NIS2 Directive: Čo hovorí európska smernica o kybernetickej bezpečnosti

NIS2 Directive je európska smernica, ktorá zvyšuje nároky na kybernetickú bezpečnosť naprieč EÚ a rozširuje okruh regulovaných subjektov. Stanovuje, koho sa pravidlá týkajú (od energetiky a zdravotníctva až po digitálnu infraštruktúru), aké minimálne opatrenia majú byť zavedené a v akých lehotách treba hlásiť závažné incidenty. 

V článku stručne vysvetľujeme, čo NIS2 Directive požaduje, koho zaradí medzi organizácie kategórie „essential“ a „important“ (entities) a ako sa na povinnosti pripraviť bez chaosu – od analýzy rizík po dôkaznú dokumentáciu pre dohľad. 

NIS2 Directive v skratke 

NIS2 Directive je druhá generácia pravidiel kybernetickej bezpečnosti v EÚ. Rozširuje okruh regulovaných subjektov, zjednocuje požiadavky naprieč štátmi a kladie väčší dôraz na zodpovednosť vedenia. Pre prax to znamená povinné riadenie rizík, jasne popísané opatrenia a lehoty pri oznamovaní incidentov, ktoré sa dajú skontrolovať pri dohľade. 

Čo je v NIS2 Directive nové oproti NIS1 

• Širší záber subjektov – smernica pokrýva viac odvetví a spravidla aj stredne veľké firmy, nie iba „veľkých“ prevádzkovateľov ako v NIS1. 

• Silnejšia zodpovednosť vedenia – manažment nesie priamu zodpovednosť za zavedenie opatrení a dohľad nad nimi. 

• Pevné lehoty pri incidentoch – viacstupňové oznamovanie v schéme 24 hodín, 72 hodín, 30 dní. 

• Jednotnejší dohľad a vyššie sankcie – dohľad je prísnejší, sankcie pre important a essential entities sú vyššie. 

Rozsah pôsobnosti NIS2 Directive 

1. Jednoznačne v pôsobnosti 

• Sektory vysokej kritickosti: energetika, doprava, bankovníctvo, zdravotníctvo, pitná voda a odpadová voda. 

• Digitálna infraštruktúra: cloud, dátové centrá, CDN, IXP, DNS, TLD, verejné elektronické komunikačné siete/služby, dôveryhodné služby (trust services). 

  
  

Poznámka: DNS, TLD, dôveryhodné služby (trust services), registrácia domén a verejné EKS/ECS sú v pôsobnosti bez ohľadu na veľkosť; ostatné typy spravidla od stredne veľkých podnikov vyššie. 

2. V pôsobnosti pri splnení podmienok 

• menšie organizácie so zásadným dopadom (napr. kritická aplikácia pre nemocnice či energetiku), 

• kľúčové tretie strany/dodávatelia, ktorých výpadok významne ovplyvní regulovanú službu, 

• prevádzkovatelia komponentov digitálnej infraštruktúry pre kritické služby. 

  
  

3. Zvyčajne mimo pôsobnosti 

• mikro a malé podniky bez kritického dopadu, 

• čisto interné IT bez poskytovania kľúčovej služby navonok. 

(Vždy však overte dodávateľské väzby – zmluvné požiadavky regulovaných partnerov môžu zvýšiť nároky aj na menších dodávateľov.) 

Ako si rýchlo overiť pôsobnosť 

Tri otázky, ktoré rozhodnú: 

1. V ktorom odvetví pôsobí vaša hlavná služba a či je uvedená v prílohách NIS2? 

2. Spĺňate veľkostné prahy alebo má vaša služba preukázateľne kritický dopad? 

3. Ste kľúčová väzba v reťazci regulovaného partnera, ktorej výpadok by zastavil službu? 

   
   

Ak odpoviete áno aspoň na dve, pripravte sa na plnenie povinností v plnom rozsahu. 

Povinnosti v praxi 

Riadenie a zodpovednosť vedenia 

Čo nastaviť: vlastníci rizík, schvaľovanie politík, reporty na úrovni vedenia, rozhodovanie o výnimkách.

