Odpoveď na kyberbezpečnostné hrozby: Smernica NIS 2
V digitálnom svete sa kybernetické hrozby stávajú čoraz rafinovanejšími a predstavujú tak značné riziko pre podniky aj jednotlivcov. Nová Smernica (EÚ) 2022/2555, známa aj ako smernica NIS 2, sa snaží dosiahnuť vysokú úroveň kybernetickej bezpečnosti a zameriava sa na kľúčové odvetvia, ktoré sú kritické pre fungovanie spoločnosti. Zaujíma vás, čo presne NIS 2 znamená pre vás a vaše podnikanie? Prinášame vám prehľadného sprievodcu touto dôležitou legislatívou. Rozoberieme jej kľúčové body, dotknuté sektory a vysvetlíme, aké kroky je potrebné podniknúť na dosiahnutie súladu s novými pravidlami do termínu 17. októbra 2024. Tak ako v každej oblasti manažmentu vášho IT, VNET ponúka svoju expertízu na to aby sme vám pomohli splniť všetky zákonné požiadavky na súlad s NIS 2 a kyberbezpečnosťou vo vašej firme.
Čo je to smernica NIS 2?
Smernica NIS 2 je legislatívny akt, ktorým sa stanovujú opatrenia na dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej EÚ. Jej cieľom je zlepšiť existujúci rámec kybernetickej bezpečnosti zavedením prísnejších povinností pre firmy a organizácie v kritických odvetviach.
Kyberbezpečnosť nie je fráza, ale zákonná povinnosť
Získajte grant na zabezpečenie vašich dát v spolupráci s VNETom
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti v roli Národného koordinačného centra (NCC-SK) vyhlasuje výzvu na predkladanie projektov zameraných na rozvoj kybernetickej bezpečnosti na Slovensku. Táto výzva je určená pre malé a stredné podniky (MSP) s cieľom podporiť ich kybernetickú odolnosť.
Dôležité termíny
- Vyhlásenie výzvy 20. augusta 2024
- Uzavretie výzvy 20. októbra 2024 o 18:00 hod.
Kto sa môže prihlásiť?
Oprávnenými žiadateľmi sú právnické osoby, ktoré spĺňajú nasledujúce podmienky:
- Malé a stredné podniky (MSP) registrované na území Slovenskej republiky.
- Disponujú schválenou účtovnou závierkou za ukončené účtovné obdobie, ktoré nie je kratšie ako 12 mesiacov.
Oprávnené projekty
Výzva podporí projekty zamerané na vypracovanie bezpečnostnej dokumentácie v súlade s vyhláškou Národného bezpečnostného úradu č. 362/2018 Z. z. Projekty musia byť realizované v období od 1. novembra 2023 do 28. februára 2025.
Finančná podpora
- Malé podniky Minimálna výška výdavkov je 33 705 EUR, maximálna 44 940 EUR. Grant pokrýva až 90 % z týchto výdavkov.
- Stredné podniky Minimálna výška výdavkov je 33 705 EUR, maximálna 52 430 EUR. Grant pokrýva až 90 % z týchto výdavkov.
Ako podať žiadosť
Žiadosti je možné predkladať elektronicky prostredníctvom cez portál www.slovensko.sk prostredníctvom formuláru žiadosti. Všetky žiadosti musia byť doručené najneskôr do 15. októbra 2024 18:00 hod.
Všetky detaily sú popísané vo výzve a jej prílohách:
- Text výzvy
- Príloha č. 1 výzvy: Formulár žiadosti
- Príloha č. 2 výzvy: Podmienky poskytnutia grantu
- Príloha č. 3 výzvy:
Vyhlásenie na kvalifikovanie sa ako MSP
(na otvorenie dokumentu je potrebný Adobe Reader vo verzii 9.0 alebo vyššej, v prípade nefunkčnosti použite tento dokument) - Príloha č. 4 výzvy: Test podniku v ťažkostiach
- Príloha č. 5 výzvy: Povinne časti bezpečnostnej dokumentácie
- Príloha č. 6 výzvy: Schéma de minimis
- Príloha č. 7 výzvy: Kritéria pre výber projektov
- Príloha č. 8 výzvy: Zmluva o poskytnutí grantu
Zaujala vás táto iniciatíva?
Stiahnite si praktický handbook, kde nájdete všetky dôležité informácie a podrobnosti týkajúce sa tejto výzvy.
Stiahnuť
Aké sú kľúčové body smernice NIS 2?
-
Rozšírený rozsah pôsobnosti
Smernica sa dotýka širšieho spektra sektorov a subjektov, čím posilňuje celkovú kybernetickú odolnosť. Povinnosti kybernetickej bezpečnosti sa tak po novom bude vzťahovať aj na firmy, ktoré doteraz nepodliehali regulácii. -
Posilnená ochrana pred kybernetickými rizikami
Zavádzajú sa prísnejšie opatrenia na riadenie kybernetických rizík. Podniky budú musieť implementovať a udržiavať adekvátne technické a organizačné riešenia na ochranu pred kybernetickými hrozbami. -
Zavedenie bezpečnostných opatrení
Prevádzkovatelia kritickej infraštruktúry musia implementovať prísne bezpečnostné opatrenia na ochranu svojich systémov a dát. To zahŕňa riadenie rizík, plány reakcie na incidenty, testovanie a audity. -
Povinné hlásenie kybernetických incidentov
Všetky subjekty spadajúce pod smernicu NIS 2 budú musieť hlásiť kybernetické incidenty príslušným orgánom. To je kľúčové pre včasnú identifikáciu hrozieb, koordináciu reakcie a zabránenie šíreniu kybernetických útokov. -
Zriadenie národných tímov
Každý členský štát musí zriadiť národný tím pre reakciu na kybernetické bezpečnostné incidenty (CSIRT). Tieto tímy budú koordinovať reakciu na kybernetické útoky a zdieľať informácie s ostatnými členskými štátmi. -
Posilnená spolupráca na európskej úrovni
Smernica kladie dôraz na posilnenie spolupráce medzi členskými štátmi EÚ v oblasti kybernetickej bezpečnosti. Zahŕňa to výmenu informácií, vzájomnú pomoc pri riešení kybernetických incidentov a spoločný vývoj nástrojov a riešení na boj proti kybernetickým hrozbám. -
Zníženie rizík v dlhodobom horizonte
Investície do kybernetickej bezpečnosti v súlade so smernicou NIS 2 nie sú len krátkodobou povinnosťou, ale skôr základom pre znižovanie budúcich rizík a budovanie odolnosti voči kybernetickým hrozbám.
Na koho sa vzťahuje smernica NIS 2?
Smernica sa vzťahuje na širokú škálu subjektov a rozlišuje ich medzi dva typy kritickej infraštruktúry:
-
Subjekty zásadného významu
Tieto subjekty, ako napríklad energetické spoločnosti, nemocnice a banky, poskytujú služby, ktoré by mali v prípade narušenia vážny dopad na fungovanie štátu, hospodárstva alebo spoločnosti. Z tohto dôvodu podliehajú prísnejším požiadavkám na kybernetickú bezpečnosť.
Príklady
Energetika
Doprava
Finančné trhy
Zdravotná starostlivosť
Vodné hospodárstvo
Digitálna infraštruktúra a služby
Verejná správa
Vesmírny priemysel
-
Subjekty dôležitého významu
Sem patria organizácie, ako napríklad poštové služby, odpadové hospodárstvo a výrobné firmy. Narušenie ich služieb by síce malo menší dopad, ale aj tak predstavuje riziko pre kybernetickú bezpečnosť. Preto aj tieto subjekty musia dodržiavať určité bezpečnostné opatrenia.
Príklady
Poštové a kuriérske služby
Odpadové hospodárstvo
Chemický priemysel
Výrobný priemysel
Aké sú povinnosti pre subjekty
zásadného a dôležitého významu?
Požiadavky na kybernetickú bezpečnosť sa pre tieto dva typy subjektov líšia.
Subjekty zásadného významu podliehajú prísnejším pravidlám kvôli potenciálne vážnemu dopadu narušenia ich služieb.
Povinnosti subjektov zásadného významu
- Dodržiavanie všetkých požiadaviek smernice NIS 2.
- Hlásenie všetkých bezpečnostných incidentov bez ohľadu na závažnosť.
- Sledovanie varovaní Národného centra kybernetickej bezpečnosti (NCIB) a proaktívne reagovanie na hrozby.
- Podliehanie dohľadu NCIB.
- Uchovávanie dát a informácií sa musí spracovávať na serveroch v rámci daného regiónu.
- Preverovanie kybernetickej bezpečnosti svojich kritických dodávateľov je povinné.
Povinnosti subjektov zásadného významu
- Dodržiavanie vybraných požiadaviek smernice NIS 2.
- Hlásenie iba bezpečnostných incidentov s významným vplyvom.
- Sledovanie varovaní NCIS nie je povinné.
- Podliehanie dohľadu certifikovaného inšpektora NUCIB.
- Uchovávanie dát a informácií sa nemusí spracovávať na serveroch v rámci daného regiónu.
- Preverovanie kybernetickej bezpečnosti svojich dodávateľov nie je povinné.
Výzvy smernice NIS 2
Hoci smernica NIS 2 prináša množstvo výhod, jej implementácia je
taktiež plná výziev a práve preto je dobré mať po ruke spoľahlivého partnera v podobe VNETu:
Povinnosti subjektov zásadného významu
-
Zložitosť implementácie
Požiadavky smernice NIS 2 môžu byť pre firmy, najmä tie menšie s obmedzenými zdrojmi, náročné na pochopenie a implementáciu. -
Náklady na implementáciu
Dodržiavanie nových bezpečnostných opatrení si vyžaduje investície do technológií, personálu a odborného vzdelávania. -
Nedostatok odborníkov
Trh s kybernetickou bezpečnosťou trpí nedostatkom kvalifikovaných odborníkov. To môže pre firmy predstavovať problém pri implementácii a udržanie požadovaných bezpečnostných opatrení. -
Potreba medzinárodnej spolupráce
Úspech smernice NIS 2 závisí aj od efektívnej spolupráce medzi štátmi EÚ pri výmene informácií a koordinovanom riešení kybernetických hrozieb.
Benefity smernice NIS 2
Smernica NIS 2 prináša pre firmy rôznych veľkostí a sektorov do kybernetickej ochrany v EÚ aj rozsiahle benefity:
-
Ochrana citlivých informácií a systémov
NIS 2 stanovuje prísne požiadavky na kybernetickú bezpečnosť, čím pomáha firmám chrániť ich citlivé dáta a systémy pred kybernetickými útokmi. -
Odolnosť voči hrozbám
Implementáciou smernice NIS 2 firmy posilnia svoju odolnosť voči kybernetickým hrozbám a budú tak lepšie pripravené na zvládnutie a reagovanie na kybernetické útoky. -
Dodržiavanie legislatívy
NIS 2 definuje jasné požiadavky na kybernetickú bezpečnosť, ktoré musia firmy splniť. Dodržiavaním týchto požiadaviek sa firmy vyhnú pokutám a sankciám za nesplnenie legislatívnych povinností. -
Zlepšená reputácia
Dodržiavanie smernice NIS 2 demonštruje záväzok firmy k ochrane dát a kybernetickej bezpečnosti, čím posilňuje jej reputáciu u zákazníkov, partnerov a investorov -
Prevencia finančných strát
Kybernetické útoky môžu firmám spôsobiť značné finančné straty v dôsledku narušenia prevádzky, krádeže dát a výkupného. Implementácia NIS 2 pomôže firmám predchádzať kybernetickým útokom a tým aj minimalizovať ich finančné dopady. -
Podpora zo strany štátu
Smernica NIS 2 prináša firmám aj podporu zo strany štátu vo forme prístupu k národným zdrojom a expertným poznatkom v oblasti kybernetickej bezpečnosti. V prípade kybernetického incidentu tak firmy nebudú samy a budú môcť využiť pomoc štátnych orgánov. -
Zvýšenie dôveryhodnosti
Dodržiavaním prísnych bezpečnostných opatrení smernice NIS 2 firmy získajú dôveru zákazníkov a partnerov, ktorí s nimi budú ochotnejšie zdieľať citlivé informácie. -
Rovnosť podmienok
Smernica NIS 2 prináša jednotný rámec kybernetickej bezpečnosti pre celú EÚ. To vytvára rovnaké podmienky pre podnikanie a eliminuje konkurenčnú výhodu pre firmy, ktoré doteraz nemuseli investovať do kybernetickej bezpečnosti.