Firmy by si mali zistiť, či pod smernicu NIS2 vôbec spadajú

Bratislava 19. novembra (TASR) – Smernica NIS2 prinesie od januára budúceho roka rozsiahle zmeny v kyberbezpe?nosti. Firmy by mali v prvom rade identifikova?, ?i pod túto reguláciu spadajú. V niektorých prípadoch je potrebné za?a? s implementáciou štandardov od úplného za?iatku. Uviedli to v utorok odborníci na podujatí Slovensko-nemeckej obchodnej a priemyselnej komory (AHK Slowakei).

„Regulácia jednak zavádza harmonizáciu prístupu k oznamovaniu incidentov, podporuje ich dobrovo?né nahlasovanie a zavádza bezpe?nostné požiadavky. Taktiež podporuje výmenu informácií na úrovni EÚ. Najvýznamnejšou oblas?ou je rozšírenie okruhu subjektov. Oproti predošlej regulácii zavádza dva typy povinných subjektov, a to prevádzkovate?a základnej služby a prevádzkovate?a kritickej základnej služby. Hlavný rozdiel bude z h?adiska postupu doh?adu alebo povinností,“ uviedol Jakub Hanesch z právnickej firmy LGP.

Jaroslav ?urovka z Národného centra kybernetickej bezpe?nosti vysvetlil, že postup pri zavádzaní závisí od toho, ?i firma kyberbezpe?nos? za?ína rieši? úplne od za?iatku. Rozhodujúcim faktorom je aj ve?kos? firmy a to, do akej miery má rizikové aktíva a svoju ?innos?. Novela prináša nástroje na to, aby si rizikovú analýzu urobila každá firma osobitne, v ?om vidí flexibilitu. „Zákon nebude predpisova? kategórie informa?ného systému a na ne našitý nejaký rozsah štandardu,“ dodal.

Pokia? firma zistí vysoké kybernetické riziko, mala by pod?a ?urovku celý štandard implementova? od za?iatku. Znamená to, že je potrebné za?a? s organizáciou kyberbezpe?nosti a postupne aplikova? zmeny, ako aj zabezpe?i? ?udské kapacity. „Pokia? je to malá firma, tak asi nemusí úplne ís? touto cestou. Sta?í si poveda? tie najvä?šie riziká a za?a? to rieši? z nižšej úrovne smerom hore. Ale najdôležitejšie je pri menších firmách za?a? s tým, že ak nemajú experta, treba si ho nájs? a ten im ur?ite pomôže,“ objasnil ?urovka.

Martin Jacko z LGP dodal, že právnici dokážu by? nápomocní od úplného za?iatku, ke? dochádza k identifikovaniu, ?i subjekt vôbec spadá pod túto reguláciu. Asistova? môžu aj pri spracovaní GAP analýzy.

„Z toho vyplývajú nejaké odporú?ania, ktoré treba do spolo?nosti vloži?. To znamená upravi? procesy, pripravi? interné predpisy alebo ich upravi?, pokia? doteraz nepamätali na takéto riziká. Potom nastavi? ur?ité monitoringy a manažment štatutárnych orgánov,“ skonštatoval s tým, že je potrebné nastavi? aj usmernenia v prípade kybernetického incidentu. „Dôvodom je, že spolo?nos? sa nechce vystavi? riziku platenia sankcií, ale aj rôznych škôd, ktoré môžu nasta?,“ uzavrel.