Bezpečnosť informácií

ISO 27001 a NIS2 compliance: Sprievodca pre slovenské firmy

ISO 27001:2022 certifikácia pokrýva približne 70% požiadaviek NIS2 článku 21. Pochopte, ako táto norma redukuje vašu compliance medzeru a chráni vašu organizáciu.

Kontaktovať certifikačné teleso →

Čo je ISO 27001 a ako sa vzťahuje na NIS2

ISO 27001:2022 je medzinárodný štandard pre systémy riadenia informačnej bezpečnosti (ISMS). Definuje požiadavky na zavedenie, udržiavanie a neustále zlepšovanie ochrane citlivých dát.

Norma pokrýva približne 70% požiadaviek NIS2 článku 21, čím vytvára silný základ pre compliance. Obsiahnuté oblasti zahŕňajú riadenie prístupu, šifrovanie, bezpečnosť sieťovej infraštruktúry, bezpečnosť dodávateľov a incident management.

Dôležité: ISO 27001 NIE JE úplnou náhradou NIS2 compliance. Musíte ďalej pokryť zákonné požiadavky na hlásenie incidentov, registráciu u národného orgánu a špecifické zmluvné povinnosti voči dodávateľom.

4 kritické medzery medzi ISO 27001 a NIS2

Hoci ISO 27001 položí silný základ, existujú 4 kľúčové oblasti, ktoré musíte riešiť dodatočne:

Povinné hlásenie incidentov: NIS2 vyžaduje hlásenie do 24 hodín návrhu a do 72 hodín potvrdenia. ISO 27001 nemá špecifické lehoty.
Registrácia pri národnom orgáne: Operátori kritických služieb sa musia registrovať u Úradu podľa zákona NIS2. ISO 27001 to nepredpokladá.
Cezhraničná spolupráca: NIS2 vyžaduje vzájomnú výmenu informácií medzi členskými štátmi EU. ISO 27001 sa na to nezameriava.
Zmluvné požiadavky na dodávateľov: NIS2 špecifikuje povinnosti voči tretím stranám. ISO 27001 pokrýva len dodávateľov IT, nie širšie obchodné väzby.

Časový plán: Od začiatku k certifikácii

Proces certifikácie ISO 27001 zvyčajne trvá 3–6 mesiacov, v závislosti od veľkosti organizácie a aktuálnej maturity bezpečnosti.

Kroky procesu:

Mesiac 1–2: Gap analýza a plánovanie ISMS
Mesiac 2–4: Implementácia bezpečnostných opatrení
Mesiac 4–5: Interná audit a opravy
Mesiac 5–6: Certifikačný audit (fáza 1 a 2)

Audit certifikáciou vykonávajú špecializované telesa ako BSI Group, Bureau Veritas, TÜV SÜD alebo Lloyd's Register.

Náklady na certifikáciu ISO 27001

Náklady na audit certifikáciou sa pohybujú v rozmedzí €8,000–25,000 v závislosti od veľkosti podniku a komplexnosti operácií.

Malé firmy (10–50 zamestnancov): €8,000–12,000
Stredné firmy (50–250 zamestnancov): €12,000–18,000
Veľké firmy (250+ zamestnancov): €18,000–25,000

K audit úhradám treba pripočítať náklady na implementáciu bezpečnostných kontrol (softvér, školenia, konzultácie). Celková investícia zvyčajne dosahuje €20,000–50,000.

Návratnosť investície: Znížené riziká pokút, vyššie súkromné zmluvné kontrakty a nižšie poisťovné poistky na kyber vykompenzujú náklady.

Ako vybrať certifikačné teleso

Pri výbere certifikačného telesa zvážte tieto faktory:

Akreditácia: Certifikačné teleso musí byť akreditované Slovenským úradom pre akreditáciu alebo ekvivalentom v EU.
Skúsenosti: Uprednostňujte telesa so skúsenosťami v priemysle a s firmami podobnej veľkosti ako vaša.
Doména expertise: Ak ste operátor kritickej služby, vyberte teleso s osvedčenými skúsenosťami s NIS2 požiadavkami.
Ceník a transparentnosť: Požiadajte detailný odhad nákladov a plán auditu vopred.

