fbpx
Pre vyhľadávanie sú vyžadované aspoň 2 znaky

29. novembra 2022 Nová smernica NIS2 upravuje kybernetickú bezpečnosť v Európskej Únii

Avatar photo
JUDr. Miroslav Fridrich
Právnik – bezpečnostný konzultant
Kybernetická bezpečnosťNIS2Právna podpora

Téma kybernetickej bezpečnosti nie je v európskom priestore neznáma. V súčasnosti túto tému upravujú dve veľké európske pravidlá. Náš podnikový právnik a špecialista v oblasti počítačovej bezpečnosti prezradí, čo sa mení, nahradí a kde v budúcnosti môžete čerpať právne informácie upravujúce kybernetickú bezpečnosť pre váš biznis.

V súčasnosti je nositeľom základných európskych pravidiel v oblasti kybernetickej bezpečnosti smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. Smernica NIS) a nariadenie Európskeho parlamentu a Rady 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií  (akt o kybernetickej bezpečnosti).

Zaujíma Vás kybernetická bezpečnosť? Kliknite pre viac informácií

Nová smernica NIS2

V jednotlivých členských štátoch EÚ na tieto európske pravidlá nadväzujú príslušné národné právne rámce upravujúce oblasť kybernetickej bezpečnosti, pričom v podmienkach Slovenskej republiky sú to najmä zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a ďalšie súvisiace vykonávacie právne predpisy.

Tieto právne normy možno bezpochyby považovať za zjednocujúci prvok na riešenie opatrení v oblasti kybernetickej bezpečnosti v Európe. S posilnením digitálnej transformácie procesov prebiehajúcich v spoločnosti pri riešení pandémie COVID-19, ako aj vojnového konfliktu na Ukrajine, prišlo aj k akcelerácii kybernetických útokov. Nie je preto žiadnym prekvapením, že príslušné autority pristúpili k „prekopaniu“ týchto pravidiel.

Výsledkom je, že novým reprezentantom európskych pravidiel v oblasti kybernetickej bezpečnosti má byť nová smernica NIS2. Ide o smernicu Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice 2016/1148, ktorá pôvodnú Smernicu NIS nahradí.

V nasledujúcich bodoch si priblížime vybrané skutočnosti, ktoré nám nová smernica NIS2 prinesie:

  • Regulované subjekty delí na kľúčové subjekty a dôležité subjekty, ktoré definuje v svojich prílohách nasledovne:
    • verejné alebo súkromné kľúčové subjekty pôsobiace v odvetviach definovaných v prílohe I. smernice NIS2 sú: energetika, doprava, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, pitná voda, odpadová voda, digitálna infraštruktúra, verejná správa a vesmír,
    • verejné alebo súkromné dôležité subjekty pôsobiace v odvetviach definovaných v prílohe II. smernice NIS2 sú: poštové a kuriérske služby, odpadové hospodárstvo, získavanie, výroba a distribúcia chemických látok, výroba, spracovanie a distribúcia potravín, výroba a poskytovatelia digitálnych služieb.
  • Zavádza pravidlo veľkosti regulovaného subjektu, a to v tom zmysle, že subjekt spadá pod reguláciu smernice NIS2, ak sú súčasne splnené nasledujúce podmienky:
    • subjekt poskytuje aspoň jednu službu uvedenú v prílohách smernice NIS2, a zároveň
    • je stredným alebo veľkým podnikom, teda zamestnáva 50 a viac zamestnancov, alebo dosahuje ročný obrat alebo bilančnú sumu ročnej súvahy aspoň 10 miliónov EUR.
    V niektorých prípadoch stanovených smernicou NIS2, ale toto pravidlo platiť nebude a pod reguláciu NIS2 budú spadať všetky subjekty z daného sektora, bez ohľadu na ich veľkosť, a to napríklad subjekty poskytujúce verejné elektronické komunikačné siete alebo verejne dostupné elektronické komunikačné služby, správcovia mien domény najvyššej úrovne a poskytovatelia služby systému doménových mien (DNS), subjekt, ktorý je jediným poskytovateľom služby v členskom štáte a pod.
SÚVISIACI ČLÁNOK
Smernica NIS2 mení pravidlá kybernetickej bezpečnosti
Na konci roka 2022 došlo k historickému kroku v oblasti kybernetickej bezpečnosti, keď bola schválená dôležitá smernica NIS2. Tento zásadný legislatívny akt prináša rozšírenie pôsobnosti kybernetickej bezpečnosti, ktoré ovplyvní množstvo organizácií v súkromnom aj verejnom sektore. Členské štáty EÚ čelia výzve implementovať podstatu smernice NIS2 do svojich legislatív. Ponúkame vám podrobný pohľad na smernicu NIS2, jej kľúčové zmeny a to, ako ovplyvnia organizácie a inštitúcie v rámci Európskej únie.
SÚVISIACI ČLÁNOK
Smernica NIS2 mení pravidlá kybernetickej bezpečnosti
Na konci roka 2022 došlo k historickému kroku v oblasti kybernetickej bezpečnosti, keď bola schválená dôležitá smernica NIS2. Tento zásadný legislatívny akt prináša rozšírenie pôsobnosti kybernetickej bezpečnosti, ktoré ovplyvní množstvo organizácií v súkromnom aj verejnom sektore. Členské štáty EÚ čelia výzve implementovať podstatu smernice NIS2 do svojich legislatív. Ponúkame vám podrobný pohľad na smernicu NIS2, jej kľúčové zmeny a to, ako ovplyvnia organizácie a inštitúcie v rámci Európskej únie.
  • Od členských štátov vyžaduje najmä:
    • prijatie vnútroštátnej stratégie kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia,
    • určenie jednej alebo viacerých jednotiek CSIRT zodpovedných za riešenie incidentov podľa presne stanovených postupov,
    • zavedenie národného rámca krízového riadenia kybernetickej bezpečnosti, a to najmä určením príslušných vnútroštátnych orgánov zodpovedných za riadenie incidentov a kríz kybernetickej bezpečnosti veľkého rozsahu,
    • určenie jedného alebo viacero príslušných vnútroštátnych orgánov zodpovedných za kybernetickú bezpečnosť a za úlohy dohľadu v tejto oblasti,
    • určenie národného jednotného kontaktného miesta pre kybernetickú bezpečnosť, ktoré bude zabezpečovať cezhraničnú spoluprácu orgánov členských štátov,
    • zabezpečenie, aby riadiace orgány kľúčových a dôležitých subjektov schválili opatrenia na riadenie kybernetických rizík prijaté príslušnými subjektmi a pravidelne absolvovali osobitnú odbornú prípravu v oblasti kybernetickej bezpečnosti,
    • zabezpečenie, že kľúčové a dôležité subjekty v rozsahu pôsobnosti prijmú náležité a primerané technické a organizačné opatrenia na riadenie kybernetických rizík súvisiacich s bezpečnosťou sietí a informačných systémov.
  • Stanovuje rámec na koordinované zverejňovanie informácií o zraniteľnostiach a od agentúry ENISA vyžaduje, aby pre zistené zraniteľnosti vyvinula a spravovala európsky register zraniteľností.
  • Zriaďuje skupinu pre spoluprácu na podporu a uľahčenie strategickej spolupráce a výmeny informácií medzi členskými štátmi.
  • Zriaďuje sieť jednotiek CSIRT s cieľom prispieť k zvyšovaniu dôvery a podporiť rýchlu a účinnú operačnú spoluprácu medzi členskými štátmi.
  • Zriaďuje Európsku sieť styčných organizácií pre kybernetické krízy (EÚ – CyCLONe) s cieľom podporiť koordinované riadenie incidentov a kríz veľkého rozsahu v oblasti kybernetickej bezpečnosti a zabezpečiť pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami EÚ.
  • Vyžaduje od správcov mien domény najvyššej úrovne a subjektov poskytujúcich služby registrácie doménových mien pre doménu najvyššej úrovne, aby zbierali a uchovávali presné a úplné údaje o registrácii doménových mien. Ďalej od takýchto subjektov vyžaduje, aby oprávneným žiadateľom o prístup poskytli účinný prístup k registračným údajom domény.
  • Určuje, že niektoré vybrané subjekty (napr. poskytovatelia služieb DNS, správcovia mien domény najvyššej úrovne, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátového centra, poskytovatelia sietí na sprístupňovanie obsahu a poskytovatelia digitálnych služieb) patria do jurisdikcie toho členského štátu, v ktorom majú hlavné miesto podnikateľskej činnosti v Únii. Snahou je vytvoriť také podmienky, aby tieto subjekty nemuseli plniť viaceré rozdielne požiadavky právnych predpisov jednotlivých členských štátov, keďže nimi poskytované služby sú v prevažnej miere realizované prierezovo vo viacerých členských štátoch. Súčasne vyžaduje od agentúry ENISA, aby vytvorila a spravovala register takýchto subjektov.

Vzhľadom na uvedené skutočnosti je zrejmé, že bude potrebné prehodnotenie a novelizácia aj našich národných pravidiel v oblasti kybernetickej bezpečnosti. Ako sa s touto výzvou popasujú naše autority a do akej miery to ovplyvní chod spoločností nám ukáže nasledujúce obdobie.

Potrebujete pomôcť s implementáciou smernice NIS2? Zanechajte nám kontakt.
Potrebujete pomôcť s implementáciou smernice NIS2? Zanechajte nám kontakt.
Avatar photo
Autor
JUDr. Miroslav Fridrich
Vyštudoval som Právnickú fakultu Univerzity Komenského v Bratislave. Získal som certifikáty za skúšku osoby zodpovednej za výkon dohľadu nad ochranou osobných údajov, osvedčenie oprávnenej osoby pre utajované skutočnosti stupňa utajenia „Dôverné“, a tiež osvedčenie interného audítora systému manažérstva informačnej bezpečnosti. Počas svojej kariéry som bol členom tímu pri najnáročnejších projektoch z oblasti informačnej bezpečnosti pre komerčné odvetvia i verejnú správu.
Všetky články autora (1)

Mohlo by sa vám páčiť

Avatar photo
Branislav Mitas
Riaditeľ divízie NetSec
Bezpečnostné opatreniaKybernetická bezpečnosťNIS2
Smernica NIS2 mení pravidlá kybernetickej bezpečnosti

Čítať viac

NIS2Privilege Access Management
Multiplatformový nástroj novej generácie

Čítať viac

Avatar photo
Juraj Nemeček
Vedúci sieťovej bezpečnosti
Bezpečnostné opatreniaHackeriKybernetická bezpečnosťQuishing
Quishing – nová kybernetická hrozba: Ako sa jej efektívne brániť?

Čítať viac

Všetky novinky
Napíšte nám