Sankcie za nesúlad s NIS2
Čo riskujete ak nesplníte požiadavky
NIS2 prináša jedny z najtvrdších sankcií v histórii európskej kybernetickej legislatívy. Osobná zodpovednosť vedenia je novinka, ktorá mení pravidlá hry.
Finančné sankcie
Základné subjekty
| Fixná suma | €10,000,000 |
| % z obratu | 2% celosvetového ročného obratu |
Uplatní sa vyššia z hodnôt.
Dôležité subjekty
| Fixná suma | €7,000,000 |
| % z obratu | 1.4% celosvetového ročného obratu |
Príklad: Firma s obratom €100 miliónov môže dostať pokutu až €2 milióny.
Porovnanie s GDPR
| Regulácia | Maximálna pokuta |
|---|---|
| GDPR | €20 mil / 4% obratu |
| NIS2 (základné) | €10 mil / 2% obratu |
| NIS2 (dôležité) | €7 mil / 1.4% obratu |
NIS2 má nižšie maximá ako GDPR, ale v praxi budú pokuty porovnateľné - kybernetický incident často zasiahne tisíce ľudí.
Osobná zodpovednosť vedenia
Toto je najväčšia zmena oproti predchádzajúcej legislatíve. NIS2 explicitne stanovuje, že členovia štatutárnych orgánov nesú osobnú zodpovednosť.
Povinnosti vedenia
- Schvaľovanie bezpečnostných opatrení
- Dohľad nad ich implementáciou
- Absolvovanie školení o kybernetickej bezpečnosti
- Zabezpečenie zdrojov pre bezpečnostné opatrenia
Sankcie pre vedenie
- Osobná pokuta
Členské štáty môžu uložiť pokutu priamo osobe
- Dočasný zákaz
Zákaz výkonu riadiacich funkcií
- Verejné oznámenie
Zverejnenie mena osoby zodpovednej za porušenie
Konateľ nemôže povedať: 'O IT sa stará IT oddelenie, ja som nevedel.' NIS2 vyžaduje aktívne zapojenie vedenia.
Ďalšie sankcie
Príkazy regulátora
- Príkaz na nápravu - implementovať opatrenia v stanovenej lehote
- Príkaz na informovanie - informovať dotknuté osoby o incidente
- Príkaz na verejné oznámenie - zverejnenie porušenia
Obmedzenia činnosti
- Pozastavenie certifikácií alebo povolení
- Dočasný zákaz poskytovania služieb
- Vylúčenie z verejných súťaží
Reputačné škody môžu byť horšie ako pokuta. Predstavte si titulok: '[Vaša firma] pokutovaná za zanedbanie kybernetickej bezpečnosti.'
Príklady porušení
Ransomware útok bez plánu
Výrobná firma dostane ransomware. Nemá incident response plán, výroba stojí 5 dní. Nenahlásili incident včas (deadline je 24 hodín).
Sankcie: Pokuta za chýbajúci plán, pokuta za nesplnenie ohlasovacích povinností, príkaz na nápravu.
Nezabezpečený dodávateľ
IT dodávateľ má únik dát, ktorý zasiahne vašich zákazníkov. Nemáte zmluvu s bezpečnostnými požiadavkami.
Sankcie: Pokuta za nedostatočné riadenie dodávateľského reťazca, príkaz na hodnotenie dodávateľov.
Chýbajúce školenia vedenia
Audit zistí, že členovia vedenia neabsolvovali žiadne školenie o kybernetickej bezpečnosti.
Sankcie: Varovanie, príkaz na absolvovanie školení, pri opakovaní pokuta.
Čo ovplyvňuje výšku pokuty
Priťažujúce okolnosti
- Úmyselné porušenie alebo hrubá nedbanlivosť
- Opakované porušenie (recidíva)
- Nenahlásenie incidentu alebo zatajovanie
- Nespolupráca s regulátorom
- Veľký rozsah dopadu
Poľahčujúce okolnosti
- Prvé porušenie bez predchádzajúcej histórie
- Aktívna spolupráca s regulátorom
- Rýchla náprava po zistení
- Dobrovoľné nahlásenie problémov
- Investície do bezpečnosti
Ako sa vyhnúť sankciám
Teraz
- 1.Urobte assessment - zistite kde ste
- 2.Dokumentujte úsilie - aj neúplná compliance je lepšia ako žiadna
- 3.Nastavte incident response - aspoň základný plán
- 4.Preškoľte vedenie - aby poznali svoje zodpovednosti
3-6 mesiacov
- 5.Implementujte základné opatrenia podľa priority
- 6.Vytvorte dokumentáciu - politiky, plány
- 7.Vyhodnoťte dodávateľov - aspoň kritických
Zhrnutie rizík
| Riziko | Maximum |
|---|---|
| Pokuta (základné subjekty) | €10 mil / 2% obratu |
| Pokuta (dôležité subjekty) | €7 mil / 1.4% obratu |
| Osobná zodpovednosť | Áno, vrátane zákazu funkcií |
| Reputačné škody | Verejné oznámenie |
| Prevádzkové obmedzenia | Pozastavenie činnosti |
Sankcie sú vysoké, ale hlavný dôvod pre NIS2 compliance by nemala byť pokuta. Kybernetický incident bez prípravy vás môže stáť oveľa viac.