Renomovaní poskytovatelia v regióne: BSI Group, Bureau Veritas, TÜV SÜD, Lloyd's Register.

Krok za krokom: Vaša cesta k NIS2 compliance

1. Gap analýza: Posúďte aktuálny stav bezpečnosti voči ISO 27001 a NIS2 článku 21.

2. Zavedenie ISMS: Zavedenie politík, procesov a technických kontrolách. Vytvorte dokumentáciu podľa normy ISO 27001:2022.

3. Interná kontrola: Vykonajte interný audit s nezávislým audítorom alebo kvalifikovaným interným tímom.

4. Certifikačný audit: Hosťovský audit od akreditovaného certifikačného telesa. Fáza 1 skúma plánovanosť, fáza 2 overuje implementáciu.

5. Potvrdenie NIS2 compliance: Certifikát ISO 27001 dokumentujte v zmene dodávateľov, zmlúv a registrácia pri NIS2 orgáne (ak ste operátor kritických služieb).

Kontrolný zoznam NIS2 compliance po ISO 27001

✓ Vykonať gap analýzu medzi ISO 27001 a NIS2 článkom 21
✓ Nastaviť politiky incident manažmentu s 24h/72h hlásením
✓ Registrovať sa u Úradu podľa zákona NIS2 (ak ste operátor kritickej služby)
✓ Zabudovať cezhraničnú spoluprácu s ďalšími členskými štátmi do ISMS
✓ Revidiť zmluvy s dodávateľmi a zabudovať NIS2 klauzuly
✓ Zavedenie technických opatrení na šifrovanie a prístupovú kontrolu
✓ Vykonať interný audit ISMS
✓ Absolvovať fázu 1 a 2 certifikačného auditu
✓ Udržiavať certifikáciu prostredníctvom ročných dozorných auditov
✓ Ročne aktualizovať bezpečnosť s opakovateľnými zlepšeniami

Často kladené otázky o ISO 27001 a NIS2

Nie. ISO 27001 pokrýva asi 70% požiadaviek, ale NIS2 vyžaduje ďalšie opatrenia: povinné hlásenie incidentov do 24/72 hodín, registráciu u národného orgánu a špecifické cezhraničné spolupráce. ISO 27001 je však výborný základ, ktorý dramaticky redukuje compliance medzeru.

Typicky 3–6 mesiacov. Závisí od veľkosti firmy a jej aktuálnej bezpečnostnej maturity. Menšie firmy zvyčajne skončia na spodnom konci rozsahu, väčšie na vyšší.

Náklady na audit sa pohybujú medzi €8,000 a €25,000 podľa veľkosti podniku. Malé firmy platia okolo €8,000–12,000, stredné €12,000–18,000, veľké €18,000–25,000. K tomu patria náklady na implementáciu.

Vyberte akreditované teleso s osvedčenou skúsenosťou v priemysle. Špecializované subjekty ako BSI Group, Bureau Veritas, TÜV SÜD a Lloyd's Register majú hĺbkovú skúsenosť s NIS2. Vyžiadajte si detailný odhad a referencie pred podpísaním zmluvy.

Áno, výrazne. Certifikácia dokazuje dôslednosť pri bezpečnosti a výrazne zníži riziká pokút. Zároveň vám pomôže vyhrať kľúčové zmluvy s veľkými zákazníkmi a znižuje poisťovné na cyber poistke.

Ak ste operátor kritickej služby podľa NIS2 definície, musíte sa registrovať bez ohľadu na ISO 27001. Certifikácia však uľahčí registráciu a splnenie ďalších NIS2 povinností.