Od GDPR k NIS2
GDPR bolo pravdepodobne najvýznamnejšou regulačnou normou, ktorá zmenila spôsob fungovania firiem. Išlo o právny predpis vydaný EÚ, avšak organizácie a firmy po celom svete si uvedomili rozsah tejto regulačnej normy a rozhodli sa, že má zmysel dodržiavať GDPR, aj keď má spoločnosť v EÚ len minimálnu pôsobnosť.
V rámci GDPR bolo potrebné zabezpečiť súkromie, bezpečnosť, ochranu a práva na úrovni užívateľov a zákazníkov. Nariadenie bolo navrhnuté tak, aby používatelia mali väčšiu kontrolu a prehľad o údajoch, ktoré o nich spoločnosti zhromažďujú. Hoci od zavedenia zákona uplynulo len niekoľko málo rokov, zmenil sa spôsob, akým organizácie s údajmi používateľov nakladajú.
Sme presvedčení, že sa objavil nový štandard pre dodržiavanie právnych predpisov, ktorý môže mať rovnako veľký dopad ako GDPR, a napriek tomu sa o ňom zatiaľ diskutuje len minimálne. Ide o smernicu NIS2, ktorá nadväzuje na pôvodnú smernicou NIS, a má vplyv na oveľa širší okruh organizácií.
NIS2 je nová smernica o kybernetickej bezpečnosti, ktorej cieľom je zaviesť štandardné hlásenia incidentov, riadenie rizík v oblasti kybernetickej bezpečnosti a riadenie rizík v dodávateľskom reťazci, a ukladá vysoké pokuty za ich nedodržiavanie. Tam, kde sa GDPR usilovalo o zlepšenie štandardov ochrany súkromia a bezpečnosti na úrovni užívateľských údajov, sa NIS2 snaží zlepšiť štandardy ochrany súkromia a bezpečnosti pre spoločnosti a organizácie ako celok.
Hoci bude platiť smernica NIS2 až od jesene 2024, je dôležité, aby sa na ňu firmy pripravili radšej skôr ako neskôr, pretože zabezpečenie súladu s týmito predpismi môže vyžadovať značné množstvo práce a nákladov, v závislosti od súčasných kontrolných mechanizmov a kybernetickej stratégie. bezpečnosti, ktoré spoločnosti uplatňujú. Ak sa firmy a organizácie začnú zameriavať na splnenie súladu s NIS2 už teraz, získajú dostatok času na jej splnenie a vyhnú sa prípadným sankciám za jej nesplnenie.
V tomto článku sa budeme zaoberať najčastejšími otázkami, ktoré vás môžu v súvislosti s NIS2 napadnúť.
NIS2 - často kladené otázky
Čo je to smernica NIS?
Nová smernica Network and Information Security (NIS2) je celoeurópskym právnym predpisom o kybernetickej bezpečnosti a je rozšírenou podobou pôvodnej smernice NIS.
NIS2 rozširuje okruh spoločností, na ktoré sa vzťahuje. Zasahuje väčší počet oblastí a definuje konkrétnejšie a prísnejšie požiadavky na kybernetickú bezpečnosť a riadenie rizík, a zároveň zvyšuje pokuty a sankcie za ich nedodržanie.
NIS2 od spoločností okrem iného vyžaduje:
Riadenie rizík v rámci svojich sietí a informačných systémov.
Zaviesť minimálny štandard bezpečnostných opatrení, ktoré sa týkajú bezpečnosti dodávateľského reťazca, riadenia zraniteľností, hodnotenia riadenia rizík kybernetickej bezpečnosti a ďalších.
Zamerať sa viac na riadenie kritických rizík dodávateľského reťazca.
Vytvorenie riadiaceho tímu, ktorý dohliada na opatrenia v oblasti kybernetickej bezpečnosti, schvaľuje ich a je pre nich vyškolený.
Dodržiavať konkrétnu lehotu na reakciu na incident, ktorá sa môže pohybovať od 24 hodín do 72 hodín od zistenia incidentu, a vydať záverečnú správu mesiac po podaní oznámenia o incidente.
Prečo som ešte nikdy nepočul o smernici NIS1?
NIS1 (alebo len NIS) bola pôvodne prijatá v roku 2016, ale počet organizácií, na ktoré sa vzťahovala, bol obmedzený. NIS mala tiež minimálne možnosti vymáhania a oveľa menej prísne sankcie za nedodržanie predpisov.
Na koho bude mať NIS2 vplyv?
Vzhľadom na to, že NIS2 je smernica EÚ, vzťahuje sa na všetky spoločnosti so sídlom v členskom štáte EÚ.
Nová smernica sa vzťahuje na spoločnosti označené ako Základné subjekty a " Dôležité subjekty". Hoci sa hranica veľkosti líši podľa odvetvia, medzi základné subjekty patria spoločnosti s 250 a viac zamestnancami, obratom 50 miliónov EUR alebo súvahou 43 miliónov EUR. Medzi dôležité subjekty patria spoločnosti s viac ako 50 zamestnancami a ročným obratom alebo súvahou 10 miliónov EUR.
Príslušné odvetvia v rámci Základných subjektov zahŕňajú:
Energia
Doprava
Bankovníctvo a finančné trhy
Pitná voda a odpady
Digitálna infraštruktúra a správa IKT služieb, vrátane poskytovateľov služieb cloud computingu
Verejná správa
Vesmír
Príslušné odvetvia v rámci Dôležitých subjektov zahŕňajú:
Všetky odvetvia v rámci základných subjektov, ale s limitom veľkostí pre "Dôležité subjekty".
