Rok 2024 stavia zodpovedné firmy pred požiadavku preukázateľne prijať technické aj prevádzkové opatrenia v oblasti kybernetickej a informačnej bezpečnosti. Tie vyplývajú z legislatívy európskej smernice NIS 2. Budú možno platiť aj pre vašu firmu. Ide o požiadavky riadenia rizík, personálnej bezpečnosti a riadenia prístupov, bezpečnosti sietí a prevádzky informačných systémov, a v čase aj povinnosti absolvovať audit v oblasti kybernetickej bezpečnosti.
O čo presne ide?
Vyhláškou (362/2018), platnou od septembra 2023, je definovaný zoznam požadovaných bezpečnostných opatrení, ktoré budú pre firmy spadajúce pod smernicu NIS 2 povinné.
Aj napriek tomu, že doposiaľ nie sú presne vymenované sektory a veľkosť firmy s povinnosťou riadiť sa touto vyhláškou, je odporúčaním špecialistov na kyberbezpečnosť to, aby si subjekty vo vlastnom záujme a s predstihom zrealizovali aspoň analýzu rizík. Vykonajú tak dôležitú identifikáciu firemných procesov a systémov, a zároveň získajú čas na odstránenie zraniteľností, ktoré by mohli mať dopad na fungovanie a chod firmy v dôsledku kybernetických incidentov.
Základnú informáciu o tom, na ktoré subjekty sa bude smernica NIS 2 vzťahovať, nájdete napríklad na: https://digital-strategy.ec.europa.eu/sk/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs
NIS2 sa vzťahuje na subjekty z týchto sektorov:
Odvetvia s vysokou kritickosťou: energia (elektrina, diaľkové vykurovanie a chladenie, ropa, plyn a vodík); doprava (letecká, železničná, vodná a cestná); bankovníctvo; infraštruktúry finančného trhu; zdravie, vrátane výroby farmaceutických výrobkov vrátane vakcín; pitná voda; odpadové vody; digitálna infraštruktúra (internetové výmenné body; poskytovatelia služieb DNS; registre názvov TLD; poskytovatelia služieb cloud computingu; poskytovatelia služieb dátového centra; siete na doručovanie obsahu; poskytovatelia dôveryhodných služieb; poskytovatelia verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb); riadenie služieb IKT (poskytovatelia spravovaných služieb a spravovaní poskytovatelia bezpečnostných služieb), verejná správa a kozmický priestor.
Ďalšie kritické sektory sú tieto: poštové a kuriérske služby; nakladanie s odpadom; chemické látky; potraviny; výroba zdravotníckych pomôcok, počítačov a elektroniky, strojov a zariadení, motorových vozidiel, prívesov a návesov a iných dopravných zariadení; poskytovatelia digitálnych služieb (online trhy, internetové vyhľadávače a platformy služieb sociálnych sietí), a výskumné organizácie.
Kybernetická bezpečnosť sa týka každej organizácie či firmy. Požiadavky smernice by ste nemali riešiť kvôli tomu, že ich stanovuje vyhláška a z nedodržania môžu hroziť pokuty. Ale preto, že nebezpečenstvo útoku je stále prítomné.
