NIS 2

Smernica NIS 2 je legislatívny akt, ktorým sa stanovujú opatrenia na dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej EÚ. Zverte vašu cybersec problematiku do rúk VNETu.

Smernica NIS 2 ako odpoveď na kyberbezpečnostné hrozby

V digitálnom svete sa kybernetické hrozby stávajú čoraz rafinovanejšími a predstavujú tak značné riziko pre podniky aj jednotlivcov. Nová Smernica (EÚ) 2022/2555, známa aj ako smernica NIS 2, sa snaží dosiahnuť vysokú úroveň kybernetickej bezpečnosti a zameriava sa na kľúčové odvetvia, ktoré sú kritické pre fungovanie spoločnosti. Zaujíma vás, čo presne NIS 2 znamená pre vás a vaše podnikanie? Prinášame vám prehľadného sprievodcu touto dôležitou legislatívou. Rozoberieme jej kľúčové body, dotknuté sektory a vysvetlíme, aké kroky je potrebné podniknúť na dosiahnutie súladu s novými pravidlami do termínu 17. októbra 2024. Tak ako v každej oblasti manažmentu vášho IT, VNET ponúka svoju expertízu na to aby sme vám pomohli splniť všetky zákonné požiadavky na súlad s NIS 2 a kyberbezpečnosťou vo vašej firme.

Čo je to smernica NIS 2?

Smernica NIS 2 je legislatívny akt, ktorým sa stanovujú opatrenia na dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej EÚ. Jej cieľom je zlepšiť existujúci rámec kybernetickej bezpečnosti zavedením prísnejších povinností pre firmy a organizácie v kritických odvetviach.

Chcete vedieť viac o NIS 2 a ako Vám môžeme pomôcť?

Stiahnite si praktický handbook, kde nájdete všetky dôležité informácie a podrobnosti týkajúce sa tejto smernice.

Stiahnuť

Aké sú kľúčové body smernice NIS 2?

  • Rozšírený rozsah pôsobnosti

    Smernica sa dotýka širšieho spektra sektorov a subjektov, čím posilňuje celkovú kybernetickú odolnosť. Povinnosti kybernetickej bezpečnosti sa tak po novom bude vzťahovať aj na firmy, ktoré doteraz nepodliehali regulácii.

  • Posilnená ochrana pred kybernetickými rizikami

    Zavádzajú sa prísnejšie opatrenia na riadenie kybernetických rizík. Podniky budú musieť implementovať a udržiavať adekvátne technické a organizačné riešenia na ochranu pred kybernetickými hrozbami.

  • Zavedenie bezpečnostných opatrení

    Prevádzkovatelia kritickej infraštruktúry musia implementovať prísne bezpečnostné opatrenia na ochranu svojich systémov a dát. To zahŕňa riadenie rizík, plány reakcie na incidenty, testovanie a audity.

  • Povinné hlásenie kybernetických incidentov

    Všetky subjekty spadajúce pod smernicu NIS 2 budú musieť hlásiť kybernetické incidenty príslušným orgánom. To je kľúčové pre včasnú identifikáciu hrozieb, koordináciu reakcie a zabránenie šíreniu kybernetických útokov.

  • Zriadenie národných tímov

    Každý členský štát musí zriadiť národný tím pre reakciu na kybernetické bezpečnostné incidenty (CSIRT). Tieto tímy budú koordinovať reakciu na kybernetické útoky a zdieľať informácie s ostatnými členskými štátmi.

  • Posilnená spolupráca na európskej úrovni

    Smernica kladie dôraz na posilnenie spolupráce medzi členskými štátmi EÚ v oblasti kybernetickej bezpečnosti. Zahŕňa to výmenu informácií, vzájomnú pomoc pri riešení kybernetických incidentov a spoločný vývoj nástrojov a riešení na boj proti kybernetickým hrozbám.

  • Zníženie rizík v dlhodobom horizonte

    Investície do kybernetickej bezpečnosti v súlade so smernicou NIS 2 nie sú len krátkodobou povinnosťou, ale skôr základom pre znižovanie budúcich rizík a budovanie odolnosti voči kybernetickým hrozbám.

Na koho sa vzťahuje smernica NIS 2?

