NIS2 smernica na Slovensku: čo musia firmy splniť do konca roka

NIS2 — europáska smernica o kybernetickej bezpečnosti — už nie je len abstraktné plánovanie v Bruseli. Pre tisícky slovenských a českých firiem ide o konkrétnu povinnosť s konkrétnymi pokutami. A časový tlak je reálny.

Kto musí NIS2 splniť?

NIS2 sa vzťahuje na firmy v krítických sektoroch: energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infrastruktúra, a ďalšie. Na Slovensku to znamená tisicky firiem ktoré si možné neuvedomujú že pod smerniciču patrí aj ona.

Právne pravidlo: ak máte viac ako 50 zamestnancov a ročný obrat nad 10 miliónov eur v jednom z krítických sektorov, NIS2 sa vás týka. Ale aj menšie firmy ktoré sú dodavateľmi pre veľké spoločnosti — reťazová zodpovednosť je kľúčový pojem.

Čo NIS2 konkrétne vyžaduje

1. Manažovanie rizika

Firmy musia implementovať a pravidelne prehľadávať bezpečnostné opatrenia. Nestretčí sa vám to s ročným školením v zasadačke — vyžaduje sa pravidelne testovanie odolnosti zamestnancov. Phishing simulácia je priamo uvedeným nástrojom v sprievadných dokumentoch smernice.

2. Evidencia a audit log

Každé bezpečnostné opatrenie musí byť zdokumentované. Regulatór môže požadovať dôkaz, že ste trénovali zamestnancov. "Robili sme školenie" nie je dôkaz. PDF report zo simulácie s menami, dátumami a Risk Score — to dôkaz je.

3. Nahlašovanie incidentov

Ak dojďe k bezpečnostnému incidentu, firmá ho musí nahlásiť do 24 hodín (vážné incidenty) alebo 72 hodín (ostatné). Firmá bez systému monitorovania nemôže nahlašovať včas — lebo o incidente nevie.

4. Zodpovednosť vedenía

Toto je nové a dôležité: NIS2 priamo zavyšuje zodpovednosť na manažérov a členov predstavenístva. Nie je to len IT problém. Je to problém CEO a boardu.

Aké pokuty hrozia?

NIS2 stanovuje maximálne pokuty na úroveň:

• 10 miliónov eur alebo 2% globálneho ročného obratu (podľa toho čo je vyššie) pre "dôležité subjekty"

• 7 miliónov eur alebo 1,4% obratu pre "podstatné subjekty"

Pre porovnanie: ročné predplatné OPSEC Lab pre firmu so 100 zamestnancami stojí 6 000 eur. Pokuta za nedodržanie: 7 000 000 eur.

Kde phishing simulácia pomáha pri NIS2

Nie je to celé riešenie — NIS2 vyžaduje komplexný prístup. Ale phishing simulácia plni hůef kritérií naraz:

• ✓ Pravidelné testovanie zamestnancov — splnené

• ✓ Audit log s menami a dátumami — splnené

• ✓ Dokumentácia tréningových aktivitít — splnené

• ✓ Meranie Risk Score a pokroku — splnené

Praktický postup: čo robiť teraz

Ak vaša firma pod NIS2 patrí, odportedame tieto kroky v tomto poradí:

1. Urobte benchmarkovú simuláciu — zistite baseline click rate vašich zamestnancov

2. Zdokumentujte výsledky — máte prvý audit log

3. Nastavte kvartalne simulácie — ukazujete pravidelnost

4. Exportujte Risk Score reporty — máte dôkaz o pokroku pre regulátora

Prvú simuláciu spustíte za 30 minút. Prvý audit log máte ešte dnes.