EUR-Lex NIS2: Ako čítať smernicu krok za krokom

Smernica NIS2 je jedným z kľúčových dokumentov pre kybernetickú bezpečnosť v Európskej únii. Jej oficiálne znenie nájdete na portáli EUR-Lex, no pre manažérov a interné tímy často pôsobí komplikovane: dlhé vety, právnická terminológia, viacero verzií textu a odkazy na iné právne akty. 

Napriek tomu je práve dokument na EUR-Lexe východiskom pre všetky ďalšie materiály – prezentácie, metodiky, usmernenia aj národné zákony. Tento článok ukazuje, ako pracovať s textom smernice NIS2 na EUR-Lexe tak, aby z neho vznikol praktický vstup pre riadenie kybernetickej bezpečnosti vo firme. 

Orientácia v texte NIS2 na EUR-Lexe 

Oficiálne znenie smernice NIS2 nájdete na portáli EUR-Lex pod označením Directive (EU) 2022/2555. Najčastejšie sa k nemu dostanete tak, že do vyhľadávača zadáte „eur lex nis2“, prípadne priamo číslo 2022/2555 alebo CELEX kód 32022L2555. 

Na stránke dokumentu je vhodné skontrolovať: 

• typ aktu – smernica (Directive), 

• právny stav – či je text účinný a či neexistujú novšie zmeny, 

• verziu textu – či pozeráte konsolidované znenie, alebo pôvodný text z Úradného vestníka. 

Na bežnú prácu je praktickejšie používať konsolidovanú verziu, ktorá v jednom dokumente obsahuje aktuálne znenie všetkých ustanovení. Jazykovou mutáciou môže byť slovenčina; pri nejasnostiach sa oplatí porovnať znenie s anglickou verziou. 

Na čo sa pozerať pri čítaní „ EUR-Lex NIS2“ 

Predtým, ako začnete čítať samotný text, je užitočné ujasniť si cieľ: 

• potrebujete zistiť, či vaša organizácia vôbec spadá do rozsahu NIS2, 

• potrebujete prehľad hlavných obsahových požiadaviek, 

• alebo vás zaujíma najmä časový a legislatívny rámec. 

Podľa toho potom zvolíte, ktorým častiam textu venovať pozornosť ako prvým. 

Pri posudzovaní, či sa NIS2 na firmu vzťahuje, sú najdôležitejšie: 

• úvodné ustanovenia o rozsahu pôsobnosti a definíciách, 

• prílohy smernice, kde sú uvedené sektory a typy subjektov. 

Ak je cieľom prehľad povinností, zameriate sa na články o opatreniach, riadení rizík, incidente, spolupráci s orgánmi dohľadu a úlohe vedenia. Pri sledovaní časového rámca a legislatívnych míľnikov je dôležité vnímať dátumy účinnosti a transpozičné lehoty, ktoré majú členské štáty. 

Štruktúra textu smernice NIS2 

Text NIS2 na EUR-Lexe je usporiadaný do troch hlavných blokov: 

• odôvodnenia (Recitals), 

• články (Articles) rozdelené do kapitol, 

• prílohy (Annex I a II). 

Odôvodnenia vysvetľujú dôvody prijatia smernice, skúsenosti s pôvodnou NIS a ciele, ktoré má nová úprava dosiahnuť. Pre manažment môžu byť užitočné pri vysvetľovaní, prečo sa NIS2 nedá vnímať len ako „IT téma“, ale ako širšia otázka odolnosti a kontinuity podnikania. Väčšinou postačí prečítať prvé desiatky odôvodnení, nie celý úvod. 

Jadro textu tvoria články. Pre firmy sú kľúčové najmä tie, ktoré: 

• určujú, ktoré subjekty a sektory pod NIS2 spadajú, 

• definujú požiadavky na riadenie rizík a bezpečnostné opatrenia, 

• upravujú hlásenie incidentov a spoluprácu s orgánmi dohľadu, 

• popisujú rámec dohľadu, registrácie subjektov a sankcií. 

Prílohy obsahujú zoznam sektorov a typov subjektov („essential“ a „important entities“). Práve tu mnohé organizácie získajú prvú odpoveď, či je NIS2 pre nich priamou povinnosťou, alebo skôr nepriamou požiadavkou cez dodávateľské reťazce. 

Ako čítať NIS2 na EUR-Lexe efektívne 

Aby sa z textu na EUR-Lexe stal nástroj, nie záťaž, pomáha čítať ho selektívne a s jasným výstupom. 

Najprv je vhodné pozrieť si prílohy a časti o rozsahu pôsobnosti. Cieľom je vyhodnotiť, či vaša organizácia patrí medzi subjekty, na ktoré sa smernica vzťahuje, a v akej kategórii. Výsledkom by malo byť interné stanovisko typu: 

„sme/dokážeme byť identifikovaní ako essential/important entity v sektore X“. 

Následne je vhodné sústrediť sa na články, ktoré definujú obsahové požiadavky. Pri čítaní si môžete vyznačovať vety, ktoré začínajú alebo obsahujú jasné povinnosti (v slovenskom znení typicky „subjekty sú povinné…“, „organizácie zabezpečia…“). Tieto vety tvoria základ budúceho zoznamu povinností. 

Popri tom je praktické všímať si články, ktoré pracujú s lehotami a frekvenciou – najmä pri hlásení incidentov a spolupráci s orgánmi dohľadu. Získate tak vstup pre časť interného plánu reakcie na incidenty, ktorá sa týka komunikácie smerom von. 

Posledným krokom je prevod vyznačených požiadaviek do vlastného prehľadu. Pri každej z nich je užitočné doplniť: 

• kto v organizácii za ňu zodpovedá (bezpečnostný manažér, IT, právnik, vedenie), 

• či už existuje proces alebo opatrenie, ktoré ju pokrýva, 

• či je potrebné vytvoriť nový proces, technické riešenie alebo dokumentáciu. 

Tak vznikne pracovný dokument – nie iba „prečítaná smernica“, ale zoznam konkrétnych bodov, s ktorými viete ďalej pracovať v projektoch a pri plánovaní rozpočtu. 

Vzťah medzi EUR-Lex NIS2 a slovenskou legislatívou 

Text na EUR-Lexe predstavuje európsky rámec. Pre firmu pôsobiacu na Slovensku je rozhodujúce, ako je tento rámec preložený do národného práva – teda do zákona o kybernetickej bezpečnosti a súvisiacich vyhlášok. 

Praktický postup vyzerá takto: 

• zo smernice NIS2 na EUR-Lexe si vytvoríte prehľad oblastí a typov povinností, 

• následne sa pozriete, v ktorých paragrafoch a ustanoveniach národná legislatíva tieto požiadavky preberá, 

• k nim potom priraďujete interné politiky, procesy a technické opatrenia. 

Výhodou takéhoto mapovania je, že pri kontrole alebo audite viete kedykoľvek ukázať, z čoho vaše interné pravidlá vychádzajú a ako nadväzujú na európsky aj národný rámec. 

Úloha RiskMinderu pri práci s NIS2 

RiskMinder nenahrádza právnikov ani komunikáciu s regulátorom. Jeho úlohou je pomôcť organizácii zvládnuť časť, v ktorej sa právne požiadavky menia na praktické riadenie rizík a opatrení. 

V prostredí, kde sa pracuje s NIS2 a slovenskou legislatívou, môže RiskMinder slúžiť najmä na: 

• vedenie prehľadného registra aktív, hrozieb, zraniteľností a rizík, 

• priraďovanie opatrení k jednotlivým rizikám a sledovanie vývoja riadených rizík, 

• prácu s katalógmi opatrení zosúladenými s požiadavkami NIS2, zákona o kybernetickej bezpečnosti, vyhlášok NBÚ a noriem typu ISO 27001, 

• vytváranie dokumentácie a dôkazov, ktoré budú potrebné pri auditoch a kontrolách,

• tvorbu prehľadov pre vedenie a audítorov o stave kybernetickej bezpečnosti a plnení požiadaviek. 

Incidenty, oznamovanie voči regulátorom a formálne právne kroky zostávajú v zodpovednosti interných procesov. RiskMinder poskytuje štruktúru a dáta, na ktorých tieto procesy stoja. 

Rozpoznajte riziká a chráňte svoju firmu. Máte záujem vyskúšať RiskMinder, potrebujete cenovú ponuku alebo máte otázky? Napíšte nám. 

FAQ