Direktiva NIS 2 – kdo so zavezanci in na kaj se morajo pripraviti?
Januarja leta 2023 je pričel veljati zakon NIS-2 oziroma Direktiva EU 2022/2555, ki določa ukrepe za visoko raven kibernetske varnosti v Evropski uniji. Le-ta je razširitev Direktive EU 2016/1148 (NIS) iz leta 2016. Direktiva NIS 2 in njene zahteve morajo biti prenesene v nacionalno zakonodajo z novelo Zakon o informacijski varnosti (ZinfV) in mora začeti veljati do 17. oktobra 2024. Po tem, ko bo Slovenija kot neodvisna država zahteve direktive prenesla v nacionalno zakonodajo, bodo le-te postale zavezujoče za organizacije in podjetja, ki poslujejo na področju države. Namen nove direktive je bil doseči visoko raven kibernetske varnosti v EU, še izboljšati kibernetsko odpornost ter tudi odzivnost v primeru varnostnih incidentov v vseh državah članicah EU in Unije kot celoti.
Glavni cilj, ki ga ima Direktiva NIS 2 je torej krepitev odpornosti EU na kibernetske grožnje ter izboljšati sodelovanje med državami članicami. Direktiva NIS 2 je prinesla številne pomembne spremembe in posodobitve glede na prej veljavno zakonodajo. Poleg strožjih zahtev predvideva tudi bolj podroben nadzor nad zavezanci in tudi visoke globe za kršitelje. Direktiva NIS 2 velja tako za srednja kot tudi velika podjetja v določenih zasebnih in javnih sektorjih. Vsi zavezanci NIS 2 bodo morali slediti strožjim zahtevam ter zagotavljati varnost svojih omrežij, varnost dobavnih verig, nadzor dostopa in šifriranje.
1 Na kaj se morajo pripraviti organizacije in kdo sploh so zavezanci?
Direktiva NIS 2 obsega tako javni kot tudi zasebni sektor. V ospredju so predvsem izvajalci bistvenih storitev (IBS) in ponudniki digitalnih storitev (PDS). Le-ti so bili opredeljeni že v direktivi NIS 1, direktiva NIS 2 pa zajema veliko širši nabor organizacij v različnih panogah. Ker se je povečalo število podjetij in organizacij, ki spadajo med zavezance, ki jih določa Direktiva NIS 2, se je povečal tudi obseg zahtevanih ukrepov. Seznam organizacij se je razširil iz 68 na 923. To kaže predvsem na dejstvo, da so grožnje digitalnega sveta zelo resne.
Direktiva NIS 2 se nanaša na podjetja in organizacije iz 18 sektorjev, ki so razdeljeni na bistvene in pomembne subjekte. Pri vsakem sektorju je določena tudi vrsta dejavnosti, ki je zajeta v ukrepe direktive. Z uvedbo ključnih določb direktiva NIS 2 vzpostavlja temelje za celovit pristop k varnosti omrežij in informacijskih sistemov.
Za organizacije je ključno, da ugotovijo, ali so na seznamu, ki ga določa direktiva NIS 2. Določene so tudi organizacije in podjetja, ki jih direktiva NIS 2 določa neodvisno od velikosti ali pomena. To so na primer ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev; ponudniki zaupanja vrednih storitev; kritične infrastrukture; različne ustanove in podobno.
2 Ukrepi organizacij
V skladu z NIS 2 morajo organizacije izvajati določene ukrepe kibernetske varnosti. S temi obvladujejo tveganja za varnost lastnih omrežij in informacijskih sistemov. Obseg ukrepov določi vsaka organizacija posamezno, glede na to, kaj je zanjo primerno.
Najpogostejši so ukrepi na področjih, kot so politike, upravljanje incidentov, poslovna kontinuiteta, dobavna veriga, nabava, učinkovitost, kibernetska higiena, kriptografija, osebje, dostopi, sredstva, avtentikacija in tudi komunikacija. Direktiva NIS 2 določa tudi jasne smernice glede obveznosti poročanja o kibernetskih incidentih. Organizacije bodo morale sprejeti strožje ukrepe za poročanje o incidentih. S tem pa se bo omogočilo hitrejši odziv in boljše obvladovanje morebitnih napadov. Prav tako bodo morale okrepiti tudi nadzor dostopa do svojih informacijskih sistemov. Poleg tega pa šifrirati občutljive podatke, kar postaja tudi obvezni standard. Povečana zahtevnost in obseg obveznosti bo prinesel tudi potrebo po dodatnih naložbah v kibernetsko varnostno infrastrukturo. Prav tako se bo okrepilo izobraževanje in usposabljanje zaposlenih ter samo prilagajanje novemu okolju.
Pravilna implementacija ukrepov, ki jih odloča direktiva NIS2 lahko prinese tudi številne koristi. Izboljša se kibernetska odpornost organizacije, pridobi se zaupanje strank in partnerjev ter poviša se konkurenčnost. Z direktivo pa se odpirajo tudi nove priložnosti za rast in razvoj. Organizacije morajo biti pripravljene na spremembe in se zavedati, da je skladnost z zakonodajo nujno potrebna za njihovo varnost.
Ker je implementacija novih zakonov pričakovano zahtevna, vam pri tem lahko s svojimi strokovnjaki pomagamo mi. Kontaktirajte nas že danes – kliknite tu!