Rok 2025 priniesol na Slovensko NIS-2

Vyššie požiadavky a zodpovednosť štatutárnych orgánov

Do platnosti vstupuje novela zákona  o kybernetickej bezpečnosti, ktorý reflektuje požiadavky aktualizovanej smernice EÚ - smernice o sieťových a informačných systémoch, skrátene označovanej ako NIS-2 (už od roku 2018 bola pritom v platnosti na Slovensku legislatíva NIS prostredníctvom zákona č.69/2018 Z.z.). Hlavným cieľom smernice je ešte viac zlepšiť úroveň kybernetickej bezpečnosti v rámci EÚ tým, že sa zvýši odolnosť spoločností voči kybernetickým hrozbám, stanovujú sa zároveň jasné pravidlá a povinnosti, čím sa okrem iného ochráni aj národná bezpečnosť a zároveň ekonomická stabilita krajiny. Pre spoločnosti to zjednodušene znamená vyššie požiadavky a väčšiu zodpovednosť.

10. 01. 2025

NIS-2 sa týka predovšetkým stredných a veľkých podnikov pôsobiacich v jednom z  vymedzených odvetví, čo odhadom predstavuje podľa niektorých odhadov dokonca viac ako 10 000 spoločností. Je celkom pochopiteľné, že v súvislosti s NIS-2 sa značná pozornosť venuje technickým riešeniam a nastaveniam kontroly v kybernetickom priestore. Nemala by sa však prehliadať zmena riadiacej úlohy dotknutých spoločností. Členovia štatutárnych orgánov sú teraz priamo zodpovední za nedodržiavanie bezpečnostných požiadaviek smernice.

Čo zahŕňajú požiadavky smernice NIS-2 v znení lokálnej legislatívy?

• registráciu prevádzkovateľov základnej a kritickej základnej služby do systému NBÚ.
• Vykonanie podrobnej analýzy rizík, posúdenie kybernetických rizík a vypracovanie plánov na ich riadenie a zmiernenie.
• Zavedenie funkčných systémov na odhaľovanie, nahlasovanie a riešenie kybernetických incidentov.
• Informovanie zákazníkov o incidentoch a hrozbách.
• Aktívna spolupráca s národnými orgánmi pre kybernetickú bezpečnosť.
• Zabezpečenie školení zamestnancov v oblasti kybernetickej bezpečnosti.
• Plnenie povinností vyplývajúcich z bezpečnostného mechanizmu dodávateľského reťazca pre vybrané strategicky dôležité služby.

V prípade nedodržania požiadaviek definovaných v smernici môžu organizácie čeliť pokutám až do výšky 10 miliónov EUR. Vhodne zvolené poistenie zodpovednosti manažmentu (D&O) tak bude zohrávať dôležitú úlohu pri riadení rizík spoločností.

V akých oblastiach môže byť poistenie D&O podporou v súvislosti so smernicou NIS-2?

• Pokrýva náklady na súdne spory a nároky voči manažmentu vyplývajúce zo zlyhania kybernetickej bezpečnosti.
• Chráni osobný majetok vedúcich pracovníkov, ktorí by mohli byť vystavení finančnej zodpovednosti za nedodržanie požiadaviek NIS-2.

V prípade, že dôjde k narušeniu kybernetickej bezpečnosti a členovia predstavenstva sú obvinení z nedostatočného riadenia rizík, poistenie D&O môže pokryť napríklad náklady na právne služby. Nie je však k dispozícii v prípadoch, keď sa poistený dopustil protiprávneho konania.

Poistenie D&O je v synergickom vzťahu s poistením kybernetických rizík. Spoločne tvoria silný obranný mechanizmus proti potenciálnym finančným dôsledkom kybernetických incidentov.

NIS-2 vyžaduje zavedenie bezpečnostných opatrení, ktoré sú zároveň predpokladom uzavretia kvalitného poistenia kybernetických rizík. Poistenie kybernetických rizík poskytuje odbornú a finančnú pomoc v prípade, že napriek preventívnym opatreniam dôjde k útoku na podnik. Poistenie D&O potom kryje osobnú zodpovednosť členov štatutárnych orgánov vyplývajúcu z výkonu ich funkcie.

Tieto poistné produkty spoločne pomáhajú minimalizovať následky útokov a prispievajú k dlhodobej stabilite organizácie v čase rastúcej digitalizácie a kybernetických rizík.