Smernica NIS2 — Pravidlá EÚ kybernetickej bezpečnosti pre základné a dôležité subjekty
Smernica NIS2 (Smernica (EÚ) 2022/2555 o opatreniach pre vysokú spoločnú úroveň kybernetickej bezpečnosti v celej Únii) je doteraz najkomplexnejší a najďalekosiahlejší zákon EÚ v oblasti kybernetickej bezpečnosti. Prijatá v decembri 2022 a transponovaná do národného práva do 17. októbra 2024, NIS2 nahradila smernicu NIS z roku 2016 dramaticky rozšíreným rozsahom, výrazne prísnejšími povinnosťami a — po prvýkrát v histórii EÚ — osobnou zodpovednosťou C-level vedúcich za zlyhanie v oblasti kybernetickej bezpečnosti ich organizácie.
NIS2 pôsobí na organizačnej strane rámca kybernetickej bezpečnosti EÚ: nariaďuje, ako musia spoločnosti riadiť vlastnú kybernetickú bezpečnosť. Jeho náprotivok, Zákon EÚ o kybernetickej odolnosti (CRA), pôsobí na produktovej strane — nariaďuje, ako musia byť produkty postavené.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celá citácia | Smernica (EÚ) 2022/2555 (NIS2) |
| Uverejnená | 27. decembra 2022 v Úradnom vestníku EÚ |
| Transpozičný termín | 17. október 2024 |
| Nahrádza | Smernicu NIS (Smernica (EÚ) 2016/1148) |
| Subjekty v rozsahu | ~160 000 subjektov v 18 sektoroch EÚ |
| Pokuta pre základné subjekty | Do 10 miliónov € alebo 2 % celosvetového ročného obratu |
| Pokuta pre dôležité subjekty | Do 7 miliónov € alebo 1,4 % celosvetového ročného obratu |
| Zodpovednosť manažmentu | Osobná zodpovednosť C-level vedúcich; dočasný zákaz výkonu riadiacich funkcií |
| Koordinačný orgán | ENISA + národné CERT/CSIRT |
Čo sa zmenilo z NIS na NIS2?
| Aspekt | NIS (2016) | NIS2 (2022) |
|---|---|---|
| Pokryté sektory | 7 sektorov | 18 sektorov |
| Klasifikácia subjektov | Prevádzkovatelia základných služieb | Základné + dôležité subjekty |
| Spúšťač rozsahu | Designovaný členskými štátmi | Veľkostný + sektorový (väčšina stredných/veľkých spoločností) |
| Bezpečnosť dodávateľského reťazca | Neriešená | Povinná |
| Hlásenie incidentov | 72 hodín | 24-hodinové včasné varovanie + 72-hodinové oznámenie |
| Sankcie | Variabilné podľa členského štátu | Harmonizované: do 10M € / 2% obratu |
| Zodpovednosť manažmentu | Žiadna | Osobná zodpovednosť C-level |
| Presadzovanie | Reaktívne | Proaktívne audity a kontroly na mieste |
Kto musí dodržiavať NIS2? Klasifikácia subjektov
Základné subjekty — Prísnejší dozorný režim
Základné subjekty podliehajú ex ante (proaktívnemu) dohľadu — orgány môžu auditovať bez čakania na incident:
Jedenásť sektorov:
- Energia (výroba, distribúcia, prenos elektriny; ropa; plyn; vodík; diaľkové vykurovanie)
- Doprava (vzdušná, železničná, vodná, cestná)
- Bankovníctvo (úverové inštitúcie)
- Infraštruktúry finančných trhov
- Zdravotníctvo (nemocnice, poskytovatelia zdravotnej starostlivosti, výrobcovia liekov, výrobcovia zdravotníckych pomôcok v kritických kategóriách)
- Pitná voda (dodávatelia a distribútori)
- Odpadové vody (zber, likvidácia, čistenie)
- Digitálna infraštruktúra (IXP, DNS, TLD registre, cloud computing, dátové centrá, CDN, dôveryhodné služby)
- Riadenie IKT služieb (B2B poskytovatelia spravovaných služieb, poskytovatelia bezpečnostných spravovaných služieb)
- Verejná správa (ústredné orgány)
- Vesmír (prevádzkovatelia pozemnej infraštruktúry pre vesmírne služby)
Dôležité subjekty — Reaktívny dozorný režim
Sedem sektorov:
- Poštové a kuriérske služby
- Nakladanie s odpadmi
- Výroba, produkcia a distribúcia chemikálií
- Výroba, spracovanie a distribúcia potravín
- Výroba zdravotníckych pomôcok, elektronických/elektrických zariadení, strojov, motorových vozidiel, iných dopravných prostriedkov
- Digitálni poskytovatelia (online trhoviská, vyhľadávače, platformy sociálnych sietí)
- Výskumné organizácie
Kritické pre výrobcov hardvéru: Výrobcovia elektroniky a medicínskych pomôcok patria do kategórie Dôležitých subjektov. Stredný alebo veľký výrobca elektroniky alebo IoT hardvéru dodávajúci do sektorov pokrytých NIS2 musí posúdiť, či je priamo v rozsahu — a ak dodáva základným subjektom, čelí významným požiadavkám bezpečnosti dodávateľského reťazca zo strany zákazníkov.
