na nahlasovanie a opravovanie bezpečnostných slabín a chýb a taktiež strany pracujúce s týmito systémami musia mať funkčné systémy na nahlasovanie zistených chýb.
6. Testovanie účinnosti bezpečnostných opatrení
   Organizácia musí pravidelne kontrolovať a auditovať, či bezpečnostné opatrenia fungujú.
7. Základná kybernetická hygiena a vzdelávanie
   Zamestnanci musia mať pravidelné školenia v oblasti kybernetickej bezpečnosti a spoločnosti sa musia snažiť znižovať riziko ľudskej chyby na minimum.
8. Používanie kryptografie a šifrovania
   Spoločnosti musia používať šifrovanie všade, kde sa dá v rozumnej miere očakávať incident. Taktiež musia existovať firemné postupy ohľadom kryptografie a šifrovania dát.
9. Riadenie prístupov, HR bezpečnosť a správa aktív
   Spoločnosti musia spravovať prístupy k citlivým údajom (napr. heslá a úrovne autentifikácie na prístup k rôznym údajom). Taktiež musia mať zoznam všetkých dôležitých digitálnych aktív a postarať sa o to, aby sa s nimi nakladalo bezpečne.
10. Silná autentifikácia a bezpečná komunikácia
    Firmy musia používať viacfaktorovú autentifikáciu, a kde je to potrebné, tiež kontinuálnu autentifikáciu. Šifrovanie hlasovej, textovej a videokomunikácie, rovnako ako bezpečný šifrovaný kanál na komunikáciu ohľadom bezpečnostných incidentov.