NIS2 vs. ISO 27001: Ako certifikácia ISO 27001 pomôže splniť požiadavky smernice

Keď sa vo firme začne riešiť NIS2, veľmi rýchlo príde otázka: „Má zmysel ísť do ISO 27001? A ak už certifikáciu máme, znamená to, že máme požiadavky NIS2 splnené?“ Pre mnohé organizácie je práve porovnanie NIS2 vs. ISO 27001 kľúčové na pochopenie, čo už majú splnené a čo im ešte chýba.

Téma NIS2 vs. ISO 27001 je dnes prakticky všade – audítori, konzultanti aj dodávatelia hovoria, že ISO 27001 je „dobrý základ“ pre NIS2. Je to pravda, ale s dôležitým dovetkom: 

• ISO 27001 = riadený systém informačnej bezpečnosti (ISMS), 

• NIS2 = právny rámec s konkrétnymi povinnosťami, lehotami a sankciami. 

ISO 27001 vám vie veľmi pomôcť naplniť technické a organizačné požiadavky NIS2 – ale samotný certifikát automaticky neznamená, že máte NIS2 splnenú. 

V tomto článku sa pozrieme na to: 

• čo rieši NIS2 a čo ISO 27001, 

• kde sa ich požiadavky prekrývajú, 

• kde ISO 27001 na NIS2 nestačí, 

• a ako z ISO certifikácie spraviť reálnu výhodu pri plnení NIS2. 

  
  

NIS2 vs. ISO 27001 v skratke

NIS2 – právne povinnosti a dohľad 

Smernica NIS2 (a národná legislatíva, ktorá ju zavádza) rieši najmä: 

• koho sa povinnosti týkajú (essential / important entities v definovaných sektoroch), 

• aký rozsah opatrení musia mať zavedený (článok 21 – measures for risk management), 

• ako rýchlo musia hlásiť závažné incidenty, 

• aké sú úlohy a zodpovednosti vedenia, 

• aký dohľad a sankcie môže uplatniť regulátor (NBÚ alebo iný orgán). 

NIS2 je teda „zákon a pravidlá hry“ – nie konkrétny technický štandard. 

ISO 27001 – systém riadenia informačnej bezpečnosti 

ISO/IEC 27001:2022 je medzinárodná norma, ktorá definuje požiadavky na ISMS – systém riadenia informačnej bezpečnosti. Pomáha firmám: 

• nastaviť kontext, ciele a politiku informačnej bezpečnosti, 

• zaviesť proces riadenia rizík (analýza a ošetrenie rizík), 

• vybrať a implementovať bezpečnostné opatrenia (Annex A – 93 kontrol v 4 oblastiach), 

• priebežne merať, auditovať a zlepšovať systém. 

ISO 27001 nehovorí nič o NBÚ, lehotách na hlásenie incidentov ani o konkrétnych sankciách – je to štandard, nie legislatíva. 

NIS2 vs. ISO 27001: Ako spolu súvisia

Európske aj národné orgány odporúčajú pri plnení NIS2 využiť zavedené štandardy – a ISO 27001 je v tomto úplne vpredu. Existujú aj rôzne mapovania medzi požiadavkami NIS2 a ISO 27001, vrátane prepojenia na Annex A kontrol. 

Zjednodušene: 

• ISO 27001 pokrýva veľkú časť technických a organizačných opatrení z článku 21 NIS2, 

• ale nepokrýva špecifické právne povinnosti, napríklad formálne oznamovanie incidentov, zápis do registrov, komunikáciu s regulátorom. 

Pre vás to znamená: 

• ak ISO 27001 nemáte, môže byť dobrým rámcom, ako NIS2 uchopiť systematicky, 

• ak ISO 27001 máte, nezačínate od nuly – ale potrebujete doplniť požiadavky, ktoré vyplývajú priamo z legislatívy. 

Kde ISO 27001 pomáha najviac pri NIS2 

Pri téme NIS2 vs. ISO 27001 sa oplatí pozrieť na tri oblasti, kde sa norma a smernica veľmi dobre „stretávajú“: 

1. Riadenie a zodpovednosť vedenia 

NIS2 zdôrazňuje zodpovednosť vedenia za kybernetickú bezpečnosť – od schvaľovania politiky až po možné sankcie pri zanedbaní povinností. 

ISO 27001 na to nadväzuje: 

• vyžaduje angažované vedenie (Clause 5 – Leadership), 

• jasne definované roly a zodpovednosti, 

• pravidelné manažérske preskúmania. 

Ak máte tieto procesy podľa ISO 27001 rozbehnuté, viete ich veľmi dobre použiť aj pre NIS2 governance. 

2. Riadenie rizík a opatrení 

Článok 21 NIS2 vymenúva, čo má systém kybernetickej bezpečnosti minimálne obsahovať: politiku analýzy rizík, incident handling, business continuity, bezpečnosť dodávateľov, zraniteľností, prístupov, šifrovanie a ďalšie oblasti. 

ISO 27001: 

• vyžaduje systematický proces posúdenia a ošetrenia rizík, 

• má k dispozícii Annex A so 93 kontrolami, ktoré pokrývajú organizačné, personálne, fyzické a technické opatrenia. 

Vďaka tomu viete: 

• namapovať NIS2 požiadavky na konkrétne ISO 27001 kontrolné body, 

• preukázať, že opatrenia nevyberáte „náhodne“, ale ako súčasť riadenia rizík vo firme. 

3. Audity, meranie a zlepšovanie 

NIS2 očakáva, že opatrenia nebudú len na papieri, ale budete vedieť preukázať ich účinnosť a dlhodobé udržiavanie. 

