Novela zákona o kybernetickej bezpečnosti
NIS2 je smernica Európskeho parlamentu a Rady Európskej únie, ktorej cieľom je zlepšiť kybernetickú bezpečnosť v celej EÚ. Každý členský štát je povinný transponovať povinnosti vyplývajúce z tejto smernice do miestnych právnych predpisov. Slovenská republika upravila tieto povinnosti v novele zákona o kybernetickej bezpečnosti. č. 69/2018 Z. z. Novela sa zameriava na organizácie, ktoré poskytujú základné alebo kritické služby pre spoločnosť a ekonomiku. Nové požiadavky podľa novely zákona zavádzajú zvýšené štandardy ochrany na lepšiu odolnosť proti kybernetickým hrozbám.
Jedným z hlavných kritérií na určenie regulovaného subjektu je jeho veľkosť. Nová legislatíva sa vzťahuje na organizácie, ktoré majú viac ako 50 zamestnancov a obrat nad 10 miliónov eur. Zákon však identifikuje aj subjekty, ktoré môžu byť zaradené medzi regulované bez ohľadu na ich veľkosť.
Podľa novely zákona o kybernetickej bezpečnosti sú regulované subjekty povinné zaviesť prísnejšie bezpečnostné opatrenia, ako je monitorovanie sietí, správa zraniteľností či včasné hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli, zraniteľnosti a riešenie kybernetického bezpečnostného incidentu.
Smernicou NIS2 sa odstraňuje rozdiel medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby a samotné regulované subjekty – prevádzkovatelia základných služieb – sa de facto rozdeľujú na základe ich dôležitosti do dvoch kategórií: na kľúčové subjekty prevádzkujúce kritickú základnú službu a dôležité subjekty, čo sú ostatní prevádzkovatelia základných služieb.
Zavádza sa minimálna úroveň bezpečnostných opatrení a natrvalo sa zavádza inštitút samohodnotenia. Organizácie musia samy posúdiť, či spĺňajú podmienky na registráciu regulovanej služby a či sa na ne vzťahujú povinnosti vyplývajúce z novely zákona. Novela zákona obsahuje kritériá, ktoré umožňujú organizáciám samostatne posúdiť, či sa ich povinnosti týkajú. Ak subjekt spĺňa podmienky v zmysle novely zákona, musí sa nahlásiť Národnému bezpečnostnému úradu. Následne po tom, čo NBÚ rozhodne o zápise daného subjektu do registra podľa novely zákona, musí tento subjekt podľa podmienok stanovených novelou zákona spĺňať všetky povinnosti, ktoré mu z novely zákona vyplývajú.
Bezpečnostné opatrenia vyplývajúce z NIS2
1. Identifikovať zraniteľnosti, kybernetické hrozby a riziká
2. Detegovať nežiaduce udalosti a incidenty
3. Reagovať na identifikované zraniteľnosti a incidenty a minimalizovať ich vplyv na informačné aktíva
4. Riešiť a reagovať na kybernetické bezpečnostné incidenty
5. Obnoviť informačné aktíva, napraviť negatívne dôsledky po vzniku incidentu a uviesť poskytované služby do požadovaného stavu
6. Vykonávať analýzu rizík a bezpečnosti sietí a systémov
7. Dohliadať na bezpečnosť pri nadobúdaní, vývoji a údržbe siete a informačných systémov (zraniteľnosti)
8. Zabezpečiť kontinuitu činností, riadenie zálohovania a obnovu systému po havárii a krízové riadenie
9. Zaistiť bezpečnosť dodávateľského reťazca
10. Dodržiavať zásady a postupy posudzovania účinnosti prijatých bezpečnostných opatrení na riadenie kybernetických rizík
11. Dodržiavať základnú kybernetickú hygienu a odbornú prípravu, zásady a postupy používania kryptografie alebo šifrovania
12. Venovať sa bezpečnosti ľudských zdrojov
13. Využívať viacstupňovú alebo kontinuálnu autentifikáciu (hlas, obraz a text)
