NIS2 audit kybernetickej bezpečnosti.
ÚPLNE ZADARMO

NIS 2 je smernica EÚ o kyberbezpečnosti, ktorá prináša nové a prísnejšie požiadavky na zabezpečenie kľúčových a dôležitých sektorov v členských štátoch EÚ.

Jej cieľom je zvýšiť odolnosť a ochranu sietí a informačných systémov v celej Európskej únii. S jej príchodom začnú platiť nové kybernetické opatrenia pre subjekty spadajúce pod NIS 1, no aj pre tisícky nových subjektov
až v 18 odvetviach.

Príslušné odvetvia v rámci Základných subjektov zahŕňajú:
– Energia, Doprava, Bankovníctvo a finančné trhy, Pitná voda a odpady, Vesmír
– Digitálna infraštruktúra a správa IKT služieb, vrátane poskytovateľov služieb cloud computingu
– Verejná správa

Príslušné odvetvia v rámci Dôležitých subjektov zahŕňajú:
– Všetky odvetvia v rámci základných subjektov, ale s limitom veľkostí pre „Dôležité subjekty“.
– Poštové a kuriérne služby, Nakladanie s odpadmi, Výskumné organizácie
– Výroba, produkcia a distribúcia chemických látok
– Výroba
– Poskytovatelia digitálnych služieb

Hoci sa hranica veľkosti líši podľa odvetvia, medzi základné subjekty patria spoločnosti s 250 a viac zamestnancami, obratom 50 miliónov EUR alebo súvahou 43 miliónov EUR.

Medzi dôležité subjekty patria spoločnosti s viac ako 50 zamestnancami a ročným obratom alebo súvahou 10 miliónov EUR.

Schválenie finálnej podoby zákona musí prebehnúť do 17. októbra 2024, čo je konečný termín stanovený Európskou úniou.

Zákon začne platiť pár mesiacov po schválení, pravdepodobne už 1. januára 2025, čo poskytuje subjektom pomerne krátky čas na prípravu a implementáciu potrebných opatrení.
Je preto optimálne začať s prípravou už teraz.

Organizáciám, ktoré nebudú dodržiavať smernicu NIS2, môžu byť uložené vysoké pokuty.
Základným subjektom hrozí až 10 miliónov EUR alebo 2 % celosvetového obratu.
Dôležitým subjektom hrozí až 7 miliónov EUR alebo 1,4 % celosvetového obratu.

Všetky subjekty zahrnuté pod smernicou sú povinné:
– implementovať prísnejšie bezpečnostné protokoly
– zlepšiť správu rizík
– posilniť schopnosť odolávať a reagovať na kybernetické útoky
– zabezpečiť pravidelné auditovanie svojich bezpečnostných opatrení
– ohlasovať vážne kybernetické incidenty príslušným národným orgánom.

1. Ohlasovacia povinnosť (24-/48-/72-hodinová) podľa závažnosti incidentu.
2. Podporovanie aktívnej kybernetickej ochrany, ktorá zahŕňa aktívnu prevenciu, odhaľovanie, monitorovanie, analýzu a zmierňovanie narušení bezpečnosti.
3. Technické opatrenia na identifikáciu rizika incidentov, opatrenia na predchádzanie incidentom, ich odhaľovanie, reakciu na ne a zotavenie sa z nich, ako aj opatrenia na zmiernenie ich vplyvu.
4. zaistenie bezpečnosti sietí a informačných systémov.
5. presadzovanie implementácie opatrení a riešení zabezpečujúcich:
– segmentáciu siete
– správu identít a riadenie prístupov
– aktualizáciu a bezpečnú konfiguráciu zariadení a systémov
– technológie zabezpečujúce ochranu dát použitím kryptografie a šifrovania
6. Zabezpečenie kontinuity činností, ako je riadenie zálohovania a obnova
systémov po havárii a krízové riadenie.
7. Implementácia riešení na odhaľovanie a odstraňovanie zraniteľností sietí a informačných systémov.
8. Využívanie riešení viacstupňovej (MFA) alebo kontinuálnej autentifikácie.