Firmy čakajú prísnejšie pravidlá kybernetickej bezpečnosti. Na Slovensku začne onedlho platiť smernica Európskeho parlamentu Network and Information Security – NIS 2*, zaväzujúca k väčšej kontrole a obozretnosti.
Aktuálnosť a význam smernice NIS 2
Nová smernica je aktuálne témou mnohých odborných konferencií, webinárov, reklám na webe či sociálnych sieťach. Firmy sa ňou budú musieť riadiť od januára 2025. Znamená to zosúladiť s jej znením svoje bezpečnostné opatrenia, dokumentáciu, procesy a technológie. Aké konkrétne požiadavky je potrebné splniť? Návrh zákona, ktorým sa smernica NIS 2 prenesie do našej legislatívy, sa od 31.5.2024 nachádzal v medzirezortnom pripomienkovacom konaní, následne na rokovaní legislatívnej rady vlády bol dňa 24.9.2024 prejednaný a odporučený vláde na schválenie. Pre koho budú nové pravidlá záväzné a čo je ich cieľom? Kedy by sa firmy mali začať vôbec pripravovať a dokedy je potrebné všetko stihnúť? Pokúsime sa priniesť zopár odpovedí.
Koho sa týka smernica NIS 2
V tejto chvíli je isté, že slovenská úprava nemôže byť mäkšia než pravidlá, ktoré stanovuje samotný text smernice. U nás to však zrejme nebude revolúcia ako v tých krajinách, kde prvotnú smernicu NIS zapracovali iba pragmaticky a minimalisticky, ako napríklad v Slovinsku. Odborné odhady hovoria, že na Slovensku bude spadať pod povinnosti novej smernice NIS 2 približne 4600 subjektov, pod pôvodnú ich patrí doteraz 1600. Počty sa zmenia najmä pre rast množstva odvetví, ktoré budú musieť prijať opatrenia určené novým zákonom a nadväzujúcou vyhláškou. Sú medzi nimi firmy z oblasti odpadového hospodárstva, chemickej výroby, potravinárstva, poštové a kuriérske služby, elektrotechnická výroba a automobilky. Podobne sa povinnosti rozšíria aj pre IT sektor. Novou úpravou sa budú riadiť všetci telekomunikační operátori, poskytovatelia riadených IT služieb, a firmy, venujúce sa digitálnej infraštruktúre. A navyše, okrem poskytovateľov IT služieb vymenovaných v prílohách ku zákonu, budú požiadavky zákona záväzné aj pre všetkých dodávateľov, ktorých činnosti priamo súvisia s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov u zákazníka.
Povinnosti subjektov spadajúcich pod NIS 2
S istotou možno konštatovať, že všetky spoločnosti spadajúce pod NIS 2 budú povinné chrániť bezpečnosť IT systémov kombináciou viacerých typov opatrení, a to nielen na technologickej úrovni, ale aj na úrovni personálnej, fyzickej a organizačnej. Vo výhode budú tí, ktorí už absolvovali certifikáciu podľa ISO 27001 – Informačná bezpečnosť, kybernetická bezpečnosť, a ochrana súkromia Systémy manažérstva informačnej bezpečnosti. Požiadavky vyplývajúce z NIS 2 budú v mnohom podobné.
Prvým krokom vo firme pri zosúladení s NIS 2 by mala byť „vnútorná inventúra“ informačných systémov. Mnohé spoločnosti si ich budujú a pridávajú aplikácie postupne a nie všetko je vždy pod kontrolou IT. Zamestnanci sa často rozhodnú využívať populárne cloud a online riešenia bez konzultácie, alebo dokonca bez vedomia IT oddelenia. Katalóg informačných aktív, ktorý inventúrou vznikne, je preto nevyhnutným prvým krokom pre zistenie, čo vlastne potrebuje firma chrániť. Okrem softvérových riešení a cloudových služieb medzi informačné aktíva patria aj osobné údaje, dáta obsahujúce firemné know- how, obchodné tajomstvo a v neposlednom rade sú to tiež priestory – serverovňa a miesta, kde sú uložené sieťové prvky mimo nej.
Ak už firma vie, čo potrebuje chrániť, mala by si určiť aj priority a silu opatrení, ktoré chce na zabezpečenie svojich informačných aktív využívať. Existujúci zákon o kybernetickej bezpečnosti hovoril o tom, že každá informácia, informačný systém a sieť majú byť klasifikované a kategorizované. Až na základe zaradenia týchto informačných aktív podľa ich bezpečnostných atribútov bolo možné rozhodnúť, aké opatrenia sú povinné a aké odporúčané. NIS 2 a návrh zákona vyžaduje realizovať bezpečnostné opatrenia na základe vykonanej analýzy rizík a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti. Bez ohľadu na to by sila prijatých opatrení mala byť adekvátna dôležitosti práve rizikám aj aktívam. Aj tu platí, že náklad na zníženie rizika nemôže byť vyšší než je potenciálny dopad tohto rizika.
NIS 2 z pohľadu riadenia rizík
Dôsledná analýza rizík a ich riadenie vo vzťahu k informačným aktívam už bola súčasťou existujúceho zákona o kybernetickej bezpečnosti No podľa smernice NIS 2 sa stáva kľúčovou činnosťou pre rozhodnutie o tom, aké opatrenia vykonať a aké riziká ošetriť. Rozhodnutie, čo je ešte akceptovateľné riziko, však ostáva v rukách manažmentu každej spoločnosti. Pre tie, ktoré sa doteraz riadeniu rizík nevenovali, si to bude vyžadovať nastavenie vnútornej spolupráce medzi manažmentom, vlastníkmi rizík, a manažérom kybernetickej bezpečnosti. Povinnosťou manažmentu je určiť tzv. „rizikový apetít“ – teda úroveň, ktorú pre konkrétne riziko, proces, alebo projekt ešte dokáže firma akceptovať. Všetky riziká, ktoré sú vyššie, predstavujú kritické ohrozenie. Práve tými by sa mal manažment zaoberať a vyhradiť aj zdroje potrebné na ich ošetrenie.
V konečnom dôsledku je to totiž manažment firmy, ktorý bude podľa novej smernice NIS 2 zodpovedný za to, ako firma dokáže nielen riziká, ale aj kybernetické hrozby a prípadné incidenty riešiť. Menovanie manažéra kybernetickej bezpečnosti je síce povinné už dnes, no štatutárna zodpovednosť týmto menovaním na neho neprechádza. Môže byť zodpovedný za prijatú dokumentáciu, vykonanie preventívnych alebo operatívnych opatrení. Manažér IT zasa zodpovedá za prevádzku systémov bez výpadkov, vrátane vykonávania činností vyžadovaných z pohľadu kybernetickej bezpečnosti. Ak sa však objaví hrozba, ktorá bude nad rámec „rizikového apetítu“, bude si na ňu manažér kybernetickej bezpečnosti alebo manažér IT žiadať zdroje od vedenia firmy. A bude to práve úloha manažmentu, ktorý musí vedieť v danom čase rozhodovať o pridelení alebo nepridelení zdrojov na ošetrenie rizika.
Rýchle riešenia alebo skutočný manažér kybernetickej bezpečnosti
Manažment sa tu bude spoliehať na to, že zdroje si manažér kybernetickej bezpečnosti žiada oprávnene a vznikli na základe poctivej a odborne vykonanej analýzy rizík. Nemalo by sa stať, že sa firma rozhodne na základe nespoľahlivých informácií. Práve tých je ale v súčasnosti, kedy sa množstvo subjektov a článkov venuje NIS 2, neúrekom. A kým nebol dostupný návrh novely zákona o kybernetickej bezpečnosti, hovoriť sa dalo iba o sektoroch alebo okruhu firiem spadajúcich pod povinnosti zákona vyplývajúceho z novej smernice. Ak firme niekto ponúka, že jej v súčasnosti (jún 2024) dokáže zanalyzovať pripravenosť na NIS 2, alebo ju na smernicu rovno pripraviť, tiež nehovorí pravdu. Na internete nie je problém nájsť ponuku bezplatného auditu kybernetickej bezpečnosti, ktorý trvá 5 minút, a na sociálnych sieťach sú dostupné dokonca ponuky, ktoré formou dotazníka na 11 otázok sľubujú, že ukážu pripravenosť firmy na smernicu NIS 2. Stačí vraj zadať IČO a výsledok je okamžite k dispozícii. Spoľahli by ste sa na takúto „analýzu“ s ponukou vraj na mieru? Alebo sa radšej spoľahnete na manažéra kybernetickej bezpečnosti, ktorý firmu pozná, vie aké informačné aktíva používa, aká je ich dôležitosť, a akým rizikám sú vystavené? Rozdiel v prístupe je zjavný na prvý pohľad.
Riešenie kybernetickej bezpečnosti ako príprava na NIS 2
NIS 2 teda nie je revolúcia. Zodpovedné firmy vnímajú kybernetickú bezpečnosť ako dôležitú už teraz a postupne zdokonaľujú ochranu pred hrozbami aj bez nutnosti existencie zákona. Intuitívne vykonávané kroky smerom k vyššej bezpečnosti sú totiž lepšie, než čakanie na zákon, o ktorého detailoch zatiaľ veľa nevieme, či spoliehanie sa na zjednodušenia a „analýzy“ poskytované zdarma.
*Network and Information Security – NIS 2, smernica EP a Rady zo dňa 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Európskej únii.
