Smernica NIS 2 a nové pravidlá kybernetickej bezpečnosti: Čo treba vedieť?

 

V digitálnej ére, kde kybernetické útoky ohrozujú stabilitu celých sektorov, sa ochrana sietí a informačných systémov stáva prioritou číslo jeden. Európska únia reaguje na túto eskalujúcu hrozbu sprísnením legislatívy.

 

NIS 2 (Network and Information Security Directive 2) je smernica Európskej únie, ktorá predstavuje revíziu pôvodnej smernice NIS z roku 2016. Jej hlavným cieľom je zvýšiť spoločnú úroveň kybernetickej bezpečnosti v celej EÚ prostredníctvom prísnejších požiadaviek na riadenie rizík a hlásenie incidentov, pričom rozširuje pôsobnosť na širšie spektrum kritických a dôležitých sektorov.

Ak vaša organizácia poskytuje kľúčové služby alebo má významný ekonomický dopad, táto smernica sa vás týka. Pripravte sa na implementáciu NIS 2 a vyhnite sa likvidačným sankciám.

 

Čo presne je smernica NIS 2 a aký je jej hlavný cieľ?

Smernica NIS 2 (Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555) je kľúčovým legislatívnym aktom EÚ, ktorý posilňuje opatrenia pre zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii.

Tento nový právny rámec stanovuje jednotný základ a prináša zásadné zmeny oproti svojmu predchodcovi. Kybernetická odolnosť EÚ je jej prioritou, a preto zavádza prísnejšie pravidlá pre riadenie kybernetických rizík a reakciu na bezpečnostné incidenty.

 

Prečo bola smernica NIS 2 prijatá?

Pôvodná smernica NIS 1 mala nedostatky v rozsahu pôsobnosti, rozdielnej transpozícii v členských štátoch a nebola dostatočne prísna voči rastúcim hrozbám, ako sú sofistikované ransomware útoky. NIS 2 vznikla, aby túto medzeru vyplnila, zjednotila prístup v EÚ a zvýšila zodpovednosť vrcholového manažmentu za firemnú kybernetickú bezpečnosť.

 

Rozšírený rozsah pôsobnosti: Kritické a dôležité subjekty

Jedna z najzásadnejších zmien, ktorú smernica NIS 2 podrobne definuje, je rozšírenie koho sa týka smernica NIS 2. Už to nie sú len prevádzkovatelia základných služieb, ale aj tisíce stredných a veľkých podnikov a orgánov verejnej správy.

 

NIS 2 delí subjekty do dvoch kategórií, pre ktoré platia rôzne úrovne dohľadu a pokút:

 

1. Kritické subjekty (Kľúčové entity)

Tieto organizácie majú najväčší význam pre chod spoločnosti a ekonomiku:

• Sektory: Energetika, doprava, bankovníctvo, infraštruktúra finančného trhu, zdravotníctvo, dodávka pitnej a odpadovej vody, digitálna infraštruktúra (napr. dátové centrá, cloudové služby).
• Špeciálne prípady: Orgány verejnej správy sú automaticky zaradené, bez ohľadu na ich veľkosť.

2. Dôležité subjekty (Dôležité entity)

Ide o subjekty, ktorých narušenie by mohlo spôsobiť značnú škodu, ale nie je kritické pre celú infraštruktúru:

• Sektory: Poštové a kuriérske služby, odpadové hospodárstvo, niektoré výrobné odvetvia, chemický a potravinársky priemysel, výskum.

Kritériá pre stredné/veľké podniky:

Všeobecne sa NIS 2 vzťahuje na subjekty, ktoré spĺňajú aspoň jednu z podmienok:

• Majú minimálne 50 zamestnancov
• Dosahujú ročný obrat alebo súvahu minimálne 10 miliónov EUR

 

Transpozícia NIS 2 do slovenskej legislatívy a termíny účinnosti

Smernica EÚ nemôže byť uplatňovaná priamo. Je nevyhnutná transpozícia NIS 2 do národného práva.

Na Slovensku sa implementácia NIS 2 do slovenskej legislatívy deje prostredníctvom novely Zákona o kybernetickej bezpečnosti (Zákon č. 69/2018 Z. z.).