ISO 27001 od vás vyžaduje: 

• pravidelné interné audity, 

• monitorovanie a meranie, 

• nápravné opatrenia a kontinuálne zlepšovanie ISMS. 

Pre NIS2 dohľad a audity je to silný argument – viete ukázať, že nejde len o jednorazový projekt, ale o bežiaci systém. 

Kde ISO 27001 na NIS2 nestačí 

Ak by ste sa spoliehali len na vetu „máme ISO 27001, tým je NIS2 splnená“, narazíte na medzery v týchto oblastiach: 

1. Právne povinnosti a komunikácia s regulátorom 

NIS2 (a národný zákon) riešia veci, ktoré ISO 27001 nerieši vôbec, napríklad: 

• zaradenie medzi essential / important entities, 

• zápis do registrov (napr. registrácia v NBÚ), 

• povinné oznamovanie závažných incidentov v konkrétnych lehotách, 

• spoluprácu s orgánmi dohľadu a sankcie. 

ISO 27001 vám tu nepovie, kedy a komu hlásiť incident – to je čisto vec legislatívy. 

2. Incident reporting a lehoty 

NIS2 zavádza konkrétne lehoty na hlásenie incidentov (včasné varovanie, podrobné hlásenie, záverečná správa). 

ISO 27001 síce rieši incident management ako proces, ale: 

• nestanovuje konkrétne časy pre notifikáciu regulátorov, 

• nerieši osobitné formuláre a kanály hlásenia. 

Aj pri dobre fungujúcom ISMS teda potrebujete nadstavbu: „pri incidente typu X hlásime v lehote Y orgánu Z“. 

3. Sektorové a národné špecifiká 

Implementačné akty, národné zákony a metodiky (napr. NBÚ, sektorové regulácie) môžu pridávať ďalšie požiadavky: 

• špecifické povinnosti pre určité odvetvia, 

• požiadavky na dokumentáciu pre dohľad, 

• štruktúru a obsah oznamovaní či registrácií. 

ISO 27001 je zámerne všeobecný – tieto detaily si musíte doplniť z legislatívy. 

Ako využiť ISO 27001 ako základ pre NIS2: Praktický postup 

Ak už certifikáciu máte (alebo sa na ňu chystáte), dá sa téma NIS2 a ISO 27001 uchopiť

veľmi pragmaticky: 

1. Urobte NIS2–ISO 27001 GAP analýzu 

• zoberte článok 21 NIS2 + národné požiadavky, 

• namapujte ich na existujúce prvky ISMS (politiky, procesy, kontroly), 

• označte oblasti, ktoré máte pokryté, čiastočne pokryté a úplne chýbajúce. 

Môžete si pomôcť verejne dostupnými mapovaniami NIS2 ↔ ISO 27001 (od ENISA, certifikačných autorít či konzultačných firiem). 

2. Zosúľaďte register rizík a Statement of Applicability s NIS2 

• skontrolujte, či váš register rizík reflektuje aj regulatórne riziká (nesúlad s NIS2, pokuty, reputačné dopady), 

• v Statement of Applicability (SoA) si vyznačte, ktoré ISO 27001 kontroly priamo podporujú požiadavky NIS2, 

• doplňte opatrenia tam, kde mapovanie odhalilo „diery“. 

3. Doplňte to, čo norma nepozná: Incident reporting, registry, dohľad 

• definujte proces hlásenia incidentov tak, aby spĺňal lehoty a obsah podľa NIS2 a zákona, 

• ujasnite si, do akých registrov spadáte (napr. NBÚ) a ako budete spravovať oznamovacie povinnosti, 

• nastavte interné roly pre komunikáciu s regulátorom (kto čo podpisuje, kto komunikuje). 

4. Pripravte „evidence pack“ pre audit a dohľad 

Pre NIS2 aj ISO 27001 platí, že bez dôkazov, logov a dokumentov sa ťažko niečo preukazuje. 

Preto si pre kľúčové oblasti pripravte: 

• politiky a smernice (schválené vedením), 

• záznamy o analýzach rizík a rozhodnutiach, 

• dôkazy o implementácii opatrení, 

• výstupy interných auditov, testov a revízií. 

Ako vám s NIS2 a ISO 27001 pomôže RiskMinder 

RiskMinder za vás nevyrieši certifikáciu ISO 27001 ani právny výklad NIS2. Jeho úloha je inde: pomôcť vám mať pod kontrolou riziká, opatrenia a dôkazy, ktoré potrebujete pre audit aj dohľad. 

RiskMinder je navrhnutý v súlade s NIS2, zákonom o kybernetickej bezpečnosti, vyhláškou NBÚ a normami ISO 27001. V praxi vám pomôže napríklad takto: 

• viesť register aktív, hrozieb, zraniteľností a rizík na jednom mieste, 

• používať jednotný risk scoring naviazaný na NIS2, ZoKB, NBÚ aj ISO 27001, 

• plánovať a priraďovať opatrenia (vrátane tých, ktoré súvisia s NIS2 a ISO 27001), 

• sledovať stav a vývoj riadených rizík (neriešené, znížené, zvyškové, akceptované), 

• vytvárať dokumenty a dôkazy potrebné pre audity, 

• generovať prehľady pripravené na audit pre vedenie aj audítorov. 

Incidenty, registrácie a oznamovanie voči orgánom dohľadu riadite cez vlastné procesy a nástroje – RiskMinder k nim dodáva „podkladovú vrstvu“ v podobe prehľadne spracovaných rizík, opatrení a dokumentov. 

Rozpoznajte riziká a chráňte svoju firmu. Máte záujem vyskúšať RiskMinder, potrebujete cenovú ponuku alebo máte otázky? Napíšte nám. 

FAQ