NIS2
Vysoké sankcie

Sankcie za nesúlad s NIS2

Čo riskujete ak nesplníte požiadavky

NIS2 prináša jedny z najtvrdších sankcií v histórii európskej kybernetickej legislatívy. Osobná zodpovednosť vedenia je novinka, ktorá mení pravidlá hry.

Finančné sankcie

Základné subjekty

Fixná suma€10,000,000
% z obratu2% celosvetového ročného obratu

Uplatní sa vyššia z hodnôt.

Dôležité subjekty

Fixná suma€7,000,000
% z obratu1.4% celosvetového ročného obratu

Príklad: Firma s obratom €100 miliónov môže dostať pokutu až €2 milióny.

Porovnanie s GDPR

GDPR€20 mil / 4% obratu
NIS2 (základné)€10 mil / 2% obratu
NIS2 (dôležité)€7 mil / 1.4% obratu

NIS2 má nižšie maximá ako GDPR, ale v praxi budú pokuty porovnateľné - kybernetický incident často zasiahne tisíce ľudí.

Osobná zodpovednosť vedenia

Toto je najväčšia zmena oproti predchádzajúcej legislatíve. NIS2 explicitne stanovuje, že členovia štatutárnych orgánov nesú osobnú zodpovednosť.

Povinnosti vedenia

  • Schvaľovanie bezpečnostných opatrení
  • Dohľad nad ich implementáciou
  • Absolvovanie školení o kybernetickej bezpečnosti
  • Zabezpečenie zdrojov pre bezpečnostné opatrenia

Sankcie pre vedenie

  • Osobná pokuta

    Členské štáty môžu uložiť pokutu priamo osobe

  • Dočasný zákaz

    Zákaz výkonu riadiacich funkcií

  • Verejné oznámenie

    Zverejnenie mena osoby zodpovednej za porušenie

Konateľ nemôže povedať: 'O IT sa stará IT oddelenie, ja som nevedel.' NIS2 vyžaduje aktívne zapojenie vedenia.

Ďalšie sankcie

Príkazy regulátora

  • Príkaz na nápravu - implementovať opatrenia v stanovenej lehote
  • Príkaz na informovanie - informovať dotknuté osoby o incidente
  • Príkaz na verejné oznámenie - zverejnenie porušenia

Obmedzenia činnosti

  • Pozastavenie certifikácií alebo povolení
  • Dočasný zákaz poskytovania služieb
  • Vylúčenie z verejných súťaží

Reputačné škody môžu byť horšie ako pokuta. Predstavte si titulok: '[Vaša firma] pokutovaná za zanedbanie kybernetickej bezpečnosti.'

Príklady porušení

Ransomware útok bez plánu

Výrobná firma dostane ransomware. Nemá incident response plán, výroba stojí 5 dní. Nenahlásili incident včas (deadline je 24 hodín).

Sankcie: Pokuta za chýbajúci plán, pokuta za nesplnenie ohlasovacích povinností, príkaz na nápravu.

Nezabezpečený dodávateľ

IT dodávateľ má únik dát, ktorý zasiahne vašich zákazníkov. Nemáte zmluvu s bezpečnostnými požiadavkami.

Sankcie: Pokuta za nedostatočné riadenie dodávateľského reťazca, príkaz na hodnotenie dodávateľov.

Chýbajúce školenia vedenia

Audit zistí, že členovia vedenia neabsolvovali žiadne školenie o kybernetickej bezpečnosti.

Sankcie: Varovanie, príkaz na absolvovanie školení, pri opakovaní pokuta.

Čo ovplyvňuje výšku pokuty

Priťažujúce okolnosti

  • Úmyselné porušenie alebo hrubá nedbanlivosť
  • Opakované porušenie (recidíva)
  • Nenahlásenie incidentu alebo zatajovanie
  • Nespolupráca s regulátorom
  • Veľký rozsah dopadu

Poľahčujúce okolnosti

  • Prvé porušenie bez predchádzajúcej histórie
  • Aktívna spolupráca s regulátorom
  • Rýchla náprava po zistení
  • Dobrovoľné nahlásenie problémov
  • Investície do bezpečnosti

Ako sa vyhnúť sankciám

Teraz
  • 1Urobte assessment - zistite kde ste
  • 2Dokumentujte úsilie - aj neúplná compliance je lepšia ako žiadna
  • 3Nastavte incident response - aspoň základný plán
  • 4Preškoľte vedenie - aby poznali svoje zodpovednosti
3-6 mesiacov
  • 5Implementujte základné opatrenia podľa priority
  • 6Vytvorte dokumentáciu - politiky, plány
  • 7Vyhodnoťte dodávateľov - aspoň kritických

Zhrnutie rizík

Pokuta (základné subjekty)€10 mil / 2% obratu
Pokuta (dôležité subjekty)€7 mil / 1.4% obratu
Osobná zodpovednosťÁno, vrátane zákazu funkcií
Reputačné škodyVerejné oznámenie
Prevádzkové obmedzeniaPozastavenie činnosti

Sankcie sú vysoké, ale hlavný dôvod pre NIS2 compliance by nemala byť pokuta. Kybernetický incident bez prípravy vás môže stáť oveľa viac.

Zistite svoje riziko

Urobte si náš bezplatný assessment a zistite, v ktorých oblastiach máte najväčšie riziko.