Ste pripravení na NIS2?
Pravdepodobne ste už počuli o európskej smernici NIS2, ktorá sa zameriava na kybernetickú bezpečnosť. Možno však neviete, že termín jej implementácie do českého právneho systému uplynul už v októbri 2024. Hoci Česká republika tento termín nestihla, nový zákon o kybernetickej bezpečnosti, ktorý smernicu transponuje, by mal nadobudnúť účinnosť v polovici roka 2025. Spoločnosti teda budú povinné dodržiavať nové pravidlá už počas tohto roka. Čo to pre vás znamená a čo je potrebné riešiť? Máme odpovede.
Dôležité otázky a odpovede na jednom mieste
Sú české spoločnosti pripravené?
Bohužiaľ, odpoveď nie je veľmi pozitívna. Podľa prieskumu spoločnosti EY Česká republika by v súčasnosti požiadavky smernice NIS2 splnili len 2 % českých spoločností. Mnohé spoločnosti sa smernicou buď vôbec nezaoberajú, alebo sa domnievajú, že sa na ne nevzťahuje. Ďalším problémom je nízka informovanosť; až 72 % respondentov nedávneho prieskumu uviedlo, že o smernici NIS2 nepočuli. Podcenenie prípravy na nové právne predpisy môže mať pre spoločnosti vážne dôsledky.
Čo je NIS2?
NIS2 (Network and Information Security 2) je aktualizovaná európska smernica zameraná na posilnenie kybernetickej bezpečnosti v členských štátoch EÚ s cieľom zvýšiť odolnosť organizácií voči kybernetickým útokom a harmonizovať úroveň bezpečnosti v celej Európe. Smernica rozširuje okruh subjektov, na ktoré sa vzťahuje, a zavádza prísnejšie požiadavky na bezpečnosť informačných systémov. Za nesplnenie týchto požiadaviek hrozia vysoké sankcie, ktoré majú spoločnosti povzbudiť k aktívnemu prístupu ku kybernetickej bezpečnosti.
Aké požiadavky bude potrebné splniť?
Smernica NIS2 zdôrazňuje niekoľko kľúčových oblastí:
- Riadenie rizík: pravidelné hodnotenie a riadenie kybernetických rizík.
- Bezpečnostné opatrenia: vykonávanie technických a organizačných opatrení na ochranu informačných systémov.
- Hlásenie incidentov: povinnosť hlásiť kybernetické incidenty príslušným orgánom v stanovených lehotách.
- Dodávateľské reťazce: Zaistenie bezpečnosti v celom dodávateľskom reťazci.
- Sankcie: nedodržanie predpisov sa trestá pokutou až do výšky 10 miliónov EUR alebo 2 % celosvetového ročného obratu spoločnosti, podľa toho, ktorá suma je vyššia.
Koľkých spoločností sa to týka?
Odhaduje sa, že v Českej republike sa smernica NIS2 dotkne približne 6 000 subjektov vrátane organizácií v kritických odvetviach, ako sú energetika, doprava, zdravotníctvo, financie a digitálna infraštruktúra. Mnohé z týchto spoločností však ešte neprijali potrebné opatrenia na splnenie nových požiadaviek. Nesplnenie požiadaviek smernice môže viesť nielen k finančným sankciám, ale aj k poškodeniu dobrej povesti a strate dôvery u zákazníkov alebo obchodných partnerov.
Čo by mali spoločnosti robiť?
- Monitorovanie a aktualizácia: Neustále monitorujte stav kybernetickej bezpečnosti a prispôsobujte opatrenia aktuálnym hrozbám.
- Informujte sa: oboznámte sa s požiadavkami smernice NIS2 a zistite, či sa na vás vzťahuje.
- Vykonajte analýzu rizík: zhodnoťte súčasný stav kybernetickej bezpečnosti v spoločnosti a identifikujte zraniteľné miesta.
- Vykonávanie opatrení: vykonajte potrebné technické a organizačné opatrenia na posilnenie bezpečnosti.
- Školenie zamestnancov: zabezpečte, aby boli zamestnanci informovaní o nových postupoch a pravidlách.
- Monitorovanie a aktualizácia: Neustále monitorujte stav kybernetickej bezpečnosti a prispôsobujte opatrenia aktuálnym hrozbám.
Príprava na smernicu NIS2 by mala byť pre spoločnosti prioritou, aby sa vyhli možným sankciám a zabezpečili kontinuitu svojho podnikania v digitálnom prostredí.