NIS 2: evropski okvir
Direktiva NIS 2 je bila sprejeta z namenom izboljšanja kibernetske varnosti v celotni Evropski uniji. Zajema širši nabor sektorjev kot je bilo to določeno v prvotni direktivi NIS. To pomeni, da je veliko več organizacij obvezanih k izvajanju ukrepov, ki so določeni z direktivo.
Glavni cilj direktive je zmanjšati tveganja in povečati odpornost organizacij v boju proti kibernetskim napadom. Le-te morajo izpolnjevati bolj stroge zahteve glede upravljanja varnostnih incidentov. Vzpostaviti morajo tudi mehanizme za hitro poročanje o kibernetskih grožnjah. NIS 2 določa tudi jasne obveznosti obvladovanja tveganj in zagotavlja neprekinjeno delovanje storitev in poslovanja. Poudarek je na ključnih sektorjih, kot so na primer energetika, zdravstvo, promet in digitalna infrastruktura.
V primeru, da pride do kršitev, so za to predvidene visoke globe. Kazni lahko dosegajo tudi do več milijonov evrov, s čimer se organizacije spodbuja k doslednemu izpolnjevanju zahtev.
Zakon o informacijski varnosti
V Sloveniji se NIS prenaša v zakonodajo kot Zakon o informacijski varnosti. Ta določa nacionalni okvir in ukrepe za zaščito kritične infrastrukture. Zakon določa, katere organizacije spadajo med zavezance. To so upravljavci bistvenih storitev, digitalne platforme in ponudniki javnih storitev.
Med obveznosti spadajo izdelava ocen tveganj, vzpostavitev varnostnih politik in izvajanje rednih revizij. Poudarjen je tudi pomen poročanja o incidentih, kar organizacije zavezuje k poročanju o varnostnih incidentih v kratkih rokih.
NIS 2 in ZInfV postavljata temelje za visoko raven kibernetske varnosti v državi. Nacionalni organi so zadolženi za izvajanje nadzora in izrekanja sankcij za kršitelje. Tiste organizacije, ki zahtev ne upoštevajo, se izpostavljajo tveganju visokih glob in izgube ugleda.
Za učinkovito izvajanje zakona morajo podjetja vlagati v tehnologijo in znanje. Brez ustreznega usposabljanja zaposlenih, tehnični ukrepi niso dovolj. Pravočasno prilagajanje zmanjšuje stroške in krepi odpornost pred grožnjami.
Direktiva NIS 2 in Zakon o informacijski varnosti predstavljata celovit okvir kibernetske zaščite. Njuna skupna naloga je zagotoviti bolj varno digitalno okolje. Organizacije morajo razumeti svoje obveznosti in pravočasno ukrepati. Kibernetske grožnje postajajo vse bolj sofisticirane, zato je upoštevanje zakonodaje ključ do stabilnosti in zaupanja.
