Služby

piatok 6. januára 2023

NIS2: Nové povinnosti na ochranu proti kybernetickým útokom

Firmy aj verejné inštitúcie by sa mali začať pripravovať na splnenie nových legislatívnych požiadaviek v oblasti kybernetickej bezpečnosti. Európsky parlament a Rada EÚ definitívne schválili novú legislatívu NIS2, aktualizovaný právny rámec, ktorý vychádza z prvej verzie nariadenia o sieťovej a informačnej bezpečnosti Európskej únie z roku 2016. Členské štáty únie sú teraz povinné transponovať direktívy do národných legislatív.

NIS2 sprísňuje povinnosti dotknutých organizácií z oblastí takzvanej kritickej infraštruktúry a iných významných sektorov a zjednocuje pravidlá ochrany kybernetického priestoru členských štátov Európskej únie. K prvkom kritickej infraštruktúry patria napríklad banky, energetické firmy, zdravotníctvo či verejná správa a k dôležitým sektorom napríklad podniky z potravinárstva, chemického a elektrotechnického priemyslu, výrobcovia medicínskych prístrojov, ale aj automobilky. Nová smernica sa bude týkať širšieho okruhu organizácií, takže z nej vyplynú povinnosti aj firmám a verejným organizáciám, na ktoré sa doterajšia legislatíva nevzťahovala. „Súčasný zákon o kybernetickej bezpečnosti sa dotýka subjektov z vybraných sektorov, ktoré sú na základe určitých kritérií zaradené medzi prevádzkovateľov základných služieb alebo poskytovateľov digitálnych služieb. Nový právny rámec rozširuje okruh dotknutých sektorov aj rozsah povinností,“ vysvetľuje konzultant Roman Čupka.

Nová európska direktíva sprísňuje napríklad pravidlá riadenia rizík, ochrany pred útokmi uskutočňovanými cez dodávateľské reťazce (tzv. supply-chain útoky), na hlásenie incidentov a na zdieľanie informácií a zverejňovanie zraniteľností. Vytvára tiež rámec na vznik európskej databázy zraniteľností. „Na splnenie legislatívnych požiadaviek budú musieť mnohé organizácie investovať do viacerých nových technológií a služieb, napríklad do systémov pre nepretržité sledovanie sieťovej prevádzky a pre rýchle, automatizované nahlasovanie a riešenie incidentov,“ upozorňuje R. Čupka. Na druhej strane nová smernica stále nezavádza povinnosť dotknutých subjektov informovať o závažných kybernetických incidentoch verejne, ale iba príslušnú organizáciu zodpovednú v danom sektore za riadenie kybernetickej bezpečnosti, ktorou je na Slovensku Národný bezpečnostný úrad, poprípade vybrané Ústredné orgány verejnej správy.

„Transparentnejšie informovanie firiem a verejných organizácií o kybernetických bezpečnostných incidentoch smerom na verejnosť by pomohlo zvýšiť povedomie o rizikách a motivovať k väčšiemu záujmu o túto tému. Naviac verím, že by im to pomáhalo aj reputačne v prípade, že je nastavená správna komunikácia z a do vnútra organizácie,“ dodáva R. Čipka. Podľa tohtoročného prieskumu Slovak Business Agency pripraveného v spolupráci s NBÚ medzi strednými a malými podnikmi, sa na Slovensku kybernetickou bezpečnosťou zaoberá len približne tretina malých firiem, pričom pri stredne veľkých podnikoch je to zhruba polovica.