Poštové a kuriérne služby
Nakladanie s odpadmi
Výroba, produkcia a distribúcia chemických látok
Výroba
Poskytovatelia digitálnych služieb
Výskumné organizácie
Ak subjekt nespĺňa tieto požiadavky, ale je pre spoločnosť alebo ekonomiku v členskom štáte "jediným poskytovateľom", môže byť označený ako základný alebo dôležitý subjekt. Členské štáty však musia dokončiť svoj zoznam základných a významných subjektov do apríla 2025.
Aké sú hlavné rozdiely medzi NIS a NIS2?
Okrem toho, že nová smernica výrazne rozširuje okruh spoločností, ktoré musia spĺňať požiadavky NIS2, prináša aj oveľa prísnejšie pokuty a podrobne opisuje prísnejšie pravidlá a donucovacie opatrenia, ktoré majú mať regulačné orgány k dispozícii, aby zabezpečili dodržiavanie požiadaviek smernice NIS2.< /p>
Patrí sem vyšetrovacie a kontrolné právomoci, ako sú:
Kontroly na pracovisku
Bezpečnostné audity
Požiadavky na ďalšie informácie na posúdenie opatrení kybernetickej bezpečnosti organizácie.
Bezpečnostné skenovanie
Vyžiadanie dôkazov a informácií na posúdenie politík pre riadenie rizík a kybernetickú bezpečnosť, vyžiadanie potrebných podkladov, dát, dokumentácie a ďalších informácií.
Základné subjekty podliehajú auditom a kontrolám prakticky kedykoľvek. Naproti tomu dôležité subjekty môžu byť kontrolované až potom, čo dôjde k incidentu.
Mám sa zaujímať o NIS2, aj keď nepatrím do EÚ?
Predpokladá sa, že dôjde k zmenám smernice NIS2, ale domnievame sa, že sa táto smernica bude vzťahovať na všetky spoločnosti podnikajúce v EÚ.
Aké sú pokuty alebo sankcie, ak sa organizácia nebude riadiť smernicou NIS2?
Organizáciám, ktoré nebudú dodržiavať smernicu NIS2, môžu byť uložené vysoké pokuty.
Základným subjektom hrozí až 10 miliónov EUR alebo 2 % celosvetového obratu.
Dôležitým subjektom hrozí až 7 miliónov EUR alebo 1,4 % celosvetového obratu.
Pre všetky subjekty bude v prípade vyrubenia pokuty použité vyššie číslo oboch vyššie spomenutých. Organizáciám, ktoré nesplnia stanovené požiadavky, môžu byť uložené ďalšie nepeňažné sankcie. Patria sem nariadenia na splnenie požiadaviek, záväzné pokyny, požiadavky na oznamovanie a podávanie správ dotknutým stranám, a implementačné opatrenia, ktoré môžu vyplynúť zo zistenia bezpečnostného auditu.
Kedy bude smernica NIS2 implementovaná?
NIS2 bola oficiálne uverejnená 27. decembra 2022 a nadobudla účinnosť 16. januára 2023. Členské štáty EÚ sú povinné začleniť NIS2 do svojej legislatívy do 18. októbra 2024. Príslušné organizácie sa musia touto smernicou tiež začať riadiť najneskôr do 18. októbra 2024.
Ako sa môžem uistiť, že dodržiavam smernicu NIS2?
Hoci sa v NIS2 stále vykonávajú zmeny, neočakávame, že sa toho príliš zmení, a firmy by mali začať mobilizovať svoje oddelenia, aby boli schopné túto novú smernicu splniť. Tu je niekoľko odporúčaných krokov.
Identifikujte, ktoré firemné zložky, oddelenia a dcérske spoločnosti spadajú do oblasti pôsobnosti NIS2.
Zhodnoťte súčasný stav riadenia rizík a kybernetickej bezpečnosti vo vašej organizácii, a odhaľte nedostatky, ktoré je potrebné odstrániť, aby ste dosiahli súlad s legislatívnymi požiadavkami.
Prejednajte s právnym oddelením časový plán a stratégiu na zabezpečenie súladu s NIS2.
Kontaktujte svoj dodávateľský reťazec a nezávislé zmluvné strany, aby ste sa uistili, že aj ony vedia o smernici NIS2, a že budete musieť spolupracovať na riešení nových požiadaviek na dodávateľský reťazec a riadení rizík tretích strán podľa smernice NIS2.
Spolupracujte s vedúcimi oddelení a zainteresovanými stranami, aby ste sa uistili, že sa zhodnú na stratégii a môžu včas mobilizovať svoje oddelenia, systémy a zdroje.
Dodržiavanie smernice NIS2
Spôsob, akým organizácie dosiahnu súlad so smernicou NIS2, sa bude líšiť podľa konkrétneho prostredia, existujúcich bezpečnostných opatrení a zásad a aktuálnej stratégie riadenia rizík. Pokiaľ má organizácia spoľahlivú stratégiu kybernetickej bezpečnosti a kybernetickej odolnosti, môže sa stať, že nebude potrebné meniť takmer nič. Pre menšie organizácie alebo oddelenia s menšími zdrojmi však môže ísť o väčšiu výzvu.
Analytické oddelenia Bitdefenderu sú neustále informované o všetkých nových regulačných rámcoch a predpisoch tak, aby naše riešenia a dostupné partnerstvá pomohli zabezpečiť súlad so smernicou NIS2 s dostatočným predstihom.
Comments