NIS-2 - Slovenija
Digitalizacija je temelj sodobnega poslovanja, a hkrati odpira vrata številnim grožnjam v obliki kibernetskih napadov. Da bi se države članice Evropske unije učinkoviteje spopadale z naraščajočimi tveganji na področju informacijske varnosti, je EU januarja leta 2023 sprejela novo Direktivo o varnosti omrežij in informacijskih sistemov, bolj znano kot Direktiva NIS-2. Ta direktiva nadomešča prvotno NIS direktivo iz leta 2016 in postavlja višje zahteve glede kibernetske varnosti, zlasti za ključne gospodarske in družbene sektorje. Glavni cilj direktive je izboljšati splošno odpornost na kibernetske grožnje in izboljšati koordinacijo med državami članicami EU. Direktiva NIS-2 širi obseg obveznosti, uvaja strožje zahteve in zagotavlja močnejše mehanizme za spremljanje skladnosti ter sankcije za neizpolnjevanje predpisov.

Podjetja in organizacije, ki delujejo v sektorjih kritične infrastrukture, kot so energetika, transport, zdravstvo, finančne storitve ter oskrba s pitno vodo, morajo izpolnjevati strožje standarde na področju informacijske varnosti. Poleg tega NIS-2 vključuje tudi določila za boljše obvladovanje tveganj v verigi dobaviteljev. To pomeni, da morajo organizacije preverjati in nadzirati tudi svoje zunanje partnerje.

Kot članica EU je morala tudi Slovenija uskladiti svojo zakonodajo z določili direktive NIS-2. Vlada Republike Slovenije je morala sprejeti ustrezne ukrepe in zakonodajne akte, s katerimi je določila natančne obveznosti za slovenske zavezance. Prav tako je morala določiti pristojne organe, ki bodo nadzorovali izvajanje direktive in zagotavljali skladnost s predpisi. Z implementacijo NIS-2 je Slovenija dodatno okrepila svojo kibernetsko varnost in odpornost proti digitalnim grožnjam. To je še posebej pomembno v luči povečevanja števila kibernetskih napadov, ki so prizadeli tako javni kot zasebni sektor. Direktiva NIS 2 in njene zahteve morajo biti prenesene v nacionalno zakonodajo z novelo Zakon o informacijski varnosti (ZinfV). Veljati pa mora začeti do 17. oktobra 2024.

Kdo so zavezanci za NIS-2?

Direktiva NIS-2 širi krog zavezancev, kar pomeni, da bo vplivala na širši spekter podjetij in organizacij. V nasprotju s predhodno direktivo NIS, ki se je osredotočala predvsem na ključne gospodarske sektorje, kot so izvajalci bistvenih storitev (IBS) in ponudniki digitalnih storitev (PDS), NIS-2 vključuje več panog. Med temi so tudi digitalne storitve, dobaviteljske verige, upravljavci podatkovnih centrov in drugi ponudniki storitev na področju informacijske tehnologije. Zavezanci so organizacije, ki zagotavljajo bistvene storitve za delovanje družbe in gospodarstva. Poleg tega NIS-2 uvaja dve kategoriji zavezancev: bistvene in pomembne subjekte. Bistveni subjekti vključujejo organizacije, ki so ključnega pomena za varnost in delovanje države, medtem ko so pomembni subjekti tisti, ki imajo prav tako pomembno vlogo, a ne nujno ključnega pomena. Za obe kategoriji veljajo strogi standardi na področju kibernetske varnosti, vendar se nadzor nad njimi razlikuje glede na njihov pomen in obseg delovanja.

Za organizacije je ključno, da ugotovijo, ali so na seznamu, ki ga določa direktiva NIS 2. Določene so tudi organizacije in podjetja, ki jih direktiva NIS 2 določa neodvisno od velikosti ali pomena. To so na primer ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev; ponudniki zaupanja vrednih storitev; kritične infrastrukture; različne ustanove in podobno.

Odgovornost vodstva

Direktiva NIS-2 postavlja še posebej velik poudarek na odgovornost vodstva organizacij. Vodilni kadri v podjetjih bodo morali aktivno sodelovati pri upravljanju tveganj in zagotavljanju kibernetske varnosti. To vključuje redno ocenjevanje varnostnih tveganj, sprejemanje ustreznih ukrepov ter zagotavljanje skladnosti s predpisi. Vodstvo bo odgovorno za nadzor nad izvajanjem varnostnih politik in strategij ter za spremljanje učinkovitosti varnostnih ukrepov.

V primeru neskladnosti z določili direktive NIS-2 so predvidene tudi sankcije, ki lahko vključujejo visoke denarne kazni, kar še dodatno povečuje odgovornost vodilnih v podjetjih.

Zagotavljanje informacijske varnosti, izobraževanja in usposabljanja

Ena ključnih zahtev direktive NIS-2 je zagotavljanje ustrezne ravni informacijske varnosti. Zavezanci bodo morali vzpostaviti celovite sisteme za obvladovanje kibernetskih tveganj, ki bodo vključevali varnostne politike, postopke in ukrepe za odzivanje na kibernetske incidente. To pomeni, da bodo morali podjetja in organizacije izvajati redne varnostne preglede, posodabljati svoje varnostne rešitve ter uvajati ukrepe za zaščito pred potencialnimi grožnjami.

Poleg tehničnih ukrepov NIS-2 poudarja tudi pomen izobraževanj in usposabljanj na področju kibernetske varnosti. Zavezanci bodo morali zagotoviti, da so njihovi zaposleni ustrezno usposobljeni za prepoznavanje kibernetskih groženj in ustrezno ukrepanje v primeru incidentov. Redna izobraževanja bodo ključna za zagotavljanje, da zaposleni razumejo varnostne politike podjetja in znajo ravnati v primeru varnostnih groženj. Usposabljanje mora zajemati vse ravni organizacije, saj je človeški dejavnik pogosto ena najšibkejših točk v sistemu kibernetske varnosti. Zaposleni, ki so dobro informirani in izobraženi, lahko bistveno prispevajo k preprečevanju napadov in zmanjšanju njihovega vpliva.

Pri implementaciji zakona in za vaša ostala vprašanja smo vam z našimi strokovnjaki vedno na voljo.

Prva stran
Pokličite
E-pošta
Povpraševanje
POVPRAŠEVANJE