top of page
Vyhľadávanie

NIS2 platnosť: odkedy smernica platí a čo to znamená pre firmy

  • 5 days ago
  • 4 minút čítania

Pri téme NIS2 platnosť vzniká vo firmách často zbytočný chaos. Jeden človek povie, že NIS2 platí od októbra 2024. Druhý, že na Slovensku až od januára 2025. A tretí má pocit, že ide len o „európsku smernicu“, takže sa tým netreba zaoberať, kým nepríde kontrola. V skutočnosti sa tu mieša viac dátumov, ktoré znamenajú niečo iné.


NIS2 platnosť

Práve preto sa oplatí tému NIS2 platnosť vysvetliť presnejšie. Nie kvôli právnej teórii, ale preto, že od správneho pochopenia dátumov sa odvíja aj to, kedy má firma začať riešiť register rizík, zodpovednosti, dokumentáciu a auditnú pripravenosť.


NIS2 platnosť neznamená len jeden dátum

Keď niekto povie „odkedy platí NIS2“, môže tým myslieť viac rôznych vecí. A práve tu vzniká najviac nedorozumení.

Najčastejšie ide o tieto roviny:

  • odkedy vstúpila do platnosti samotná európska smernica,

  • dokedy ju mali členské štáty preniesť do svojich zákonov,

  • odkedy sa podľa slovenskej úpravy reálne uplatňuje na firmy na Slovensku.

Ak sa tieto tri roviny pomiešajú, firma si veľmi ľahko vyhodnotí situáciu nesprávne. Niekde si povedia, že „to ešte neplatí“, hoci zákon už je účinný. Inde sa zasa sústredia len na jeden dátum a nevnímajú, čo z neho v praxi vyplýva.


NIS2 platnosť na úrovni Európskej únie

Na úrovni Európskej únie treba rozlišovať medzi prijatím smernice, jej vstupom do platnosti a termínom na jej prebratie do národných právnych poriadkov.

Pre firmu je dôležité vedieť najmä toto:

  • smernica NIS2 bola prijatá v roku 2022,

  • do platnosti vstúpila začiatkom roka 2023,

  • členské štáty ju mali preniesť do svojich zákonov do októbra 2024.


To však ešte automaticky neznamenalo, že od tohto momentu fungovali vo všetkých krajinách rovnaké pravidlá. NIS2 je smernica, nie nariadenie. Každý členský štát ju preto musel preniesť do svojho právneho prostredia cez vlastnú legislatívu.

A práve tu sa začína rozdiel medzi európskou platnosťou smernice a praktickou účinnosťou pravidiel pre slovenské firmy.


NIS2 platnosť na Slovensku

Na Slovensku bola NIS2 prebratá do práva novelou zákona o kybernetickej bezpečnosti. Pre firmy je preto podstatné nielen to, že smernica existuje na úrovni EÚ, ale najmä to, odkedy sa jej požiadavky uplatňujú cez slovenskú právnu úpravu.

Z praktického pohľadu je dobré mať jasno v tomto rozlíšení:

  • na úrovni EÚ bola smernica platná skôr,

  • členské štáty mali určený termín na jej prebratie,

  • na Slovensku je rozhodujúca účinnosť novely zákona o kybernetickej bezpečnosti.


Práve toto rozlíšenie býva pre manažment najužitočnejšie. Oddeľuje platnosť smernice na úrovni EÚ od reálnej účinnosti slovenskej úpravy, podľa ktorej sa firmy posudzujú v praxi.


Čo NIS2 platnosť reálne znamená pre firmu

Pre organizáciu nie je dôležité len to, že nejaký predpis „už platí“. Dôležité je, či sa na ňu vzťahuje, aké postavenie má podľa zákona a čo z toho vyplýva pre riadenie rizík, dokumentáciu, dohľad a dokazovanie súladu.

