Firmy sa musia budúci rok začať pripravovať na novú legislatívu pre posilnenie kybernetickej bezpečnosti

Stovky firiem a verejných organizácií by sa mali začať už budúci rok pripravovať na splnenie nových legislatívnych požiadaviek v oblasti kybernetickej bezpečnosti.

Európsky parlament a Rada EÚ tento mesiac definitívne schválili novú legislatívu NIS2. Ide o aktualizovaný právny rámec, ktorý vychádza z prvej verzie nariadenia o sieťovej a informačnej bezpečnosti Európskej únie z roku 2016. Členské štáty únie majú teraz 21 mesiacov na transponovanie direktívy do národných legislatív.

NIS2 sprísňuje povinnosti dotknutých organizácií z oblastí takzvanej kritickej infraštruktúry a iných významných sektorov. Zjednocuje tiež pravidlá pre ochranu kybernetického priestoru členských štátov Európskej únie. K prvkom kritickej infraštruktúry patria napríklad banky, energetické firmy, zdravotníctvo a verejná správa. K dôležitým sektorom napríklad podniky z potravinárstva, chemického a elektrotechnického priemyslu, výrobcovia medicínskych prístrojov, ale aj automobilky.

Nový právny rámec rozširuje okruh dotknutých sektorov aj rozsah povinností

Nová smernica sa bude týkať širšieho okruhu organizácií. Vyplynú z nej povinnosti aj firmám a verejným organizáciám, na ktoré sa doterajšia legislatíva nevzťahovala.

REKLAMA

„Súčasný zákon o kybernetickej bezpečnosti sa dotýka subjektov z vybraných sektorov, ktoré sú na základe určitých kritérií zaradené medzi prevádzkovateľov základných služieb alebo poskytovateľov digitálnych služieb. Nový právny rámec rozširuje okruh dotknutých sektorov aj rozsah povinností,“ vysvetľuje Roman Čupka, hlavný konzultant spoločnosti Progress a CEO Synapsa Networks.

Nová európska direktíva sprísňuje napríklad pravidlá pre riadenie rizík, pre ochranu pred útokmi uskutočňovanými cez dodávateľské reťazce (tzv. supply-chain útoky), pre hlásenie incidentov a pre zdieľanie informácií a zverejňovanie zraniteľností. Vytvára tiež rámec pre vznik európskej databázy zraniteľností.

„Pre splnenie legislatívnych požiadaviek budú musieť mnohé organizácie investovať do viacerých nových technológií a služieb, napríklad do systémov pre nepretržité sledovanie sieťovej prevádzky a pre rýchle, automatizované nahlasovanie a riešenie incidentov,“ vysvetľuje R. Čupka.

Subjekty stále nemusia informovať o závažných kybernetických incidentoch verejne

Na druhej strane nová smernica stále nezavádza povinnosť dotknutých subjektov informovať o závažných kybernetických incidentoch verejne. Informovať musia iba príslušnú organizáciu zodpovednú v danom sektore za riadenie kybernetickej bezpečnosti. Tou je na Slovensku Národný bezpečnostný úrad, poprípade vybrané Ústredné orgány verejnej správy.

„Transparentnejšie informovanie firiem a verejných organizácií o kybernetických bezpečnostných incidentoch smerom na verejnosť by pomohlo zvýšiť povedomie o rizikách a motivovať k väčšiemu záujmu o túto tému,“ hovorí R. Čupka. „Naviac verím, že by im to pomáhalo aj reputačne v prípade, že je nastavená správna komunikácia z a do vnútra organizácie,“ dodáva.

Podľa tohtoročného prieskumu Slovak Business Agency pripraveného v spolupráci s NBÚ medzi strednými a malými podnikmi, sa na Slovensku kybernetickou bezpečnosťou zaoberá len približne tretina malých firiem. Pri stredne veľkých podnikoch je to zhruba polovica.