Čo predložiť: záznamy z porád vedenia, politika riadenia rizík, menovacie rozhodnutia a matica zodpovedností. 

Riadenie rizík 

Čo nastaviť: metodiku hodnotenia, mapu rizík, väzbu riziko → kontrola → zodpovedný → termín.

Čo predložiť: aktuálna analýza rizík a zoznam prijatých opatrení s termínmi a vlastníkmi. 

Technické a organizačné opatrenia 

Čo nastaviť: správa identít a prístupov, segmentácia sietí, zálohy a testy obnovy, monitorovanie a detekcia, šifrovanie, školenia.

Čo predložiť: politiky a evidencie, výsledky testov, výstupy z monitorovania, preukázateľné školenia. 

Oznamovanie incidentov 

Čo nastaviť: postup pri incidentoch, kontaktný reťazec, predvyplnené šablóny hlásení, minimálny rozsah logov.

Čo predložiť: evidencia incidentov a kópie hlásení v schéme 24 hodín/72 hodín/30 dní. 

Tretie strany a dodávatelia 

Čo nastaviť: zmluvné požiadavky na bezpečnosť a oznamovanie, kontrolu plnenia, eskalačné pravidlá.

Čo predložiť: zmluvné klauzuly, protokoly z hodnotenia dodávateľov, záznamy o nápravných opatreniach. 

Dokumentácia a auditovateľnosť 

Čo nastaviť: jednotné miesto pre dokumenty, verzovanie, revízny kalendár.

Čo predložiť: zoznam platných dokumentov s dátumami revízií a kompletný auditný balíček pripravený na odovzdanie. 

Úlohy podľa rolí 

Vedenie – určuje apetít k riziku, schvaľuje politiky, vyžaduje pravidelné reporty a rozhoduje o rozpočte a výnimkách.

Bezpečnostný manažér – koordinuje analýzu rizík, plánuje opatrenia, riadi incident playbook a dohliada na evidenciu.

IT prevádzka – zavádza technické opatrenia, udržiava logy, testuje obnovu, dodržiava štandardy prístupov a segmentácie.

Právo a compliance – stráži zmluvné požiadavky, lehoty hlásení a konzistenciu dokumentácie voči zneniu smernice.

Nákup a dodávatelia – vkladá bezpečnostné klauzuly do zmlúv, vyžaduje dôkazy od partnerov a kontroluje plnenie. 

Reporty a metriky pre vedenie 

Aby sa zodpovednosť vedenia neskončila na papieri, nastavte pravidelné reporty s niekoľkými jednoduchými ukazovateľmi: 

• MTTD/MTTR – priemerný čas od vzniku udalosti po detekciu a od detekcie po obnovu, 

• realizácia opatrení podľa plánu – percento kontrol doručených v termíne, 

• pokrytie prístupov – podiel kritických účtov s MFA a správou privilégií, 

• odolnosť dát – úspešnosť testov obnovy a pokrytie záloh pre kritické systémy, 

• stav školení – účasť a priebežné opakovacie školenia, 

• top 5 rizík a trend – čo sa zlepšuje/zhoršuje a prečo. 

Odporúčaná kadencia je mesačný prehľad pre operatívu a štvrťročné rizikové hodnotenie na úrovni vedenia. Pri zásadných zmenách alebo incidente odošlite mimoriadny report mimo bežného cyklu. 

Záver 

NIS2 Directive nie je o ďalšom šanóne. Ide o to, aby ste preukázateľne riadili riziká, mali zavedené opatrenia, zvládli lehoty 24 hodín/72 hodín/30 dní a vedeli to doložiť dokumentáciou. Keď máte jasné roly, metriky a dôkazy – a zmluvne ošetrených dodávateľov – dohľad zvládnete bez chaosu a s menšími dopadmi na prevádzku. 

Ak chcete skrátiť čas prípravy a mať všetko pod kontrolou, RiskMinder vám na jednom mieste centralizuje analýzu rizík, dokumentáciu aj reporting v súlade s požiadavkami dohľadu. Výsledok: rýchlejšie audity, nižšie riziko sankcií a istota, že procesy fungujú aj v praxi. 

FAQ