NIS2 READY
„Našej organizácie sa to netýka. Nedostali sme žiadne oficiálne oznámenie.“
Takéto vyhlásenie sa v diskusiách o NIS2 stáva čoraz častejším. Nie preto, že by organizácie zanedbávali kybernetickú bezpečnosť, ale preto, že mnohé z nich sa stále spoliehajú na zastaraný regulačný prístup, podľa ktorého povinnosti vznikajú až po formálnom administratívnom rozhodnutí.
Smernica NIS2 tento prístup zásadne mení.
Ak ste sa už stretli s otázkou „Vzťahuje sa NIS2 na nás?“, pravdepodobne ste narazili na rovnaký problém ako mnoho iných organizácií – odpoveď sa často líši od toho, čo spoločnosti očakávajú. V samostatnom článku (Vzťahuje sa NIS2 na vašu organizáciu? Tu je to, čo potrebujete vedieť) podrobne vysvetľujeme, ako NIS2 definuje kľúčové -základné a dôležité subjekty a ako sa určuje rozsah pôsobnosti smernice. Aj keď firmy chápu tieto zásady, v praxi stále vidíme tie isté mylné predstavy.
Ako NIS2 funguje v praxi
Smernica NIS2 zavádza princíp, podľa ktorého sa organizácie automaticky stávajú regulovanými subjektmi, ak spĺňajú stanovené podmienky.
Rozlišujeme medzi dvoma kategóriami:
- Základné subjekty
- Dôležité subjekty
Rozdiel medzi týmito kategóriami sa týka hlavne:
- intenzity dohľadu,
- mechanizmov vymáhania,
- systémov sankcií.
Základné povinnosti sa však vzťahujú na obe skupiny. Medzi tieto povinnosti patrí najmä zavedenie primeraných opatrení riadenia kybernetických rizík a hlásenie významných incidentov.
Kedy skutočne vznikajú povinnosti vyplývajúce zo smernice NIS2?
Je potrebné pochopiť jeden kľúčový právny fakt:
Smernica NIS2 sa stáva právne záväznou až po jej transpozícii do vnútroštátneho práva každého členského štátu EÚ.
Po jej transpozícii sa uplatňuje nový regulačný model:
Povinnosti môžu vzniknúť priamo na základe zákona („ex lege“), ak organizácia spĺňa dané kritériá – bez potreby individuálneho rozhodnutia dozorného orgánu.
Čakanie na formálne oznámenie preto nezbavuje organizáciu právnej zodpovednosti.
NIS2 vs. „zaradený subjekt“ v národnej legislatíve
Častým zdrojom nejasností je terminológia. NIS2 používa pojmy „základný subjekt“ a „dôležitý subjekt“.
Tieto pojmy určujú to, či organizácia spadá pod smernice a ktorý režim dohľadu sa na ňu uplatňuje.
Národná legislatíva (napríklad na Slovensku) používa pojem „zaradený (registrovaný) subjekt“.
Tento pojem slúži na administratívne a kontrolné účely, ako napríklad:
- vedenie úradných registrov,
- možnosť formálnej komunikácie s príslušným orgánom,
- konanie dozorných činností a inšpekcií.
Zjednodušene povedané:
- NIS2 definuje, kto podlieha regulácii,
- národné právo definuje, ako sa regulácia implementuje a vymáha.
Tieto vrstvy sa navzájom dopĺňajú – nie sú v rozpore.
Samohodnotenie: Zodpovednosť je na organizácii
NIS2 presúva veľkú časť regulačnej zodpovednosti priamo na organizácie.
Organizácie sú povinné:
- vykonávať samohodnotenie uplatniteľnosti smernice,
- určiť, či spĺňajú sektorové a veľkostné kritériá,
- zaregistrovať sa u daného regulačného orgánu,
- poskytovať presné a aktuálne informácie.
Čakanie na formálnu registráciu neznamená, že povinnosti už v tej chvíli neexistujú.
Príklad z praxe
Stredne veľká technologická spoločnosť poskytovala IT služby organizáciám verejného sektora. Spĺňala sektorové a veľkostné prahové hodnoty podľa NIS2, ale predpokladala, že smernica sa ešte neuplatňuje, pretože nebolo doručené žiadne oficiálne oznámenie od regulátora.
Po kybernetickom incidente sa ukázalo, že:
- spoločnosť mala byť registrovaná,
- mali byť zavedené primerané bezpečnostné opatrenia,
- incident mal byť nahlásený v zákonnej lehote.
Dôsledky presiahli technickú nápravu a zahŕňali nedostatky v oblasti compliance aj negatívny dopad na reputáciu spoločnosti.
Čo to znamená pre organizácie?
Pre organizácie to vedie k jednému hlavnému záveru: aj keď ste neboli formálne klasifikovaní národným orgánom (napríklad NBÚ na Slovensku), po zavedení NIS2 do vnútroštátneho práva môžete už zodpovedať právne záväzným povinnostiam.
Čakanie na formálne rozhodnutie neposúva zodpovednosť. Odloží to iba prípravu.
NIS2 preto presúva centrum regulačnej zodpovednosti na vnútro organizácie. Zodpovednosť za posudzovanie, dokumentáciu a zavedenie základných opatrení už neleží primárne na štátnych orgánoch, ale na samotnej organizácii a jej vedení.
hlavné ponaučenie
NIS2 nie je o tom, či ste „na zozname“. Je o tom, či ste pripravení včas prijať zodpovednosť.
Organizácie, ktoré to pochopia včas, budú k NIS2 pristupovať ako k zvládnuteľnému systému riadenia rizík. Tí, ktorí čakajú na externé formálne signály, sa s predpismi stretnú až v krízovom režime – po incidente alebo počas auditu.
Po identifikácii svojich povinností vyplývajúcich z NIS2 má mnoho organizácií často problémy s ich vykonávaním. V našom článku – Ako vybrať správny nástroj GRC pre vašu organizáciu vysvetľujeme, ako efektívne nastaviť procesy riadenia a dodržiavania regulácie.