Smernica sa vzťahuje na širokú škálu subjektov a rozlišuje ich medzi dva typy kritickej infraštruktúry:

Subjekty zásadného významu

Tieto subjekty, ako napríklad energetické spoločnosti, nemocnice a banky, poskytujú služby, ktoré by mali v prípade narušenia vážny dopad na fungovanie štátu, hospodárstva alebo spoločnosti. Z tohto dôvodu podliehajú prísnejším požiadavkám na kybernetickú bezpečnosť.

  • Elektrická energia

    • elektroenergetické podniky, ako sú vymedzené v článku 2 bode 57 smernice Európskeho parlamentu a Rady (EÚ) 2019/944 (1), ktoré vykonávajú funkciu „dodávky“, ako je vymedzená v článku 2 bode 12 uvedenej smernice
    • prevádzkovatelia distribučnej sústavy, ako sú vymedzení v článku 2 bode 29 smernice (EÚ) 2019/944
    • prevádzkovatelia prenosovej sústavy, ako sú vymedzení v článku 2 bode 35 smernice (EÚ) 2019/944
    • výrobcovia, ako sú vymedzení v článku 2 bode 38 smernice (EÚ) 2019/944
    • nominovaní organizátori trhu s elektrinou, ako sú vymedzení v článku 2 bode 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/943 (2)
    • účastníci trhu, ako sú vymedzení v článku 2 bode 25 nariadenia (EÚ) 2019/943, ktorí poskytujú služby agregácie, riadenia odberu alebo uskladňovania energie, ako sú vymedzené v článku 2 bodoch 18, 20 a 59 smernice (EÚ) 2019/944
    • prevádzkovatelia nabíjacieho bodu, ktorí sú zodpovední za správu a prevádzku nabíjacieho bodu, ktorý koncovým používateľom poskytuje nabíjaciu službu, a to aj v mene a na účet poskytovateľa služieb mobility

  • Diaľkové vykurovanie a chladenie

    • prevádzkovatelia diaľkového vykurovania alebo diaľkového chladenia, ako sú vymedzení v článku 2 bode 19 smernice Európskeho parlamentu a Rady (EÚ) 2018/2001 (3)

  • Ropa

    • prevádzkovatelia ropovodov
    • prevádzkovatelia zariadení na ťažbu, rafinovanie a spracovanie ropy, jej skladovanie a prepravu (4)

  • Plyn

    • dodávateľské podniky, ako sú vymedzené v článku 2 bode 8 smernice Európskeho parlamentu a Rady 2009/73/ES (5)
    • prevádzkovatelia distribučnej siete, ako sú vymedzení v článku 2 bode 6 smernice 2009/73/ES
    • prevádzkovatelia prepravnej siete, ako sú vymedzení v článku 2 bode 4 smernice 2009/73/ES
    • prevádzkovatelia zásobníkov, ako sú vymedzení v článku 2 bode 10 smernice 2009/73/ES
    • prevádzkovatelia zariadení LNG, ako sú vymedzení v článku 2 bode 12 smernice 2009/73/ES
    • plynárenské podniky, ako sú vymedzené v článku 2 bode 1 smernice 2009/73/ES
    • prevádzkovatelia zariadení na rafinovanie a spracovanie zemného plynu

  • Vodík

    • prevádzkovatelia zariadení na výrobu, skladovanie a prepravu vodíka

  • Letecká doprava

    • leteckí dopravcovia, ako sú vymedzení v článku 3 bode 4 nariadenia (ES) č. 300/2008, využívaní na komerčné účely
    • riadiace orgány letiska, ako sú vymedzené v článku 2 bode 2 smernice Európskeho parlamentu a Rady 2009/12/ES (6), letiská, ako sú vymedzené v článku 2 bode 1 uvedenej smernice, vrátane hlavných letísk uvedených v oddiele 2 prílohy II k nariadeniu Európskeho parlamentu a Rady (EÚ) č. 1315/2013 (7), a subjekty prevádzkujúce pomocné zariadenia nachádzajúce sa na letiskách
    • prevádzkovatelia kontroly riadenia dopravy poskytujúci služby riadenia letovej prevádzky (ATC), ako sú vymedzení v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (ES) č. 549/2004 (8)

