Navrhované rozšírenie rozsahu pôsobnosti NIS2, ktoré by v skutočnosti zaviazalo viac subjektov a sektorov k prijatiu opatrení, by z dlhodobého hľadiska malo pomôcť zvýšiť úroveň kybernetickej bezpečnosti v Európe. Hlavným cieľom regulácie kybernetickej bezpečnosti je dosiahnuť práve to, aby pre chod a ekonomiku štátu dôležité organizácie zavádzali preventívne kroky na posilnenie svojej kybernetickej bezpečnosti a tým pádom kybernetickej bezpečnosti celej spoločnosti.
Ide o kľúčový krok pre predchádzanie, zistenie a zmierňovanie dopadov prípadných kybernetických bezpečnostných incidentov. Táto požiadavka, reprezentovaná povinnosťou zavádzať tzv. bezpečnostné opatrenia, je ústredným zmyslom existencie zákona o kybernetickej bezpečnosti, a nie inak je tomu aj v prípade existencie smernice NIS2. Pôvodná smernica NIS stanovila iba všeobecne, že povinné osoby majú zabezpečiť vhodné a primerané technické organizačné opatrenia na ošetrenie rizík a zabránenie incidentom. Návrh smernice NIS2 ide viac do detailu.
Smernica NIS2 bude v porovnaní s aktuálnou smernicou NIS rozširovať subjekty, ktoré ňou budú povinne regulované. Tieto subjekty môžeme zaradiť do dvoch režimov – „essential“ (základné) a „important“ (dôležité). Subjekty spadajúce do režimu základné, majú byť tým najdôležitejším, čo bude v rámci regulácie chránené. Hlavný rozdiel medzi základným a dôležitým režimom je práve v požiadavkách na ochranu, ktoré by mali byť pri základných prísnejšie.
Organizácie, na ktoré sa vzťahuje smernica NIS2, budú mať povinnosť zavádzať bezpečnostné opatrenia. Túto povinnosť majú organizácie bez ohľadu na to, či sú v režime základných alebo dôležitých.
| Príloha NIS 2 | ||
|---|---|---|
| I | II | |
| Veľká organizácia | Základné | Dôležíté |
| Stredná organizácia | Dôležité | Dôležité |
Zdroj tabuľky: https://osveta.nukib.cz/mod/page/view.php?id=2617
Smernica NIS2 zdôrazňuje zodpovednosť vedenia jednotlivých organizácií za schválenie a zavádzanie bezpečnostných opatrení na zníženie rizík pre kybernetickú bezpečnosť. Súčasťou týchto požiadaviek je aj to, že vedenie organizácií má povinnosť osobne absolvovať školenia na tému kybernetickej bezpečnosti a podporovať v týchto školeniach aj svojich zamestnancov.
Každý členský štát následne bude mať možnosť rozpracovať vo svojej legislatíve okruhy vlastných a /alebo ďalších bezpečnostných opatrení.
