Skip to content
Inovasense
← Späť na slovník Regulation

NIS2

Smernica NIS2 (EU 2022/2555) — Aktualizovaná smernica EÚ o kybernetickej bezpečnosti ukladajúca prísne bezpečnostné povinnosti v sektoroch kritickej infraštruktúry.

Smernica NIS2 — Bezpečnosť sietí a informačných systémov 2

Smernica NIS2 (Smernica (EÚ) 2022/2555) je aktualizovaný a výrazne rozšírený rámec Európskej únie pre kybernetickú bezpečnosť kritickej infraštruktúry. Nahrádza pôvodnú smernicu NIS (2016/1148) širším rozsahom, prísnejšími požiadavkami a tvrdšími sankciami.

Kľúčové fakty

DetailInformácia
Transpozičný termín17. október 2024
Termín registrácie28. február 2025
Rozsah~160 000 subjektov v 18 sektoroch
Maximálna pokuta10 mil. € alebo 2% celosvetového obratu
Zodpovednosť manažmentuOsobná zodpovednosť C-level vedúcich

Čo sa zmenilo oproti NIS?

AspektNIS (2016)NIS2 (2022)
Pokryté sektory718
Bezpečnosť dodávateľského reťazcaNeriešenáPovinné hodnotenie rizík
Hlásenie incidentov72 hodín24h varovanie + 72h plná správa
SankcieVariabilné podľa členského štátuHarmonizované: do 10M € / 2% obratu
Zodpovednosť vedeniaNešpecifikovanáOsobná zodpovednosť C-level

Kto musí dodržiavať NIS2?

Základné subjekty (prísnejší režim)

  • Energia, doprava, bankovníctvo, zdravotníctvo
  • Pitná voda a odpadové vody
  • Digitálna infraštruktúra (DNS, cloud, dátové centrá)
  • Verejná správa, vesmír

Dôležité subjekty

  • Poštové služby, odpadové hospodárstvo
  • Chemický a potravinársky priemysel
  • Výroba (zdravotnícke pomôcky, elektronika, strojárstvo, automobily)
  • Digitálni poskytovatelia (online trhoviská, vyhľadávače)

Základné požiadavky

Opatrenia na riadenie rizík (Článok 21)

  • Analýza rizík a politiky bezpečnosti informačných systémov
  • Zvládanie incidentov — detekcia, reakcia, obnova
  • Kontinuita podnikania vrátane zálohovania a obnovy po havárii
  • Bezpečnosť dodávateľského reťazca
  • Školenia v oblasti kybernetickej bezpečnosti
  • Viacfaktorová autentifikácia (MFA)

Hlásenie incidentov (Článok 23)

KrokTermínObsah
Včasné varovanie24 hodínPodozrivá príčina, cezhraničný dopad
Oznámenie72 hodínPosúdenie závažnosti, indikátory kompromitácie
Záverečná správa1 mesiacKoreňová príčina, mitigácia

NIS2 vs. CRA

AspektNIS2CRA
CieľOrganizácieProdukty
ZameranieOrganizačná kybernetická bezpečnosťBezpečnosť produktov počas životného cyklu
Kľúčová povinnosťRiadenie rizík + hlásenie incidentovBezpečnosť od návrhu + správa zraniteľností

NIS2 zabezpečuje organizácie. CRA zabezpečuje produkty, ktoré tieto organizácie vyrábajú.

Súvisiace pojmy

  • EU Cyber Resilience Act (CRA) — Komplementárna regulácia zabezpečujúca produkty.
  • Secure Boot — Technické opatrenie podporujúce súlad s NIS2.
  • IoT — Pripojené zariadenia v dodávateľských reťazcoch regulovaných NIS2.

Súvisiace pojmy

CRA SECURE-BOOT IOT