Kapitoly 08 Účinné od: 18. október 2024

Smernica NIS2

Smernica o bezpečnosti sietí a informačných systémov

Prehľad

NIS2 nahrádza a výrazne rozširuje pôvodnú smernicu NIS, čím ustanovuje vysokú spoločnú úroveň kybernetickej bezpečnosti v celej EÚ. Platí pre oveľa širší okruh sektorov a subjektov, zavádza prísnejšie dohľadové opatrenia a harmonizuje sankcie medzi členskými štátmi.[1]

Keďže ide o smernicu, NIS2 si vyžadovala transpozíciu do národného práva do 17. októbra 2024. Implementácia sa líši podľa členského štátu.

Rozsah: Základné vs Dôležité subjekty

Základné subjekty (prísnejší dohľad)[2]

SektorPríklady
EnergetikaElektrina, ropa, plyn, vodík, centrálne vykurovanie
DopravaLetecká, železničná, vodná, cestná
BankovníctvoKreditné inštitúcie
Finančné trhyObchodné miesta, centrálne protistrany
ZdravotníctvoPoskytovatelia zdravotnej starostlivosti, laboratóriá, farmácia, zdravotnícke pomôcky
Pitná vodaDodávatelia vody
Odpadové vodyČistenie odpadových vôd
Digitálna infraštruktúraIXP, DNS, registre TLD, cloud, dátové centrá, CDN, TSP
Správa ICT služiebPoskytovatelia spravovaných služieb, poskytovatelia spravovaných bezpečnostných služieb
Verejná správaÚstredné vládne orgány
KozmonautikaPrevádzkovatelia pozemnej infraštruktúry

Dôležité subjekty (miernejší dohľad)

SektorPríklady
Poštové službyPoštové a kuriérske služby
Odpadové hospodárstvoZber a spracovanie odpadu
ChémiaVýroba a distribúcia
PotravinyVýroba a distribúcia
VýrobaZdravotnícke pomôcky, elektronika, stroje, vozidlá
Digitálni poskytovateliaOnline trhoviská, vyhľadávače, sociálne siete
VýskumVýskumné organizácie

Veľkostné prahové hodnoty

NIS2 sa všeobecne vzťahuje na stredné a veľké subjekty:

  • Stredné: 50+ zamestnancov ALEBO obrat/bilancia nad 10 mil. €
  • Veľké: 250+ zamestnancov ALEBO obrat nad 50 mil. € ALEBO bilancia nad 43 mil. €

Niektoré subjekty sa uplatňujú bez ohľadu na veľkosť (DNS, registre TLD, poskytovatelia cloudu, dátové centrá atď.).

Kľúčové požiadavky

Opatrenia na riadenie rizík (článok 21)[3]

Subjekty musia zaviesť primerané technické, prevádzkové a organizačné opatrenia:

  1. Politiky: Analýza rizík a bezpečnostné politiky informačných systémov
  2. Riešenie incidentov: Postupy detekcie, reakcie a obnovy
  3. Kontinuita prevádzky: Zálohovanie, obnova po havárii, krízový manažment
  4. Bezpečnosť dodávateľského reťazca: Bezpečnostné požiadavky na dodávateľov
  5. Sieťová bezpečnosť: Bezpečnosť pri získavaní, vývoji a údržbe
  6. Hodnotenie účinnosti: Politiky na vyhodnocovanie účinnosti bezpečnostných opatrení
  7. Základná kybernetická hygiena: Školenia a programy zvyšovania povedomia
  8. Kryptografia: Politiky o kryptografických kontrolách a šifrovaní
  9. Ľudské zdroje: Bezpečnosť personálu a kontrola prístupu
  10. Viacfaktorová autentifikácia: MFA a bezpečné komunikačné systémy

Hlásenie incidentov (článok 23)[4]

LehotaPožiadavka
24 hodínVčasné varovanie CSIRT/príslušnému orgánu
72 hodínOznámenie incidentu s počiatočným hodnotením
1 mesiacZáverečná správa s príčinou a opatreniami

Významné incidenty musia byť hlásené, ak spôsobia alebo môžu spôsobiť vážne prevádzkové narušenie alebo finančnú stratu, alebo ovplyvniť iné fyzické alebo právnické osoby.

Zodpovednosť manažmentu

Manažérske orgány musia:

  • Schváliť opatrenia na riadenie kybernetických rizík
  • Dohliadať na implementáciu bezpečnostných opatrení
  • Byť osobne zodpovedné za nedodržiavanie
  • Podstúpiť školenie v oblasti kybernetickej bezpečnosti

Sankcie

  • Základné subjekty: Až do 10 miliónov € alebo 2 % celosvetového obratu
  • Dôležité subjekty: Až do 7 miliónov € alebo 1,4 % celosvetového obratu[5]

Členské štáty môžu uložiť ďalšie sankcie vrátane dočasných zákazov výkonu funkcií v manažmente.

Povinnosti vývojárov a poskytovateľov ICT služieb

Ak poskytujete ICT služby alebo produkty:

  1. Poskytovatelia spravovaných služieb: Priamo v rozsahu ako základné subjekty
  2. Poskytovatelia cloudu: Priamo v rozsahu ako základné subjekty
  3. Vývojári softvéru: Povinnosti v dodávateľskom reťazci od zákazníckych subjektov
  4. Dodávatelia bezpečnostných riešení: Môžu byť označení ako dôležité subjekty

Zdroje a odkazy

[1]
Smernica (EÚ) 2022/2555 o vysokej spoločnej úrovni kybernetickej bezpečnosti. EUR-Lex: Oficiálny text NIS2
[2]
Prílohy I a II NIS2: sektory základných a dôležitých subjektov. NIS2-Directive.com: Sektory
[3]
Článok 21 NIS2: opatrenia na riadenie kybernetických rizík. NIS2-Directive.com: Článok 21
[4]
Článok 23 NIS2: povinnosti hlásenia incidentov. NIS2-Directive.com: Článok 23
[5]
Článok 34 NIS2: správne pokuty. NIS2-Directive.com: Článok 34