NIS2 – koho sa týka?
Nová legislatíva sa dotýka desiatok tisíc spolo?ností v celej Európskej únii a prináša významné zmeny v spôsobe riadenia kybernetickej bezpe?nosti vo verejnom aj súkromnom sektore. Na rozdiel od predchádzajúcej smernice NIS sa okrem iného vz?ahuje aj na verejnú správu, potravinársky priemysel ?i nakladanie s odpadmi.
Smernica definuje dva typy subjektov:
• Základné subjekty s najširším rozsahom povinností.
• Dôležité subjekty, ktoré musia sp??a? menej prísne požiadavky, ale stále podliehajú regulácii.
Za podstatné a významné subjekty sa vo všeobecnosti považujú subjekty z odvetví uvedených v prílohách I a II smernice, ktoré sú minimálne stredným podnikom (zamestnávajú aspo? 50 osôb alebo ich ro?ný obrat presahuje 10 mil. EUR). Do tejto kategórie patria aj ?alšie subjekty definované smernicou NIS2, ako napríklad verejná správa, subjekty ozna?ené pod?a smernice (EÚ) 2022/2557 ako kritické, poskytovatelia verejných sietí elektronických komunikácií alebo verejne dostupných elektronických komunika?ných služieb, kvalifikovaní poskytovatelia dôveryhodných služieb, registre názvov domén najvyššej úrovne a poskytovatelia služieb DNS bez oh?adu na ich ve?kos?. Na základe vnútroštátnych právnych predpisov môžu by? do pôsobnosti smernice zahrnuté aj ?alšie subjekty. Smernica však obsahuje aj nieko?ko výnimiek. Do 17. apríla 2025 musia všetky ?lenské štáty vytvori? zoznam subjektov, na ktoré sa nové predpisy budú vz?ahova?.
Užito?ným nástrojom na overenie, ?i sa na konkrétnu spolo?nos? vz?ahuje NIS2, je webová stránka https://nis2.nbu.gov.sk/. Prevádzkuje ju Národný bezpe?nostný úrad zodpovedný aj za implementáciu smernice NIS2 do slovenskej legislatívy.
Pri riešení kybernetickej bezpe?nosti ide o zavedenie systému riadenia kybernetickej bezpe?nosti a vždy by ste mali zoh?adni?:
• stupe? rizika,
• mieru hroziacich následkov,
• rozpo?et, ktorý je k dispozícii,
• primeranos?.
NIS2 vs. druhotný softvér
Smernica NIS2 v zásade neobmedzuje používanie druhotného softvéru, pokia? sú splnené parametre, ktoré v tejto oblasti vyžaduje legislatíva. Pri výbere druhotného softvéru, ktorým je možné docieli? optimalizáciu nákladov až o 70 % ceny v porovnaní s nákupom softvéru priamo od výrobcu, je však potrebné bra? do úvahy nieko?ko aspektov kybernetickej bezpe?nosti.
„Snažte sa používa? softvér, ktorého životný cyklus ešte neskon?il. To znamená, že výrobca pre daný produkt stále poskytuje najnovšie aktualizácie ovplyv?ujúce aj vylepšenú kybernetickú bezpe?nos?. Tento cyklus môže trva? viac ako desa? rokov, ale vždy sa oplatí obráti? na softvérového brokera, akým je Forscope, a požiada? ho o podrobnosti a odbornú pomoc. Ideálne je, ak broker ponúka rozšírenú škálu podpory, vrátane technických, licen?ných, compliance a právnych služieb. Dôveryhodný broker by to mal vedie? zabezpe?i?,“ radí Michal Baudyš, Public Sector Strategy Leader pre trhy v EÚ v spolo?nosti Forscope.
Životný cyklus softvéru sa zvy?ajne skladá zo štyroch fáz:
1. fáza – plná podpora. Softvérová aktualizácia pokrývajúca bezpe?nostné problémy, ale aj ?alšie oblasti, ako je vylepšovanie funkcionality a pod. a umož?uje od výrobcu požadova? úpravy a funkcie.
2. fáza – rozšírená podpora. V tejto fáze už nie je možné požiada? o zmeny produktu alebo funk?nosti, poskytujú sa už len aktualizácie kybernetickej bezpe?nosti. Podpora ostáva rovnaká.
3. fáza – po podpore. Stále je možné využíva? aktualizácie z oblasti kybernetickej bezpe?nosti, ale iba za príplatok. V tejto fáze je potrebné vyh?ada? novší softvér.
4. fáza – softvér už nie je podporovaný.
Alternatívou k tretej a štvrtej fáze môže by? použitie vyhradených riešení na zvýšenie kybernetickej bezpe?nosti softvéru, ktorý už výrobca nepodporuje. Takéto riešenia môžu odporu?i? a poskytnú? aj softvéroví brokeri.
Správcovia firemnej IT infraštruktúry by preto nemali zabúda? na pravidelnú inštaláciu záplat a aktualizácií, ktoré môžu pomôc? zabráni? tomu, aby boli systémy vystavené útokom.
Okrem toho sa vždy uistite, že používate overený softvér od dôveryhodného brokera. Jeho výber je k?ú?ový, pretože na trhu pôsobia aj podvodné subjekty ponúkajúce napríklad len produktové k?ú?e bez riadnej dokumentácie. Prípadný nákup nelegálneho softvéru, aj ke? v dobrej viere, zvyšuje riziko súdnych sporov, zodpovednos? za škody kvôli porušeniu práv duševného vlastníctva a v prípade inštalácie z neznámych inštala?ných súborov zvyšuje riziko inštalácie škodlivého softvéru.
Zdroj: www.forscope.sk
Zdroj feed teraz.sk
