Európsky parlament a Rada EÚ tento mesiac schválili novú legislatívu NIS2. Ide o aktualizovaný právny rámec vychádzajúci z nariadenia o sieťovej a informačnej bezpečnosti EÚ z roku 2016. Dotýka sa širokého spektra podnikov všetkých členských krajín, ktoré teraz majú 21 mesiacov na to, aby sa podvolili novým pravidlám, uvádza tlačová správa od spoločnosti Progress.
Nová legislatíva NIS2 sprísňuje povinnosti dotknutých organizácií z oblastí kritickej infraštruktúry a iných kľúčových sektorov. Do tejto infraštruktúry spadajú napríklad banky, energetické firmy, firmy zo sektora zdravotníctva, verejná správa, ako aj firmy pôsobiace v potravinárskom, chemickom a elektrotechnickom priemysle. Legislatíva taktiež zjednocuje pravidlá pre ochranu kybernetického priestoru členských štátov EÚ.
Pravidlá sa v novej forme budú týkať citeľne širšieho okruhu podnikov, vrátane verejných organizácií, ako doposiaľ. “Súčasný zákon o kybernetickej bezpečnosti sa dotýka subjektov z vybraných sektorov, ktoré sú na základe určitých kritérií zaradené medzi prevádzkovateľov základných služieb alebo poskytovateľov digitálnych služieb. Nový rámec rozširuje okruh dotknutých sektorov aj rozsah povinností,” hovorí Roman Čupka, hlavný konzultant spoločnosti Progress a generálny riaditeľ Synapsa Networks.
Konkrétne sa majú sprísniť napríklad pravidlá pre riadenie rizík, pravidlá pre ochranu pred útokmi realizovaným cez dodávateľské reťazce, ako aj pravidlá pre hlásenie incidentov, zdieľanie informácií a zverejňovanie zraniteľností. “Pre splnenie legislatívnych požiadaviek budú musieť mnohé organizácie investovať do viacerých nových technológií a služieb, napríklad do systémov pre nepretržité sledovanie sieťovej prevádzky a pre rýchle, automatizované nahlasovanie a riešenie incidentov,” vysvetľuje Čupka.
O incidentoch nemusia informovať verejne
Naopak, nová legislatíva dotknutým firmám neudáva povinnosť verejne informovať o prípadných kybernetických incidentoch. V takýchto prípadoch budú povinné informovať výhradne príslušnú organizáciu zodpovednú v sektore riadenia kybernetickej bezpečnosti. Napríklad na Slovensku je to Národný bezpečnostný úrad (NBÚ), prípadne niektoré Ústredné orgány verejnej správy.
“Transparentnejšie informovanie firiem a verejných organizácií o kybernetických bezpečnostných incidentoch smerom na verejnosť by pomohlo zvýšiť povedomie o rizikách a motivovať k väčšiemu záujmu o túto tému,” tvrdí Čupka. “Naviac verím, že by im to pomáhalo aj reputačne v prípade, že je nastavená správna komunikácia z a do vnútra organizácie.”
Aktuálny počet slovenských firiem, ktoré sa zaoberajú kybernetickou bezpečnosťou, je veľmi nízky. Podľa tohtoročného prieskumu Slovak Business Agency pripraveného v spolupráci s NBÚ sa v prostredí malých a stredných podnikov na kybernetickú bezpečnosť zameriava približne len tretina firiem. V prostredí stredne veľkých podnikov je to približne polovica.