Doteraz neregulované subjekty si stále nemajú ako overiť, ako sa ich nová kyberbezpečnostná smernica dotkne. Kritériá pre to, ktoré subjekty a ako budú regulované, spresní až novelizácia zákona o vyhlášok.
Národná legislatíva bude zároveň zohľadňovať aj požiadavky paralelnej smernice RCE (Resillience of Critical Entities), ktorá sa týka kritickej infraštruktúry.
Je vysoko pravdepodobné, že do tejto kategórie spadnú aj poskytovatelia internetových služieb (ISP), i keď budú mať len dvoch zamestnancov a omnoho menší ročný obrat.
Budúci regulovaný subjekt
Som pravdepodobne budúci regulovaný subjekt, čo to pre mňa znamená? Jednoducho povedané – budú pre vás platiť zvláštne požiadavky riadenia rizík v oblasti kyberbezpečnosti.
Cieľom je chrániť IT systémy, aktíva a prevádzkované služby pred kybernetickými hrozbami. Legislatíva už dnes vyžaduje zavedenie vhodných bezpečnostných opatrení a taktiež povinné nahlasovanie všetkých závažných kyberbezpečnostných incidentov.
Pozrite sa na zoznam sektorov*
Príloha novej smernice aktualizuje zoznam regulovaných sektorov. Odvetviam, ktoré ešte v súčasnosti nemusia napĺňať povinnosti vychádzajúce zo zákona, odporúčam, aby vo vlastnom záujme a s predstihom realizovali minimálne rozdielovú analýzu, dosahovú analýzu a analýzu rizík. Súčasný zákon definuje požadované bezpečnostné opatrenia a aktuálne usmernenia sú vo vyhláške platnej od septembra 2023.
Umožní vám to identifikovať dôležitosť podnikových procesov, systémov a funkcií, ale aj odhaliť možné dôsledky ich prerušenia alebo nedostupnosti v dôsledku kybernetických incidentov. To sa, samozrejme, týka i súčasných regulovaných subjektov, pretože smernica prináša nové povinnosti aj pre nich.
1. Príprava
V prípravnom období pred prenesením smernice NIS2 do národného legislatívneho rámca by si všetky potenciálne povinné subjekty mali preštudovať súčasný zákon s vykonávacími vyhláškami a vykonať analýzu rizík, GAP a dosahovú analýzu.
2. Registrácia
Od októbra 2024 bude podľa zákona vyžadovaná registrácia nových povinných subjektov národnou autoritou, v tomto prípade Národným bezpečnostným úradom SR. Registrácia bude realizovaná prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti a musí byť dokončená najneskôr do 17. januára 2025.
3. Opatrenia
V súlade s národnou legislatívou bude nutné implementovať širokú škálu technických, procesných a organizačných opatrení pre riadenie kybernetických rizík. Tieto opatrenia sú zamerané na to, aby posilnili kybernetickú bezpečnosť a minimalizovali riziká spojené s kybernetickými hrozbami.
4. Povinnosti
Povinný subjekt musí určiť zodpovednú osobu, manažéra kybernetickej bezpečnosti, ktorý bude zodpovedný za plnenie zákonných povinností, ako napríklad hlásenie všetkých závažných kybernetických incidentov sektorovému tímu pre reakciu CSIRT.
Do 24 hodín bude potrebné hlásiť predbežné upozornenie, do 72 hodín podať aktualizovanú správu. Do jedného mesiaca bude treba vyhotoviť finálnu správu o prebiehajúcom riešení incidentu. Cieľom je umožniť rýchlu reakciu, spoluprácu, zaistiť účinné riešenie a minimalizáciu negatívnych dosahov incidentov.
5. Audit
Na základe zákona vyžaduje národná autorita pravidelné, náhodné alebo cielené audity certifikovanými audítormi kyberbezpečnosti. Prvý audit v organizácii prebieha do dvoch rokov od registrácie. V prípade, že výsledky auditu nespĺňajú zákonom stanovené požiadavky, majú regulované subjekty povinnosť pristúpiť k nápravným opatreniam. V opačnom prípade nastupujú sankcie.
38 mesiacov, veľa či málo?
Na záver ešte raz – nie je dôvod na paniku. Dôležité je, aby ste sa zorientovali, vybrali si správne technológie, partnerov a boli schopní implementovať opatrenia a zvládnuť riešenie incidentov. Pokiaľ to nezvládnete v internej réžii, využite zmluvy s tretími stranami.
Avšak zodpovednosti vyplývajúce z legislatívy padajú stále na hlavu regulovaného subjektu.
Pri pohľade do kalendára vidím koniec augusta, takže do prvého kyberbezpečnostného auditu vám zostáva oddnes približne 38 mesiacov. Audit vtedy preverí váš súlad so zákonom.
Roman Čupka, Progress Software a CEO Synapsa Networks
*NIS2 sa vzťahuje na subjekty z týchto sektorov
Odvetvia s vysokou kritickosťou: Energia (elektrina, diaľkové vykurovanie a chladenie, ropa, plyn a vodík); doprava (letecká, železničná, vodná a cestná); bankovníctvo; infraštruktúry finančného trhu; zdravie vrátane výroby farmaceutických výrobkov vrátane vakcín; pitná voda; odpadové vody; digitálna infraštruktúra (internetové výmenné body; Poskytovatelia služieb DNS; Registre názvov TLD; poskytovatelia služieb cloud computingu; poskytovatelia služieb dátového centra; siete na doručovanie obsahu; poskytovatelia dôveryhodných služieb; poskytovatelia verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb); Riadenie služieb IKT (poskytovatelia spravovaných služieb a spravovaní poskytovatelia bezpečnostných služieb), verejná správa a kozmický priestor.
Ďalšie kritické sektory: poštové a kuriérske služby; nakladanie s odpadom; chemické látky; potraviny; výroba zdravotníckych pomôcok, počítačov a elektroniky, strojov a zariadení, motorových vozidiel, prívesov a návesov a iných dopravných zariadení; poskytovatelia digitálnych služieb (online trhy, internetové vyhľadávače a platformy služieb sociálnych sietí) a výskumné organizácie.
Zdroj: Európska komisia, Smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii