top of page
Vyhľadávanie

NIS2 Directive: Čo hovorí európska smernica o kybernetickej bezpečnosti

Updated: Nov 21

NIS2 Directive je európska smernica, ktorá zvyšuje nároky na kybernetickú bezpečnosť naprieč EÚ a rozširuje okruh regulovaných subjektov. Stanovuje, koho sa pravidlá týkajú (od energetiky a zdravotníctva až po digitálnu infraštruktúru), aké minimálne opatrenia majú byť zavedené a v akých lehotách treba hlásiť závažné incidenty. 


NIS2 directive

V článku stručne vysvetľujeme, čo NIS2 Directive požaduje, koho zaradí medzi organizácie kategórie „essential“ a „important“ (entities) a ako sa na povinnosti pripraviť bez chaosu – od analýzy rizík po dôkaznú dokumentáciu pre dohľad. 


NIS2 Directive v skratke 

NIS2 Directive je druhá generácia pravidiel kybernetickej bezpečnosti v EÚ. Rozširuje okruh regulovaných subjektov, zjednocuje požiadavky naprieč štátmi a kladie väčší dôraz na zodpovednosť vedenia. Pre prax to znamená povinné riadenie rizík, jasne popísané opatrenia a lehoty pri oznamovaní incidentov, ktoré sa dajú skontrolovať pri dohľade. 


Čo je v NIS2 Directive nové oproti NIS1 

  • Širší záber subjektov – smernica pokrýva viac odvetví a spravidla aj stredne veľké firmy, nie iba „veľkých“ prevádzkovateľov ako v NIS1. 

  • Silnejšia zodpovednosť vedenia – manažment nesie priamu zodpovednosť za zavedenie opatrení a dohľad nad nimi. 

  • Pevné lehoty pri incidentoch – viacstupňové oznamovanie v schéme 24 hodín, 72 hodín, 30 dní

  • Jednotnejší dohľad a vyššie sankcie – dohľad je prísnejší, sankcie pre important a essential entities sú vyššie. 


Rozsah pôsobnosti NIS2 Directive 

1. Jednoznačne v pôsobnosti 

  • Sektory vysokej kritickosti: energetika, doprava, bankovníctvo, zdravotníctvo, pitná voda a odpadová voda. 

  • Digitálna infraštruktúra: cloud, dátové centrá, CDN, IXP, DNS, TLD, verejné elektronické komunikačné siete/služby, dôveryhodné služby (trust services)


Poznámka: DNS, TLD, dôveryhodné služby (trust services), registrácia domén a verejné EKS/ECS sú v pôsobnosti bez ohľadu na veľkosť; ostatné typy spravidla od stredne veľkých podnikov vyššie. 


2. V pôsobnosti pri splnení podmienok 

  • menšie organizácie so zásadným dopadom (napr. kritická aplikácia pre nemocnice či energetiku), 

  • kľúčové tretie strany/dodávatelia, ktorých výpadok významne ovplyvní regulovanú službu, 

  • prevádzkovatelia komponentov digitálnej infraštruktúry pre kritické služby. 


3. Zvyčajne mimo pôsobnosti 

  • mikro a malé podniky bez kritického dopadu, 

  • čisto interné IT bez poskytovania kľúčovej služby navonok. 

(Vždy však overte dodávateľské väzby – zmluvné požiadavky regulovaných partnerov môžu zvýšiť nároky aj na menších dodávateľov.) 


Ako si rýchlo overiť pôsobnosť 

Tri otázky, ktoré rozhodnú: 

  1. V ktorom odvetví pôsobí vaša hlavná služba a či je uvedená v prílohách NIS2? 

  2. Spĺňate veľkostné prahy alebo má vaša služba preukázateľne kritický dopad? 

  3. Ste kľúčová väzba v reťazci regulovaného partnera, ktorej výpadok by zastavil službu? 


Ak odpoviete áno aspoň na dve, pripravte sa na plnenie povinností v plnom rozsahu. 


Povinnosti v praxi 

Riadenie a zodpovednosť vedenia 

Čo nastaviť: vlastníci rizík, schvaľovanie politík, reporty na úrovni vedenia, rozhodovanie o výnimkách.

Čo predložiť: záznamy z porád vedenia, politika riadenia rizík, menovacie rozhodnutia a matica zodpovedností. 


Riadenie rizík 

Čo nastaviť: metodiku hodnotenia, mapu rizík, väzbu riziko → kontrola → zodpovedný → termín.

Čo predložiť: aktuálna analýza rizík a zoznam prijatých opatrení s termínmi a vlastníkmi. 


Technické a organizačné opatrenia 

Čo nastaviť: správa identít a prístupov, segmentácia sietí, zálohy a testy obnovy, monitorovanie a detekcia, šifrovanie, školenia.

Čo predložiť: politiky a evidencie, výsledky testov, výstupy z monitorovania, preukázateľné školenia. 


Oznamovanie incidentov 

Čo nastaviť: postup pri incidentoch, kontaktný reťazec, predvyplnené šablóny hlásení, minimálny rozsah logov.

Čo predložiť: evidencia incidentov a kópie hlásení v schéme 24 hodín/72 hodín/30 dní


Tretie strany a dodávatelia 

Čo nastaviť: zmluvné požiadavky na bezpečnosť a oznamovanie, kontrolu plnenia, eskalačné pravidlá.

Čo predložiť: zmluvné klauzuly, protokoly z hodnotenia dodávateľov, záznamy o nápravných opatreniach. 


Dokumentácia a auditovateľnosť 

Čo nastaviť: jednotné miesto pre dokumenty, verzovanie, revízny kalendár.

Čo predložiť: zoznam platných dokumentov s dátumami revízií a kompletný auditný balíček pripravený na odovzdanie. 


Úlohy podľa rolí 

Vedenie – určuje apetít k riziku, schvaľuje politiky, vyžaduje pravidelné reporty a rozhoduje o rozpočte a výnimkách.

Bezpečnostný manažér – koordinuje analýzu rizík, plánuje opatrenia, riadi incident playbook a dohliada na evidenciu.

IT prevádzka – zavádza technické opatrenia, udržiava logy, testuje obnovu, dodržiava štandardy prístupov a segmentácie.

Právo a compliance – stráži zmluvné požiadavky, lehoty hlásení a konzistenciu dokumentácie voči zneniu smernice.

Nákup a dodávatelia – vkladá bezpečnostné klauzuly do zmlúv, vyžaduje dôkazy od partnerov a kontroluje plnenie. 


Reporty a metriky pre vedenie 

Aby sa zodpovednosť vedenia neskončila na papieri, nastavte pravidelné reporty s niekoľkými jednoduchými ukazovateľmi: 

  • MTTD/MTTR – priemerný čas od vzniku udalosti po detekciu a od detekcie po obnovu, 

  • realizácia opatrení podľa plánu – percento kontrol doručených v termíne, 

  • pokrytie prístupov – podiel kritických účtov s MFA a správou privilégií, 

  • odolnosť dát – úspešnosť testov obnovy a pokrytie záloh pre kritické systémy, 

  • stav školení – účasť a priebežné opakovacie školenia, 

  • top 5 rizík a trend – čo sa zlepšuje/zhoršuje a prečo. 

Odporúčaná kadencia je mesačný prehľad pre operatívu a štvrťročné rizikové hodnotenie na úrovni vedenia. Pri zásadných zmenách alebo incidente odošlite mimoriadny report mimo bežného cyklu. 


Záver 

NIS2 Directive nie je o ďalšom šanóne. Ide o to, aby ste preukázateľne riadili riziká, mali zavedené opatrenia, zvládli lehoty 24 hodín/72 hodín/30 dní a vedeli to doložiť dokumentáciou. Keď máte jasné roly, metriky a dôkazy – a zmluvne ošetrených dodávateľov – dohľad zvládnete bez chaosu a s menšími dopadmi na prevádzku. 

Ak chcete skrátiť čas prípravy a mať všetko pod kontrolou, RiskMinder vám na jednom mieste centralizuje analýzu rizík, dokumentáciu aj reporting v súlade s požiadavkami dohľadu. Výsledok: rýchlejšie audity, nižšie riziko sankcií a istota, že procesy fungujú aj v praxi. 


FAQ

Čo je NIS2 Directive? 

NIS2 Directive je európska smernica, ktorá sprísňuje kybernetickú bezpečnosť, rozširuje okruh regulovaných subjektov a definuje minimálne opatrenia a lehoty na hlásenie incidentov. 

Koho sa NIS2 Directive týka? 

Týka sa najmä sektorov vysokej kritickosti, digitálnej infraštruktúry a pri splnení podmienok aj menších organizácií s kritickým dopadom alebo kľúčových dodávateľov v reťazci. 

Aké sú hlavné povinnosti podľa NIS2 v praxi? 

Organizácie musia systematicky riadiť riziká, zaviesť technické a organizačné opatrenia, mať definovaný proces hlásenia incidentov, upravené vzťahy s dodávateľmi a udržiavanú dokumentáciu pre dohľad. 

Aké sú lehoty na oznamovanie kybernetických incidentov? 

NIS2 zavádza viacstupňové hlásenie incidentov v schéme približne 24 hodín na včasné varovanie, 72 hodín na podrobnejšie hlásenie a 30 dní na finálnu správu. 

Ako sa môže organizácia pripraviť bez chaosu? 

Kľúčom je mať jasné roly a zodpovednosti, aktuálnu analýzu rizík, preukázateľné dôkazy o opatreniach a incidentoch a pravidelné reporty pre vedenie, ktoré ukazujú stav rizík a plnenie opatrení. 


 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page