Firmy čakajú prísnejšie pravidlá kybernetickej bezpečnosti. Na Slovensku začne onedlho platiť smernica Európskeho parlamentu Network and Information Security – NIS 2, zaväzujúca k väčšej kontrole a obozretnosti. 

Firmy sa ňou budú musieť riadiť od januára 2025. Znamená to zosúladiť s jej znením svoje bezpečnostné opatrenia, dokumentáciu, procesy a technológie. Aké konkrétne požiadavky je potrebné splniť? Pre koho budú nové pravidlá záväzné a čo je ich cieľom? Kedy by sa firmy mali začať vôbec pripravovať a dokedy je potrebné všetko stihnúť? Pokúsime sa priniesť zopár odpovedí.

S istotou možno konštatovať, že všetky spoločnosti spadajúce pod NIS 2 budú povinné chrániť bezpečnosť IT systémov kombináciou viacerých typov opatrení, a to nielen na technologickej úrovni, ale aj na úrovni personálnej, fyzickej a organizačnej. Vo výhode budú tí, ktorí už absolvovali certifikáciu podľa ISO 27001 - Informačná bezpečnosť, kybernetická bezpečnosť, a ochrana súkromia Systémy manažérstva informačnej bezpečnosti. Požiadavky vyplývajúce z NIS 2 budú v mnohom podobné.

Prvým krokom vo firme pri zosúladení s NIS 2 by mala byť „vnútorná inventúra“ informačných systémov. Mnohé spoločnosti si ich budujú a pridávajú aplikácie postupne a nie všetko je vždy pod kontrolou IT. Zamestnanci sa často rozhodnú využívať populárne cloud a online riešenia bez konzultácie, alebo dokonca bez vedomia IT oddelenia. Katalóg informačných aktív, ktorý inventúrou vznikne, je preto nevyhnutným prvým krokom pre zistenie, čo vlastne potrebuje firma chrániť. Okrem softvérových riešení a cloudových služieb medzi informačné aktíva patria aj osobné údaje, dáta obsahujúce firemné know-how, obchodné tajomstvo a v neposlednom rade sú to tiež priestory – serverovňa a miesta, kde sú uložené sieťové prvky mimo nej.

Ak už firma vie, čo potrebuje chrániť, mala by si určiť aj priority a silu opatrení, ktoré chce na zabezpečenie svojich informačných aktív využívať. Existujúci zákon o kybernetickej bezpečnosti hovoril o tom, že každá informácia, informačný systém a sieť majú byť klasifikované a kategorizované. Až na základe zaradenia týchto informačných aktív podľa ich bezpečnostných atribútov bolo možné rozhodnúť, aké opatrenia sú povinné a aké odporúčané. NIS 2 a návrh zákona vyžaduje realizovať bezpečnostné opatrenia na základe vykonanej analýzy rizík a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti. Bez ohľadu na to by sila prijatých opatrení mala byť adekvátna dôležitosti práve rizikám aj aktívam. Aj tu platí, že náklad na zníženie rizika nemôže byť vyšší než je potenciálny dopad tohto rizika.

Dôsledná analýza rizík a ich riadenie vo vzťahu k informačným aktívam už bola súčasťou existujúceho zákona o kybernetickej bezpečnosti No podľa smernice NIS 2 sa stáva kľúčovou činnosťou pre rozhodnutie o tom, aké opatrenia vykonať a aké riziká ošetriť. Pomôžeme vám a posúdime úroveň informačnej bezpečnosti – legislatívny súlad.

Rozhodnutie, čo je ešte akceptovateľné riziko, však ostáva v rukách manažmentu každej spoločnosti. Pre tie, ktoré sa doteraz riadeniu rizík nevenovali, si to bude vyžadovať nastavenie vnútornej spolupráce medzi manažmentom, vlastníkmi rizík, a manažérom kybernetickej bezpečnosti. Povinnosťou manažmentu je určiť tzv. „rizikový apetít“ – teda úroveň, ktorú pre konkrétne riziko, proces, alebo projekt ešte dokáže firma akceptovať. Všetky riziká, ktoré sú vyššie, predstavujú kritické ohrozenie. Práve tými by sa mal manažment zaoberať a vyhradiť aj zdroje potrebné na ich ošetrenie.  

NIS 2 teda nie je revolúcia. Zodpovedné firmy vnímajú kybernetickú bezpečnosť ako dôležitú už teraz a postupne zdokonaľujú ochranu pred hrozbami aj bez nutnosti existencie zákona. Intuitívne vykonávané kroky smerom k vyššej bezpečnosti sú totiž lepšie, než čakanie na zákon, o ktorého detailoch zatiaľ veľa nevieme, či spoliehanie sa na zjednodušenia a „analýzy“ poskytované zdarma.