Smernica NIS2, ktorá nadobudla účinnosť v januári 2025, prináša výrazné sprísnenie pravidiel kybernetickej bezpečnosti pre organizácie v Európskej únii. Tieto nové regulácie majú významný vplyv aj na využívanie druhotného softvéru — čo predstavuje cenovo efektívnejšiu alternatívu k novému softvéru, ale zároveň vyžaduje dôkladnú a správnu správu bezpečnosti. Pri nasadzovaní druhotného softvéru je nevyhnutné dôkladne zvažovať jeho životný cyklus a systematicky vykonávať aktualizácie. Dôveryhodní softvéroví brokeri poskytujú potrebnú podporu a odborné poradenstvo na zabezpečenie spoľahlivého a legálneho používania softvéru, čo výrazne znižuje riziko kybernetických incidentov.
Bratislava, 19. februára 2025 – V decembri 2022 prijala Európska únia smernicu NIS2 (Network and Information System Directive 2), ktorá prináša komplexné pravidlá a nové požiadavky na zabezpečenie kybernetickej bezpečnosti informačných a komunikačných technológií (ICT) a digitálnych sietí. Členské štáty mali zabezpečiť zapracovanie NIS2 do svojich právnych systémov do 18. októbra 2024. Na Slovensku smernica nadobudla účinnosť od 1. januára 2025. Ako však tieto sprísnené pravidlá ovplyvnia používanie druhotného softvéru v praxi?
Rozsah platnosti smernice NIS2
Nová smernica ovplyvňuje viacero desiatok tisíc organizácií naprieč celej Európskou úniou a prináša zásadné zmeny v oblasti riadenia kybernetickej bezpečnosti v súkromnom i verejnom sektore. Na rozdiel od pôvodnej smernice NIS sa jej pôsobnosť rozširuje aj na inovatívne oblasti, ako je verejná správa, potravinársky priemysel či spracovanie odpadov.
Typy subjektov podľa NIS2
- Základné subjekty – tieto organizácie majú najrozsiahlejšie povinnosti podľa smernice.
- Dôležité subjekty – podliehajú miernejším, no stále prísnym požiadavkám kybernetickej bezpečnosti.
Podstatné subjekty zahŕňajú organizácie z odvetví uvedených v prílohách I a II smernice, ktoré sú najmenej stredne veľkými podnikmi (zamestnávajú minimálne 50 zamestnancov alebo vykazujú ročný obrat vyšší ako 10 miliónov eur).
Okrem toho sem patria aj ďalšie subjekty, napríklad zo sektoru verejnej správy, kritické prvky infraštruktúry podľa smernice (EÚ) 2022/2557, poskytovatelia verejných elektronických komunikačných sietí a služieb, kvalifikovaní poskytovatelia dôveryhodných služieb, ako aj prevádzkovatelia registrov domén najvyššej úrovne a DNS služieb, bez ohľadu na ich veľkosť. V závislosti od vnútroštátnych legislatív môžu byť zahrnuté aj ďalšie subjekty.
Je však dôležité spomenúť, že smernica obsahuje výnimky a každá členská krajina je povinná do 17. apríla 2025 zostaviť a aktualizovať zoznam subjektov, na ktoré sa smernica aplikuje.
Pre overenie, či sa na danú organizáciu vzťahuje smernica NIS2, slúži oficiálna webová stránka Národného bezpečnostného úradu: https://nis2.nbu.gov.sk/, ktorý tiež zabezpečuje implementáciu tejto legislatívy na Slovensku.
Implementácia kybernetickej bezpečnosti podľa NIS2
Pri zavádzaní systému riadenia kybernetickej bezpečnosti je nevyhnutné brať do úvahy viaceré faktory vrátane:
- stupeňa rizika daných IT systémov a služieb,
- možných dopadov prípadných bezpečnostných incidentov,
- dostupného rozpočtu určeného na bezpečnosť,
- principu primeranosti opatrení vzhľadom na charakter organizácie a jej činnosti.
