Ak máte v hlave chaos z NIS2, ste v dobrej spoločnosti. Mnohí majitelia firiem nám hovoria: „Neviem, či sa nás to týka, a už vôbec nie, kde začať.“ Je to v poriadku.
V tomto texte vám jednoducho vysvetlíme, koho sa NIS2 týka, čo je naozaj dôležité, ako rýchlo nahlásiť incident a aké sú reálne pokuty.
Dôležité: NIS2 nie je strašiak. Je to príležitosť „upratať si v IT“ a získať väčšiu istotu, že firma pôjde, aj keď sa niečo pokazí.
V tomto článku sa dozviete:
- Jednoduchý spôsob, ako zistiť, či sa vás NIS2 týka.
- Aké minimum opatrení stačí na slušný základ (bez ťažkých skratiek).
- Ako hlásiť incident a prečo sa spomína 24/72/30.
- Aké sú pokuty a čo musí riešiť vedenie firmy.
- Čo robiť, keď nemáte kapacity.
1) Koho sa NIS2 týka na Slovensku?
V jednoduchosti: Ak pôsobíte v dôležitých odvetviach (energia, doprava, zdravotníctvo, digitálna infraštruktúra, verejné služby a pod.) a nie ste miniatúrna firma, je veľká šanca, že spadáte do NIS2. Niekedy sa vás NIS2 dotýka aj „nepriamo“ – ak dodávate technológie alebo služby firme, ktorá v NIS2 je.
Ako si to overiť:
Ak je to nejasné, dajte si urobiť krátky posudok (GAP audit) – zistí to za vás za pár hodín.
Pozrite sa na svoje odvetvie a veľkosť firmy.
Zistite, či nie ste na národnom zozname povinných subjektov.
Z praxe: Vezmime si napríklad logistickú firmu, ktorá rozváža lieky pre nemocnice. Jej zákazník (zdravotníctvo) spadá do NIS2. Aby mohla ďalej dodávať je potrebné, aby mala základné opatrenia ako napríklad: dvojfaktor do skladového systému a e‑mailu, pravidelné zálohy 3‑2‑1 s testom obnovy, rýchle hlásenie incidentu a krátke školenia (phishing, heslá).
2) Aké minimálne opatrenia vyžaduje NIS2?
Nie je cieľom mať stovky dokumentov. Potrebujete pár pevných základov:
- Zálohy a obnova: pravidelné zálohovanie podľa zásady 3‑2‑1 a skúška, že sa dá obnoviť.
- Dvojfaktorové prihlásenie (MFA): na e‑maily, servery, účtovníctvo – všade, kde by mohlo dôjsť k výpadku.
- Aktualizácie, aby ste nemali výpadok mesiace.
- Monitoring a hlásenie podozrivých udalostí: centrálne zbieranie udalostí
- Prístupové práva: kto čo vidí a môže meniť; správa administrátorských účtov.
- Krátke školenia: raz do roka, hlavne phishing a heslá.
Toto je jadro. Ostatné sa dá budovať postupne.
3) Ako hlásiť incident a čo je 24/72/30?
Ak sa stane problém (napr. podozrenie na útok, únik, väčší výpadok), platí jednoduchá časová os:
- do 24 hodín: rýchle varovanie, že sa niečo deje,
- do 72 hodín: prvé oficiálne hlásenie s tým, čo viete,
- do 30 dní: záverečná správa – čo sa stalo a aké opatrenia ste prijali.
Na Slovensku sa hlási na SK‑CERT (NBÚ). Majte pripravený krátky „plánik“: kto volá, kam píše, akú šablónu použije. Keď to máte pripravené, ušetríte si stres.
4) Aké sú pokuty a zodpovednosť vedenia?
Pre väčšie a kritické firmy môže ísť o pokuty až do miliónov eur. Kontrolné orgány môžu nariadiť audit alebo konkrétne nápravné kroky.
Konatelia a manažéri nesú zodpovednosť za to, aby firma mala primerané opatrenia – nie je to len „IT téma“.
V COMTEC máme názor: lacnejšia je prevencia než riešenie následkov.
5) Ako sa NIS2 prepája s GDPR?
Ak uniknú osobné údaje, riešite dve línie naraz: NIS2 (kybernetika) aj GDPR (ochrana osobných údajov). V praxi to znamená mať jednu časovú os incidentu, dôkazy (logy, záznamy) a komunikáciu s príslušnými úradmi. Nič zložité – len treba vedieť, komu a kedy dať vedieť.
6) Koľko stojí príprava na NIS2?
V skratke: závisí to od veľkosti a stavu vašej firmy. Veľa krokov sa dá robiť postupne a rozumne. Cena závisí od stavu vašej IT infraštruktúry: firmy s už zavedenou ochranou investujú menej, firmy bez základov musia rátať s vyššími nákladmi.
Dobrá správa: často vieme využiť to, čo už máte. Našim cieľom je dosiahnuť maximum bezpečnosti s minimom zbytočných nákladov.
7) Som malá firma – čo ak „nie som v NIS2“?
Aj keď nespadáte priamo do NIS2, odberatelia od vás budú pýtať dôkazy, že máte základnú bezpečnosť: zálohy, dvojfaktorové overenie, školenia, jednoduché postupy pre incidenty. Je to čoraz častejšia podmienka v tendroch a SLA. Berte to ako výhodu – zvyšuje to dôveru a stabilitu.
8) Čo keď nemám kapacity?
Je to bežné. NIS2 je priebežná práca a interný tím má svoje limity. COMTEC vie prevziať celý „beh“ prípravy aj prevádzky podľa NIS2, aby ste sa mohli venovať biznisu.
Často vieme využiť to, čo už máte. Nastavíme, doladíme a spojíme do funkčného celku. Prevezmeme celú prípravu aj prevádzku podľa NIS2 a priebežne ju ladíme podľa vašich cieľov.
NIS2 sa dá zvládnuť rozumne a bez paniky. Využite externú pomoc na monitoring a incidenty, určte priority a začnite 5 minútovým bezplatným bezpečnostným auditom, ktorý nájdete nižšie.
Získajte prehľad o bezpečnosti Vašej firmy
1/7 Krokov
