Smernica NIS2 a zákon o kybernetickej bezpečnosti
Analýza, stratégia a implementácia
Tím PwC zložený zo špecialistov na kyberbezpečnosť, právo, digitalizáciu a ďalšie odbory vám pomôže so splnením povinností súvisiacich s NIS2. Od bezpečnostnej a právnej analýzy cez stratégiu, financovanie až po dizajn a implementáciu. Ponúkame tiež outsourcing samotnej prevádzky systému riadenia bezpečnosti („ISMS“) a vzdelávania zamestnancov.
Čo je smernica NIS2?
NIS2 je aktualizovanou verziou smernice NIS (Network and Information Security) z roku 2016. NIS2 výrazne rozširuje rozsah pôsobnosti platnej legislatívy a predstavuje nové riešenie pre posilnenie a zabezpečenie európskeho kyberpriestoru
NBÚ predložil dňa 30. 5. 2024 do medzirezortného pripomienkového konania návrh novely zákona o kybernetickej bezpečnosti. Táto novela transponuje smernicu NIS2 do slovenského právneho poriadku. Novela je účinná od 1.1.2025. V súčasnosti sa pripravuje Vyhláška o Bezpečnostných opatreniach, ktorej účinnosť očakávame od 1.7.2025.
Workshop: NIS2
Analýza rizík krok za krokom
Kto bude podliehať regulácii?
V NIS2 je uvedených 18 hospodárskych sektorov (v NIS1 - 7 sektorov), z ktorých subjekty (súkromné alebo verejné) budú povinné zaviesť posilnené požiadavky na kybernetickú bezpečnosť. Medzi nové sektory patrí okrem iného:
podnikatelia v oblasti elektronickej komunikácie
potravinársky sektor
automobilový sektor
subjekty verejnej správy
odpadové hospodárstvo
výrobcovia, napr. počítačov
výrobcovia chemikálií
Ako NIS2 ovplyvňuje vašu organizáciu?
NIS2 pristupuje proaktívne k riadeniu rizík. Kľúčové a dôležité subjekty sú povinné zaviesť vhodné bezpečnostné politiky na zabezpečenie systematickej a hĺbkovej analýzy rizík. Tieto politiky by mali byť založené na prístupe zohľadňujúcom všetky možné riziká, vrátane tých, ktoré súvisia s fyzickou bezpečnosťou (prístup typu "all-hazard"). Opatrenia na riadenie rizík (technické, operačné a organizačné) by mali byť úmerné odhadovanému riziku. Monitorovanie a reagovanie na potenciálne hrozby musí pokrývať minimálne tieto oblasti:
- Prevencia, detekcia a reakcia na incidenty
- Udržanie kontinuity prevádzky a krízové riadenie
- Bezpečnosť dodávateľského reťazca
- Kyberhygiena a školenia
- Bezpečnosť sietí a informačných systémov
- Politika riadenia a oznamovania zraniteľností
- Bezpečnosť ľudských zdrojov, riadenie prístupov a aktív
- Viaczložková autentifikácia a jej nepretržitá aplikácia
- Používanie kryptografie a šifrovania
Hlavné navrhnuté zmeny tohto zákona
- Väčší počet regulovaných organizácií a služieb
- Väčšie nároky na bezpečnosť dodávateľského reťazca
- Hlásenie incidentov
- Pokuty
- Zodpovednosť a povinnosti vedenia
Väčší počet regulovaných organizácií a služieb
Jedným z cieľov smernice NIS2 je zvýšenie úrovne bezpečnosti nielen v prostredí „VIP klubu“, ale aj zaistenie bezpečnosti vo väčšine významných prvkov národnej infraštruktúry a služieb. Novelizovaný zákon sa bude viazať nielen na nové regulované subjekty, ale často bude tiež rozširovať rozsah účinnosti zákona na väčší počet systémov a služieb v rámci rovnakej organizácie, ktorá už podlieha súčasnému zákonu z roku 2018.
Z regulovaných oblastí služieb ide o verejnú správu, energetiku, výrobný priemysel, potravinársky priemysel, chemický priemysel, vodné a odpadové hospodárstvo, železničnú, vodnú a cestnú dopravu, digitálnu infraštruktúru a služby, finančné trhy, zdravotníctvo, vedu, výskum a vzdelávanie, poštové služby, vojenský a vesmírny priemysel.
Väčšie nároky na bezpečnosť dodávateľského reťazca
Európsky regulátor aj NBÚ prikladajú čoraz väčšiu významnosť bezpečnosti dodávateľov. Dôvodom sú čoraz častejšie úspešné útoky v poslednom čase cez dodávateľský reťazec (ako to bolo v prípadoch Solarwinds, Okta, LastPass a mnoho ďalších), ako aj zvyšujúce sa závislosti v reťazci. V analógii z fyzického sveta sú vidieť závislosti v dodávateľskom reťazci pri dostupnosti a cenách energií a pohonných hmôt v kontexte vojny na Ukrajine. Z pohľadu kybernetickej bezpečnosti môžu tieto väzby na tretie strany byť oveľa nenápadnejšie a v určitých ohľadoch fatálnejšie (napríklad nedávne zraniteľnosti Log4j alebo OpenSSL).
