Štatistiky hovoria jasne – celosvetové škody spôsobené kybernetickou kriminalitou prekročili za posledných 5 rokov hranicu rekordných 8 biliónov eur. Len od roku 2023 narástol počet phishingových útokov o 173 % a celosvetovo až 75 % firiem zažilo ransomwarový útok.
„Tieto a ďalšie štatistiky sú alarmujúce a ukazujú, že kybernetická kriminalita už nie je len hrozbou pre nadnárodné spoločnosti, ale čoraz viac zasahuje aj stredne veľké a dokonca aj menšie podniky. Firmy by si mali uvedomiť, že ochrana pred digitálnymi hrozbami je dnes nevyhnutnosťou," hovorí Andrej Ižold, bezpečnostný analytik Orange Slovensko. Aj preto bola na úrovni EÚ prijatá smernica NIS2 – legislatívny rámec, ktorý má posilniť kybernetickú odolnosť v členských štátoch.
Nová smernica, nové povinnosti
NIS2 je európska smernica o kybernetickej bezpečnosti, ktorú členské štáty transponujú do svojej legislatívy, napríklad do Zákona o kybernetickej bezpečnosti, ktorý následne musia dodržiavať dotknuté subjekty.
Prináša prísnejšie požiadavky na kybernetickú bezpečnosť firiem a dotkne sa širokého spektra organizácií. Jej hlavným cieľom je zlepšiť ochranu kritickej infraštruktúry a posilniť reakčné schopnosti podnikov v prípade kybernetických hrozieb. Firmy, ktoré nesplnia požiadavky, riskujú vysoké pokuty a možné reputačné škody.
„Týka sa organizácií z kritických sektorov – ako sú energetika, zdravotníctvo, doprava, financie, digitálne služby či verejná správa. Regulácia sa však nevzťahuje len na veľkých hráčov. Ak má firma viac ako 50 zamestnancov alebo obrat nad 10 miliónov eur a pôsobí v dotknutom odvetví, bude musieť zaviesť celý rad bezpečnostných opatrení. Smernica navyše rozlišuje medzi tzv. kľúčovými a dôležitými subjektmi – podľa úrovne rizika a intenzity dohľadu,“ upozorňuje Andrej Ižold.
Tri dôležité termíny, ktoré netreba prehliadnuť
- 2. marec 2025: Oznámenie NBÚ, či sa firma pod reguláciu spadá.
- Marec 2026: Zavedenie bezpečnostných opatrení do praxe.
- Marec 2027: Prvý povinný audit kybernetickej pripravenosti.
Nedodržanie termínov môže viesť k pokute až do výšky 2 % z ročného obratu.
Čo všetko musia firmy splniť?
NIS2 definuje viacero oblastí, v ktorých musí podnik konať:
- Identifikácia rizík: komplexné posúdenie rizík (risk assessment) vrátane analýzy zraniteľnosti IT infraštruktúry a dokumentácie bezpečnostných politík.
- Bezpečnostné opatrenia: Okrem firewallov a antivírových riešení je potrebné zaviesť prísne pravidlá kontroly prístupu, ako napríklad riadenie privilegovaného prístupu (PAM) a viacfaktorovú autentifikáciu (MFA).
- Monitorovanie siete: Pravidelné monitorovanie siete a detekcia podozrivej aktivity sú kľúčové, ale NIS2 tiež vyžaduje incident response plán (IRP), ktorý zahŕňa kroky na rýchlu reakciu na kybernetické incidenty.
- Vzdelávanie zamestnancov: Vzdelávanie je nevyhnutné, pričom NIS2 kladie dôraz na kybernetickú hygienu a školenie manažmentu v oblasti kybernetickej bezpečnosti.
- Spolupráca so subdodávateľmi: NIS2 zavádza povinnosť zabezpečiť aj ochranu dodávateľského reťazca, čo znamená kontrolu bezpečnostných opatrení u partnerov a dodávateľov.
- Reportovanie incidentov: NIS2 stanovuje prísne lehoty na nahlasovanie incidentov – prvé hlásenie do 24 hodín, následné do 72 hodín a finálne do jedného mesiaca.
Spoľahlivý partner pre kybernetickú bezpečnosť
Orange Slovensko ponúka riešenia, ktoré pomáhajú firmám zvládnuť vysoké požiadavky modernej kybernetickej bezpečnosti. DDoS ochrana chráni pred masovými kybernetickými útokmi a manažment mobilných zariadení (MDM) prináša bezpečnosť firemných smartfónov a tabletov. Bezpečnostné audity zas pomáhajú firmám identifikovať riziká a implementovať opatrenia na ich minimalizáciu. Orange zároveň ponúka viaceré riešenia zálohy a ochrany firemných dát.
Nečakajte na škody ani pokuty, začnite hneď!
Kontaktujte Orange a vyberte si riešenie na mieru pre vašu firmu. Experti z Orangeu vám pomôžu zvládnuť všetky povinnosti, ktoré NIS2 prináša.
