top of page
Vyhľadávanie

NIS2 povinné subjekty: ako zistiť, či ste v rozsahu

  • 3 days ago
  • 4 minút čítania

„Spadáme pod NIS2, alebo nie?“ Toto je otázka, na ktorej firmy najčastejšie stratia čas. Nie preto, že by NIS2 bola nepochopiteľná, ale preto, že v praxi býva hranica medzi tým, že ste v regulovanom sektore, a tým, že preň len dodávate, nejasná.


NIS2 povinné subjekty

Tento článok je postavený tak, aby ste si vedeli spraviť rýchlu samoidentifikáciu: aké otázky si položiť, na aké hraničné prípady si dať pozor a čo si zdokumentovať, aby ste vedeli svoj záver obhájiť interne aj pri kontrole. NIS2 totiž funguje na princípe rozsahu podľa sektorov a veľkosti, pričom niektoré typy subjektov sú v rozsahu aj bez ohľadu na veľkosť.


NIS2 povinné subjekty: rozhodovací strom

Najpraktickejší prístup je nehádať sa o pojmoch, ale prejsť si postupne tieto body.


Ste v regulovanom sektore podľa NIS2?

NIS2 pracuje so zoznamom sektorov v prílohách smernice a členské štáty to následne premietajú do národnej úpravy. V praxi sa preto sústreďte na to, čo reálne prevádzkujete alebo poskytujete ako službu, nie na to, aký máte marketingový opis firmy.


Spĺňate kritérium veľkosti pre rozsah?

Všeobecné pravidlo NIS2 je, že sa týka minimálne stredných a veľkých subjektov v príslušných sektoroch. To znamená, že pri mnohých firmách nestačí pozrieť sa len na odvetvie. Dôležité je aj to, akú veľkosť dosahujete a ako sa posudzuje vaša organizácia v praxi.


Ste povinný subjekt, alebo len dodávateľ?

Toto je častý omyl. To, že dodávate firme v regulovanom sektore, ešte automaticky neznamená, že ste NIS2 povinný subjekt. Rozhoduje, či vaša vlastná činnosť spadá do rozsahu NIS2, nie to, komu fakturujete. Práve pri rozlišovaní, či ide o dodávateľa alebo o NIS2 povinné subjekty, vzniká v praxi najviac chýb.


Nepatríte do špeciálnej kategórie bez ohľadu na veľkosť?

Ak áno, veľkosť prestáva byť hlavná otázka a rozhodujúci je priamo typ činnosti. Práve tu sa firmy často pomýlia, lebo sa príliš rýchlo upokoja tým, že sú malé.


Máte skupinu podnikov alebo viac činností?

V praxi je dôležité pozerať sa aj na prepojené firmy a na to, či máte aspoň jednu činnosť, ktorá vás do rozsahu zatiahne. Pri zmiešaných aktivitách sa často stáva, že firma si vyhodnotí iba hlavnú činnosť a prehliadne regulovanú službu.

Praktický tip, ktorý šetrí čas, je jednoduchý: na konci si spíšte krátky interný zápis, prečo ste v rozsahu alebo prečo v rozsahu nie ste. Uveďte sektor, veľkosť, typ služby a prípadné výnimky. Pri kontrole je dôležité vedieť ukázať logiku rozhodnutia, nielen výsledok.


NIS2 povinné subjekty: špeciálne kategórie bez ohľadu na veľkosť

NIS2 výslovne počíta s tým, že niektoré typy subjektov spadajú do rozsahu aj bez ohľadu na veľkosť. Typicky ide o vybrané subjekty digitálnej infraštruktúry a doménového ekosystému, napríklad poskytovateľov DNS služieb, správcov vrcholových domén, poskytovateľov registrácie domén alebo kvalifikovaných poskytovateľov dôveryhodných služieb.


Okrem toho smernica pracuje aj s rozsahom pre subjekty identifikované ako kritické podľa súvisiacej legislatívy.

