Smernica NIS 2, ktorú prijala Európska únia, kladie nové požiadavky na všetky subjekty verejnej správy vrátane samospráv. Tieto zmeny sú reakciou na zvyšujúce sa riziká kybernetických útokov, ktoré zasahujú verejný sektor. Prečo je táto smernica taká dôležitá a čo znamená pre samosprávy?
Nová pôsobnosť smernice
Jedným z hlavných aspektov NIS 2 je rozšírenie pôsobnosti smernice. Oproti jej predchodkyni sa teraz povinnosti vzťahujú na oveľa väčší počet subjektov. Zatiaľ čo NIS 1 sa týkala len najväčších subjektov vo verejnej správe, NIS 2 zahŕňa napríklad všetky subjekty verejnej správy na regionálnej úrovni bez ohľadu na veľkosť. To znamená, že aj menšie subjekty musia dodržiavať prísne bezpečnostné pravidlá.
Zvýšené požiadavky na bezpečnosť
NIS 2 kladie dôraz na posilnenie preventívnych opatrení, ktoré majú zabrániť kybernetickým hrozbám. Medzi ne patrí napríklad dvojfaktorové overovanie, šifrovanie komunikácie a nepretržité monitorovanie systémov. Samosprávy musia tieto opatrenia zavádzať systematicky a zabezpečiť, aby ich dodržiavanie bolo pravidelne kontrolované.
Okrem technických riešení sú dôležité aj organizačné opatrenia, ako je vzdelávanie zamestnancov a definovanie postupov pre reakciu na kybernetické incidenty. Takýto prístup môže výrazne znížiť riziko útokov a zabezpečiť nepretržitý chod verejných služieb.
Prísne sankcie a zodpovednosť
NIS 2 prináša aj nové sankčné mechanizmy, ktoré budú výrazne prísnejšie. V prípade nedodržania pravidiel môžu byť subjektom spadajúcim pod NIS 2 udelené vysoké pokuty. Okrem toho štát môže zasiahnuť aj voči jednotlivým štatutárom, ktorí budú niesť osobnú zodpovednosť za nedostatky v kybernetickej ochrane.
Táto zodpovednosť zahŕňa aj riziko zákazu vykonávať riadiace funkcie pre štatutárov, ktorí nesplnia svoje povinnosti. Pre samosprávy to znamená, že musia aktívne pristupovať k implementácii bezpečnostných opatrení a neodkladať ich realizáciu.
Časový rámec implementácie
Slovensko má povinnosť schváliť zákon, ktorý implementuje NIS 2, do 17. októbra tohto roka. To znamená, že samosprávy majú obmedzený čas na prípravu. Zároveň čelia výzve, že na Slovensku je veľký nedostatok kybernetických odborníkov, čo môže sťažiť ich prípravy.
Napriek tomu je nevyhnutné začať s prípravou už teraz. Samosprávy by mali vyhľadať externých odborníkov na kybernetickú bezpečnosť a začať implementovať odporúčané opatrenia, aby boli v súlade s novými požiadavkami a znížili riziko kybernetických incidentov.