Smernica Network and Information Systems Directive (NIS1) bola v roku 2016 jedným z legislatívnych opatrení Európskej únie, ktoré sa stretli s pozitívnou odozvou. Jej cieľom bolo zvýšiť a zosúladiť kybernetickú bezpečnosť v rámci EÚ, najmä v kritických sektoroch ako energetika, telekomunikácie a zdravotníctvo. 

Premietnutie NIS1 do našej legislatívy v podobe Zákona č. 69/2018 zaviedla bezpečnostné požiadavky na prevádzkovateľov kritickej infraštruktúry, ako sú hlásenie závažných bezpečnostných incidentov a zavedenie rôznych bezpečnostných opatrení. Za porušenie povinností boli zavedené sankcie.

Jednotlivé členské štáty EÚ však požiadavky NIS1 implementovali odlišným spôsobom, vrátane napríklad rozsahu ich platnosti na firmy a organizácie. Kým na Slovensku sa povinnosti v tejto oblasti dnes týkajú zhruba 1700 subjektov, v mnohých aj omnoho väčších európskych krajinách spadá smernica len na stovky firiem a organizácií. Kým u nás majú dotknuté subjekty povinnosť absolvovať raz za dva roky audit kybernetickej bezpečnosti vykonaný nezávislým certifikovaným audítorom, v iných krajinách audit povinný nie je, alebo ho, ako v susednej Českej republike, vykonáva výlučne centrálna autorita (v ČR je to Národní úřad pro kybernetickou a informační bezpečnost, NÚKIB).

Koho a kedy sa týka NIS2?

Preto EÚ už v roku 2020 predostrela návrh zmien v podobe smernice NIS2, schválená bola v októbri 2021. Náš NBÚ nedávno zverejnil draft úpravy slovenského Zákona o kybernetickej bezpečnosti, ktorý vychádza z povinnosti členských krajín EÚ transponovať NIS2 do októbra tohto roka. 

Návrh NBÚ predovšetkým mení prístup k identifikácii povinných subjektov, takzvaných poskytovateľov základných služieb. Tí sa po novom budú rozdeľovať na dve skupiny: kľúčové subjekty, prevádzkujúce kritickú základnú službu, a dôležité subjekty, ostatní prevádzkovatelia základných služieb. 

Návrh zákona zavádza aj prahovú hodnotu veľkosti subjektu, na ktorú sa zákonné povinnosti vzťahujú. Do regulácie však spadajú aj subjekty kritického významu bez rozdielu ich veľkosti. Patria medzi ne po novom napríklad správcovia internetových domén, či poskytovatelia telekomunikačných služiebieb. Medzi kritické sektory s povinnosťou zaviesť bezpečnostné opatrenia patria po novom potravinárske podniky, kuriérske služby, odpadové hospodárstvo, výroba chemických látok, potravín, počítačov, elektroniky, strojov, áut a výskumné organizácie.

Aké povinnosti pribudnú a ako sa zmenia postihy?

Zvyšujú sa sankcie za nedodržanie povinností, v niektorých oblastiach bude môcť NBÚ uložiť pokutu až do výšky 10 miliónov eur, alebo 2% z celkového celosvetového ročného obratu. 

NIS2 prináša aj zvýšenú reguláciu dodávateľov IKT služieb. Táto časť je veľmi kontroverzná u našich susedov. Na novom znení českého zákona o kybernetickej bezpečnosti sa nevedia zhodnúť NÚKIB a zástupcovia firiem, najmä mobilní operátori. Tí tvrdia, že navrhovaný mechanizmus posudzovania bezpečnosti umožňuje NÚKIBu zakázať akéhokoľvek ich dodávateľa. Mobilní operátori sa obávajú, že budú nútení prebudovať infraštruktúru v hodnote rádovo desiatok miliárd českých korún, napríklad tú, ktorá je postavená na čínskych technológiách.

Na Slovensku je riadenie dodávateľov IKT služieb u poskytovateľov základných služieb adresované Vyhláškou NBÚ č. 264/2023. Igor Straka, audítor a lektor Národnej akadémie pre kybernetickú a informačnú bezpečnosť (NAKIB), vraví že “súčasná legislatíva už dnes ukladá dodávateľom rad povinností, v zásade podobný ako samotným kritickým subjektom. Legislatíva však nedáva NBÚ v tejto oblasti právomoci, ktoré by šli nad rámec nariadení EÚ, preto kritiku od našich firiem, podobnú tej v Čechách, neočakávam.”

Dôležitosť NIS2 v zvýšení a harmonizácii kybernetickej bezpečnosti v rámci EÚ je nepochybná. Svet počítačovej bezpečnosti sa však hýbe tak dynamicky, že dosah akejkoľvek regulácie naň bude vždy obmedzený. Kľúčom zlepšenia stavu kybernetickej bezpečnosti na Slovensku tak bude proaktívna pozornosť a kontinuálne vzdelávanie firiem a organizácií bez rozdielu veľkosti či oblasti pôsobnosti.

Národná akadémia pre kybernetickú a informačnú bezpečnosť (NAKIB) robí práve to: vzdeláva v oblastiach kybernetickej bezpečnosti, biznis kontinuity a ochrany osobných údajov. Kurzy zamerané aj na súlad s NIS2 sú vedené odborníkmi s dlhoročnou praxou, a sú ako jediné akreditované Ministerstvom školstva.