V súčasnej dobe, kedy sa kybernetické hrozby stávajú stále sofistikovanejšími a rozsiahlejšími, Európska únia (EÚ) podnikla rozhodujúci krok smerom k posilneniu kybernetickej bezpečnosti a odolnosti prostredníctvom revízie smernice o bezpečnosti sietí a informačných systémov (NIS2). Táto nová smernica, ktorá nadobudne účinnosť v septembri 2024, predstavuje zásadný pokrok v harmonizácii kyberbezpečnostných opatrení v rámci členských štátov EÚ a významne rozširuje rozsah pôsobnosti pôvodnej smernice NIS.

Kľúčové body smernice NIS2

1. Rozšírený rozsah pôsobnosti: Smernica NIS2 rozširuje svoju pôsobnosť na ďalšie odvetvia a subjekty, ktoré sú považované za kritické alebo významné. Okrem už existujúcich oblastí, ako sú energetika, doprava, bankovníctvo a zdravotníctvo, zahŕňa aj nové sektory, ako sú verejná správa, poštové a kurierske služby, ako aj výrobcov kritických technológií a poskytovateľov digitálnych služieb.

2. Zvýšené požiadavky na riadenie rizík: NIS2 kladie väčší dôraz na systematické riadenie rizík kybernetických hrozieb. Organizácie musia pravidelne vykonávať hodnotenia rizík, prijímať primerané opatrenia na zmiernenie identifikovaných rizík a zaistiť kontinuitu svojich činností aj v prípade kybernetických incidentov.

3. Povinné oznamovanie incidentov: Smernica zavádza povinné oznamovanie závažných kybernetických incidentov príslušným orgánom a v určitých prípadoch aj dotknutým subjektom. Tento krok má za cieľ zlepšiť koordináciu, výmenu informácií a reakciu na hrozby v rámci EÚ.

4. Posilnené požiadavky na kybernetickú hygienu: NIS2 stanovuje prísnejšie požiadavky na kybernetickú hygienu, vrátane zavedenia opatrení na zabezpečenie aktualizácií softvéru, riadenie zraniteľností, kontrolu prístupov a šifrovanie citlivých údajov.

5. Zriadenie kyberbezpečnostných koordinačných centier: Smernica vyžaduje, aby každý členský štát zriadil jedno alebo viacero kyberbezpečnostných koordinačných centier, ktoré budú pôsobiť ako kontaktné body pre oznamovanie incidentov, koordináciu a výmenu informácií.

6. Sankcie za nedodržiavanie predpisov: NIS2 umožňuje členským štátom ukladať účinné, primerané a odrádzajúce sankcie za nedodržiavanie požiadaviek smernice, vrátane pokút, ktoré môžu dosiahnuť až 10 miliónov eur alebo 2 % celkového ročného obratu dotknutej organizácie.

Význam smernice NIS2

Smernica NIS2 predstavuje zásadný krok vpred v snahe EÚ posilniť kybernetickú bezpečnosť a odolnosť kritickej infraštruktúry a kľúčových služieb. Jej zavedenie bude mať ďalekosiahle dôsledky pre organizácie pôsobiace v rôznych odvetviach. Harmonizácia kyberbezpečnostných požiadaviek na úrovni EÚ umožní zlepšiť koordináciu a výmenu informácií medzi členskými štátmi, čo je kľúčové pre účinnú reakciu na cezhraničné kybernetické hrozby. Zároveň sa očakáva, že posilnené požiadavky na riadenie rizík a kybernetickú hygienu prispejú k zvýšeniu celkovej odolnosti organizácií voči kybernetickým útokom.

Implementácia smernice NIS2 si vyžiada značné úsilie a investície zo strany dotknutých organizácií. Budú musieť prehodnotiť svoje existujúce bezpečnostné opatrenia, vykonať hodnotenia rizík, zaviesť nové kontrolné mechanizmy a zabezpečiť súlad s novými predpismi. Tieto výzvy však predstavujú príležitosť na posilnenie kybernetickej bezpečnosti a ochranu kritických systémov a údajov pred stále sofistikovanejšími hrozbami.

Odborníci na kybernetickú bezpečnosť a akademici privítali smernicu NIS2 ako krok správnym smerom, ale zároveň upozorňujú na potrebu efektívnej implementácie a dôsledného presadzovania predpisov v rámci členských štátov EÚ. Úspech tejto smernice bude závisieť od angažovanosti všetkých zainteresovaných strán, vrátane orgánov verejnej správy, súkromných organizácií a občanov.