Základné požiadavky NIS2
1. Opatrenia na riadenie rizík (Článok 21)
NIS2 nariaďuje minimálnu základnú úroveň opatrení riadenia kybernetických rizík, ktoré musia všetky pokryté subjekty implementovať:
| Opatrenie | Popis |
|---|---|
| Analýza rizík a politiky bezpečnosti IS | Systematický rámec hodnotenia rizík a zdokumentované bezpečnostné politiky |
| Zvládanie incidentov | Schopnosti detekcie, postup reakcie na incidenty, pripravenosť na forenznú analýzu |
| Kontinuita podnikania | Záložné systémy, obnova po havárii, plány krízového riadenia |
| Bezpečnosť dodávateľského reťazca | Hodnotenie rizík priamych dodávateľov a poskytovateľov služieb |
| Bezpečnosť v obstarávaní | Bezpečné vývojové postupy, zvládanie a zverejňovanie zraniteľností |
| Školenia kybernetickej bezpečnosti | Pravidelné školenia vrátane manažmentu a predstavenstva |
| Kryptografia a šifrovanie | Politiky používania šifrovania a kryptografických protokolov |
| Viacfaktorová autentifikácia | MFA pre prístup k sieťam a informačným systémom |
| Zabezpečená komunikácia | Šifrovaná hlasová, video a textová komunikácia |
2. Hlásenie incidentov (Článok 23)
NIS2 sprísňuje hlásenie incidentov dvojstupňovou kaskádovou povinnosťou:
| Stupeň | Termín | Čo hlásiť |
|---|---|---|
| Včasné varovanie | 24 hodín od zistenia závažného incidentu | Či je incident podozrivý zo zámernosti; cezhraničný dopad |
| Oznámenie incidentu | 72 hodín od zistenia | Posúdenie závažnosti a dopadu; indikátory kompromitácie |
| Záverečná správa | 1 mesiac po oznámení | Podrobná koreňová príčina; prijaté opatrenia; analýza cezhraničného dopadu |
3. Bezpečnosť dodávateľského reťazca (Článok 21(2)(d))
NIS2 robí bezpečnosť dodávateľského reťazca prvotriednou právnou povinnosťou:
- Subjekty musia hodnodiť bezpečnostné praktiky priamych dodávateľov a poskytovateľov služieb.
- Zmluvy s dodávateľmi musia obsahovať doložky kybernetickej bezpečnosti.
- Subjekty musia pravidelne vykonávať hodnotenia bezpečnostného rizika dodávateľov.
Pre výrobcov hardvéru: Ak zákazníci zahŕňajú základné alebo dôležité subjekty podľa NIS2, oni sú teraz právne povinní hodnotiť vašu kybernetickú pozíciu ako súčasť povinností bezpečnosti dodávateľského reťazca. To vytvára silný trhový dopyt po výrobcoch hardvéru, ktorí vedia preukázať auditovateľné bezpečnostné praktiky — dokumentácia SBOM, programy správy zraniteľností a dôkaz o bezpečnom vývojovom cykle.
4. Zodpovednosť manažmentu (Článok 20)
NIS2 zavádza najvýznamnejšiu požiadavku správy v histórii práva EÚ v oblasti kybernetickej bezpečnosti: osobná zodpovednosť riadiacich orgánov:
- Riadiace orgány (predstavenstvá, výkonní vedúci) musia schvaľovať opatrenia riadenia kybernetického rizika.
