Smernica NIS2 prináša nové a prísnejšie pravidlá kybernetickej bezpečnosti v celej EÚ. Rozširuje kompetencie agentúry ENISA, zavádza častejšie hlásenia a dotýka sa štátu, firiem aj poskytovateľov kritických služieb vrátane doménovej infraštruktúry. Pokuty majú byť porovnateľné s GDPR, preto sa oplatí pripraviť včas.
Čo je NIS2 a koho sa týka
NIS1 u nás funguje cez zákon o kybernetickej bezpečnosti, NIS2 už platí na úrovni EÚ a čaká na plnú národnú implementáciu. Praktické nastavenie u nás bude mať na starosti národný orgán, pričom detaily ešte nie sú uzavreté. Jurisdikcia sa bude, podobne ako pri GDPR, viazať na miesto prevádzkarne a poskytovanie služieb v EÚ.
ENISA má spravovať nové databázy dotknutých subjektov, do ktorých môžu byť zaradené organizácie podľa odvetvia. Novinkou je povinnosť nahlásiť zmeny základných údajov (napríklad názov či IČO) do dvoch týždňov. V niektorých odvetviach, ako je doménová infraštruktúra, platí pôsobnosť bez ohľadu na veľkosť firmy a zahrnutá je aj verejná správa vrátane menších samospráv. Sankcie majú byť prísne a porovnateľné s GDPR.
Nové povinnosti: školenia, hlásenia incidentov a politika
NIS2 zavádza povinné odborné školenia pre členov riadiacich orgánov, ktorí môžu niesť priamu zodpovednosť za dodržiavanie pravidiel. V niektorých štátoch existuje aj trestná zodpovednosť, čo zvyšuje tlak na riadne nastavenie procesov. Očakávať možno aj metodiky pre školenia zamestnancov, aby základné bezpečnostné návyky neboli len formálnou požiadavkou.
Mení sa aj režim hlásenia incidentov: predpokladá sa rýchle prvotné ohlásenie do 24 hodín, doplnenie do 72 hodín a následná záverečná správa. Definícia „významného incidentu“ je však zatiaľ široká a čaká sa na spresnenie metodikami. Bezpečnostná politika musí pokryť riadenie rizík vrátane zvládania incidentov, šifrovania a bezpečnosti dodávateľských reťazcov. Organizácie by mali pripraviť procesy tak, aby vedeli reagovať na časové limity aj obsahové nároky.
Špecifiká pre domény a čo ešte čaká
Pre oblasť doménovej infraštruktúry pribúdajú špecifické požiadavky na overovanie klientov, ktoré si vyžiadajú koordináciu s registrátormi. Na Slovensku ich pôsobia vyše dve tisícky a sú priamou „bránou“ ku klientom, kým samotný register je až ďalšia vrstva. Pravidlá teda môžu výrazne ovplyvniť postupy pri registrácii a správe domén.
Na úrovni EÚ sa formujú rámce pre riešenie kybernetických kríz a sieť styčných organizácií, ktoré majú zlepšiť koordináciu. Členské štáty budú môcť vyžadovať používanie certifikovaných IKT produktov, služieb alebo procesov, pričom detaily majú doručiť vykonávacie akty Európskej komisie. Kým sa tieto pravidlá dotiahnu do praxe, ostáva „vákuum“ – je rozumné sledovať pokyny orgánov, udržiavať aktuálne údaje, nastaviť incidentné procesy a pripraviť školenia. Prísne sankcie sú už teraz jasným signálom, že odklad sa nemusí vyplatiť.