  • Železničná doprava

    • manažéri infraštruktúry, ako sú vymedzení v článku 3 bode 2 smernice Európskeho parlamentu a Rady 2012/34/EÚ (9)
    • železničné podniky, ako sú vymedzené v článku 3 bode 1 smernice 2012/34/EÚ, vrátane prevádzkovateľov servisných zariadení, ako sú vymedzené v článku 3 bode 12 uvedenej smernice

  • Vodná doprava

    • spoločnosti prevádzkujúce vnútrozemskú, námornú a pobrežnú osobnú a nákladnú vodnú dopravu, ako sú vymedzené pre námornú dopravu v prílohe I k nariadeniu Európskeho parlamentu a Rady (ES) č. 725/2004 (10), bez jednotlivých plavidiel, ktoré tieto spoločnosti prevádzkujú
    • riadiace orgány prístavov, ako sú vymedzené v článku 3 bode 1 smernice Európskeho parlamentu a Rady 2005/65/ES (11), vrátane ich prístavných zariadení, ako sú vymedzené v článku 2 bode 11 nariadenia (ES) č. 725/2004, a subjekty prevádzkujúce činnosti a zariadenia v rámci prístavu
    • prevádzkovatelia plavebno-prevádzkových služieb (VTS), ako sú vymedzené v článku 3 písm. o) smernice Európskeho parlamentu a Rady 2002/59/ES (12)

  • Cestná doprava

    • cestné orgány, ako sú vymedzené v článku 2 bode 12 delegovaného nariadenia Komisie (EÚ) 2015/962(13), zodpovedné za kontrolu riadenia dopravy, s výnimkou verejných subjektov, v prípade ktorých je riadenie dopravy alebo prevádzkovanie inteligentných dopravných systémov nepodstatnou súčasťou ich celkovej činnosti
    • prevádzkovatelia inteligentných dopravných systémov, ako sú vymedzené v článku 4 bode 1 smernice Európskeho parlamentu a Rady 2010/40/EÚ (14)

  • úverové inštitúcie, ako sú vymedzené v článku 4 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 575/2013 (15)

  • prevádzkovatelia obchodných miest, ako sú vymedzení v článku 4 bode 24 smernice Európskeho parlamentu a Rady 2014/65/EÚ (16)
  • centrálne protistrany (CCP), ako sú vymedzené v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. (17)

  • poskytovatelia zdravotnej starostlivosti, ako sú vymedzení v článku 3 písm. g) smernice Európskeho parlamentu a Rady 2011/24/EÚ (18)
  • referenčné laboratóriá EÚ uvedené v článku 15 nariadenia Európskeho parlamentu a Rady (EÚ) (19)
  • subjekty vykonávajúce činnosti vo výskume a vývoji liekov, ako sú vymedzené v článku 1 bode 2 smernice Európskeho parlamentu a Rady 2001/83/ES (20)
  • subjekty vyrábajúce základné farmaceutické výrobky a farmaceutické prípravky uvedené v sekcii C divízii 21 NACE Rev.
  • subjekty vyrábajúce zdravotnícke pomôcky považované za kritické v núdzovej situácii v oblasti verejného zdravia (ďalej len „zoznam kritických pomôcok v núdzovej situácii v oblasti verejného zdravia“) v zmysle článku 22 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/123 (21)

  • dodávatelia a distribútori vody určenej na ľudskú spotrebu, ako je vymedzená v článku 2 bode 1 písm. a) smernice Európskeho parlamentu a Rady (EÚ) 2020/2184 (22), s výnimkou distribútorov, pre ktorých je distribúcia vody určenej na ľudskú spotrebu nepodstatnou súčasťou ich celkovej činnosti v oblasti distribúcie iných komodít a tovaru

  • podniky zaoberajúce sa zberom, likvidáciou alebo úpravou komunálnych odpadových vôd, odpadových vôd z domácností alebo priemyselných odpadových vôd, ako sú vymedzené v článku 2 bodoch 1, 2 a 3 smernice Rady 91/271/EHS(23), s výnimkou podnikov, pre ktoré je zber, likvidácia alebo úprava komunálnych odpadových vôd, odpadových vôd z domácností alebo priemyselných odpadových vôd nepodstatnou súčasťou ich celkovej činnosti

  • poskytovatelia internetových prepojovacích uzlov

  • poskytovatelia služieb DNS, s výnimkou prevádzkovateľov koreňových názvových serverov
  • správcovia názvov TLD

  • poskytovatelia služieb cloud computingu

  • poskytovatelia služieb dátového centra

  • poskytovatelia sietí na sprístupňovanie obsahu

  • poskytovatelia dôveryhodných služieb

  • poskytovatelia verejných elektronických komunikačných sietí

  • poskytovatelia verejne dostupných elektronických komunikačných služieb

  • poskytovatelia riadených služieb
  • poskytovatelia riadených bezpečnostných služieb

  • subjekty verejnej správy na úrovni ústrednej štátnej správy, ako ich vymedzuje členský štát v súlade s vnútroštátnym právom

  • subjekty verejnej správy na regionálnej úrovni, ako ich vymedzuje členský štát v súlade s vnútroštátnym právom

  • prevádzkovatelia pozemnej infraštruktúry, ktorú vlastnia, riadia a prevádzkujú členské štáty alebo súkromné subjekty, ktorí prispievajú k poskytovaniu vesmírnych služieb, s výnimkou poskytovateľov verejných elektronických komunikačných sietí

Subjekty dôležitého významu

Sem patria organizácie, ako napríklad poštové služby, odpadové hospodárstvo a výrobné firmy. Narušenie ich služieb by síce malo menší dopad, ale aj tak predstavuje riziko pre kybernetickú bezpečnosť. Preto aj tieto subjekty musia dodržiavať určité bezpečnostné opatrenia.

  • poskytovatelia poštových služieb, ako sú vymedzení v článku 2 bode 1a smernice 97/67/ES, vrátane poskytovateľov kuriérskych služieb

  • podniky vykonávajúce činnosti nakladania s odpadom, ako je vymedzené v článku 3 bodu 9 smernice Európskeho parlamentu a Rady 2008/98/ES (1), s výnimkou podnikov, pre ktoré nakladanie s odpadom nepredstavuje hlavnú hospodársku činnosť

  • podniky vyrábajúce látky a distribuujúce látky alebo zmesi, ako je uvedené v článku 3 bodoch 9 a 14 nariadenia Európskeho parlamentu a Rady (ES) č. 1907/2006 (2), a podniky vyrábajúce výrobky, ako sú vymedzené v článku 3 bode 3 uvedeného nariadenia, z látok a zmesí

  • potravinárske podniky, ako sú vymedzené v článku 3 bode 2 nariadenia Európskeho parlamentu a Rady (ES) č. 178/2002 (3), ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním

  • Výroba zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro

    subjekty vyrábajúce zdravotnícke pomôcky, ako sú vymedzené v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2017/745 (4), a subjekty vyrábajúce diagnostické zdravotnícke pomôcky in vitro, ako sú vymedzené v článku 2 bode 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2017/746 (5), s výnimkou subjektov vyrábajúcich zdravotnícke pomôcky uvedených v piatej zarážke bodu 5 prílohy I tejto smernice

  • Výroba počítačových, elektronických a optických výrobkov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 26 NACE Rev. 2

  • Výroba elektrických zariadení

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 27 NACE Rev. 2

  • Výroba strojov a zariadení i. n.

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 28 NACE Rev. 2

  • Výroba motorových vozidiel, návesov a prívesov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 29 NACE Rev. 2

  • Výroba ostatných dopravných prostriedkov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 30 NACE Rev. 2

  • poskytovatelia online trhov

  • poskytovatelia internetových vyhľadávačov

  • poskytovatelia platforiem služieb sociálnej siete

  • výskumné organizácie

Aké sú povinnosti pre subjekty zásadného a dôležitého významu?

Požiadavky na kybernetickú bezpečnosť sa pre tieto dva typy subjektov líšia.

Subjekty zásadného významu podliehajú prísnejším pravidlám kvôli potenciálne vážnemu dopadu narušenia ich služieb.

Povinnosti subjektov zásadného významu

  • Dodržiavanie všetkých požiadaviek smernice NIS 2.
  • Hlásenie všetkých bezpečnostných incidentov bez ohľadu na závažnosť.
  • Sledovanie varovaní Národného centra kybernetickej bezpečnosti (NCIB) a proaktívne reagovanie na hrozby.
  • Podliehanie dohľadu NCIB.
  • Uchovávanie dát a informácií sa musí spracovávať na serveroch v rámci daného regiónu.
  • Preverovanie kybernetickej bezpečnosti svojich kritických dodávateľov je povinné.

