Európska smernica o bezpečnosti sietí a informačných systémov je tu iba pár mesiacov a už sa hlásia rôzni potenciálni dodávatelia kyberbezpečnostných služieb.
Takže: presne na tento tlak si dajte pozor. Už teraz sa šíria nepodložené informácie.
Jeden príklad za všetky
Exemplárnym príkladom sektora, ktorý ovplyvní nová legislatíva v kyberbezpečnosti, je potravinárstvo. Na Slovensku ho tvoria desiatky malých a stredných podnikov, ktoré sa navyše v ostatných rokoch vyrovnávajú s množstvom problémov. Už teraz sú potravinári pod tlakom dodávateľov kyberslužieb, ktorí mávajú povinnosťami a pokutami.
„Sektor si plne uvedomuje, že zaradenie potravinárov do kritickej infraštruktúry prináša so sebou aj zvýšené nároky na ochranu pred kyberhrozbami,“ priznáva riaditeľka Potravinárskej komory Slovenska Jana Venhartová. Nie je to však dôvod na paniku alebo unáhlené kroky.
Komunikačná obojsmerka
Jana Venhartová apeluje na štátnu autoritu, aby ešte pred implementáciou európskej smernice do slovenskej legislatívy mali zástupcovia potravinárskych organizácií možnosť diskutovať. A aby následne bola zabezpečená informovanosť a poradenstvo. To má v konečnom dôsledku zásadný vplyv na konkurencieschopnosť domáceho priemyslu.
Povedomie o nových povinnostiach je medzi potravinármi ešte nízke. Situáciu zhoršuje nedostatok finančných prostriedkov na nové technológie a chýbajúca kvalifikovaná pracovná sila.
Rovnako by potravinári uvítali vypísanie výziev na zavádzanie digitalizácie, s čím následne súvisí aj zabezpečenie bezpečnosti systémov a dát. Ak sa na to pozrieme z hľadiska spomínaných malých a stredných firiem, tvrdenie by mohlo platiť plošne.
Pravda o mýtickej smernici
Smernica o bezpečnosti sietí a informačných systémov (Network and Information Security – NIS) v roku 2016 bola prvým legislatívnym opatrením v oblasti kybernetickej bezpečnosti v Únii. Cieľom revidovanej smernice NIS2 je zjednotiť požiadavky na kyberbezpečnosť a implementáciu opatrení v členských štátoch.
Pozornosť priťahuje najmä aktualizovaný zoznam sektorov a činností, na ktoré sa vzťahujú povinnosti v oblasti kyberbezpečnosti. Smernica obsahuje regulačný rámec aj nápravné opatrenia a sankcie a mechanizmy spolupráce medzi príslušnými orgánmi.
Z praktického hľadiska pribudnú aj požiadavky reakcie na incidenty, v bezpečnosti dodávateľského reťazca, v šifrovaní a pri zverejňovaní zraniteľností.
Koľko máme času
Členské štáty musia prijať a zverejniť opatrenia potrebné na dosiahnutie súladu so smernicou NIS2 do októbra 2024.
Rôzne štáty musia urobiť rôzny počet krokov, aby Únia dosiahla vysokú úroveň kyberbezpečnosti. Dobrou vizitkou pre Slovensko je zákon o kyberbezpečnosti z roku 2018, ktorý nastavil požiadavky veľmi vysoko a stanovil širší okruh subjektov, ako odporúčala prvá smernica. Faktom však zostáva, že povinných subjektov pribudne.
„Po konzultáciách so Štatistickým úradom SR odhadujeme počet príslušných subjektov na Slovensku približne na šesťtisíc,“ potvrdil hovorca Národného bezpečnostného úradu Peter Habara.
Transpozícia? Bude
Národný bezpečnostný úrad odštartuje prípravy transpozície NIS2 do novely zákona na jeseň 2023. „V prvom kvartáli 2024 predpokladáme vyústenie legislatívneho procesu do predloženia návrhu a účinnosť legislatívy od januára 2025. Proces bude sprevádzať diskusia s odbornou verejnosťou a prevádzkovateľmi,“ spresňuje očakávanú informáciu Peter Habara.
Prevádzkovatelia však nemusia mať obavy – pre súčasných sa veľa nezmení a noví budú mať prechodné obdobie na to, aby sa prispôsobili novým podmienkam. Všetko však až po nadobudnutí platnosti a účinnosti novely zákona o kybernetickej bezpečnosti.
Netreba spať na vavrínoch
Nové bezpečnostné ustanovenia sa budú vzťahovať na esenciálne odvetvia – energetiku, dopravu, bankovníctvo, zdravotníctvo, digitálnu infraštruktúru, verejnú správu a vesmírny sektor.
Úprava legislatívy zasiahne aj poštové služby, odpadové hospodárstvo, výrobu chemických látok, potravín, zdravotníckych pomôcok, motorových vozidiel, elektroniku, strojárstvo či poskytovateľov digitálnych služieb.
Obavy, klebety a skutočnosť
Malé a stredné firmy sa obávajú nových byrokratických povinností, neprehľadných investícií aj vysokých pokút. Preto je dôležité podeliť sa o skúsenosti s tými, čo už majú tieto povinné opatrenia za sebou.
Tibor Paulen, manažér informačnej bezpečnosti zo Stredoslovenskej distribučnej, vidí legislatívne a regulačné opatrenia aj ako katalyzátor pozitívnych zmien. „Ak opatrenia berú do úvahy realitu v regulovanej oblasti a zladia sa s jej hlavnými motivačnými faktormi, majú v sebe potenciál posunúť situáciu k lepšiemu.“
Jednoducho povedané, firmy nemajú problém zafinancovať opatrenia, ktoré im dávajú zmysel a nenarúšajú ich podnikanie.
Všetko je na niečo dobré
Rozruch okolo smernice je dobrý ešte na jednu vec – s hroziacim príchodom NIS2 si čoraz viac firiem uvedomuje potrebu riešiť bezpečnosť.
Smernica NIS2 obsahuje takzvaný koncept správy rizika, kde by mali spozornieť štatutári. Štatutárne orgány budú mať povinnosť schváliť opatrenia na riadenie rizík kyberbezpečnosti, pričom smernica stanovuje aj možnosť vyvodenia osobnej zodpovednosti.
Oporné body
Pripravovaná legislatíva sa sústreďuje na predchádzanie incidentu kontrolou zraniteľností, podčiarkuje výkon auditu kyberbezpečnosti a dáva dôraz na prácu s ľuďmi ako najzraniteľnejším článkom. Masívnosť kyberútokov a hrozieb totiž rastie geometrickým radom.
Svetové ekonomické fórum zaradilo kyberzločin v krátkodobom aj dlhodobom horizonte medzi najväčšie globálne hrozby. Navyše ide o jediný zločin v desiatke globálnych hrozieb tejto dekády.