Disig

Máme jasnú víziu do budúcnosti

Smernica o sieťovej a informačnej bezpečnosti nadobudla účinnosť

25. augusta 2016

matrix-1013612_1920

Dňa 8. augusta nadobudla v celej EÚ účinnosť nová Smernica EÚ č. 2016/1148 o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „Smernica NIS“). Členské štáty sú na jej základe povinné prijať a uverejniť zákony a iné právne predpisy potrebné na zosúladenie svojho právneho poriadku so Smernicou NIS do 9. mája 2018, pričom musia zabezpečiť, že uplatňovať sa budú od 10. mája 2018. Aké hlavné zmeny táto smernica prináša?

Smernica NIS ukladá členským štátom okrem povinnosti jej implementácie aj povinnosť:

  • prijať Národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov,
  • určiť tzv. príslušný orgán, ktorý bude kontrolovať dodržiavanie povinností v zmysle Smernice NIS, jednotné kontaktné miesto na zabezpečenie cezhraničnej spolupráce ako aj jednu alebo viac jednotiek CSIRT.

 

Predpisy prijaté na základe Smernice NIS členskými štátmi budú ukladať povinnosti dvom typom subjektov:

  1. Prevádzkovateľom základných služieb – ide o súkromnoprávne alebo verejnoprávne subjekty určené členským štátom, ktoré poskytujú služby so zásadným významom pre zachovanie kritických sociálnych a ekonomických aktivít – pôjde o subjekty v energetike, doprave, zdravotníctve, dodávke pitnej vody, v bankovom sektore či o subjekty v prevádzkujúce infraštruktúru v oblasti finančného trhu alebo digitálnu infraštruktúru (v toto prípade pôjde o osoby prevádzkujúce internetové prepojovacie uzly (IXP), registre domén najvyššej úrovne (TLD) a o poskytovateľov služieb DNS). Zároveň musí platiť že:
    • poskytovanie týchto služieb závisí od sietí a informačných systémov a
    • incident v týchto sieťach a informačných systémoch by mal závažný rušivý vplyv na poskytovanie služby;
  2. Poskytovateľom digitálnych služieb – ide o právnické osoby, ktoré poskytujú služby informačnej spoločnosti podľa smernice EÚ 2015/1535 nasledovných druhov: služby online trhoviska, internetového vyhľadávača a služby cloud computingu.

Prevádzkovatelia základných služieb a poskytovatelia digitálnych služieb budú mať v zmysle slovenských predpisov prijatých na základe NIS dve hlavné povinnosti:

  • prijať vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov a na zabránenie a minimalizovanie vplyvu bezpečnostných incidentov,
  • za určitých podmienok oznamovať príslušnému národnému orgánu alebo CSIRTu určité druhy bezpečnostných incidentov (t.j. udalostí, ktoré majú reálny nepriaznivý vplyv na bezpečnosť ich sietí a informačných systémov).

Základným rozdielom medzi týmito dvoma druhmi povinných subjektov je, že kým poskytovatelia digitálnych služieb budú podliehať iba ex post kontrole príslušným orgánom, prevádzkovatelia základných služieb budú musieť príslušnému orgánu dokladovať splnenie horeuvedených povinností. Prevádzkovatelia základných služieb tak budú musieť príslušnému orgánu poskytovať informácie potrebné pre posúdenie bezpečnosti jeho sietí a informačných systémov, vrátane bezpečnostných politík a tiež dokazovať efektívne vykonávanie týchto bezpečnostných politík v praxi (napr. výsledkami auditu).

PLNÉ ZNENIE SMERNICE NIS