Povinnosti subjektov zásadného významu

  • Dodržiavanie vybraných požiadaviek smernice NIS 2.
  • Hlásenie iba bezpečnostných incidentov s významným vplyvom.
  • Sledovanie varovaní NCIS nie je povinné.
  • Podliehanie dohľadu certifikovaného inšpektora NUCIB.
  • Uchovávanie dát a informácií sa nemusí spracovávať na serveroch v rámci daného regiónu.
  • Preverovanie kybernetickej bezpečnosti svojich dodávateľov nie je povinné.

Výzvy smernice NIS 2

Hoci smernica NIS 2 prináša množstvo výhod, jej implementácia je

taktiež plná výziev a práve preto je dobré mať po ruke spoľahlivého partnera v podobe VNETu:

Povinnosti subjektov zásadného významu

  • Zložitosť implementácie

    Požiadavky smernice NIS 2 môžu byť pre firmy, najmä tie menšie s obmedzenými zdrojmi, náročné na pochopenie a implementáciu.

  • Náklady na implementáciu

    Dodržiavanie nových bezpečnostných opatrení si vyžaduje investície do technológií, personálu a odborného vzdelávania.

  • Nedostatok odborníkov

    Trh s kybernetickou bezpečnosťou trpí nedostatkom kvalifikovaných odborníkov. To môže pre firmy predstavovať problém pri implementácii a udržanie požadovaných bezpečnostných opatrení.

  • Potreba medzinárodnej spolupráce

    Úspech smernice NIS 2 závisí aj od efektívnej spolupráce medzi štátmi EÚ pri výmene informácií a koordinovanom riešení kybernetických hrozieb.

Benefity smernice NIS 2

Smernica NIS 2 prináša pre firmy rôznych veľkostí a sektorov do kybernetickej ochrany v EÚ aj rozsiahle benefity:

  • Ochrana citlivých informácií a systémov

    NIS 2 stanovuje prísne požiadavky na kybernetickú bezpečnosť, čím pomáha firmám chrániť ich citlivé dáta a systémy pred kybernetickými útokmi.

  • Odolnosť voči hrozbám

    Implementáciou smernice NIS 2 firmy posilnia svoju odolnosť voči kybernetickým hrozbám a budú tak lepšie pripravené na zvládnutie a reagovanie na kybernetické útoky.

  • Dodržiavanie legislatívy

    NIS 2 definuje jasné požiadavky na kybernetickú bezpečnosť, ktoré musia firmy splniť. Dodržiavaním týchto požiadaviek sa firmy vyhnú pokutám a sankciám za nesplnenie legislatívnych povinností.

  • Zlepšená reputácia

    Dodržiavanie smernice NIS 2 demonštruje záväzok firmy k ochrane dát a kybernetickej bezpečnosti, čím posilňuje jej reputáciu u zákazníkov, partnerov a investorov

  • Prevencia finančných strát

    Kybernetické útoky môžu firmám spôsobiť značné finančné straty v dôsledku narušenia prevádzky, krádeže dát a výkupného. Implementácia NIS 2 pomôže firmám predchádzať kybernetickým útokom a tým aj minimalizovať ich finančné dopady.

  • Podpora zo strany štátu

    Smernica NIS 2 prináša firmám aj podporu zo strany štátu vo forme prístupu k národným zdrojom a expertným poznatkom v oblasti kybernetickej bezpečnosti. V prípade kybernetického incidentu tak firmy nebudú samy a budú môcť využiť pomoc štátnych orgánov.

  • Zvýšenie dôveryhodnosti

    Dodržiavaním prísnych bezpečnostných opatrení smernice NIS 2 firmy získajú dôveru zákazníkov a partnerov, ktorí s nimi budú ochotnejšie zdieľať citlivé informácie.

  • Rovnosť podmienok

    Smernica NIS 2 prináša jednotný rámec kybernetickej bezpečnosti pre celú EÚ. To vytvára rovnaké podmienky pre podnikanie a eliminuje konkurenčnú výhodu pre firmy, ktoré doteraz nemuseli investovať do kybernetickej bezpečnosti.