Prečo je to dôležité? Pretože veta „sme malí“ nemusí byť v týchto prípadoch rozhodujúca. Ak je vaša činnosť v tejto kategórii, veľkosť organizácie nemusí hrať hlavnú rolu.


NIS2 povinné subjekty: najčastejšie omyly v praxi

Toto sú situácie, v ktorých sa firmy najčastejšie pomýlia alebo si nie sú isté.


„Sme dodávateľ pre zdravotníctvo alebo energetiku, takže určite sme NIS2.“

Nie automaticky. Rozhoduje, či vaša činnosť sama spadá do rozsahu NIS2. Dodávateľský vzťah s regulovaným sektorom ešte nemusí znamenať, že ste povinný subjekt.


„Máme viac firiem, ale každá je malá.“

Pri skupinách prepojených podnikov sa môžu parametre veľkosti posudzovať v širšom kontexte. Zároveň sa môže ľahko prehliadnuť regulovaná činnosť v jednej z entít.


„Robíme IT služby, takže sa nás to určite týka.“

IT služby môžu byť mimo rozsahu, ale môžu doň aj spadať, ak poskytujete konkrétny typ služby, ktorý je zahrnutý v sektoroch NIS2. Bez mapovania služby na konkrétne kategórie sa to nedá zodpovedne uzavrieť.


„Všetko máme outsourcované, tak sa nás to netýka.“

Outsourcing nemení to, či ste povinný subjekt. Mení len spôsob, akým budete povinnosti plniť. Zodpovednosť za riadenie rizík a preukázateľné opatrenia vám však môže zostať.


„Máme len stredné riziká, tak to nebude priorita.“

Toto je skôr problém riadenia rizík než rozsahu NIS2. NIS2 stojí na preukázateľnosti: mať vlastníkov rizík, konzistentné hodnotenie a vedieť ukázať vývoj riadených rizík v čase.


Ak ste v rozsahu na Slovensku

Na Slovensku sa v praxi často rieši najmä samoidentifikácia a oznámenie smerom k NBÚ. Preto sa oplatí mať jasno už na začiatku, nie až vo chvíli, keď potrebujete niečo spätne vysvetľovať.

Čo sa osvedčí spraviť hneď na začiatku:

  • vyhotoviť interný dokument so záverom, prečo ste v rozsahu a aká služba alebo činnosť je rozhodujúca,

  • určiť vlastníka témy NIS2, teda kto zodpovedá za koordináciu a ďalší postup,

  • pripraviť si základný rámec riadenia rizík, metodiku hodnotenia, register a pravidelnú revíziu,

  • nastaviť výstupy použiteľné pre vedenie, audit a dohľad.

Takto sa vyhnete situácii, keď je téma NIS2 formálne otvorená, ale vo firme nikto nevie, kto za ňu reálne zodpovedá a čo má byť ďalší krok.


Ako pomáha RiskMinder

Pri NIS2 povinných subjektoch nestačí mať iba záver, že do rozsahu spadáte. V praxi potrebujete vedieť ukázať, že riziká máte zmapované, hodnotíte ich konzistentne a viete z toho spraviť zrozumiteľné výstupy pre vedenie aj kontrolu.


RiskMinder podporuje najmä procesnú časť riadenia rizík:

  • vedenie registra aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

  • jednotné hodnotenie rizík naviazané na NIS2, zákon o kybernetickej bezpečnosti, požiadavky NBÚ a ISO 27001,

  • priraďovanie vlastníkov rizík a sledovanie stavu a vývoja riadených rizík, teda či sú neriešené, znížené, zvyškové alebo akceptované,

  • rozširovanie katalógov podľa potrieb zákazníka, napríklad pre hrozby, zraniteľnosti, následky a opatrenia,

  • generovanie výstupov použiteľných pre vedenie, audit a dohľad.


Keď máte tieto veci nastavené, NIS2 sa prestane riešiť naraz a na poslednú chvíľu. Vedenie má jasné priority, IT má kontext a vy máte výstupy, ktoré sa dajú obhájiť aj s odstupom času.

 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page