Regulácie

NIS2Network and Information Security Directive 2

NIS2 (Network and Information Security Directive 2) je EÚ smernica platná od októbra 2024, ktorá zavádza prísnejšie kybernetické požiadavky pre širší okruh organizácií, vrátane povinnej detekcie, hlásenia incidentov do 24 hodín a osobnej zodpovednosti manažmentu pod hrozbou pokuty až 10 mil. € alebo 2 % obratu.

Čo je NIS2

NIS2 (smernica EÚ 2022/2555) je nástupkyňa pôvodnej NIS smernice z 2016. Cieľom je harmonizovať a sprísniť kyberbezpečnostné požiadavky naprieč EÚ po vlne ransomware útokov, ktoré ukázali, že NIS1 bola nedostatočná.

NIS2 vstúpila do platnosti 17. októbra 2024 (deadline transpozície do národných právnych poriadkov). V SR ju implementuje novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti.

Koho sa NIS2 týka v SR

NIS2 rozdeľuje organizácie na dve kategórie:

Essential entities (kľúčové subjekty)

  • Energetika (elektrina, plyn, ropa, teplo, vodík)
  • Doprava (letecká, železničná, vodná, cestná)
  • Bankovníctvo a finančný trh
  • Zdravotníctvo (nemocnice, výroba liekov)
  • Pitná voda, odpadové vody
  • Digitálna infraštruktúra (DNS, TLD, cloud providers, datacentrá)
  • ICT service management (B2B)
  • Verejná správa (ústredné orgány)
  • Vesmír

Important entities (dôležité subjekty)

  • Poštové a kuriérske služby
  • Odpadové hospodárstvo
  • Chemická výroba a distribúcia
  • Výroba potravín
  • Výroba (medical devices, IT, vozidlá, stroje, elektronika)
  • Digitálne platformy (online marketplaces, search engines, social platforms)
  • Výskum

Veľkostná hranica: stredné a veľké podniky (50+ zamestnancov ALEBO obrat 10+ mil. €). Mikro a malé sú spravidla vyňaté, okrem niektorých sektorov (DNS, kritická infraštruktúra) kde platí bez ohľadu na veľkosť.

Kľúčové požiadavky NIS2

Smernica definuje 10 minimálnych kontrolných oblastí (Čl. 21):

  1. Risk management a politiky bezpečnosti informačných systémov
  2. Incident handling: detekcia, response, recovery
  3. Business continuity (zálohovanie, disaster recovery, crisis management)
  4. Supply chain security (dodávateľská reťaz)
  5. Acquisition, development, maintenance bezpečnosti
  6. Hodnotenie účinnosti opatrení
  7. Kybernetická hygiena a tréningy
  8. Kryptografia (politiky šifrovania)
  9. Riadenie ľudských zdrojov, prístupov a aktív
  10. Multi-factor authentication a zabezpečené komunikácie

Plus špecifické povinnosti:

  • 24h early warning: hlásenie podozrenia na závažný incident NBÚ do 24 hodín
  • 72h incident notification: kompletný report do 72 hodín
  • 1 mesiac final report: záverečná analýza
  • Osobná zodpovednosť manažmentu: board musí schvaľovať opatrenia a môže byť osobne sankcionovaný
  • Registration: zápis do registra NBÚ

Pokuty a sankcie

  • Essential entities: až 10 mil. € alebo 2 % celosvetového ročného obratu (vyššia suma)
  • Important entities: až 7 mil. € alebo 1,4 % obratu
  • Manažment osobne: dočasný zákaz výkonu funkcie, povinné školenia, verejné označenie ne-compliance

Okrem priamych pokút hrozí reputačné riziko a civilná zodpovednosť voči poškodeným klientom.

Praktické kroky k NIS2 compliance

  1. Gap assessment: kde stojíte voči 10 kontrolným oblastiam (ideálne externý audit)
  2. Registrácia v NBÚ: povinné pre essential aj important entities
  3. Risk register: identifikácia, hodnotenie, prioritizácia rizík
  4. Detekcia a incident response capability: buď in-house SOC alebo Managed SOC
  5. Supply chain audit: dodávatelia musia tiež plniť bezpečnostné minimum
  6. MFA + krypto politiky: vo všetkých kritických systémoch
  7. BCP/DRP testing: minimálne ročne tabletop exercise
  8. Board training: manažment musí preukázať porozumenie kybernetickým rizikám
  9. Reportovacie procesy: pripravený postup pre 24h/72h/1m hlásenie

Ako vám pomôže Managed SOC pri NIS2

Z 10 kontrolných oblastí NIS2 priamo pokrýva Managed SOC ako Exe:SOC tieto:

  • Incident handling: detekcia + SLA <15 min reakcia
  • Hodnotenie účinnosti: mesačné/kvartálne reporty
  • Incident notification: predpripravené procesy 24h/72h hlásenia
  • Risk assessment: kontinuálne cez threat intelligence
  • Kybernetická hygiena: alerty pri zlej konfigurácii

Zvyšok (kryptografia, MFA, BCP) je úloha vašeho IT. Pomôžeme dizajnovať architektúru a auditovať pripravenosť.

Konzultácia o NIS2 pripravenosti →

Časté otázky o NIS2

Aký je rozdiel medzi NIS1 a NIS2?
NIS2 (2022) rozširuje pôsobnosť na ďalších 7 sektorov, zavádza osobnú zodpovednosť manažmentu, zvyšuje pokuty (až 2 % obratu), prísnejšie hlásenie incidentov (24h/72h/1m) a explicitné požiadavky na supply chain bezpečnosť.
Koho sa NIS2 týka v SR?
Stredné a veľké podniky (50+ zamestnancov alebo 10+ mil. € obrat) v 18 sektoroch: od energetiky a bankovníctva cez zdravotníctvo, výrobu, IT služby až po verejnú správu.
Aké sú pokuty za nesúlad s NIS2?
Pre essential entities až 10 mil. € alebo 2 % celosvetového obratu. Pre important entities až 7 mil. € alebo 1,4 % obratu. Plus osobná zodpovednosť manažmentu (zákaz funkcie).
Do kedy sa treba prispôsobiť NIS2 v SR?
Smernica platí od 17. 10. 2024. NBÚ poskytol prechodné obdobie pre niektoré ustanovenia, ale registrácia a základné opatrenia mali byť hotové do konca 2024.
Som malá firma, musím plniť NIS2?
Mikro a malé firmy (do 50 zamestnancov, do 10 mil. € obratu) sú spravidla VYŇATÉ. Výnimky platia pre kritickú infraštruktúru (DNS providers, TLD registries, dôveryhodné služby, ICT B2B služby), kde platí NIS2 bez ohľadu na veľkosť.
Stačí mi antivírus a firewall pre NIS2?
Nie. NIS2 explicitne vyžaduje detekčnú kapacitu, t.j. SIEM + SOC alebo Managed SOC. Antivírus a firewall sú nutné minimum, ale nepokrývajú detekciu lateral movement, insider threat, ani správu incident response.