NIS2 vs HIPAA vs PCI DSS vs CIS Controls: koľko z každého pokryjete, ak začnete od NIS2
Predchádzajúci článok (NIS2 × GDPR × DORA × ISO 27001) ukázal že jednou solídnou NIS2 implementáciou splníte ~95 % DORA a ~97 % ISO 27001. Tento pokračuje smerom ktorý sa SK/CZ SME typicky podceňujú — rámce relevantné pre medzinárodný biznis:
- HIPAA Security Rule (US zdravotníctvo) — ak obsluhujete US kliniku, healthtech, farmaciu
- PCI DSS v4 (akceptácia kariet) — každý e-shop, SaaS s platbami
- CIS Controls v8 (universal technical) — najrozšírenejší technický baseline globálne
Čísla nižšie pochádzajú z našeho Cross-framework crosswalku — 10 NIS2 oblastí × 9 rámcov, priemerované cez článok-k-článku porovnanie.
TL;DR — priemerné pokrytie (ak máte NIS2)
| Framework | Priemerné pokrytie | Kedy ho potrebujete |
|---|---|---|
| CIS Controls v8 | ~80 % | Best-practice baseline pre technické kontroly, používa NSA, CISA, DoD |
| HIPAA Security Rule | ~75 % | Spracovanie ePHI (elektronických zdravotných záznamov) v USA |
| PCI DSS v4 | ~75 % | Prijímanie, spracovanie alebo ukladanie platobných kariet |
Samozrejme — tieto rámce majú oblasti ktoré NIS2 nepokrýva (napr. PCI DSS požiadavky na fyzické media, HIPAA BAA zmluvy). Ale jadro (access control, crypto, incident response, BCM) je takmer identické.
CIS Controls v8 — technický baseline (80 %)
18 "safeguardov" rozdelených do 3 Implementation Groups (IG1 basic → IG3 advanced). Najsilnejší overlap s NIS2:
| NIS2 oblasť | CIS Controls | Pokrytie | Komentár |
|---|---|---|---|
| Evidencia aktív | CIS 1, 2, 3.1 | 100 % | Enterprise Assets + Software + Data inventory — CIS anchor |
| Riadenie prístupov | CIS 5, 6 | 95 % | MFA pre admin/remote/external (6.3-6.5), PAM (5.4), RBAC (6.8) |
| Tréning | CIS 14 | 95 % | 9 safeguardov: social engineering, auth, data handling, role-specific |
| Incident management | CIS 17 | 90 % | 9 safeguardov — plan, designation, reporting, lessons-learned |
| Supply chain | CIS 15 | 85 % | Service Provider Management — inventory, klasifikácia, monitoring |
| Krypto | CIS 3 | 80 % | Data Protection — encryption at rest (3.11) + in transit (3.10) |
| BCM | CIS 11 | 80 % | Data Recovery — backupy, izolované obnovy, testovanie |
| Riadenie rizík | CIS 1, 2, 11 | 70 % | Inventory + Data Recovery; CIS je control-driven, nemá vlastný risk-assessment proces |
| HR bezpečnosť | CIS 5, 6 | 60 % | Account lifecycle; žiadny screening, terms-of-employment, disciplinárny proces |
| Governance | — | 45 % | CIS je technical-first — management-body accountability je implicitná |
Záver: NIS2 → CIS Controls je takmer "implement once, inherit many" okrem governance a HR oblastí.
HIPAA Security Rule — US zdravotníctvo (75 %)
45 CFR §§ 164.302-318. Aplikuje sa na Covered Entities (lekári, kliniky, nemocnice, poisťovne) a Business Associates (ktokoľvek kto spracúva ePHI v ich mene — cloud, SaaS, analytické firmy).
| NIS2 oblasť | HIPAA § | Pokrytie | Poznámka |
|---|---|---|---|
| BCM | § 164.308(a)(7) | 90 % | Contingency Plan — backup + DR + emergency mode + testing |
| Riadenie prístupov | § 164.308(a)(3)-(4), § 164.312(a)-(d) | 90 % | Workforce Security + Access Mgmt + Audit Controls + Integrity + Authentication |
| Riadenie rizík | § 164.308(a)(1)(ii)(A)-(B) | 85 % | Risk Analysis + Risk Management — povinné, dokumentované, periodicky |
| Incident mgmt | § 164.308(a)(6), § 164.400-414 | 85 % | Security Incident + Breach Notification Rule (60 dní) |
| Supply chain | § 164.308(b), § 164.314(a) | 80 % | Business Associate Contracts — povinné BAA pre ePHI handlerov |
| Tréning | § 164.308(a)(5) | 80 % | Security Awareness & Training — periodické updaty, security reminders |
| Krypto | § 164.312(a)(2)(iv), § 164.312(e)(2)(ii) | 75 % | Encryption (addressable) pre ePHI at rest + transmission |
| HR bezpečnosť | § 164.308(a)(3)(ii), § 164.308(a)(4)(ii) | 70 % | Workforce Clearance + Access Authorization + Termination Procedures |
| Governance | § 164.308(a)(2) | 60 % | Security Official designation — užšie než NIS2 management body |
| Evidencia aktív | § 164.310(d) | 55 % | Device and Media Controls — inventory implicitná |
Záver: NIS2 + HIPAA-specific dopĺňky (BAA, encryption gap-analysis, breach notification timelines) = plný HIPAA compliance.
