NIS2 EU: 5 princípov, podľa ktorých postavíte odolný a preukázateľný systém

NIS2 EU je spoločný rámec kybernetickej bezpečnosti v celej EÚ. Oproti NIS1 rozširuje okruh regulovaných subjektov, zavádza pevné lehoty na oznamovanie závažných incidentov a posilňuje zodpovednosť vedenia. 

Kľúčom je pretaviť právne požiadavky do funkčného systému: riadenie rizík, primerané opatrenia a dôkazy o tom, že všetko funguje. 

1. NIS2 EU vyžaduje prístup pokrývajúci všetky typy hrozieb 

Smernica v článku 21 hovorí, že opatrenia sa majú opierať o all-hazards prístup a pokrývať najmenej tieto oblasti: politika analýzy rizík, zvládanie incidentov, kontinuita a obnova, krízové riadenie, bezpečný nákup a vývoj, správa zraniteľností, bezpečnosť dodávateľského reťazca, politiky prístupov a šifrovanie. Inými slovami: neskladáte len „zoznam nástrojov“, ale súvislý systém. 

Novinka pre digitálne sektory: Vykonávacie nariadenie Komisie (EÚ) 2024/2690 prekladá tieto požiadavky do konkrétnych technických a metodických pravidiel a spresňuje, kedy je incident „významný“ pre vybrané typy subjektov (DNS – systém doménových mien, TLD – doména najvyššej úrovne, cloud, dátové centrá, CDN – sieť na doručovanie obsahu, MSP/MSSP – poskytovatelia riadených služieb (MSP) a riadených bezpečnostných služieb (MSSP), online trhy, vyhľadávače, sociálne siete, dôveryhodné služby (trust services)). 

2. NIS2 EU berie dodávateľský reťazec ako vaše vlastné riziko 

Požiadavky na bezpečnosť, oznamovanie incidentov či audity patria do zmlúv s dodávateľmi. Prakticky to znamená mať politiku bezpečnosti dodávateľského reťazca, definované dôkazy (záznamy, testy, reakčné lehoty) a mechanizmus kontroly plnenia. Tieto zásady posilňujú aj materiály ENISA pre implementáciu NIS2. 

3. NIS2 EU: časovo viazaná transparentnosť pri incidentoch 

Pri závažných incidentoch sa postupuje v troch krokoch: včasné varovanie do 24 hodín, oznámenie do 72 hodín a finálna správa do 30 dní. Úspech stojí na pripravených roliach, kontaktoch a šablónach — nie na improvizácii. 

4. NIS2 EU má výnimky z veľkostného limitu a posilňuje zodpovednosť vedenia 

Hoci smernica typicky platí pre aspoň stredne veľké organizácie v sektoroch z príloh, existujú typy subjektov bez ohľadu na veľkosť: poskytovatelia verejných elektronických komunikačných sietí a služieb, dôveryhodné služby (trust services), registrátori domén, DNS a TLD. Súčasne NIS2 zvyšuje nároky na dohľad vedenia nad bezpečnosťou a plnením povinností. 

5. NIS2 EU: Dôkazy na prvom mieste 

Rozhodujú dôkazy, nie deklarácie. Na jednom mieste držte minimálne: 

• analýzu rizík a register aktív a rizík s vlastníkmi a prioritami. 

• postup pri incidentoch so schémou 24 hodín/72 hodín/30 dní a so šablónami. 

• dôkazy o kontrolách: prístupy a identity, segmentácia, zálohy s testom obnovy, monitorovanie a detekcia, šifrovanie, školenia. 

• dodávateľské klauzuly a hodnotenia, vrátane záznamov o nápravných opatreniach. 

• reporty pre vedenie: MTTD/MTTR (čas do detekcie/obnovy), plnenie termínov opatrení, pokrytie MFA, výsledky testov obnovy, top 5 rizík a trend. 

ENISA v roku 2025 vydala technické implementačné usmernenie s praktickými príkladmi dôkazov naviazanými na nariadenie 2024/2690 — výborný podklad pre váš „auditný balíček“. 

NIS2 EU v praxi cez tri rozhodnutia 

Zaradenie: v ktorom odvetví pôsobíte, aký je reálny dopad služby a či spadáte do výnimiek bez ohľadu na veľkosť (DNS, TLD, dôveryhodné služby (trust services), registrácia domén, verejné elektronické komunikačné siete a služby).

Priority opatrení: ktoré tri kontroly najviac znižujú riziko a viete ich preukázať (MFA a správa identít, zálohy s testom obnovy, monitorovanie a detekcia).

Dôkazy a lehoty: ako budete zhromažďovať dôkazy a splníte 24 hodín/72 hodín/30 dní bez meškania. 

Ďalšie pravidlá, ktoré sa často prehliadajú 

Zoznamy regulovaných subjektov: členské štáty tvoria a udržiavajú zoznam essential a important entities (vrátane subjektov registrácie domén) a pravidelne ich aktualizujú; ide o praktickú „kotvu“ pre vaše interné self-checky a plánovanie zdrojov.

Vykonávacie nariadenie 2024/2690: pre digitálne sektory (napr. DNS, TLD, cloud, dátové centrá, CDN, MSP/MSSP, online trhy, vyhľadávače, sociálne siete, dôveryhodné služby (trust services)) spresňuje technické a metodické požiadavky a definuje významné incidenty. Uplatňuje sa s princípom primeranosti, no s jasnými očakávaniami pre oblasti ako identity a prístupy, segmentácia, aktualizácie, testovanie a evidencia.

Technický návod ENISA 2025: prináša konkrétne príklady dôkazov a mapovanie na bežné štandardy (napr. ISO/IEC 27001/27002), takže presne viete, čo predložiť pri kontrole. 

Záver 

NIS2 EU dáva jasné očakávania a merateľné výsledky: riadenie rizík, minimálne oblasti kontrol podľa článku 21 a dôkaznú dokumentáciu, ktorú viete rýchlo predložiť. Digitálnym sektorom do detailov určuje latku nariadenie 2024/2690, pričom ENISA 2025 ukazuje, aké dôkazy mať pripravené. Ak tieto prvky spojíte do jedného udržovaného systému, získate nielen súlad, ale najmä odolnosť, ktorá sa dá preukázať. 

Ak chcete skrátiť čas prípravy a mať všetko pod kontrolou, môžete sa spoľahnúť na RiskMinder: na jednom mieste centralizuje analýzu rizík, dokumentáciu aj reporting v súlade s požiadavkami NIS2 a dohľadu. Výsledok: rýchlejšie audity, nižšie riziko sankcií a istota, že procesy fungujú. 

Rozpoznajte riziká a chráňte svoju firmu. Chcete vyskúšať RiskMinder, obstarať cenovú ponuku alebo máte otázky? Napíšte nám. 

FAQ