Návrh zákona udáva (podobne ako súčasná právna úprava) povinnosť aktívne riadiť kyberbezpečnosť v rámci výberu svojich dodávateľov, keď pre významných dodávateľov stanovuje ďalšie povinnosti vrátane požiadaviek na obsah zmluvy s dodávateľom, vyhodnotenie implementovaných bezpečnostných opatrení dodávateľa a nadväzných rizík, preskúmavanie zmlúv a pravidelnú kontrolu opatrení dodávateľa.
Hlásenie incidentov
Hlásenie kybernetických incidentov NBÚ, resp. národnému CERT je zakotvené už v súčasnej právnej úprave. Novo túto povinnosť bude mať väčší rozsah spoločností (v nadväznosti na rozšírenie rozsahu povinných subjektov opísaných v bode 1).
Pokuty
Návrh zákona pritvrdzuje v oblasti pokút, ktoré môžu vystúpiť až do výšky 10 000 000 eur alebo 2 % z čistého obratu za posledné ukončené účtovné obdobie.
Zodpovednosť a povinnosti vedenia
Podľa zámeru NIS2 by sa mala zvýšiť zodpovednosť vrcholového vedenia organizácie za kyberbezpečnosť a dodržiavanie súladu so zákonom. Relatívne významná časť navrhovaného zákona je venovaná práve povinnostiam vrcholového vedenia, medzi ktoré patrí zaistenie stanovenia bezpečnostnej politiky a cieľov, zaistenie dostatočných zdrojov, komunikácia dôležitosti bezpečnosti v spoločnosti, participácia na riadení kybernetických rizík a mnoho ďalších povinností.
Čo, naopak, zostáva podobné
Návrh novely zákona o kybernetickej bezpečnosti je, rovnako ako súčasné znenie, založený na medzinárodne uznávaných štandardoch rodiny ISO 27000, a teda nepredstavuje (až na výnimky) nové koncepty a opatrenia, ktoré by už inak vyspelá spoločnosť prirodzene neaplikovala.
Ako vám môže pomôcť PwC
Tím PwC zložený ako z expertov na kyberbezpečnosť, tak aj právnikov PwC Legal a prípadne odborníkov na verejný sektor ponúka kompletný balíček služieb zameraných na splnenie povinností súvisiacich s NIS2.
- Analýza dosahu aplikovania smernice na organizáciu a určenie rozsahu riadenia kybernetickej bezpečnosti
- Rozdielová analýza súčasného stavu bezpečnosti
- Analýza rizík bezpečnosti informácií
- Právna analýza zmlúv a ďalších právnych dokumentov
- Threat Intelligence a OSINT analýza
- Cyber Hygiene Assessment (Technická analýza úrovne bezpečnosti cez nástroj Tanium)
- Compromise Discovery Assessment (Analýza kompromitácie prostredia cez nástroj Tanium)
- Stratégia programu transformácie bezpečnosti
- Zriadenie bezpečnostnej organizácie, správy, riadenia rizík a funkcií dodržiavania predpisov
- Definícia cieľového operačného modelu
- Plán transformácie
- Projektový a programový plán
- Analýza možností financovania stratégie z verejných zdrojov a dotácií Európskej únie
- Návrh riešenia financovania
- Podpora v rámci procesu žiadosti dotačného programu
- Následná podpora – výberové konania, súčinnosť pri kontrolách, monitorovacie správy
- Návrh a podpora dodania bezpečnostných opatrení
- Tvorba a úprava riadenej dokumentácie
- Návrh zmien a implementácia organizačných, právnych i technických opatrení z nášho portfólia služieb
- Vývoj a konfigurácia vybraných technických opatrení (EDR, SIEM, VM, IAM/PAM, OT, Cloud security a ďalšie)
- Návrh právnych zmien (zmluvné dojednania s dodávateľmi, zamestnancami, nastavenie procesov)
- Podpora či zastupovanie pri komunikácii s NBÚ či ďalšími úradmi pri registrácii regulovanej služby alebo oznamovaní incidentov
- Podpora a riadenie projektu, implementácia
- Prevádzka ISMS
- Managed service vybraných opatrení
- Vzdelávanie a školenie zamestnancov
- Právne služby (v pracovnoprávnej, korporátnej či trestnoprávnej oblasti) pri riešení incidentov
Kde začať – úvodný balíček
V rámci vyrovnania sa s vplyvmi požiadaviek NIS 2 na fungovanie spoločnosti PwC odporúča zvoliť nasledujúci postup:
Analýza vplyvu smernice NIS 2
Pomôžeme vám analyzovať postavenie vašej organizácie voči požiadavkám NIS2 a identifikovať režim, pod ktorý spadáte. Vykonáme to určením rozsahu riadenia kybernetickej bezpečnosti vo vzťahu k regulovaným službám, ktoré identifikujeme.
Rozdielová analýza súčasného stavu a požiadaviek
Pomôžeme vám identifikovať nedostatky voči požiadavkám a potrebné nápravné opatrenia na zabezpečenie súladu.
Analýza a návrh financovania
Pomôžeme vám analyzovať možnosti financovania z dotačného programu Európskej únie pre vašu organizáciu.