- Členovia riadiacich orgánov musia absolvovať školenia kybernetickej bezpečnosti.
- V prípade závažného incidentu spôsobeného nedbanlivosťou v dohľade nad kybernetickou bezpečnosťou môžu národné orgány:
- Uložiť osobné pokuty zodpovedným členom manažmentu
- Vydať dočasný zákaz výkonu riadiacich funkcií
NIS2 a výrobcovia hardvéru: Efekt dodávateľského reťazca
Aj keď výrobca hardvéru priamo nie je v rozsahu NIS2, NIS2 vytvára významné trhovo-riadené požiadavky cez dodávateľský reťazec:
- Zákazníci regulovaní NIS2 sú právne povinní hodnotiť kybernetickú bezpečnosť dodávateľov — výrobcovia hardvéru sa budú stretávať s bezpečnostnými dotazníkmi a auditmi od veľkých zákazníkov.
- Zmluvy o dodávke budú obsahovať zmluvné požiadavky kybernetickej bezpečnosti.
- Požiadavky na poskytnutie SBOM, politík zverejňovania zraniteľností a bezpečnostných certifikácií.
- Potenciálna strata zmlúv, ak nevedia preukázať adekvátnu bezpečnostnú pozíciu.
NIS2 vs. CRA — Rôzne, ale komplementárne
| Aspekt | Smernica NIS2 | CRA (EÚ 2024/2847) |
|---|---|---|
| Primárny cieľ | Organizácie (ako fungujú) | Výrobky (ako sú postavené) |
| Kľúčová povinnosť | Riadenie kybernetického rizika + hlásenie incidentov | Bezpečnosť od návrhu + správa zraniteľností |
| Kto musí dodržiavať | Základné a dôležité subjekty | Výrobcovia, dovozcovia, distribútori digitálnych produktov |
| Zodpovednosť manažmentu | Áno — osobná zodpovednosť C-level | Žiadna priama zodpovednosť manažmentu |
| Hlásenie incidentov | 24h včasné varovanie národnému CSIRT | 24h hlásenie ENISA pre aktívne zneužívané zraniteľnosti |
| Termín | V platnosti — transpozičný termín október 2024 | Plná zhoda december 2027 |
NIS2 zabezpečuje organizácie. CRA zabezpečuje produkty, ktoré tieto organizácie vyrábajú a predávajú. Spoločnosť vyrábajúca pripojený hardvér podlieha súčasne NIS2 (ako riadi vlastnú bezpečnosť) aj CRA (ako navrhuje svoje produkty).
Presadzovanie a sankcie
| Kategória | Maximálna pokuta |
|---|---|
| Základné subjekty | 10 000 000 € alebo 2 % celosvetového ročného obratu — podľa toho, čo je vyššie |
| Dôležité subjekty | 7 000 000 € alebo 1,4 % celosvetového ročného obratu — podľa toho, čo je vyššie |
| Manažérske opatrenia | Osobné pokuty; verejné vyhlásenie; dočasný zákaz riadiacich funkcií |
Súvisiace pojmy
- CRA — Produktovo zameraný náprotivok NIS2; výrobcovia hardvéru musia dodržiavať oba.
- NIS2 — Stručný prehľad NIS2.
- ENISA — Agentúra EÚ pre kybernetickú bezpečnosť koordinujúca presadzovanie NIS2.
- SBOM — Čoraz viac vyžadovaný ako dôkaz bezpečnosti dodávateľského reťazca podľa NIS2.
- IoT — Pripojené IoT zariadenia v dodávateľských reťazcoch subjektov regulovaných NIS2.
Výrobcovia hardvéru dodávajúci subjektom regulovaným NIS2 čelia rastúcemu tlaku na preukázanie auditovateľných bezpečnostných praktík. Inovasense pomáha výrobcom vybudovať evidenciu bezpečnostného programu, ktorú zákazníci regulovaní NIS2 vyžadujú: procesy správy zraniteľností, generovanie SBOM, dokumentácia bezpečného vývojového cyklu a implementácie embedded bezpečnosti poskytujúce technicky overiteľné dôkazy. Naše poradenstvo pre EÚ compliance pokrýva celý obraz — povinnosti dodávateľského reťazca NIS2 spolu s produktovými požiadavkami CRA.