Zavedenie smernice NIS2 prináša pre povinné subjekty množstvo nových požiadaviek v oblasti kybernetickej bezpečnosti. Jednou z kľúčových otázok, ktoré si mnohé organizácie kladú, je: Stačí vykonať interné samohodnotenie, alebo je potrebné zabezpečiť nezávislý audit? Odpoveď závisí od viacerých faktorov – typu subjektu, miery rizika a konkrétnych požiadaviek národnej legislatívy, ktorá smernicu transponuje do praxe.
Čo požaduje NIS2?
Smernica NIS2 kladie dôraz na tzv. riadenie kybernetických rizík a na dohľad nad tým, ako subjekty tieto riziká zvládajú. Okrem implementácie technických a organizačných opatrení (napr. správa incidentov, zálohovanie, školenia, bezpečnosť dodávateľského reťazca) sa v dokumente spomína aj potreba pravidelného preverovania a hodnotenia zavedených opatrení.
Smernica výslovne neustanovuje povinnosť vykonať externý audit, ale ponecháva členským štátom priestor na to, aby špecifikovali národné požiadavky – a práve tu sa môže objaviť povinnosť auditu alebo inej formy preverenia.
Aké sú možnosti preverenia plnenia požiadaviek?
1. Samohodnotenie (self-assessment)
Je najjednoduchšou a najrýchlejšou formou overenia stavu kybernetickej bezpečnosti. Organizácia vyhodnocuje:
- Plnenie bezpečnostných opatrení podľa NIS2.
- Aktuálnosť politík a procesov.
- Úroveň pripravenosti na incidenty.
- Stupeň zapojenia manažmentu.
Výhody: nízke náklady, flexibilita, okamžité výsledky.
Nevýhody: subjektívnosť, riziko neobjektívneho hodnotenia, nižšia dôveryhodnosť pre regulátora.
2. Interný audit
Vykonáva sa buď interným oddelením (ak má dostatočnú nezávislosť), alebo vybranými zamestnancami s kompetenciami v oblasti IT bezpečnosti. Interný audit sa zameriava na kontrolu politiky, procesov, súladu so smernicou a identifikáciu slabých miest.
Výhody: vyššia objektivita než samohodnotenie, interné know-how.
Nevýhody: stále môže chýbať úplná nezávislosť, obmedzené kapacity.
3. Externý audit alebo bezpečnostný audit tretou stranou
Vykonáva nezávislá organizácia alebo certifikovaný audítor. Ide o najdôveryhodnejšiu formu preverenia, ktorá často vedie aj k formálnemu výstupu (správa, certifikácia).
Výhody: vysoká dôveryhodnosť pre regulátora, detailná analýza, odporúčania na zlepšenie.
Nevýhody: vyššie náklady, náročnejšia príprava, potreba spolupráce.
Kedy je audit povinný?
Konečné slovo majú národné právne predpisy, ktoré implementujú NIS2. V prípade Slovenskej republiky návrh zákona predpokladá, že:
- Základné subjekty budú pravdepodobne musieť zabezpečiť pravidelné nezávislé preverenie – teda audit.
- Dôležité subjekty môžu dostať viac flexibility – napríklad možnosť preukázať plnenie opatrení aj prostredníctvom samohodnotenia, ale za podmienky, že výsledky budú zdokumentované a v prípade kontroly predložené NBÚ.
Zároveň platí, že v prípade incidentu alebo podnetu môže NBÚ požadovať mimoriadne preverenie – a v takom prípade môže audit nariadiť.
Odporúčanie pre prax
Aj keď smernica audit výslovne neprikazuje, organizácie by sa mali riadiť princípom „primeranej bezpečnosti“. V praxi to znamená:
- Pre menšie a nízkorizikové organizácie môže byť samohodnotenie dočasne postačujúce, ak je dôsledne zdokumentované.
- Pre väčšie subjekty alebo organizácie s vyššou úrovňou kybernetického rizika (napr. v energetike, zdravotníctve či bankovníctve) sa odporúča minimálne pravidelný interný audit, ideálne doplnený o externé preverenie.
Zodpovednosť za zabezpečenie súladu s NIS2 nesie vedenie organizácie. Samohodnotenie môže byť praktickým nástrojom na začiatok, ale preukázanie reálneho stavu bezpečnosti – najmä voči NBÚ – si môže vyžadovať audit. Organizácie by preto nemali čakať na kontrolu, ale proaktívne zhodnotiť svoje kapacity, riziká a rozhodnúť sa pre formu preverenia, ktorá bude nielen formálne postačujúca, ale aj reálne prínosná.
