Späť na prehľad

Smernica NIS2: Čo znamená pre vašu firmu (a ako sa pripraviť)?

10. 03. 2024| Pietro Dubsky

Digitálne prostredie sa neustále vyvíja a s ním aj povaha a sofistikovanosť kybernetických hrozieb. Na posilnenie kybernetickej bezpečnosti v celej Európskej únii bola zavedená smernica NIS2, ktorá výrazne rozširuje a posilňuje pôvodnú smernicu o sieťovej a informačnej bezpečnosti (NIS). Čo to ale znamená pre vašu firmu a ako môžete zaistiť, že ste pripravení?

Aktualizácia (jún 2026): NIS2 je už českým zákonom

Od publikácie tohto článku sa situácia zásadne posunula. 1. novembra 2025 nadobudol účinnosť nový český zákon č. 264/2025 Zb., o kybernetickej bezpečnosti, ktorý smernicu NIS2 transponuje do českého práva a úplne nahrádza doterajší zákon z roku 2014. Povinnosti teda už nevyplývajú „zo smernice", ale priamo zo zákona — a zatiaľ čo stará úprava regulovala zhruba štyri stovky subjektov, nová dopadá na tisíce firiem a organizácií. Slovensko má vlastnú transpozíciu v novele zákona o kybernetickej bezpečnosti.

Čo to pre vás prakticky znamená: na portáli NÚKIB overte, či poskytujete regulovanú službu; ak áno, čaká vás registrácia, zavedenie bezpečnostných opatrení do jedného roka od rozhodnutia a nastavenie hlásenia incidentov. Pokuty môžu dosiahnuť až 250 miliónov Kč alebo 2 % celosvetového obratu. Text nižšie ponechávam ako úvod do princípov smernice — konkrétne povinnosti však hľadajte v zákone a metodikách NÚKIB.

Čo je smernica NIS2?

NIS2 je celoeurópska legislatíva zameraná na dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti naprieč členskými štátmi (úplné znenie je dostupné v úradnom vestníku EÚ). Ruší a nahrádza prvú smernicu NIS, rozširuje jej pôsobnosť na viac odvetví a subjektov a zavádza prísnejšie dozorné opatrenia a požiadavky na vymáhanie. Primárnym cieľom je zlepšiť odolnosť a schopnosť reakcie na incidenty verejných aj súkromných subjektov, ktoré sú kľúčové pre našu ekonomiku a spoločnosť.

Koho sa NIS2 týka?

Jednou z najvýznamnejších zmien v NIS2 je rozšírenie jej pôsobnosti. Smernica kategorizuje subjekty na „základné" (essential) a „dôležité" (important) na základe ich kritickosti a veľkosti.

  • Pokryté odvetvia: Zoznam odvetví teraz zahŕňa (ale nie je obmedzený na):
    • Základné subjekty: Energetika, doprava, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, pitná voda, odpadové vody, digitálna infraštruktúra (prepojovacie uzly internetu (IXP), poskytovatelia DNS, registre domén najvyššej úrovne (TLD), poskytovatelia cloud computingu, poskytovatelia dátových centier, siete na doručovanie obsahu, poskytovatelia služieb vytvárajúcich dôveru), verejná správa a vesmír.
    • Dôležité subjekty: Poštové a kuriérske služby, odpadové hospodárstvo, výroba kritických produktov (napr. zdravotnícke pomôcky, chemikálie), výroba a distribúcia potravín, digitálni poskytovatelia (online trhoviská, online vyhľadávače, platformy sociálnych sietí).
  • Veľkosť spoločnosti: Vo všeobecnosti sa NIS2 vzťahuje na stredné a veľké podniky v týchto odvetviach. Niektoré menšie subjekty s vysokým bezpečnostným rizikovým profilom však môžu tiež spadať do jej pôsobnosti bez ohľadu na ich veľkosť. Členské štáty majú určitú flexibilitu pri identifikácii menších subjektov kľúčových pre ich spoločnosť alebo špecifické odvetvia.

Pre podniky je kľúčové posúdiť, či spadajú do jednej z týchto kategórií.

Kľúčové požiadavky a povinnosti podľa NIS2

NIS2 ukladá rad opatrení na riadenie kybernetických bezpečnostných rizík a ohlasovacích povinností. Dotknuté subjekty musia:

