Autor: admin

Jedným z odvetví, ktoré nová smernice Európskej únie NIS 2 výrazne ovplyvní, je verejná správa. Dôvod je veľmi jednoduchý - neprerušený a bezpečný chod orgánov verejnej správy je pre kybernetickú bezpečnosť štátu kriticky dôležitý. Verejná správa totiž spracúva obrovské množstvo citlivých dát, ktoré sú veľmi často terčom kybernetických útokov.

Aké zmeny teda NIS 2 pre samosprávy predstavuje?

Rozšírenie pôsobnosti

Jednou z najväčších zmien, ktoré smernica NIS 2 prináša, je rozšírenie pôsobnosti kybernetických opatrení. Niektoré odvetvia spadajúce pod NIS 2 patrili už pod jej predchodkyňu NIS 1, vrátane štátnej a verejnej správy. Mení sa však počet subjektov v daných odvetviach, keďže NIS 2 výrazne rozširuje pôsobnosť opatrení kyberbezpečnosti. 

Vo verejnej správe pod NIS 2 spadajú aj všetky subjekty verejnej správy na regionálnej a centrálnej úrovni bez ohľadu na veľkosť. Pod NIS 1 však spadali z týchto úrovní iba subjekty, ktoré spĺňali potrebné kritéria.

Zvýšená kyberbezpečnosť

Hlavným cieľom smernice je zlepšiť a zjednotiť opatrenia naprieč Európskou úniou a tým zvýšiť celkovú kyberbezpečnosť. Väčšina opatrení v NIS 2 je preto zameraná na posilnenie opatrení prevencie, riešení a obrany proti kybernetickým hrozbám. 

Niektoré samosprávy musia už teraz dodržiavať rôzne kyberbezpečnostné nariadenia, ku ktorým sa pridá napríklad nastavenie postupov reakcie pri kybernetickom útoku a plánu na obnovenie činnosti. Okrem toho medzi nimi nájdeme aj každodenné opatrenia, ako používanie dvojfaktorového overovania.

Nové sankčné mechanizmy a zákazy pre štatutárov

Novela zákona o kyberbezpečnosti, do ktorej NBÚ zapracovalo NIS 2, predstavuje zavedenie nových sankčných mechanizmov pre prípady porušenia alebo nedodržiavania opatrení. Sankčné mechanizmy budú po novom fungovať rovnako ako je tomu pri GDPR a budú mať podobu administratívnych pokút.

Dôležité je najmä sústrediť sa na dodržiavanie povinnosti nahlasovania a riadenia rizík kybernetickej bezpečnosti. Tieto dve oblasti bude štát najviac kontrolovať.

Pre samosprávy je však veľmi dôležitý aj ďalší typ sankcií týkajúci sa tejto novely. Slovenská legislatíva zahŕňajúca NIS 2 by mala totiž obsahovať aj časť týkajúcu sa štatutárov. Štát bude môcť štatutárovi uložiť zákaz vykonávať riadiacu funkciu v prípade, že štatutár zanedbával, resp. neriešil kybernetickú bezpečnosť organizácie.

Kedy a ako sa majú samosprávy na NIS 2 pripraviť? 

Slovensko musí schváliť novelizovaný zákon o kybernetickej bezpečnosti, ktorý implementuje NIS 2, najneskôr do 17. októbra tohto roka. Vtedy bude určený aj termín, ktorý stanoví, dokedy musia subjekty pod pôsobnosťou zákona požiadavky spĺňať. Pôjde pravdepodobne o obdobie zopár mesiacov, preto je dôležité začať s prípravou čo najskôr. 

Aj keď nie je známe finálne znenie zákona, na NIS 2 sa môžu samosprávy začať pripravovať už teraz postupným zavádzaním opatrení uvedených v smernici. Slovenská legislatíva môže tieto opatrenia už len rozšíriť.

Veľmi veľa subjektov verejnej správy nemá interného kybernetického špecialistu a často preto využívajú služby externých odborníkov. Je preto dôležité zdôrazniť veľký nedostatok týchto špecialistov na Slovensku. Posledné dáta hovoria až o viac ako 8 000 chýbajúcich kybernetických odborníkoch. Samosprávy by si teda mali zaistiť manažéra kybernetickej bezpečnosti čo najskôr.