Smernica NIS2 prinesie od januára budúceho roka rozsiahle zmeny v kyberbezpečnosti. Firmy by mali v prvom rade identifikovať, či pod túto reguláciu spadajú. V niektorých prípadoch treba začať s implementáciou štandardov od úplného začiatku, uviedli odborníci.
Dva typy povinných subjektov
„Regulácia jednak zavádza harmonizáciu prístupu k oznamovaniu incidentov, podporuje ich dobrovoľné nahlasovanie a zavádza bezpečnostné požiadavky. Taktiež podporuje výmenu informácií na úrovni EÚ. Najvýznamnejšou oblasťou je rozšírenie okruhu subjektov. Oproti predošlej regulácii zavádza dva typy povinných subjektov, a to prevádzkovateľa základnej služby a prevádzkovateľa kritickej základnej služby. Hlavný rozdiel bude z hľadiska postupu dohľadu alebo povinností,“ uviedol Jakub Hanesch z právnickej firmy LGP.
Jaroslav Ďurovka z Národného centra kybernetickej bezpečnosti vysvetlil, že postup pri zavádzaní závisí od toho, či firma kyberbezpečnosť začína riešiť úplne od začiatku. Rozhodujúcim faktorom je aj veľkosť firmy a to, do akej miery má rizikové aktíva a svoju činnosť. Novela prináša nástroje na to, aby si rizikovú analýzu urobila každá firma osobitne, v čom vidí flexibilitu. „Zákon nebude predpisovať kategórie informačného systému a na ne našitý nejaký rozsah štandardu,“ dodal.
Pokiaľ firma zistí vysoké kybernetické riziko, mala by podľa Jaroslava Ďurovku celý štandard implementovať od začiatku. Organizovať kyberbezpečnosť, postupne aplikovať zmeny a zabezpečiť personálne kapacity. „Pokiaľ je to malá firma, tak asi nemusí úplne ísť touto cestou. Stačí si povedať tie najväčšie riziká a začať to riešiť z nižšej úrovne smerom hore. Ale najdôležitejšie je pri menších firmách začať s tým, že ak nemajú experta, treba si ho nájsť a ten im určite pomôže,“ objasnil Ďurovka.
Právnici môžu byť nápomocní
Martin Jacko z LGP dodal, že právnici dokážu byť nápomocní od úplného začiatku. Napríklad pri identifikácii, či subjekt vôbec spadá pod reguláciu. Asistujú aj pri spracovaní GAP analýzy.
„Z toho vyplývajú nejaké odporúčania, ktoré treba v spoločnosti aplikovať. To znamená upraviť procesy, pripraviť interné predpisy alebo ich upraviť, pokiaľ doteraz nepamätali na takéto riziká. Potom nastaviť určité monitoringy a manažment štatutárnych orgánov,“ skonštatoval s tým, že sú nutné aj usmernenia v prípade kybernetického incidentu. „Dôvodom je, že spoločnosť sa nechce vystaviť riziku platenia sankcií, ale aj rôznych škôd, ktoré môžu nastať,“ uzavrel.
Ďalšie dôležité správy
