Európska smernica NIS2 (Network and Information Security Directive 2) môže slovenským organizáciám prirobiť starosti, ale taktiež im paradoxne pomôcť vyriešiť problémy v prípade kybernetického zabezpečenia. Konkrétne tým, ktoré doteraz túto vážnu hrozbu neriešili alebo nemohli obhájiť potrebný rozpočet na dostatočne kvalifikovaných zamestnancov.
Smernica NIS2 má za cieľ zvýšiť odolnosť digitálnej infraštruktúry EÚ voči kybernetickým útokom a zlepšiť koordináciu a reakčné schopnosti pri incidentoch. „Práve toto sú aspekty, pri ktorých mnoho subjektov nielen na Slovensku robí chyby. Je to dané tým, že na trhu je nedostatok IT odborníkov, a ešte menej expertov na kyberbezpečnosť. Subjekty, ktorých sa smernica po novom týka, budú musieť zabezpečiť, aby ich IT siete a informačné systémy boli dostatočne chránené proti kybernetickým hrozbám. Preto sa môže tento problém ešte prehĺbiť,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron.
Dotknuté inštitúcie musia implementovať opatrenia pre prevenciu kybernetických útokov a rizík, ako sú napríklad pravidelné aktualizácie softvéru, zabezpečenie sieťových zariadení a ochrana pred phishingovými útokmi. Dokonca si musia pripraviť plány pre prípad kybernetických incidentov a zriadiť mechanizmy pre ich rýchle a účinné riešenie.
Dôležité incidenty bude treba hlásiť do 24 hodín od ich zistenia a spolupracovať s národnými bezpečnostnými orgánmi. Ak by spoločnosti neboli schopné splniť tieto požiadavky, hrozia im pokuty a ďalšie sankcie.
Bolo by skvelé, keby smernica NIS2 pomohla skoncovať s nedostatkom odborníkov na kybernetickú bezpečnosť. Avšak to sa asi nepodarí a na prvý pohľad by sa dokonca mohlo zdať, že sa problém ešte prehĺbi. Regulácia je však výbornou príležitosťou ako organizácie zabezpečiť. S tým hravo pomôžu externí dodávatelia kybernetickej bezpečnosti, ktorí disponujú dostatočnými kapacitami tam, kde organizáciám chýbajú. „Špecializované firmy sa totiž zameriavajú práve na poskytovanie týchto služieb a môžu pomôcť subjektom implementovať bezpečnostné opatrenia a riadenie rizík, a to kompletnou formou, teda službou na kľúč alebo formou dodávky riešení vrátane podpory, rovnako tak zaistia splnenie požiadaviek smernice NIS2,“ uvádza Petr Kocmich.
Špecializované firmy okrem iného môžu pomôcť vyriešiť nielen novú požiadavku, ale aj predchádzajúce „nedotiahnuté“ zabezpečenie IT infraštruktúry a informačných systémov subjektov. Avšak, aj keď inštitúcie využijú služby týchto dodávateľských firiem, zodpovednosť je stále na ich strane, preto by si mali dodávateľov vyberať starostlivo a zistiť, či majú dostatočnú kvalifikáciu, skúsenosti a osvedčenia. Dôležité je tiež postarať sa o správne zadanie úloh a kontrolu výkonu služieb dodávateľom. V záujme zabezpečenia efektivity a účinnosti tohoto modelu by mali byť úlohy a zodpovednosti jednoznačne definované v zmluve medzi organizáciou a dodávateľom služieb kybernetickej bezpečnosti. Je potrebné si totiž uvedomiť, že kvalita dodávanej služby mnohokrát reflektuje kvalitu a schopnosti riadenia dodávateľa.
Smernica pre firmy na Slovensku bude znamenať väčšie povinnosti v oblasti kybernetickej bezpečnosti a ochrany siete a informačných systémov. Avšak prinesie aj zvýšenú ochranu a odolnosť voči kybernetickým hrozbám a väčšiu spoluprácu medzi európskymi štátmi v tejto oblasti. V neposlednom rade, splnenie požiadaviek NIS2 môže pomôcť organizáciám získať dôveru svojich zákazníkov a partnerov, ktorí budú spokojnejší s ochranou svojich dát a informácií. Celkovo by smernica mohla pomôcť subjektom zlepšiť bezpečnostné postupy a minimalizovať riziká.
NIS2 sa vzťahuje na výrobcov elektriny, poskytovanie zdravotnej starostlivosti, poskytovanie služieb elektronických komunikácií, ale tiež na ďalších viac než 60 služieb roztriedených do 18 odvetví. Na Slovensku novinka vstúpila do platnosti v polovici januára 2023, odkedy začína plynúť 21-mesačná lehota na transformáciu podnikov. Zmeny by sa mali začať uplatňovať od októbra 2024 a týkať sa budú až 6 000 – 10 000 subjektov – stredných a veľkých firiem nad50 zamestnancov alebo firiem s ročným obratom nad 10 miliónov eur. Napriek tomu že je smernica NIS2 platná iba pre organizácie, ktoré spĺňajú definované kritériá, a ostatné tak nie sú priamo povinné požiadavky spĺňať, je vhodné uvažovať o tom, či ju nevyužiť ako odporúčanie pre zlepšenie všeobecnej kybernetickej bezpečnosti aj v ďalších podnikoch.
„Odhadom až 70 % domácich organizácií má problém s kybernetickou bezpečnosťou. Najmä menšie a stredné podniky nemajú dostatočne zabezpečené IT systémy a nedodržujú základné bezpečnostné opatrenia,“ hovorí Petr Kocmich. Častým problémom sú napríklad benevolentné oprávnenia bežných užívateľov, chýbajúce dvoj/viacfaktorové overenie v kombinácií so slabými heslami (aj administrátorov), chybným riadením a decentralizáciou užívateľských identít, zastaralý a nechránený hardvér či softvér obsahujúci zraniteľnosti, chýbajúca sieťová segmentácia, slabá alebo chýbajúca ochrana e-mailových služieb a prístupu k internetu, nedostatočná ochrana perimetra, nízka viditeľnosť v rámci sieťovej prevádzky, nízke alebo chýbajúce zabezpečenie koncových staníc, chýbajúci centrálny log management alebo nedostatočné školenia zamestnancov. „Kybernetická bezpečnosť je pre mnoho slovenských spoločností veľkým problémom a pre útočníkov môžu byť ľahkými cieľmi. Smernica NIS2 by mala prispieť k zvýšeniu povedomia a ochrane proti kybernetickým hrozbám,“ dodáva Petr Kocmich.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.