top of page
Vyhľadávanie

NIS2 sectors a rozsah smernice

  • 2 days ago
  • 4 minút čítania

Keď firmy hľadajú výraz NIS2 sectors, väčšinou nechcú len zoznam odvetví. V skutočnosti sa snažia zistiť oveľa praktickejšiu vec: či ich organizácia patrí do rozsahu smernice, či sa na ňu budú vzťahovať povinnosti podľa NIS2 a či už má riešiť riadenie rizík, dokumentáciu a auditnú pripravenosť.


NIS2 sectors

Práve tu vzniká veľa omylov. Mnohé firmy sa pozerajú len na všeobecný názov svojho odvetvia a podľa toho usúdia, že sa ich smernica netýka. Lenže NIS2 nepracuje iba s pomenovaním trhu alebo segmentu. Dôležité je aj to, akú konkrétnu službu poskytujete, do ktorého podsektora patríte a či zodpovedáte typu subjektu, ktorý smernica pokrýva.


Čo v praxi znamená NIS2 sectors

NIS2 rozdeľuje dotknuté organizácie do dvoch veľkých skupín. Jedna zahŕňa sektory vysokej kritickosti, druhá ďalšie kritické sektory. Pre firmu je však dôležité najmä to, že samotný sektor ešte automaticky neznamená rovnaké postavenie pre všetkých.

Pri posudzovaní sa zohľadňuje najmä:

  • akú činnosť organizácia reálne vykonáva,

  • či patrí medzi typy subjektov uvedené v smernici,

  • akú má veľkosť,

  • a či na ňu nedopadajú aj osobitné pravidlá alebo výnimky.


V praxi to znamená, že nestačí povedať: „Sme výrobná firma“ alebo „Sme IT firma“. Rozhodujúce je, čo presne robíte, komu službu poskytujete a či daná činnosť patrí medzi tie, ktoré NIS2 výslovne sleduje.


NIS2 sectors: ktoré sektory smernica pokrýva

Aby si firma vedela vytvoriť základný obraz, potrebuje poznať hlavné skupiny sektorov, ktoré NIS2 rieši. Ide však len o prvý krok. Samotný zoznam ešte neodpovie na otázku, či sa smernica týka práve vašej organizácie.


Medzi sektory vysokej kritickosti patria najmä:

  • energetika,

  • doprava,

  • bankovníctvo,

  • infraštruktúra finančných trhov,

  • zdravotníctvo,

  • pitná voda,

  • odpadová voda,

  • digitálna infraštruktúra,

  • riadené IKT služby medzi podnikmi,

  • verejná správa,

  • vesmírny sektor.


Do ďalších kritických sektorov patria najmä:

  • poštové a kuriérske služby,

  • odpadové hospodárstvo,

  • chemický priemysel,

  • potravinárstvo,

  • vybrané výrobné odvetvia,

  • digitálni poskytovatelia,

  • výskumné organizácie.

Práve tu sa často ukáže, že firma sa do rozsahu smernice môže dostať aj vtedy, keď sa sama nevníma ako „kritická“. NIS2 totiž zachytáva aj organizácie, ktoré zabezpečujú dôležité služby, dodávky, spracovanie alebo technologickú podporu pre širší ekosystém.


NIS2 sectors: ako zistiť, či sa smernica týka aj vašej firmy

Najrozumnejší prístup nie je hádať podľa názvu sektora, ale spraviť si jednoduchý interný checklist. Práve ten pomôže odlíšiť, či ide len o všeobecnú podobnosť, alebo o reálny dopad smernice na vašu organizáciu.


Pri prvom posúdení si overte najmä toto:

  • aká je vaša hlavná alebo rozhodujúca činnosť,

  • či patríte medzi poskytovateľov riadených služieb, poskytovateľov cloudových služieb, prevádzkovateľov dátových centier, výskumné organizácie, výrobcov vybraných kategórií zariadení alebo podniky z potravinového reťazca,

  • či vaša činnosť zodpovedá sektoru alebo podsektoru uvedenému v smernici,

  • či spĺňate veľkostné kritériá,

  • či na vás nedopadajú aj osobitné pravidlá podľa národnej úpravy.