PCI DSS v4 — akceptácia kariet (75 %)
Každý kto prijíma, spracúva alebo uchováva platobné karty (e-shop, SaaS s platbami, freelancer s POS terminálom). 12 hlavných požiadaviek v rámci CDE (Cardholder Data Environment).
| NIS2 oblasť | PCI DSS Req | Pokrytie | Poznámka |
|---|---|---|---|
| Riadenie prístupov | Req. 7, 8 | 100 % | Najprísnejšie MFA požiadavky zo všetkých frameworkov |
| Krypto | Req. 3, 4 | 95 % | Strong cryptography + key management lifecycle — preskriptívne |
| Supply chain | Req. 12.8, 12.9 | 85 % | TPSP management — due diligence, zmluvy, monitoring |
| Incident mgmt | Req. 12.10 | 80 % | Incident Response Plan + testovanie + oznámenie card brands |
| Evidencia aktív | Req. 9.5, 12.5.1 | 70 % | Media inventory + system components v CDE (CDE-scoped) |
| Riadenie rizík | Req. 12.3 | 70 % | Annual risk assessment pre CDE |
| Tréning | Req. 12.6 | 70 % | Security awareness program — pri nástupe + ročne |
| Governance | Req. 12.1, 12.4 | 55 % | Security policy governance + executive accountability |
| HR bezpečnosť | Req. 12.7 | 55 % | Personnel screening (background check) pre CDE prístup |
| BCM | Req. 9.4.1, 12.10.1 | 45 % | Offline backupy + data recovery (mimo CDE nie je) |
Záver: NIS2 dá pevný základ (~75 %), ale PCI vyžaduje dodatočnú prácu na segmentácii CDE, sledovaní čísiel kariet, scanovaní zraniteľností (Req. 11) a tokenizácii — to NIS2 nerieši.
Stratégia pre SME: "implement once, inherit many"
Ak ste SK/CZ SME s:
1. Medzinárodnými klientmi z US (healthtech, pharma)
→ NIS2 pokryje ~75 % HIPAA. Dodajte: BAA šablónu, 60-day breach notification procedúry, addressable encryption gap-analysis.
2. E-shopom alebo SaaS s platbami
→ NIS2 pokryje ~75 % PCI DSS. Dodajte: CDE segmentation, quarterly ASV scan, dokumentáciu tokenizácie alebo outsource na payment processor (Stripe, Adyen — zrazí PCI scope na SAQ-A).
3. Technickou firmou ktorá chce "serious security"
→ NIS2 pokryje ~80 % CIS Controls v8. Dodajte: CIS 4 (Secure Configuration), CIS 8 (Audit Logs), CIS 16 (Application Software Security).
Čo NIS2 nepokryje
Spravodlivosť voči týmto rámcom — oblasti ktoré NIS2 iba nahliadne:
- HIPAA: BAA zmluvy, ePHI-specific retention, patient access rights (to je väčšinou HIPAA Privacy Rule, nie Security Rule)
- PCI DSS: CDE network segmentation, quarterly vulnerability scans (ASV), tokenization requirements, annual penetration testing
- CIS Controls: Secure configuration baselines (CIS 4), audit log management (CIS 8), application security (CIS 16) — tieto sú v NIS2 implicitné ale nie preskriptívne
Praktický postup
- Spusťte express NIS2 hodnotenie — za 5 minút máte scope + score
- Pozrite si Cross-framework crosswalk — všetkých 9 rámcov × 10 oblastí s článkami
- Vystavte si NIS2 certifikát po dokončení scanu — 12-mesačný, verejná overovacia URL, embed badge na web
Zhrnutie
NIS2 nie je izolovaný rámec — je konvergentný baseline. V GDPR kryje ~65 %, v DORA ~95 %, v ISO 27001 ~97 %, v SOC 2 ~85 %, v NIST CSF ~90 %, v CIS Controls ~80 %, v HIPAA ~75 %, v PCI DSS ~75 %. Pre SME s medzinárodnými klientmi je najefektívnejší postup začať NIS2 implementáciou a potom dopĺňať framework-specific gaps — nie paralelne budovať 4-5 samostatných ISMS.
Nepotrebujete 4 frameworky od nuly. Potrebujete jeden dobrý + cielené dopĺňky.
Tento článok sa opiera o Cross-framework crosswalk tabuľku — 10 NIS2 oblastí × 9 rámcov, priemer z article-level porovnaní. Pre záväzné compliance posúdenie kontaktujte NBÚ/NÚKIB alebo akreditovaného audítora.