Ako ovplyvní smernica NIS2 možnosť používať druhotný softvér?
-
- 25. februára 2025
- Aktualizované: 22. februára 2025
V decembri 2022 schválila Európska únia smernicu NIS2 (Network and Information System Directive 2), ktorá stanovuje pravidlá a požiadavky na kybernetickú bezpečnosť ICT systémov a sietí. Členské štáty EÚ mali implementovať NIS2 do svojich právnych poriadkov do 18. októbra 2024. Na Slovensku smernica nadobudla účinnosť 1. januára 2025. Ovplyvnia nové prísnejšie pravidlá možnosť používania druhotného softvéru?
NIS2 – koho sa týka?
Nová legislatíva sa dotýka desiatok tisíc spoločností v celej Európskej únii a prináša významné zmeny v spôsobe riadenia kybernetickej bezpečnosti vo verejnom aj súkromnom sektore. Na rozdiel od predchádzajúcej smernice NIS sa okrem iného vzťahuje aj na verejnú správu, potravinársky priemysel či nakladanie s odpadmi.
Smernica definuje dva typy subjektov:
- Základné subjekty s najširším rozsahom povinností.
- Dôležité subjekty, ktoré musia spĺňať menej prísne požiadavky, ale stále podliehajú regulácii.
Za podstatné a významné subjekty sa vo všeobecnosti považujú subjekty z odvetví uvedených v prílohách I a II smernice, ktoré sú minimálne stredným podnikom (zamestnávajú aspoň 50 osôb alebo ich ročný obrat presahuje 10 mil. EUR). Do tejto kategórie patria aj ďalšie subjekty definované smernicou NIS2, ako napríklad verejná správa, subjekty označené podľa smernice (EÚ) 2022/2557 ako kritické, poskytovatelia verejných sietí elektronických komunikácií alebo verejne dostupných elektronických komunikačných služieb, kvalifikovaní poskytovatelia dôveryhodných služieb, registre názvov domén najvyššej úrovne a poskytovatelia služieb DNS bez ohľadu na ich veľkosť. Na základe vnútroštátnych právnych predpisov môžu byť do pôsobnosti smernice zahrnuté aj ďalšie subjekty. Smernica však obsahuje aj niekoľko výnimiek. Do 17. apríla 2025 musia všetky členské štáty vytvoriť zoznam subjektov, na ktoré sa nové predpisy budú vzťahovať.
Užitočným nástrojom na overenie, či sa na konkrétnu spoločnosť vzťahuje NIS2, je webová stránka https://nis2.nbu.gov.sk/. Prevádzkuje ju Národný bezpečnostný úrad zodpovedný aj za implementáciu smernice NIS2 do slovenskej legislatívy.
Pri riešení kybernetickej bezpečnosti ide o zavedenie systému riadenia kybernetickej bezpečnosti a vždy by ste mali zohľadniť:
- stupeň rizika,
- mieru hroziacich následkov,
- rozpočet, ktorý je k dispozícii,
- primeranosť.
NIS2 vs. druhotný softvér
Smernica NIS2 v zásade neobmedzuje používanie druhotného softvéru, pokiaľ sú splnené parametre, ktoré v tejto oblasti vyžaduje legislatíva. Pri výbere druhotného softvéru, ktorým je možné docieliť optimalizáciu nákladov až o 70 % ceny v porovnaní s nákupom softvéru priamo od výrobcu, je však potrebné brať do úvahy niekoľko aspektov kybernetickej bezpečnosti.
„Snažte sa používať softvér, ktorého životný cyklus ešte neskončil. To znamená, že výrobca pre daný produkt stále poskytuje najnovšie aktualizácie ovplyvňujúce aj vylepšenú kybernetickú bezpečnosť. Tento cyklus môže trvať viac ako desať rokov, ale vždy sa oplatí obrátiť na softvérového brokera, akým je Forscope, a požiadať ho o podrobnosti a odbornú pomoc. Ideálne je, ak broker ponúka rozšírenú škálu podpory, vrátane technických, licenčných, compliance a právnych služieb. Dôveryhodný broker by to mal vedieť zabezpečiť,“ radí Michal Baudyš, Public Sector Strategy Leader pre trhy v EÚ v spoločnosti Forscope.
Životný cyklus softvéru sa zvyčajne skladá zo štyroch fáz:
- fáza – plná podpora. Softvérová aktualizácia pokrývajúca bezpečnostné problémy, ale aj ďalšie oblasti, ako je vylepšovanie funkcionality a pod. a umožňuje od výrobcu požadovať úpravy a funkcie.
- fáza – rozšírená podpora. V tejto fáze už nie je možné požiadať o zmeny produktu alebo funkčnosti, poskytujú sa už len aktualizácie kybernetickej bezpečnosti. Podpora ostáva rovnaká.
- fáza – po podpore. Stále je možné využívať aktualizácie z oblasti kybernetickej bezpečnosti, ale iba za príplatok. V tejto fáze je potrebné vyhľadať novší softvér.
- fáza – softvér už nie je podporovaný.
Alternatívou k tretej a štvrtej fáze môže byť použitie vyhradených riešení na zvýšenie kybernetickej bezpečnosti softvéru, ktorý už výrobca nepodporuje. Takéto riešenia môžu odporučiť a poskytnúť aj softvéroví brokeri.
Správcovia firemnej IT infraštruktúry by preto nemali zabúdať na pravidelnú inštaláciu záplat a aktualizácií, ktoré môžu pomôcť zabrániť tomu, aby boli systémy vystavené útokom.
Okrem toho sa vždy uistite, že používate overený softvér od dôveryhodného brokera. Jeho výber je kľúčový, pretože na trhu pôsobia aj podvodné subjekty ponúkajúce napríklad len produktové kľúče bez riadnej dokumentácie. Prípadný nákup nelegálneho softvéru, aj keď v dobrej viere, zvyšuje riziko súdnych sporov, zodpovednosť za škody kvôli porušeniu práv duševného vlastníctva a v prípade inštalácie z neznámych inštalačných súborov zvyšuje riziko inštalácie škodlivého softvéru.