V praxi sa preto oplatí pozerať na NIS2 platnosť cez tieto otázky:

  • patríme vôbec do rozsahu smernice a slovenskej úpravy,

  • vieme, ktoré služby, aktíva a procesy sú pre nás kritické,

  • máme zodpovednosti rozdelené aj mimo IT,

  • vieme preukázať, že riziká nielen evidujeme, ale riadime systematicky,

  • máme výstupy, ktoré obstoja pri audite alebo kontrole.


A práve tu sa ukazuje rozdiel medzi vetou „legislatíva už platí“ a reálnou pripravenosťou firmy. Tieto dve veci nie sú to isté. Mnohé organizácie po účinnosti zákona zistili, že najväčším problémom nie je samotný dátum, ale to, že nemajú jednotné hodnotenie rizík, jasných vlastníkov a poriadok v dôkazoch.


Najčastejšie omyly pri téme platnosti NIS2 

Pri tomto kľúčovom slove sa opakujú najmä tie isté chyby. Firmy často nehľadajú vysvetlenie, ale jeden „správny dátum“, ktorý by im všetko objasnil. Lenže pri NIS2 to takto nefunguje.

V praxi sa najčastejšie stretávame s tým, že:

  • zamieňa sa platnosť smernice v EÚ s účinnosťou slovenského zákona,

  • firmy sa pozerajú len na dátum, ale nie na svoj reálny rozsah povinností,

  • NIS2 sa vníma ako jednorazová právna zmena, nie ako rámec na priebežné riadenie rizík,

  • vedenie čaká na „posledný termín“, namiesto toho, aby si najprv urobilo poriadok v rizikách a zodpovednostiach.


Takýto prístup býva rizikový. Nie preto, že by každá firma musela okamžite robiť všetko, ale preto, že nesprávne pochopenie platnosti a účinnosti vedie k oneskoreným rozhodnutiam. A tie sa potom veľmi ťažko dobiehajú pod časovým tlakom.


NIS2 platnosť a auditná pripravenosť

Od momentu, keď sa na firmu začne uplatňovať slovenská úprava, už nejde len o formálnu znalosť zákona. Dôležité je, či viete ukázať, že bezpečnosť riadite ako systém.

To v praxi znamená mať poriadok najmä v týchto oblastiach:

  • aktíva,

  • hrozby,

  • zraniteľnosti,

  • riziká,

  • vlastníci rizík,

  • výstupy pre vedenie, audit alebo kontrolu.


Práve preto by sa téma NIS2 platnosť nemala končiť pri vete „zákon už platí“. Oveľa dôležitejšia otázka je, či sa to vo firme prejavilo aj v praxi. Teda či máte register rizík, metodiku hodnotenia, rozdelené zodpovednosti, pravidelnú revíziu a schopnosť obhájiť svoje rozhodnutia aj mimo IT oddelenia.

Tam sa láme rozdiel medzi papierovým súladom a fungujúcim systémom kybernetickej bezpečnosti.


Ako pomáha RiskMinder

Ak má byť plnenie požiadaviek podľa NIS2 udržateľné, nestačí poznať dátum účinnosti zákona. Potrebujete prehľad v rizikách, jednotné hodnotenie a výstupy, ktoré viete obhájiť pri audite alebo kontrole.


RiskMinder podporuje najmä procesnú časť riadenia rizík:

  • viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

  • používať jednotné hodnotenie rizík naviazané na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001,

  • priraďovať vlastníkov rizík a sledovať stav a vývoj riadených rizík,

  • rozširovať katalógy podľa potrieb,

  • generovať výstupy použiteľné pre audit, vedenie a dohľad.


Keď má firma jasno v tom, odkedy sa na ňu pravidlá vzťahujú, aké riziká z toho vyplývajú a kto za ne nesie zodpovednosť, NIS2 prestane byť len legislatívnou témou. Začne fungovať ako praktický rámec na rozhodovanie, prioritizáciu a udržateľné riadenie kybernetickej bezpečnosti.

 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page