Smernica NIS 2 sa vzťahuje až na 11 nových odvetví, na ktoré sa nevzťahovala jej predchodkyňa NIS 1. Tieto odvetvia sú teraz dôležitou súčasťou novej smernice, ktorá posilňuje kyberbezpečnostné opatrenia a zabezpečuje lepšiu ochranu pred kybernetickými hrozbami. Smernica je rozdelená do dvoch hlavných skupín, pričom každá z nich má svoj vlastný súbor požiadaviek a povinností. V tomto článku si zodpovieme najčastejšie otázky o subjektoch ovplyvnených smernicou NIS 2 a poskytneme vám kompletný zoznam sektorov, ktoré sú teraz zahrnuté.
Ktoré sektory spadajú pod NIS 2 a ako sa delia?
Smernica NIS 2 pokrýva celkovo 18 sektorov/odvetví, ktoré sú rozdelené do dvoch hlavných skupín: kľúčové a dôležité subjekty. Kľúčové subjekty môžme považovať za najdôležitejšie z hľadiska národnej bezpečnosti a hospodárskej stability, zatiaľ čo dôležité subjekty hrajú významnú úlohu v každodennom fungovaní spoločnosti.
Sektory s kľúčovými subjektmi
- Bankovníctvo
- Digitálna infraštruktúra
- Doprava
- Energetika
- Infraštruktúry finančných trhov
- Odpadová voda
- Pitná voda
- Poskytovanie IKT služieb v B2B segmente
- Verejná správa
- Vesmír
- Zdravotníctvo
Tieto subjekty sú prevádzkovateľmi kritických základných služieb.
Sektory s dôležitými subjektmi
- Odpadové hospodárstvo
- Poskytovatelia digitálnych služieb
- Poštové a kuriérske služby
- Výroba
- Výroba, spracovanie a distribúcia potravín
- Výskum
- Získavanie, výroba a distribúcia chemických látok
Tieto subjekty sú prevádzkovateľmi ostatných základných služieb.
Som subjektom v jednom z týchto odvetví: týka sa ma automaticky NIS 2?
Nie, NIS 2 sa vás netýka automaticky, ak ste malý podnik alebo organizácia a nepatríte medzi výnimky. Smernica sa totiž zameriava na stredné a veľké podniky, teda tie s ročným obratom nad 10 000 000 eur a/alebo tie, ktoré zamestnávajú viac ako 50 zamestnancov.
Existujú však výnimky pre určité sektory, ako sú poskytovatelia dôveryhodných služieb a registrov názvov domén najvyššej úrovne, či poskytovatelia verejných elektronických komunikačných sietí alebo služieb.
Rovnako výnimkou sú aj subjekty verejnej správy na centrálnej a regionálnej úrovni, ktoré spadajú pod NIS 2 bez ohľadu na veľkosť.
Subjekty pod NIS 2 musia zlepšiť kyberbezpečnosť: aké opatrenia ich čakajú?
Subjekty, ktoré spadajú pod NIS 2, musia zaviesť množstvo kyberbezpečnostných opatrení, aby zabezpečili svoju infraštruktúru a ochranu dát. Tieto opatrenia zahŕňajú NAPRíKLAD:
- Pravidelné hodnotenie rizík a zraniteľností
- Implementáciu technických a organizačných opatrení
- Vypracovanie plánov na obnovu po kybernetických incidentoch
- Školenie zamestnancov v oblasti kybernetickej bezpečnosti
- Pravidelné testovanie a aktualizácia bezpečnostných systémov
- Oznamovacia povinnosť v prípade kybernetického incidentu
Tieto opatrenia sú navrhnuté tak, aby zlepšili odolnosť voči kybernetickým hrozbám a zabezpečili kontinuitu poskytovania kritických služieb.
NIS 2 sa ma týka: do kedy musím splniť nariadenia?
Slovenská legislatíva musí zákon implementovať do 17. októbra tohto roka. Po niekoľkých mesiacoch od tohto termínu sa predpokladá, že zákon začne platiť a dané subjekty budú musieť v tomto čase už spĺňať všetky nariadenia NIS 2. V opačnom prípade im hrozia vysoké pokuty alebo iné problémy s kontrolným úradom.
Odporúča sa pripraviť s pomocou odborníkov, ktorí poznajú obsah smernice a návrh slovenskej legislatívy zahŕňajúcej NIS 2. Pozor však na vyťaženosť a vysoké ceny pri oneskorenom riešení, keďže Slovensku chýba najmenej 7000 kybernetických špecialistov. Je to preto najlepšie s prípravou na NIS 2 začať čím skôr.