Na konci roka 2022 došlo k historickému kroku v oblasti kybernetickej bezpečnosti, keď bola schválená dôležitá smernica NIS2. Tento zásadný legislatívny akt prináša rozšírenie pôsobnosti kybernetickej bezpečnosti, ktoré ovplyvní množstvo organizácií v súkromnom aj verejnom sektore. Členské štáty EÚ čelia výzve implementovať podstatu smernice NIS2 do svojich legislatív. Ponúkame vám podrobný pohľad na smernicu NIS2, jej kľúčové zmeny a to, ako ovplyvnia organizácie a inštitúcie v rámci Európskej únie.
NIS2 je smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Európskej únii. Smernica nadobudla účinnosť 16. januára 2023 a členské štáty EÚ ju musia transponovať do svojej legislatívy do 17. októbra 2024. Smernica zavádza viaceré nové pravidlá pre zaistenie kybernetickej bezpečnosti a ochrany organizácií proti hackerským útokom.
Koho sa smernica NIS2 týka?
Nová smernica voči pôvodnej smernici a zákonu č. 69/2018 Z.z. o kybernetickej bezpečnosti významne rozširuje rozsah organizácií, pre ktoré je požadovaná implementácia opatrení v oblasti kybernetickej bezpečnosti. Vo všeobecnosti sa smernica NIS2 týka nasledovných oblastí priemyslu a sektorov:
Doprava, energetika, bankovníctvo a infraštruktúra finančných trhov, zdravotníctvo, vodovodné služby, verejná správa (na centrálnej aj regionálnej úrovni), odpadové hospodárstvo, poštové a kuriérske služby, výroba, spracovanie a distribúcia potravín, výroba zdravotníckych potrieb, výroba a distribúcia chemických látok, výroba zdravotníckych pomôcok, počítačových výrobkov, strojov, motorových vozidiel a el. zariadení, letectvo a kozmonautika, poskytovatelia digitálnej infraštruktúry a digitálnych služieb a výskumu, poskytovatelia riadených bezpečnostných služieb a poskytovatelia riadených služieb (poskytovatelia IT služieb).
Okrem uvedeného bude dôležitým kritériom na určenie organizácií, ktorých sa nové pravidlá kybernetickej bezpečnosti týkať aj ich veľkosť.
Aké povinnosti z pohľadu implementácie bezpečnostných opatrení smernica NIS2 prináša?
Organizácie patriace pod pôsobnosť smernice NIS2 budú musieť zaviesť technické a prevádzkové opatrenia, ktorých cieľom je zvýšenie odolnosti organizácií voči kybernetickým hrozbám. Tieto opatrenia sú založené najmä na nasledovných princípoch:
- podporovanie aktívnej kybernetickej ochrany, ktorá zahŕňa aktívnu prevenciu, odhaľovanie, monitorovanie, analýzu a zmierňovanie narušení bezpečnosti
- implementácia opatrení na riadenie kybernetických rizík, ktoré sú primerané existujúcim rizikám a ktoré by mali zahŕňať aj technické opatrenia na identifikáciu rizika incidentov, opatrenia na predchádzanie incidentom, ich odhaľovanie, reakciu na ne a zotavenie sa z nich, ako aj opatrenia na zmiernenie ich vplyvu
- využívanie inovatívnych technológií vrátane umelej inteligencie, ktorej používanie by malo zlepšiť odhaľovanie a prevenciu kybernetických útokov
- zaistenie bezpečnosti sietí a informačných systémov
- presadzovanie bezpečnostného modelu nulovej dôvery (tzv. Zero Trust)
- presadzovanie implementácie opatrení, resp. riešení podporujúcich, resp. zabezpečujúcich:
- segmentáciu siete
- správu identít a riadenie prístupov
- aktualizáciu a bezpečnú konfiguráciu zariadení a systémov
- technológie zabezpečujúce ochranu dát použitím kryptografie a šifrovania
- integráciu technológií posilňujúcich kybernetickú bezpečnosť, ako sú systémy umelej inteligencie alebo strojového učenia
- zabezpečenie kontinuity činností, ako je riadenie zálohovania a obnova systémov po havárii a krízové riadenie
- implementácia riešení na odhaľovanie a odstraňovanie zraniteľností sietí a informačných systémov
- využívanie riešení viacstupňovej (MFA) alebo kontinuálnej autentifikácie
Kybernetickú bezpečnosť v európskej únii upravuje nová smernica NIS2
Kybernetickú bezpečnosť v európskej únii upravuje nová smernica NIS2
Okrem smernice NIS2, ktorej požiadavky budú musieť byť postupne implementované v rámci jednotlivých organizácií, je už v súčasnosti platný zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti, ktorý už v dnes platnom znení veľkú časť vyššie uvedených opatrení obsahuje.