Európsky parlament a Rada Európskej únie (EÚ) v decembri schválili smernicu NIS2, ktorá sa vzťahuje na širšiu skupinu firiem a zavádza nové povinnosti na ochranu pred kybernetickým útokom. Stovky firiem a verejných organizácií by sa mali už budúci rok pripravovať na splnenie nových legislatívnych požiadaviek v oblasti kybernetickej bezpečnosti. Upozornila na to spoločnosť Progress.

Nová legislatíva podľa jej slov vychádza z prvej verzie nariadenia o sieťovej a informačnej bezpečnosti EÚ z roku 2016. Štáty majú 21 mesiacov na prenesenie do národných legislatív.

Smernica sprísňuje povinnosti z oblastí kritickej infraštruktúry a iných sektorov. K prvkom kritickej infraštruktúry patria napríklad banky, energetické firmy, zdravotníctvo a verejná správa a k ďalším sektorom napríklad podniky z potravinárstva, chemického a elektrotechnického priemyslu, výrobcovia medicínskych prístrojov, ale aj automobilky. Zo smernice podľa slov spoločnosti vyplynú povinnosti aj firmám a verejným organizáciám, na ktoré sa doterajšia legislatíva nevzťahovala.

„Súčasný zákon o kybernetickej bezpečnosti sa dotýka subjektov z vybraných sektorov, ktoré sú na základe určitých kritérií zaradené medzi prevádzkovateľov základných služieb alebo poskytovateľov digitálnych služieb,“ vysvetlil hlavný konzultant spoločnosti Progress a CEO Synapsa Networks Roman Čupka.

Nová direktíva sprísňuje napríklad pravidlá riadenia rizík, ochrany pred útokmi uskutočňovanými cez dodávateľské reťazce, pre hlásenie incidentov a pre zdieľanie informácií a zverejňovanie zraniteľností. Vytvára tiež rámec pre vznik európskej databázy zraniteľností. „Pre splnenie legislatívnych požiadaviek budú musieť mnohé organizácie investovať do viacerých nových technológií a služieb, napríklad do systémov na nepretržité sledovanie sieťovej prevádzky a na rýchle, automatizované nahlasovanie a riešenie incidentov,“ vysvetlil Čupka.

Smernica stále nezavádza povinnosť informovať o závažných kybernetických incidentoch verejne, no iba príslušnú organizáciu zodpovednú v danom sektore za riadenie kybernetickej bezpečnosti, ktorou je v SR Národný bezpečnostný úrad (NBÚ), poprípade vybrané ústredné orgány verejnej správy.

„Transparentnejšie informovanie firiem a verejných organizácií o kybernetických bezpečnostných incidentoch smerom na verejnosť by pomohlo zvýšiť povedomie o rizikách a motivovať k väčšiemu záujmu o túto tému,“ uviedol Čupka. „Navyše verím, že by im to pomáhalo aj reputačne v prípade, že je nastavená správna komunikácia z a do vnútra organizácie,“ dodal.

Podľa tohtoročného prieskumu Slovak Business Agency, pripraveného s NBÚ medzi strednými a malými podnikmi, sa na Slovensku kybernetickou bezpečnosťou zaoberá len približne tretina malých firiem, pričom pri stredne veľkých podnikoch je to zhruba polovica, uzavrela spoločnosť.