NIS2 – Regulácia pre bezpečnejšiu budúcnosť
NIS2 je tzv. celoeurópska smernica o kybernetickej bezpečnosti, ktorá nadobudla účinnosť v októbri 2024. V porovnaní s NIS1 zavádza NIS2 významné zmeny, ktoré zároveň ukladajú prísnejšie povinnosti v oblasti kybernetickej bezpečnosti väčšiemu počtu organizácií. Členské štáty budú musieť prijať nové ustanovenia obsahujúce tieto prísnejšie kontrolné a vynucovacie opatrenia na zabezpečenie súladu so smernicou. NIS2 nahrádza smernicu NIS1, čo má za následok niekoľko významných rozdielov v porovnaní so smernicou NIS1: NIS2 rozširuje rozsah pôsobnosti na väčšie subjekty, ako sú výrobcovia chemických a zdravotníckych pomôcok, výrobcovia potravín a poskytovatelia sociálnych sietí, na ktoré sa predtým smernica NIS1 nevzťahovala. NIS2 nahrádza rozlišovanie medzi „prevádzkovateľom základných služieb“ a „poskytovateľom digitálnych služieb“ na „základné subjekty“ a „kritické subjekty“, okrem iného na základe veľkosti a odvetvia. Hoci obidva typy majú podobné povinnosti, kľúčové subjekty podliehajú prísnejším opatreniam na presadzovanie a kontrolu. Za kontrolné opatrenia musí zodpovedať sektorový dozorný orgán.
NIS2 ukladá „základným“ a „kritickým“ subjektom nové povinnosti v oblasti kybernetickej bezpečnosti vrátane riadenia rizík a dodávateľského reťazca, hlásenia kybernetických incidentov a zdieľania informácií. Dodržiavanie týchto požiadaviek si bude vyžadovať, aby subjekty, na ktoré sa vzťahujú, vypracovali a zaviedli nové politiky a postupy. NIS2 vyžaduje, aby členské štáty EÚ zlepšili svoje vnútroštátne stratégie kybernetickej bezpečnosti a reagovali na digitálne hrozby, ktorým čelia. Je dôležité, aby organizácie sledovali budúce iniciatívy členských štátov v tejto oblasti.
Zvýšené bezpečnostné požiadavky
NIS2 zlepší bezpečnostné požiadavky podnikov zavedením metodiky riadenia rizík a minimálneho zoznamu základných bezpečnostných prvkov. Smernica obsahuje aj oveľa podrobnejšie ustanovenia o hlásení incidentov, napríklad vrátane obsahu a termínov hlásení. Podľa smernice musí byť hlásenie vykonané do 24 hodín od vzniku incidentu a musí obsahovať podrobnejší postup hlásenia. NIS2 vyžaduje aj riešenie bezpečnosti dodávateľského reťazca. To zahŕňa aj riziká, ktoré predstavujú vzťahy spoločného merania. NIS2 tiež zdôrazňuje zodpovednosť manažmentu za kybernetickú bezpečnosť organizácie a ukladá individuálnu zodpovednosť riadiacim orgánom, ako sú predstavenstvá a manažment spoločností, aby zabezpečili účinné vykonávanie požiadaviek na kybernetickú bezpečnosť. Organizácie môžu podliehať rôznym príkazom na presadzovanie a ich nedodržanie môže viesť k značným pokutám.
