Firmy by si mali zistiť, či pod smernicu NIS2 vôbec spadajú

Bratislava 19. novembra (TASR) – Smernica NIS2 prinesie od januára budúceho roka rozsiahle zmeny v kyberbezpečnosti. Firmy by mali v prvom rade identifikovať, či pod túto reguláciu spadajú. V niektorých prípadoch je potrebné začať s implementáciou štandardov od úplného začiatku. Uviedli to v utorok odborníci na podujatí Slovensko-nemeckej obchodnej a priemyselnej komory (AHK Slowakei).

„Regulácia jednak zavádza harmonizáciu prístupu k oznamovaniu incidentov, podporuje ich dobrovoľné nahlasovanie a zavádza bezpečnostné požiadavky. Taktiež podporuje výmenu informácií na úrovni EÚ. Najvýznamnejšou oblasťou je rozšírenie okruhu subjektov. Oproti predošlej regulácii zavádza dva typy povinných subjektov, a to prevádzkovateľa základnej služby a prevádzkovateľa kritickej základnej služby. Hlavný rozdiel bude z hľadiska postupu dohľadu alebo povinností,“ uviedol Jakub Hanesch z právnickej firmy LGP.

Jaroslav Ďurovka z Národného centra kybernetickej bezpečnosti vysvetlil, že postup pri zavádzaní závisí od toho, či firma kyberbezpečnosť začína riešiť úplne od začiatku. Rozhodujúcim faktorom je aj veľkosť firmy a to, do akej miery má rizikové aktíva a svoju činnosť. Novela prináša nástroje na to, aby si rizikovú analýzu urobila každá firma osobitne, v čom vidí flexibilitu. „Zákon nebude predpisovať kategórie informačného systému a na ne našitý nejaký rozsah štandardu,“ dodal.

Pokiaľ firma zistí vysoké kybernetické riziko, mala by podľa Ďurovku celý štandard implementovať od začiatku. Znamená to, že je potrebné začať s organizáciou kyberbezpečnosti a postupne aplikovať zmeny, ako aj zabezpečiť ľudské kapacity. „Pokiaľ je to malá firma, tak asi nemusí úplne ísť touto cestou. Stačí si povedať tie najväčšie riziká a začať to riešiť z nižšej úrovne smerom hore. Ale najdôležitejšie je pri menších firmách začať s tým, že ak nemajú experta, treba si ho nájsť a ten im určite pomôže,“ objasnil Ďurovka.

Martin Jacko z LGP dodal, že právnici dokážu byť nápomocní od úplného začiatku, keď dochádza k identifikovaniu, či subjekt vôbec spadá pod túto reguláciu. Asistovať môžu aj pri spracovaní GAP analýzy.

„Z toho vyplývajú nejaké odporúčania, ktoré treba do spoločnosti vložiť. To znamená upraviť procesy, pripraviť interné predpisy alebo ich upraviť, pokiaľ doteraz nepamätali na takéto riziká. Potom nastaviť určité monitoringy a manažment štatutárnych orgánov,“ skonštatoval s tým, že je potrebné nastaviť aj usmernenia v prípade kybernetického incidentu. „Dôvodom je, že spoločnosť sa nechce vystaviť riziku platenia sankcií, ale aj rôznych škôd, ktoré môžu nastať,“ uzavrel.