Delovni čas
Pon - pet: 9.00 - 14.00
NIS2 direktiva
Kaj prinaša vzpostavljanje novih standardov informacijske varnosti v Evropski uniji in Sloveniji?
Leta 2016 je Evropska unija sprejela direktivo o varnosti omrežij in informacijskih sistemov NIS. Njena nadgradnja, torej NIS2 direktiva, se še bolj poglablja v izboljšanje informacijske varnosti. Prinaša odgovor na vedno bolj naraščajočo grožnjo kibernetskih napadov in kibernetskega kriminala. Zaradi tega je zelo pomembna odpornost digitalne infrastrukture v državah članicah EU.
Ste tudi vi med zavezanci NIS 2? Kaj se od vas pričakuje glede zagotavljanja informacijske varnosti? Kakšno odgovornost ima ob tem vodstvo podjetja?
O NIS2 direktivi
Že v letu 2016 je bila uvedena NIS direktiva. Sedaj nam nova direktiva, to je NIS2 direktiva o ukrepih za visoko skupno raven kibernetske varnosti EU prinaša nekaj novosti in je nadgradnja prejšnje direktive. Z NIS2 so postavljeni višji standardi za kibernetsko varnost v vseh državah članicah EU. Glavni cilj direktive je, da zaščiti ključne sektorje, ki so pomembni za delovanje družbe. Sem prištevamo energetiko, zdravstvo, finančne storitve, promet, upravljanje odpadkov in oskrbo z vodo.
Za neupoštevanje direktive so predvidene tudi finančne kazni, ki lahko krepko obremenijo vaš bančni račun. Prav tako bo vodstvo pravno odgovarjalo. Pazite – seznam zavezancev je direktiva razširila.
Številni sektorji so na seznamu, ki moraj slediti direktivi in izpolnjevati stroge zahteve glede informacijske varnosti. Pristojnosti držav članic pri nadzoru in ukrepanju v primeru neskladnosti so velike. Zelo pomembno je, da direktiva uvaja strožje varnostne zahteve, skupaj z boljšo zaščito pred kibernetskimi grožnjami in večjim poudarkom na obvladovanju tveganj.
NIS2 direktiva v RS
Direktiva se izvaja tudi v Sloveniji, in sicer v skladu z nacionalno zakonodajo ter prilagoditvami. Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti, ki ga mora Slovenija do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022.
Organi, odgovorni za izvajanje direktive, bodo imeli večje pristojnosti pri nadzoru nad skladnostjo, kar vključuje možnost izrekanja kazni za kršitve. Kot organizacija ali podjetje morate prilagoditi svojo politiko kibernetske varnosti, da boste izpolnjevali zahteve direktive.
Je za uvedbo predviden rok? Podjetja imajo omejen čas, v katerem se morajo prilagoditi novim zahtevam. Zavezujoči roki za implementacijo direktive so določeni za konec leta 2024. Nacionalni organi bodo primorani določiti točno določene ukrepe in vzpostaviti nadzorne mehanizme, da bodo z njimi spremljali izvajanje direktive v ključnih sektorjih.
Kdo so NIS2 zavezanci?
Niste prepričani, če ste zavezanec direktive?
Bodite previdni, saj je potrebna samoregistracija zavezancev. Če je do sedaj za to poskrbela vlada RS, morate sedaj glede na kriterije spoznati, da ste zavezanec in če morate izvajati ukrepe ZInfV-1.
V kolikor ste podjetje ali organizacija, ki deluje v kritičnih in pomembnih sektorjih, potem ste NIS 2 zavezanci. Nova direktiva razširja seznam sektorjev, ki jih ta zakonodaja zajema, kar pomeni, da bodo zavezanci vključeni v različne panoge:
• Kritični sektorji: Zavezanci kritičnega sektorja so energetski sektor, oskrba z vodo, zdravstvo, digitalna infrastruktura, telekomunikacije, finance, transport in javna uprava. Ker so ta podjetja ključna za delovanje družbe in gospodarstva, morajo izpolnjevati najstrožje standarde kibernetske varnosti.
• Pomembni sektorji: V pomembne sektorje prištevamo industrije, ki se navezujejo na odpadke, izobraževanje, raziskave, proizvodnjo, živilsko industrijo in nekatere digitalne storitve. Za ta sektor so standardi nekoliko prilagodljivi glede na obseg tveganj in vpliv, a morajo vseeno zagotoviti visoko raven varnosti.
Če ste malo podjetje in je vaše delovanje pomembno za katerega od bistvenih sektorjev, ste vseeno zavezanec direktive. Samodejno so vključena tudi vse organizacije izmed naštetih, ki imajo več kot 50 zaposlenih in dosegajo naslednje prihodke:
Kriteriji
Letni promet
Število zaposlenih
Letna bilančna vsota
Srednji subjekti
10-50 mio €
50-250
10-42 mio €
Veliki subjekti
Več kot 50 mio €
Več kot 250
Več kot 42 mio €
Podjetja in organizacije, ki ne dosegajo teh kriterijev, lahko ostanejo zunaj obsega NIS2, vendar se še vedno spodbuja, da vzpostavijo ustrezne ukrepe za obvladovanje kibernetskih tveganj.