Vplyv smernice NIS2 na používanie druhotného softvéru
Štandardy stanovené smernicou NIS2 priamo neobmedzujú používanie druhotného softvéru, pokiaľ sú splnené všetky požiadavky na bezpečnosť a legálnosť používania softvérových produktov. Použitie druhotného softvéru však okrem finančných benefitov, ktorých výška môže dosahovať až 70 % úsporu oproti nákupu nového softvéru od výrobcu, vyžaduje dôkladnú správu z hľadiska kybernetickej bezpečnosti.
„Odporúčame vždy voliť softvér, ktorý sa nachádza v aktívnej fáze svojho životného cyklu. To znamená, že výrobca naďalej vydáva bezpečnostné aktualizácie, ktoré pravidelne zvyšujú ochranu proti novým hrozbám. Tento životný cyklus môže presiahnuť aj desať rokov. Z toho dôvodu je vhodné využiť služby odborných softvérových brokerov, ako je spoločnosť Forscope, ktorí poskytujú komplexnú podporu vrátane technických, licenčných, compliance a právnych služieb. Tento prístup minimalizuje riziká a zabezpečuje plnú súladnosť s legislatívou,“ zdôrazňuje Michal Baudyš, Public Sector Strategy Leader pre trhy v EÚ vo Forscope.
Životný cyklus druhotného softvéru a jeho správa
Poznať životný cyklus softvéru je základom pre správne rozhodovanie o jeho používaní a zabezpečení:
- Fáza 1 – plná podpora: Softvér aktívne dostáva všetky aktualizácie zabezpečujúce odstránenie bezpečnostných chýb a zlepšenie funkčnosti. Výrobca reaguje aj na špecifické požiadavky zákazníka.
- Fáza 2 – rozšírená podpora: Nie sú poskytované nové funkcie ani modifikácie, ale prebiehajú pravidelné bezpečnostné záplaty, ktoré chránia pred novými hrozbami.
- Fáza 3 – podpora na základe príplatku: Bezpečnostné aktualizácie sú dostupné len za príplatok. Odporúča sa príprava na migráciu na novší softvér.
- Fáza 4 – ukončenie podpory: Softvér už nedostáva žiadne aktualizácie a jeho používanie je spojené s výrazným bezpečnostným rizikom.
V prípade, že organizácia používa softvér v posledných fázach životného cyklu, môže implementovať špecializované bezpečnostné riešenia na jeho ochranu, ktoré odporúčajú aj softvéroví brokeri. Napríklad detekcia a prevencia hrozieb, alebo riešenia na izoláciu starších aplikácií.
Správcovia IT infraštruktúry by nemali podceňovať pravidelnú inštaláciu dostupných bezpečnostných záplat a aktualizácií, ktoré sú základnou súčasťou ochrany proti útokom a zneužitiu zraniteľností.
Bezpečné a legálne používanie softvéru
Spolu s technickou stránkou je nevyhnutné venovať pozornosť aj legálnosti získaného softvéru. Používanie overeného softvéru od dôveryhodného brokera je zásadné, pretože na trhu existujú aj nelegálne ponuky, ktoré predstavujú licenčné a bezpečnostné riziká. Zakúpenie neautorizovaných produktových kľúčov bez adekvátnej dokumentácie môže viesť k právnym problémom, zodpovednosti za škody a významnému ohrozeniu bezpečnosti IT prostredia organizácie.
O spoločnosti Forscope
Forscope je najväčším softvérovým brokerom v strednej a východnej Európe, ktorý poskytuje plne licencované softvérové riešenia prostredníctvom inovatívneho a nákladovo efektívneho modelu po celom regióne. Spoločnosť svojimi službami pokrýva širokú škálu zákazníkov — od malých a stredných podnikov až po veľké korporácie a verejné inštitúcie.
Okrem dodávky softvéru Forscope zabezpečuje aj komplexnú technickú podporu, licenčné a legislatívne poradenstvo s dôrazom na súlad s aktuálnymi právnymi normami. S centrom v Českej republike operuje celkovo v 10 krajinách strednej a východnej Európy. Spoločnosť je uznávaným certifikovaným partnerom spoločnosti Microsoft a je držiteľom medzinárodných certifikátov kvality ISO 9001:2015 a ISO 27001, ktoré potvrdzujú vysoký štandard správy procesov a bezpečnosti informácií.
