Tento článok vám poskytne najdôležitejšie informácie o regulácii NIS2 a odpovie na otázky, aký vplyv bude mať na vaše podnikanie.
Tento článok vám poskytne najdôležitejšie informácie o regulácii NIS2 a odpovie na otázky, aký vplyv bude mať na vaše podnikanie.
Od roku 2018 je na Slovensku v účinnosti tzv. „zákon o kybernetickej bezpečnosti“, konkrétne je to zákon č. 69/2018. Medzičasom stihol prejsť jednou novelizáciou a vo svojej súčasnej podobe príde s koncom roka 2024 aj jeho koniec. Ako to býva, koniec je zvyčajne začiatkom niečoho iného a rovnako to bude aj v tomto prípade. V celej Európskej únii už od 16. januára 2023 platí tzv. „Smernica NIS2“ a všetky členské štáty Európskej únie musia vykonať transpozíciu tejto smernice do národnej legislatívy. V prípade Slovenska to bude nový zákon o kybernetickej bezpečnosti.
Ak ste doteraz o zákone o kybernetickej bezpečnosti ešte nepočuli, tak vaša organizácia pravdepodobne nebola tzv. regulovaným subjektom a nemali ste množstvo povinností vyplývajúcich z tohto zákona. Príchodom NIS2 sa všetko mení a množstvo regulovaných subjektov sa zásadným spôsobom zvyšuje. V prípade Slovenska sú odhady v rozsahu 3 380 až 16 849 nových subjektov. Zdá sa vám zvláštne, že štát v tom takpovediac nemá úplne jasno?
Vitajte vo svete kybernetickej bezpečnosti.
V období rokov 2018 až 2023 bolo na Slovensku približne 1 800 regulovaných subjektov. Išlo o organizácie, ktoré poskytovali tzv. základné služby – štátna správa, samospráva, zdravotníctvo, finančný sektor, energetika, doprava, vodárenstvo, čiastočne chemický a farmaceutický priemysel a digitálna infraštruktúra. Problém s implementáciou pôvodnej smernice NIS v členských štátoch EÚ bol v tom, že každý členský štát si ju vysvetlil po svojom a počty regulovaných subjektov sa diametrálne odlišovali.
Chaos v aplikovaní pôvodnej smernice NIS neprin
iesol teda očakávaný posun a víziu jednotného prístupu všetkých členov EÚ k problematike kybernetickej bezpečnosti. EÚ skonštatovala, že tieto rozdiely spôsobujú fragmentáciu vnútorného trhu, môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickej odolnosti. Obzvlášť významnou hrozbou môže byť v turbulentných časoch negatívnych geopolitických udalostí a bezprecedentnej nestability.
Koho sa bude nový zákon o kybernetickej bezpečnosti (NIS2) dotýkať?
Ako sme už spomenuli, množstvo regulovaných subjektov podľa ešte stále platného zákona sa pohybuje okolo čísla 1 800 a nie je jasný ich presný počet. Spôsobuje to fakt, že tzv. špecifické sektorové kritériá a dopadové kritériá napriek tomu, že sú pomerne explicitne definované, sa dajú rôzne vysvetliť. Asi všetci poznáme vtip ako sa stretne päť právnikov a prezentujú pätnásť právnych názorov. V interpretácií pravidiel kybernetickej bezpečnosti to platí desaťnásobne.
NIS2 do procesu identifikácie subjektov prináša celkom iný a najmä jednoznačnejší prístup. Hlavným parametrom je kritickosť vo vzťahu k hospodárstvu a funkciám štátu, rozdelenie je na odvetvia s vysokou úrovňou kritickosti a iné kritické odvetvia. Ďalším kritériom je veľkosť organizácie podľa počtu zamestnancov. Na základe odporúčania EÚ 2003/361/ES je limitom stredný podnik, teda viac ako 50 zamestnancov. Ak organizácia poskytuje vysoko kritické, alebo inak významné služby na zachovanie spoločenských, hospodárskych činností, jej veľkosť ani odvetvie nie sú rozhodujúce a podlieha regulácií automaticky.
