Nová smernica NIS2 predstavuje náhradu za smernicu NIS1, teda nahrádza pravidlá kybernetickej bezpečnosti, ktoré boli zavedené v roku 2016 z dôvodu vyššej miery kybernetických hrozieb.
Európska únia sa čoraz viac zameriava na kybernetickú bezpečnosť ako kľúčovú oblasť na ochranu svojich digitálnych a fyzických infraštruktúr. Jedným z hlavných nástrojov na dosiahnutie tohto cieľa je Smernica o bezpečnosti sietí a informačných systémov (NIS). V roku 2020 bola predstavená aktualizácia tejto smernice, známa ako NIS2. Smernica NIS2 nadobudla účinnosť 16.1.2023, jej cieľom je posilniť a rozšíriť rámec kybernetickej bezpečnosti v EÚ. Nové pravidlá sa dotknú subjektov pôsobiacich v kriticky dôležitých sektoroch, a to najmä energetika, doprava, bankovníctvo, infraštruktúra finančných trhov, zdravotníctvo či odpadové hospodárstvo.
Hlavné ciele a zmeny
Smernica NIS2 prináša niekoľko kľúčových zmien a doplnení oproti pôvodnej smernici NIS. Hlavné ciele a zmeny zahŕňajú:
1. Rozšírenie pôsobnosti:
- smernica NIS2 rozširuje okruh dotknutých sektorov a služieb, na zdravotníctvo, dopravu, energetiku, bankovníctvo či verejnú správu;
- zahŕňa aj digitálne služby ako poskytovateľov cloudových služieb, datacentrá a digitálne trhoviská.
2. Zvýšenie úrovne kybernetickej bezpečnosti:
- ukladá prísnejšie požiadavky na zabezpečenie sietí a informačných systémov;
- zavádza povinnosť vykonávať pravidelné hodnotenia rizík a prijímať vhodné opatrenia na ich minimalizáciu.
3. Lepšia spolupráca a koordinácia:
- posilnenie spolupráce medzi členskými štátmi prostredníctvom zriadenia Európskej siete organizácií pre kybernetickú bezpečnosť (CSIRTs Network);
- zriadenie Európskeho kybernetického krízového centra na koordináciu reakcií na veľké kybernetické incidenty.
4. Zlepšenie hlásenia incidentov:
- zavedenie povinnosti rýchlo hlásiť kybernetické incidenty národným autoritám;
- vypracovanie špecifických postupov na hlásenie incidentov, aby sa zabezpečilo, že informácie budú rýchlo zdieľané a spracované.
5. Zodpovednosť a sankcie:
- zavádza sa systém sankcií za nesplnenie povinností stanovených smernicou NIS2;
- organizácie, ktoré nezabezpečia primeranú úroveň kybernetickej bezpečnosti, môžu čeliť vysokým pokutám.
Koho sa smernica NIS2 týka?
Táto smernica sa vzťahuje na spoločnosti označené ako „Základné subjekty“ a „Dôležité subjekty“. Hranice veľkosti sa líšia podľa odvetvia, avšak medzi kľúčové subjekty patria spoločnosti s 250 a viac zamestnancami, bratom 50 miliónov EUR alebo súvahou 43 miliónov EUR. Medzi dôležité subjekty patria spoločnosti s viac ako 50 zamestnancami a ročným obratom alebo súvahou 10 miliónov EUR.
Príslušné odvetvia v rámci kľúčových subjektov:
- Energia
- Doprava
- Bankovníctvo a finančné trhy
- Pitná voda a odpady
- Digitálna infraštruktúra a správa IKT služieb, vrátane poskytovateľov služieb cloud computingu
- Verejná správa
- Vesmír
Príslušné odvetvia v rámci dôležitých subjektov zahŕňajú:
- Všetky odvetvia v rámci základných subjektov, ale s limitom veľkostí pre „Dôležité subjekty“.
- Poštové a kuriérne služby
- Nakladanie s odpadmi
- Výroba, produkcia a distribúcia chemických látok
- Výroba
- Poskytovatelia digitálnych služieb
- Výskumné organizácie
Zo smernice vyplýva pre členské štáty povinnosť vypracovať do 17.4.2025 zoznam kľúčových a dôležitých subjektov, ako aj subjektov poskytujúcich služby registrácie názvov domén. Na účely vypracovania tohto zoznamu budú členské štáty oprávnené požadovať od dotknutých subjektov základné informácie, ako sú:
- názov subjektu,
- adresa,
- aktuálne kontaktné údaje,
- príslušné odvetvie a pododvetvie uvedené v prílohe I alebo II smernice,
- zoznam členských štátov, v ktorých poskytujú služby patriace do pôsobnosti tejto smernice.
Povinnosti dotknutých subjektov
Pre subjekty, ktoré spadajú pod pôsobnosť smernice NIS2 vzniká povinnosť prijať nové technické, operačné a organizačné opatrenia, ktoré by mali zahŕňať: analýzu rizík a bezpečnosti informačných systémov, zavedenie krokov a postupov zameraných na prevenciu, odhaľovanie, analýzu a obmedzovanie incidentov alebo na reakciu na incident a zotavenie z neho, zabezpečenie bezpečnosti dodávateľského reťazca, či zavedenie zásad a postupov používania kryptografie, prípadne šifrovania. Konkrétne technické a metodické požiadavky má Európska komisia určiť do 17.10.2024.
Dotknutým subjektom vzniká taktiež oznamovacia povinnosť. V prípade významného incidentu (podľa smernice NIS2) budú takéto subjekty povinné oznámiť tento incident jednotnému kontaktnému miestu do 24 hodín. Následne budú povinné oznámiť podrobnejšie informácie, pričom zároveň uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadne indikátory kompromitácie, a to bez zbytočného odkladu, najneskôr však do 72 hodín. Záverečnú správu o incidente bude dotknutý subjekt povinný predložiť najneskôr do 1 mesiaca po predložení podrobnejších informácií.
Porušenie povinností vyplývajúcich zo smernice
Subjektom, ktoré nebudú dodržiavať smernicu NIS2, môžu byť uložené vysoké pokuty:
- kľúčovým subjektom hrozí až 10 miliónov EUR alebo 2 % celosvetového obratu,
- dôležitým subjektom hrozí až 7 miliónov EUR alebo 1,4 % celosvetového obratu,
a to podľa toho, ktorá suma je vyššia.
Okrem udelenia pokuty môže dotknutým subjektom hroziť sankcia v podobe dočasného pozastavenia certifikácie alebo povolenia na časť alebo všetky relevantné služby a činnosti, ktoré subjekt poskytuje. Prípadne môže byť tiež vyvodená osobná zodpovednosť voči fyzickým osobám vykonávajúcim riadiace funkcie.
Transpozícia smernice NIS2
Každý členský štát EÚ je povinný transponovať smernicu NIS2 do svojho národného práva a zabezpečiť jej účinnú implementáciu do 18.10.2024. NBÚ predložil dňa 30.5.2024 do medzirezortného pripomienkového konania návrh novely zákona o kybernetickej bezpečnosti. Táto novela, s navrhovanou účinnosťou od 1.1.2025, by mala zabezpečiť transpozíciu smernice NIS2 do slovenského právneho poriadku.
Aj keď sa navrhované znenie novely môže v legislatívnom procese ešte meniť alebo dopĺňať, smernica sama o sebe nedáva členským štátom priveľký priestor na odklonenie sa od pravidiel kybernetickej bezpečnosti, ktoré obsahuje.