Zagotavljanje informacijske varnosti
En najpomembnejših delov, ki jih vsebuje NIS2 direktiva, je zahteva po zagotavljanju celovite informacijske varnosti. Ukrepi za zaščito pred kibernetskimi grožnjami, ki morajo biti uvedeni, so:
- Identifikacija tveganj, kar pomeni, da morajo organizacije redno pregledovati in izvajati analize tveganj, da lahko pravočasno prepoznajo in ocenijo možne grožnje. S tem ugotovijo tudi, kje so njihovi najšibkejši členi.
- Zaščita pred kibernetskimi napadi na način, da se implementirajo zaščitni ukrepi, na primer požarni zidovi, sistemi za zaznavanje vdorov, šifriranje podatkov in dostop do občutljivih informacij.
- Obvladovanje incidentov, če se ti pojavijo. Po direktivi morajo organizacije pripraviti načrte za obvladovanje kibernetskih incidentov, ki morajo vključevati hitre odzivne ukrepe in obveščanje pristojnih organov o varnostnih kršitvah.
- Obvladovanje delovanja po kibernetskem napadu ali drugem varnostnem incidentu. V organizacijah mora biti vzpostavljeno, katere postopke bodo uporabili za obnovo podatkov in sistemov in kako bodo zagotovili neprekinjeno delovanje.
Samoregulacija in NIS2
NIS2 direktiva prinaša zelo stroge zahteve za pomembne in kritične sektorje. V nekaterih pa primerih je možna in predlagana tudi samoregulacija. Podjetja, ki niso neposredni zavezanci direktive, lahko sama določajo notranje standardne varnosti. Morajo pa biti ti standardi skladni z dobrimi praksami kibernetske varnosti.
Samoregulacija je zelo pomembna v manjših podjetjih, ki si lahko s prilagodljivimi in ustreznimi ukrepi zagotovijo varnost svojih informacijskih sistemov in podatkov. Glede na prakse zadnjih let, ko so kibernetske grožnje vedno bolj številne, je zelo smiselno, da manjša podjetja, ki niso neposredno zajeta v novo direktivo, vključijo ukrepe, ki bodo zmanjšali tveganje za kibernetske napade in varnostne grožnje.
Odgovornost vodstva za obvladovanje tveganj
Najbolj pomembno vlogo pri obvladovanju kibernetskih tveganj ima v podjetjih, ki so NIS 2 zavezanci, vodstvo. Poleg tega, da je odgovornost za zagotavljanje skladnosti z direktivo tehnična, je tudi strateška. Zato je pomembno, da se vodstvo vključi v proces upravljanja tveganj. To vključevanje predstavlja:
- Sprejemanje odločitev glede naložb v kibernetsko varnost. Razumeti je treba, da je za kibernetsko varnost potrebno zagotoviti potrebna finančna sredstva, da se ukrepi lahko izvajajo.
- Določanje varnostne politike. Tukaj imajo zavezanci jasno določene politike in postopke, s katerimi bodo obvladovali kibernetska tveganja. Vodstvo je v tem primeru odgovorno za implementacijo teh postopkov.
- Redno spremljanje in poročanje. Izvaja ga vodstvo. Analizirati je treba poročila o tveganjih in varnostnih incidentih, na podlagi tega pa primerno ukrepati.
- Kazni. V kolikor podjetja in organizacije ne bodo spoštovale zahtev direktive, si lahko pridobijo visoke kazni. Vodstvo mora zato sprejeti proaktivni pristop za zagotavljanje skladnosti.
Izobraževanja in usposabljanja iz kibernetske varnosti
Najbolj pomemben člen pri prepoznavanju kibernetskih groženj, je izobraževanje. Ozaveščanje je ključnega pomena za uspešno izvajanje NIS 2 direktive. V izogib težavam, si zagotovite redna izobraževanja, ki vam bodo pomagala spoznati in nadzorovati:
- Prepoznavanje kibernetskih groženj, kar pomeni, da zaposleni prepoznajo sumljive dejavnosti, phishing e-pošto in druge oblike kibernetskih napadov.
- Pravilno ravnanje s podatki, saj je potrebnega veliko razumevanja o tem, kako se z občutljivimi podatki varno ravna, kdaj in kako se lahko oziroma mora uporabiti šifriranje podatkov ter kako pravilno shraniti informacije.
- Odziv na incidente, mora biti prav tako ustrezen, tako da morajo zaposleni poznati ukrepe, vedeti, komu poročat in kakšne postopke je potrebno sprožiti v primeru kibernetskega incidenta, da se omeji škoda.
Usposabljanja pomagajo zagotoviti, da so vsi zaposleni, ne glede na njihovo funkcijo, pripravljeni na izzive, ki jih prinaša sodobni digitalni svet.
NIS2 direktiva postavlja nove, strožje standarde za kibernetsko varnost v EU in Sloveniji. Povečuje zahteve glede varnosti informacijskih sistemov, upravljanja tveganj in poročanja o incidentih. Velja za več kritičnih sektorjev, vključno z energijo, zdravjem, transportom in digitalnimi storitvami. Pomembno je poznati zahteve in prilagoditi informacijske sisteme v izogib tveganjem za kibernetske napade.