Ďalším kritériom je samotné odvetvie, v ktorom organizácia vyvíja svoju činnosť. Nebudeme v článku menovať všetky odvetvia, spomenieme iba tie, v ktorých hrá rolu strojárstvo, elektrotechnika, automatizácia a príbuzné oblasti.
Ide o „iné kritické odvetvia“ (teda tie „menej dôležité“):
Dôležité je zdôrazniť, že identifikácia regulovaných subjektov sa týka celého dodávateľského reťazca. Vysvetlíme si to na príklade z oblasti automotive. Na vrchole reťazca je samotná automobilka. Táto z povahy svojej činnosti síce patrí medzi iné kritické odvetvia (ako sme ich nazvali „menej dôležité“), ale vzhľadom na svoj význam pre hospodárstvo štátu bude s určitosťou preklasifikovaná ako organizácia s vysokou úrovňou kritickosti. Aby automobilka dokázala plniť regulačné požiadavky plynúce z NIS2, musí požadovať od všetkých svojich subdodávateľov preukázanie súladu s reguláciou. Je to preto, že všetky vzájomné prepojenia so subdodávateľskými reťazcami sa odohrávajú výhradne v kybernetickej rovine a riziko vzniku bezpečnostného incidentu je tu neustále prítomné. A na pleciach automobilky je zodpovednosť voči regulátorovi.
Pokuty a iné sankcie
Každá nová regulácia prináša aj systém viac alebo menej drakonických pokút a sankcií. Musíme skonštatovať, že NIS2 prináša pomerne extrémny sankčný mechanizmus. Horná hranica pokuty je na úrovni 10 000 000 eur alebo 2 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku. Sankčnou novinkou je možnosť udelenia zákazu činnosti fyzickej osobe na úrovni riadiacich funkcií.
Aby sme si vedeli lepšie predstaviť čo to znamená v praxi, vezmime do úvahy celosvetový ročný obrat ktorejkoľvek z automobiliek pôsobiacich na Slovensku a vypočítajme si z neho dve percentá. V každom prípade hravo prekonáme niekoľkonásobne hranicu 10 miliónov eur. Uloženie takýchto extrémnych pokút EÚ má už v inej oblasti dávno svoj precedens, minimálne Google alebo Facebook by o tom vedeli dlho rozprávať.
Aby si dokázali ľudia na riadiacich funkciách predstaviť, čo bude znamenať udelenie zákazu činnosti, tak si to opäť ukážme na príklade automobilky.
V prípade, že by orgán dozoru (na Slovensku je to NBÚ) forenznou analýzou bezpečnostného incidentu prišiel k záveru, že organizácia zanedbala svoje povinnosti vyplývajúce z NIS2 a napríklad mala nedostatočne pod kontrolou dodávateľský reťazec, v rámci ktorého niekto pochybil a spôsobil závažný bezpečnostný incident, ktorý sa prejavil v automobilke, tak v takom prípade môže byť konkrétnej fyzickej osobe udelený zákaz činnosti v riadiacej funkcii. Nie iba v konkrétnej organizácii, ale tento zákaz bude platiť v celej EÚ. A, samozrejme, pokuta samotnej organizácii. Všetko závisí od závažnosti pochybenia alebo miery zanedbania povinností. Pri kybernetickej bezpečnosti má zodpovednosť výhradne iba vedenie spoločnosti a je neprenosná.
Pochopiteľne, neobmedzujme sa iba na uvažovanie vo veľkom, to isté platí pre organizáciu akejkoľvek veľkosti. Pokuty síce nesmú byť likvidačné, ale musia byť primerané tak, aby mali „výchovný účinok“.
Na základe našich skúseností vieme už dnes povedať, že jednotlivé organizácie v rámci dodávateľských reťazcov sa zároveň budú chcieť chrániť pred zlyhaním iných častí tohto reťazca. Jediná cesta ako to dosiahnuť, je upraviť zmluvné vzťahy tak, že škody vzniknuté pokutami si bude organizácia uplatňovať u zodpovedných dodávateľov. Je to bežná prax už dnes a dalo by sa veľkou dávkou cynizmu skonštatovať, že je to jeden z mála účinných mechanizmov ako prinútiť svojich obchodných partnerov správať sa pri problematike kybernetickej bezpečnosti zodpovedne.