Dôležité je nehodnotiť firmu len podľa obchodného názvu odvetvia. Mnohé organizácie sa označujú jedným spôsobom navonok, ale z pohľadu regulácie vykonávajú činnosť, ktorá patrí do inej kategórie. A práve to býva dôvod, prečo si firmy svoj rozsah vyhodnotia nesprávne.


Kde firmy pri téme NIS2 sectors robia najväčšie chyby

Najčastejší problém nie je v tom, že by firmy nechceli pochopiť smernicu. Problém je skôr v tom, že si ju vysvetlia príliš zjednodušene. Pozrú sa na skrátený zoznam sektorov, neprejdú si podrobnosti a uzavrú tému skôr, než ju vôbec správne otvorili.


V praxi sa opakujú najmä tieto chyby:

  • firma sa identifikuje len podľa marketingového opisu svojho podnikania,

  • ignoruje presný typ subjektu, ktorý smernica uvádza,

  • posudzuje sa len podľa všeobecného odvetvia, nie podľa konkrétnej činnosti,

  • pozerá sa len na veľkosť organizácie, ale nie na možné výnimky,

  • predpokladá, že ak nie je kritickou infraštruktúrou, NIS2 sa jej netýka.


Takéto zjednodušenie môže byť problém. Nie preto, že by každá firma automaticky spadala do smernice, ale preto, že nesprávne posúdenie vedie k oneskorenej reakcii. Organizácia potom začne riešiť povinnosti až v momente, keď už mala mať dávno jasno v tom, čo sa od nej očakáva.


Prečo je rozsah smernice dôležitý aj pre riadenie rizík

Otázka, či patríte do rozsahu smernice NIS2, nie je len legislatívna formalita. Ak organizácia zistí, že do rozsahu smernice patrí, okamžite sa otvárajú ďalšie praktické témy. Potrebujete vedieť, aké služby a aktíva sú kritické, aké riziká s nimi súvisia, kto za ne zodpovedá a ako budete tieto rozhodnutia vedieť obhájiť.


Práve tu sa ukáže, či má firma bezpečnosť postavenú systémovo, alebo len formálne. NIS2 totiž nie je len o tom, že sa niekam „zaradíte“. Je aj o tom, či viete pracovať s rizikami konzistentne, či máte poriadok v evidencii a či viete pripraviť zrozumiteľné výstupy pre vedenie, audit alebo kontrolu.


Ak sa otázka rozsahu smernice oddelí od riadenia rizík, vzniká zbytočný rozpor. Firma síce vie, že sa jej NIS2 pravdepodobne týka, ale nevie, čo z toho vyplýva v každodennej praxi. A práve to býva dôvod, prečo sa z regulácie stane chaos namiesto systému.


Ako pomáha RiskMinder

Ak má byť posudzovanie dopadov NIS2 na jednotlivé sektory udržateľné, nestačí len vedieť, že vaša firma patrí do určitej kategórie. Potrebujete prehľad v rizikách, jednotné hodnotenie a výstupy, ktoré viete obhájiť pri audite alebo kontrole.


RiskMinder podporuje najmä procesnú časť riadenia rizík:

  • viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

  • používať jednotný risk scoring naviazaný na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001,

  • priraďovať vlastníkov rizík a sledovať stav a vývoj riadených rizík,

  • rozširovať katalógy podľa potrieb,

  • generovať výstupy použiteľné pre audit, vedenie a dohľad.


Keď má firma jasno v tom, do ktorého sektora patrí, aké riziká z toho vyplývajú a kto za ne nesie zodpovednosť, NIS2 prestane byť len legislatívnou témou. Začne fungovať ako praktický rámec na rozhodovanie, prioritizáciu a udržateľné riadenie kybernetickej bezpečnosti.

 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page