 

Krok	Dátum EÚ / SR	Poznámka
Termín pre transpozíciu	17. október 2024	Do tohto dátumu mali členské štáty implementovať smernicu do svojho práva.
Účinnosť na Slovensku	1. január 2025	Dátum, kedy nadobudla účinnosť novela zákona o kybernetickej bezpečnosti na Slovensku.
Dohľad	Od dátumu účinnosti	Dohľad nad plnením povinností vykonáva Národný bezpečnostný úrad (NBÚ).

 

Čo hrozí pri nedodržaní NIS 2?

Nová legislatíva prináša drasticky vyššie pokuty, čo je hlavný dôvod, prečo by sa mali firmy začať pripravovať na NIS 2 už teraz.

 

Kľúčové povinnosti vyplývajúce z NIS 2: Riadenie rizík a hlásenie incidentov

Ak ste identifikovali svoju firmu ako kritický alebo dôležitý subjekt, čaká vás sada povinností, ktoré musíte implementovať. Tieto povinnosti firiem zahŕňajú technické, organizačné a manažérske opatrenia.

 

1. Riadenie kybernetických rizík

Subjekty musia prijať primerané technické a organizačné opatrenia na riadenie rizík, ktoré hrozia bezpečnosti sietí a informačných systémov.

• Analýza rizík: Pravidelné hodnotenie hrozieb, zraniteľností a dopadov na informačné aktíva
• Kontinuita podnikania (Dizaster recovery plan): Zavedenie plánov obnovy po havárii (DRP plán) a opatrení pre krízové riadenie.
• Bezpečnosť dodávateľského reťazca: Povinnosť preverovať kybernetickú bezpečnosť svojich dodávateľov, najmä tých kritických.
• Základné opatrenia: Multifaktorová autentifikácia (MFA), pravidelné penetračné testy a šifrovanie dát.
• Zodpovednosť vedenia: Vrcholový manažment musí schvaľovať, dohliadať a prechádzať pravidelným vzdelávaním v oblasti kybernetickej bezpečnosti.

 

2. Hlásenie bezpečnostných incidentov

Jedna z najväčších zmien. Smernica zavádza jasné a krátke lehoty pre hlásenie bezpečnostných incidentov Včasné varovanie (Early Warning): Do 24 hodín od prvého poznania incidentu musíte informovať Národný bezpečnostný úrad (NBÚ).

• Oznámenie incidentu: Do 72 hodín predložiť podrobnejšiu správu.
• Záverečná správa: Do jedného mesiaca od oznámenia incidentu.

 

NIS 2 vs. pôvodná smernica NIS: Hlavné rozdiely a prísnejšie sankcie

Zámerom NIS 2 bolo poučiť sa z nedostatkov predchádzajúcej legislatívy. Kľúčové zmeny sú:

Parameter	NIS 1 (2016)	NIS 2 (2022)
Rozsah pôsobnosti	Úzky (7 sektorov), dobrovoľná identifikácia	Široký (18 sektorov), povinná samoidentifikácia podľa veľkosti/sektora.
Bezpečnostné požiadavky	Vágne a rozdielne implementované	Detailné a zladené (napr. riadenie rizík dodávateľského reťazca).
Hlásenie incidentov	Len závažné, dlhšie lehoty	Prísne lehoty (24/72 hodín) a záväzný formát.
Zodpovednosť	Slabá zodpovednosť vedenia	Priama zodpovednosť vrcholového manažmentu.
Sankcie	Rôzne, často nízke	Extrémne vysoké a likvidačné

 

Prísne sankcie

• Kritické subjekty: Až 10 miliónov EUR alebo 2 % celosvetového ročného obratu (podľa toho, čo je vyššie).
• Dôležité subjekty: Až 7 miliónov EUR alebo 1,4 % celosvetového ročného obratu (podľa toho, čo je vyššie).

 

Praktické kroky: Ako sa efektívne pripraviť na zmeny

Príprava na NIS 2 nie je len o inštalácii nového softvéru, ale o zmene firemnej kultúry a procesov. Základné kroky, ako sa na NIS 2 pripraviť:

1. Samoidentifikácia: Zistite, či sa na vás NIS 2 vzťahuje (kategória + kritériá veľkosti).
2. Inventúra IT aktív: Vytvorte si katalóg informačných aktív
3. Analýza rizík: Vykonajte hĺbkovú NIS 2 analýzu rizík s cieľom identifikovať kľúčové zraniteľnosti.
4. Implementácia opatrení:
5. Vytvorte/aktualizujte DRP a Business Continuity plán.
6. Posilnite bezpečnosť dodávateľského reťazca.
7. Zaveďte manažéra kybernetickej bezpečnosti NIS 2 (môže byť aj externý).
8. Školenie a zodpovednosť: Zabezpečte pravidelné školenie pre zamestnancov a manažment. Zodpovednosť vedenia musí byť formálne zakotvená v interných predpisoch.

