Dosiahnutie zhody NIS 2 a DORA s TÜV SÜD

13. Február 2025

Strata citlivých údajov, obrovské finančné škody a narušenie verejného poriadku sú len niektoré z hlavných spoločenských dôsledkov kybernetických útokov na kritickú infraštruktúru a finančné inštitúcie. Vzhľadom na to Európska únia zaviedla smernicu NIS2 a zákon o digitálnej prevádzkovej odolnosti (DORA) s cieľom minimalizovať tieto vážne dôsledky. Cieľom oboch právnych predpisov je harmonizovať normy kybernetickej bezpečnosti, zlepšiť odolnosť a presadzovať ich dodržiavanie vo všetkých členských štátoch EÚ. Spoločnosť TÜV SÜD usporiada 25. februára webinár na túto tému.

„Podľa odhadov sa len nariadenie NIS-2 týka viac ako 100 000 organizácií v celej EÚ,“ upozorňuje Richard Skalt, manažér pre kybernetickú bezpečnosť v TÜV SÜD. „Tieto nariadenia môžu mať vplyv aj na organizácie so sídlom mimo EÚ. Hoci v mnohých členských štátoch prebieha implementácia pomaly, mnohé spoločnosti sa pýtajú, ako si môžu byť isté splnením právnych požiadaviek a aké opatrenia môžu zaviesť na zvýšenie svojej dlhodobej kybernetickej odolnosti.“

Čo je DORA?

The Digital Operational Resilience Act (DORA) zákon o digitálnej prevádzkovej odolnosti je v plnej platnosti a účinnosti od 17. januára tohto roku. Vzťahuje sa na všetky finančné inštitúcie v EÚ a ich poskytovateľov kritických IT služieb. Podľa DORA musia tieto orgány zaviesť osobitné opatrenia na riadenie rizík, ako je napríklad hodnotenie rizík treťou stranou. Vnútroštátne orgány dohľadu môžu od poskytovateľov IT služieb so sídlom mimo EÚ požadovať aj otvorenie pobočky v EÚ. Organizácie, ktoré nesplnia tieto požiadavky, musia počítať s vysokými finančnými pokutami.

Čo je NIS2?

Európska smernica o bezpečnosti sietí a informácií, známa ako NIS-2, vyžaduje, aby organizácie v kritických odvetviach prijali vhodné bezpečnostné opatrenia na minimalizáciu rizík pre svoje systémy. Ich nedodržanie môže mať celý rad negatívnych dôsledkov, od finančných pokút a rizík pre kybernetickú bezpečnosť až po problémy pri nadväzovaní alebo udržiavaní obchodných vzťahov. NIS-2 sa vzťahuje na spoločnosti zapojené do kritických operácií, ako sú dodávky energie, zdravotníctvo a doprava.

úloha ISO noriem

Mnohé organizácie, ktorých sa týka NIS 2 a DORA, už majú certifikáciu podľa rozšírených medzinárodných noriem kybernetickej bezpečnosti ISO 27001 a IEC 62443. Zatiaľ čo norma ISO 27001 poskytuje pomoc pri zavádzaní a udržiavaní účinného systému riadenia informačnej bezpečnosti (ISMS), medzinárodná séria noriem IEC 62443 je relevantná aj pre spoločnosti, v ktorých je dôležitá bezpečnosť OT.

„Normy ISO pomáhajú spoločnostiam dodržiavať požiadavky stanovené v NIS2 a DORA,“ radí Skalt. „Napríklad spoločnosti, ktoré sú držiteľmi certifikátu ISO 27001, musia predložiť dôkaz o svojom účinnom systéme riadenia rizík pre svojich dodávateľov a poskytovateľov služieb, ako to vyžaduje NIS-2.“

Webinár spoločnosti TÜV SÜD s názvom „Zabezpečenie kybernetickej odolnosti - navigácia v súlade s NIS2 a DORA v kritických sektoroch“ sa uskutoční 25. februára o 10:00 hod. Ak sa chcete zaregistrovať, navštívte stránku tuvsud.com/en-in/resource-centre/webinar/nis2.