Aké povinnosti čakajú na organizácie?
Spolu s kolegami veľmi dobre poznáme situáciu vo výrobných odvetviach a vieme, že kybernetická bezpečnosť sa až na veľmi vzácne výnimky málokde rieši systematicky. Máme pre to isté pochopenie, vieme, že každá firma sa predovšetkým sústredí na svoj core biznis a až potom je všetko ostatné. Ďalším logickým argumentom je fakt, že doteraz vo výrobnom odvetví nebola kybernetická bezpečnosť predmetom regulácie. Tam, kde kybernetická bezpečnosť funguje, tam spravidla prišla pod tlakom materských firiem v zahraničí, alebo zákazníci žiadali preukázanie zhody napríklad so štandardom ISO 27001.
Aby sme sa však vrátili k pôvodnej otázke. Aké nové povinnosti budú na organizácie čakať? Vymenovať ich detailne všetky je nad rámec možností jedného článku, budeme sa k tejto téme opakovane vracať v ďalších článkoch, preto spomenieme iba to, čo je najdôležitejšie.
Organizácia musí najprv zistiť, v akom skutočnom stave sa z pohľadu regulačných požiadaviek nachádza. Na tento účel slúžia rozdielové analýzy (gap), ktoré sme schopní u našich zákazníkov realizovať. Disponujeme dostatočnými odbornými kapacitami, ale čo je najdôležitejšie, poznáme špecifické problémy priemyslu. Pri výbere dodávateľa na realizáciu rozdielových analýz odporúčame byť obozretní, pretože v špecifickej problematike OT prostredia sa „klasické“ poradenské firmy väčšinou neorientujú a nemajú s ním žiadne praktické skúsenosti. Ak bude rozdielovú analýzu OT prostredia vykonávať konzultant pre IT bez skúseností v OT, môže napáchať pomerne značné škody.
Výsledkom rozdielovej analýzy je zmapovanie a najmä vyhodnotenie stavu kybernetickej bezpečnosti organizácie s návrhom opatrení na riešenie zistených nedostatkov. To možno považovať za dobrý štartovací bod pre systematické riadenie kybernetickej bezpečnosti.
Ako sme už spomenuli, jedným z veľmi hodnotných výstupov je návrh opatrení. Tento návrh môže byť a často aj je (ak sa kybernetická bezpečnosť v organizácií nikdy systematicky neriadila) pomerne dlhý a najmä nákladný zoznam jednotlivých položiek. Ďalším krokom je v spolupráci s vedením organizácie určenie priorít a „nakreslenie“ road mapy, teda časového harmonogramu, podľa ktorého sa budú realizovať konkrétne opatrenia.
Pod jednotlivým opatreniami si nepredstavujme iba čisto technické opatrenia. Ide aj o organizačné opatrenia, zmeny v procesoch, potreba ďalších analýz – typicky analýza rizík, bez ktorej nie je možné technické opatrenia implementovať správne. Samozrejme, všetko čo sa realizuje treba kontrolovať a nastaviť mechanizmus na meranie účinnosti opatrení.
Kde začať a ako efektívne implementovať požiadavky NIS2?
Sme vďační, že vás môžeme uviesť do témy kybernetickej bezpečnosti. Tejto téme sa budeme venovať a každý týždeň vám prinesieme návody a odporučenia na efektívne zavedenie NIS2. Sme dynamická spoločnosť zameraná na kybernetickú bezpečnosť a radi vás prevedieme všetkými krokmi budovania kybernetickej odolnosti vo vašej spoločnosti. Hovoria za nás výsledky.
autor: Igor Straka, TÜV SÜD email: [email protected]
Vybrať lokalitu
Global
Americas
Asia
Europe
Middle East and Africa