 

V mnohom sú požiadavky NIS 2 podobné ISO 27001, takže ak už máte zavedený systém manažérstva informačnej bezpečnosti, ste vo výhode.

 

Často kladené otázky (FAQ) o NIS 2

 

Ktoré subjekty a sektory sú podľa NIS 2 považované za kritické a dôležité?

NIS 2 definuje subjekty v kategóriách 'kritické' (napr. energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra) a 'dôležité' (napr. poštové služby, odpadové hospodárstvo, výroba, potravinárstvo), pričom pre väčšinu platí aj veľkostné kritérium (min. 50 zamestnancov a ročný obrat/súvaha min. 10 mil. EUR). Avšak subjekty kritického významu (napr. ústredné orgány štátnej správy) spadajú do regulácie bez ohľadu na ich veľkosť.

 

Aký je termín na splnenie požiadaviek smernice NIS 2 na Slovensku?

Termín pre transpozíciu smernice do národného práva členských štátov uplynul 17. októbra 2024. Účinnosť novely Zákona o kybernetickej bezpečnosti, ktorá NIS 2 transponuje na Slovensku, je od 1. januára 2025, kedy začali platiť nové povinnosti pre dotknuté subjekty. Firmy by sa mali na súlad pripraviť čo najskôr po nadobudnutí účinnosti zákona.

 

Aké sankcie hrozia pri nedodržaní NIS 2?

Smernica NIS 2 zavádza prísnejšie sankcie. V prípade kritických subjektov (kľúčové entity) môžu pokuty dosiahnuť až 10 miliónov EUR alebo 2 % z celkového celosvetového ročného obratu (podľa toho, čo je vyššie). Pre dôležité subjekty môžu pokuty dosiahnuť až 7 miliónov EUR alebo 1,4 % z celkového celosvetového ročného obratu.

 

Aká je zodpovednosť vrcholového manažmentu podľa NIS 2?

NIS 2 kladie dôraz na zodpovednosť vrcholového manažmentu. Členovia riadiaceho orgánu (predstavenstvo, konatelia) sú povinní schvaľovať opatrenia na riadenie kybernetických rizík a dohliadať na ich implementáciu a dodržiavanie. V prípade hrubej nedbalosti alebo úmyselného pochybenia môžu čeliť aj osobnej zodpovednosti.

 

Aký je rozdiel medzi NIS 1 a NIS 2?

NIS 2 rozširuje pôsobnosť (viac sektorov a subjektov), sprísňuje bezpečnostné požiadavky (napr. riadenie rizík dodávateľského reťazca), skracuje lehoty na hlásenie incidentov, zavádza silnejšie nástroje dohľadu pre príslušné orgány a výrazne zvyšuje maximálnu výšku sankcií.

 

Kto je zodpovedný za dodržiavanie NIS 2 vo firme?

Za dodržiavanie a implementáciu NIS 2 je primárne zodpovedný vrcholový manažment a riadiaci orgán spoločnosti. Na exekutívnej úrovni je to často manažér kybernetickej bezpečnosti.

 

Záver a ďalšie kroky

Smernica NIS 2 nie je len ďalšia byrokratická prekážka. Je to dôležitý krok k zvýšeniu Kybernetickej odolnosti EÚ a nevyhnutná reakcia na rastúce hrozby. Pre vašu firmu predstavuje príležitosť nielen vyhnúť sa sankciám, ale aj zvýšiť dôveryhodnosť u zákazníkov a partnerov.

 

CeMS, s.r.o je akreditovaná spoločnosť na výkon auditov kybernetickej bezpečnosti. V prípade záujmu o audit KB, manažéra KB alebo konzultácií k zákonu o kybernetickej bezpečnosti nás neváhajte kontaktovať.

 

Zdroje:

• Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti
• Národný bezpečnostný úrad SR.
• Vyhláška Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach