Zákon 366/2024 Z. z., ktorým Slovensko transponovalo smernicu NIS2, je účinný od 1. januára 2025. Registrácia v systéme JISKB mala byť hotová do 1. marca 2025 a termín plnej zhody bezpečnostných opatrení je 31. december 2026. Zostáva menej než šesť mesiacov. Pre organizácie, ktoré prevádzkujú GLPI, je dobrá správa, že už majú nástroj, ktorý dokáže pokryť viacero požiadaviek — treba ho len správne nastaviť.
Čo NIS2 vyžaduje a kde GLPI pomáha
NIS2 nevyžaduje konkrétny softvér. Vyžaduje preukázateľné procesy: evidenciu aktív, riadenie incidentov, správu zmien, kontrolu prístupov a dohľad nad dodávateľmi. GLPI 11 dokáže pokryť niekoľko z týchto oblastí naraz.
Evidencia aktív: základ všetkého
Prvou požiadavkou každého NIS2 auditu je aktuálna evidencia IT aktív. GLPI s agentom (GLPI Agent) automaticky inventarizuje servery, pracovné stanice, sieťové zariadenia aj softvér vrátane verzií. Kľúčové je doplniť:
- Vlastníka aktíva (biznis aj technický)
- Klasifikáciu kritickosti
- Prevádzkový stav a umiestnenie
- Prepojenie na zmluvy, SLA a služby
Bez týchto údajov je inventár len zoznam zariadení. S nimi sa stáva podkladom, ktorý audítor očakáva podľa vyhlášky 227/2025 Z. z.
Riadenie incidentov podľa NIS2 lehoty
Zákon vyžaduje nahlásenie kybernetického incidentu do 24 hodín (prvotné upozornenie), 72 hodín (aktualizácia) a 30 dní (záverečná správa). GLPI tieto lehoty dokáže sledovať cez SLA pravidlá:
- Vytvorte kategóriu Kybernetický incident s povinnými poľami: čas detekcie, dotknuté aktívum, závažnosť, predpokladaná príčina
- Nastavte SLA s 24h, 72h a 30-dňovými míľnikmi
- Využite automatické priradenie a eskaláciu podľa závažnosti
- Prepojte incident s dotknutými aktívami cez CMDB
Časová os tiketu súčasne slúži ako dôkazový reťazec pre audítora — kto kedy čo urobil, vrátane všetkých follow-up záznamov.
Správa zmien: dôkaz o kontrole
NIS2 vyžaduje, aby bezpečnostne relevantné zmeny prechádzali kontrolovaným procesom. GLPI Change Management umožňuje:
- Rozlíšiť štandardnú, normálnu a núdzovú zmenu
- Evidovať bezpečnostný dôvod a obchodné odôvodnenie
- Zaznamenané schvaľovacie workflow a implementáciu
- Prepojiť zmenu s dotknutými aktívami a súvisiacimi incidentmi
Dodávatelia a zmluvy
Smernica vyžaduje dohľad nad dodávateľským reťazcom. V GLPI prepojte dodávateľské zmluvy, úrovne podpory a zodpovednosti priamo na aktíva. Keď audítor požiada o zoznam externých závislostí pre kritické systémy, odpoveď je na jedno kliknutie.
Čo GLPI nepokryje
GLPI nie je náhrada za SIEM, nástroj na analýzu rizík, ani za penetračné testovanie. Nenahradí governance platformu ani modelovanie dátových tokov. NIS2 zhoda vyžaduje viacero nástrojov — GLPI je prevádzkový základ, nie celé riešenie.
Praktický plán do konca roka
- Skontrolujte úplnosť inventára — každé aktívum musí mať vlastníka a klasifikáciu kritickosti
- Vytvorte kategóriu a SLA pre kybernetické incidenty s NIS2 lehotami
- Zapnite schvaľovacie workflow pre bezpečnostné zmeny
- Prepojte dodávateľské zmluvy s aktívami
- Vygenerujte skúšobné reporty, ktoré by audítor vyžadoval
Tieto kroky nepokrývajú celý rozsah NIS2 požiadaviek, ale zabezpečia, že vaša ITSM platforma bude pripravená na audit podľa zákona 366/2024 Z. z. Základné entity musia absolvovať prvý kybernetický audit do dvoch rokov od registrácie — pre väčšinu to znamená začiatok roka 2027. Čas na prípravu je teraz.