Európska smernica o bezpečnosti informačných systémov NIS2 ovplyvní všetky členské štáty. Ak by sa mali ambície bezpečnostnej legislatívy zhrnúť v troch bodoch, tak by to boli prehľadnejšia identifikácia regulovaných subjektov, vyššia miera interoperability a zníženie negramotnosti v kybernetickej bezpečnosti.
Dajme veci na pravú mieru
Smernica NIS2 je fakticky dôvodom na novelizáciu zákona o kybernetickej bezpečnosti. Vzhľadom na to, že náš súčasný zákon patrí v Európe k tým prísnejším, NIS2 zásadnejšie zmeny na Slovensku nevyvolá.
O to viac ma udivuje, že sa na trh vyrojilo množstvo pseudokonzultantov a právnikov, korí smernicu NIS2 vykladajú v úplne nezmyselnom kontexte. Strašia klientov údajnými novými povinnosťami NIS2, pričom im radi ihneď ponúknu pomoc s ich „implementáciou“. Pravdaže, nie zadarmo.
Isté veci sa transpozíciou NIS2 do zákona síce zmenia, avšak neustále je potrebné zdôrazňovať, že tí, ktorí dodržujú zákon dnes, nemusia mať vážnejšie obavy, že by boli v nesúlade so zákonom po jeho novelizácii.
Aktualizovaný zoznam
Pozornosť priťahujú najmä sektory a činnosti, na ktoré sa vzťahujú povinnosti v oblasti kyberbezpečnosti. Novelizácia zákona bude zároveň rozlišovať kľúčové a dôležité subjekty.
Kľúčové subjekty podnikajú v energetike, doprave, bankovníctve, infraštruktúre finančných trhov, zdravotníctve, priemysle, riadení služieb IKT, pitnej a odpadovej vode a patrí sem verejná správa a vesmírny sektor.
Dôležitými subjektmi sú tie, ktoré prevádzkujú poštové a kuriérne služby, odpadové hospodárstvo, výrobu a distribúciu chemických látok či potravín, výrobu zdravotníckych pomôcok, motorových vozidiel, dopravných prostriedkov, elektroniky a v neposlednom rade poskytovatelia digitálnych služieb a výskum.
Počet regulovaných subjektov
Jedným slovom? Vzrastie.
Základné kritérium, či ide o regulovaný subjekt, bude veľkosť podniku v príslušnom sektore. K súčasným prevádzkovateľom základnej služby tak pribudnú ďalší.
Budú sem patriť verejné alebo súkromné podniky uvedeného druhu, ktoré zamestnávajú 50 a viac zamestnancov a ročný obrat alebo ročná súvaha predstavujú aspoň 10 miliónov eur.
Oznamovanie aj pomoc
Z praktického hľadiska pribudnú požiadavky reakcie na incidenty. Regulovaný subjekt musí určiť osobu zodpovednú za plnenie zákonných povinností, manažéra kybernetickej bezpečnosti.
Všetky závažné kybernetické incidenty sa budú hlásiť sektorovému tímu CSIRT. Do 24 hodín bude potrebné predbežné upozornenie, do 72 hodín podať aktualizovanú správu. Do jedného mesiaca bude treba vyhotoviť finálnu správu o prebiehajúcom riešení incidentu.
Cieľom je umožniť rýchlu reakciu, spoluprácu, zaistiť účinné riešenie a minimalizáciu negatívnych dosahov incidentov.
Rozsah riadenia rizík
Pripravovaná legislatíva sa sústreďuje aj na predchádzanie incidentu kontrolou zraniteľností a podčiarkuje výkon auditu kyberbezpečnosti. V úsilí zvýšiť úroveň kybernetickej bezpečnosti dáva dôraz na prácu s ľuďmi ako najzraniteľnejším článkom.
Smernica NIS2 obsahuje aj takzvaný koncept správy rizika, kde by mali spozornieť štatutári. Štatutárne orgány budú mať povinnosť schváliť opatrenia na riadenie rizík kyberbezpečnosti, pričom smernica stanovuje aj možnosť vyvodenia osobnej zodpovednosti.
Zdieľanie aj sankcie
Do novelizácie zákona sa premietnu vyššie nároky na bezpečnostné požiadavky v dodávateľskom reťazci, v používaní šifrovania a aj pri zverejňovaní zraniteľností.
Smernica zavádza aj nový sankčný mechanizmus a zvyšujú sa pokuty. Maximálna výška pokuty v prípade kľúčových subjektov bude desať miliónov eur alebo dve percentá z celosvetového obratu. Pre dôležité subjekty je strop pokuty sedem miliónov eur alebo 1,4 percenta celosvetového obratu.
Časový horizont
Predpokladá sa, že Národný bezpečnostný úrad predloží prvý návrh novelizácie zákona pre odbornú verejnosť v marci. Do konca polroka by malo byť ukončené medzirezortné pripomienkové konanie, aby sa novelizácia dostala na rokovanie Národnej rady v septembri.
Ivan Makatura, generálny riaditeľ Kompetenčné a certifikačné centrum kybernetickej bezpečnosti