  1. Implementovať robustné politiky riadenia rizík: To zahŕňa vykonávanie pravidelných hodnotení rizík a stanovenie politík týkajúcich sa bezpečnosti informačných systémov, riešenia incidentov, kontinuity prevádzky (ako je správa záloh a obnova po havárii) a krízového riadenia.
  2. Prijať špecifické bezpečnostné opatrenia: Subjekty musia prijať vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť sietí a informačných systémov. Medzi ne patrí:
    • Bezpečnosť dodávateľského reťazca (riešenie rizík vyplývajúcich od dodávateľov a poskytovateľov služieb).
    • Bezpečnosť pri obstarávaní, vývoji a údržbe sietí a informačných systémov vrátane riešenia zraniteľností a ich zverejňovania.
    • Politiky a postupy na hodnotenie účinnosti opatrení na riadenie kybernetických bezpečnostných rizík.
    • Základné postupy kybernetickej hygieny a školenia v oblasti kybernetickej bezpečnosti.
    • Politiky a postupy týkajúce sa používania kryptografie a prípadne šifrovania.
    • Bezpečnosť ľudských zdrojov, politiky riadenia prístupu a správa aktív.
    • Používanie viacfaktorového overovania alebo riešení kontinuálneho overovania.
  3. Hlásiť významné incidenty: Dotknuté subjekty musia oznámiť príslušným vnútroštátnym orgánom (napr. CSIRT) akýkoľvek významný kybernetický bezpečnostný incident bez zbytočného odkladu, najneskôr však do 24 hodín od okamihu, keď sa o ňom dozvedeli (včasné varovanie), nasledované podrobnejším oznámením incidentu do 72 hodín.
  4. Zodpovednosť riadiacich orgánov: Riadiace orgány základných a dôležitých subjektov musia schvaľovať opatrenia na riadenie kybernetických bezpečnostných rizík a dohliadať na ich vykonávanie. Môžu byť brané na zodpovednosť za porušenie smernice.

Ako sa pripraviť na súlad s NIS2

Príprava je kľúčová. Tu je postup krok za krokom:

  1. Určte aplikovateľnosť: Najprv zistite, či vaša organizácia spadá do pôsobnosti NIS2 na základe vášho odvetvia a veľkosti.
  2. Vykonajte analýzu nedostatkov (gap analysis): Posúďte svoj súčasný stav kybernetickej bezpečnosti voči požiadavkám NIS2. Identifikujte oblasti, kde vaše súčasné opatrenia nepostačujú.
  3. Vypracujte a implementujte rámec riadenia kybernetických bezpečnostných rizík: Na základe analýzy nedostatkov vypracujte alebo aktualizujte svoje politiky riadenia rizík a implementujte nevyhnutné technické a organizačné opatrenia.
  4. Posilnite postupy hlásenia incidentov: Zaistite, aby ste mali jasné postupy na identifikáciu, klasifikáciu a hlásenie významných incidentov podľa časových harmonogramov NIS2.
  5. Skontrolujte a zabezpečte svoj dodávateľský reťazec: Vyhodnoťte postupy kybernetickej bezpečnosti vašich kľúčových dodávateľov a poskytovateľov služieb.
  6. Preškoľte svojich zamestnancov: Kybernetická bezpečnosť je zdieľanou zodpovednosťou. Zaistite, aby vaši zamestnanci absolvovali pravidelné školenia o kybernetickej hygiene a povedomí o incidentoch.
  7. Zapojte vedenie: Zaistite, aby si váš riadiaci orgán bol vedomý svojich povinností a aktívne sa podieľal na dohľade nad opatreniami kybernetickej bezpečnosti.

Dôsledky nedodržania

Nedodržanie NIS2 môže viesť k významným sankciám. Pre základné subjekty môžu pokuty dosiahnuť až najmenej 10 miliónov EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia. Pre dôležité subjekty je to až 7 miliónov EUR alebo 1,4 % obratu. Okrem finančných sankcií môže nedodržanie viesť k poškodeniu povesti a strate dôvery zákazníkov.

Ako vám môžem pomôcť

Orientácia v zložitostiach NIS2 môže byť náročná. Ako IT profesionál s odbornými znalosťami v oblasti správy systémov, bezpečnosti webových aplikácií a automatizácie môžem vašej firme pomôcť:

  • Posúdiť vašu súčasnú IT infraštruktúru voči technickým požiadavkám NIS2.
  • Implementovať osvedčené postupy zabezpečenia pre vaše servery a webové aplikácie.
  • Poradiť so stratégiami zálohovania dát a obnovy po havárii.
  • Pomôcť automatizovať úlohy monitorovania bezpečnosti a hlásenia, kde je to uskutočniteľné.

Hoci neponúkam kompletné právne poradenstvo v oblasti súladu s NIS2, môžem vám pomôcť posilniť technické základy vašej kybernetickej bezpečnosti, čo je kritická súčasť plnenia požiadaviek smernice.

Záver

Smernica NIS2 predstavuje významný krok vpred v posilňovaní odolnosti voči kybernetickým hrozbám v celej EÚ. Hoci zavádza prísnejšie požiadavky, poskytuje podnikom aj príležtosť posilniť svoju obranu proti neustále sa vyvíjajúcim kybernetickým hrozbám. Proaktívna príprava a záväzok k robustným postupom kybernetickej bezpečnosti už nie sú len dobrým obchodným rozhodnutím – sú regulačným imperatívom.

Vyhlásenie: Tento článok poskytuje všeobecný prehľad smernice NIS2 a nemal by byť považovaný za právne poradenstvo. Podniky by sa mali poradiť s právnymi a kyberneticko-bezpečnostnými odborníkmi, aby zaistili plný súlad so špecifickými vnútroštátnymi implementáciami NIS2.

Zdieľať článok

« Späť na prehľad