Delovni čas
Pon - pet: 9.00 - 14.00
NIS 2 direktiva
Kaj prinaša vzpostavljanje novih standardov informacijske varnosti v Evropski uniji in Sloveniji?
Leta 2016 je Evropska unija sprejela direktivo o varnosti omrežij in informacijskih sistemov NIS. Njena nadgradnja, torej NIS 2 direktiva, se še bolj poglablja v izboljšanje informacijske varnosti. Prinaša odgovor na vedno bolj naraščajočo grožnjo kibernetskih napadov in kibernetskega kriminala. Zaradi tega je zelo pomembna odpornost digitalne infrastrukture v državah članicah EU.
Ste tudi vi med zavezanci NIS 2? Kaj se od vas pričakuje glede zagotavljanja informacijske varnosti? Kakšno odgovornost ima ob tem vodstvo podjetja?
O NIS 2 direktivi
Že v letu 2016 je bila uvedena NIS direktiva. Sedaj nam nova direktiva, to je NIS 2 direktiva o ukrepih za visoko skupno raven kibernetske varnosti EU prinaša nekaj novosti in je nadgradnja prejšnje direktive. Z NIS 2 so postavljeni višji standardi za kibernetsko varnost v vseh državah članicah EU. Glavni cilj direktive je, da zaščiti ključne sektorje, ki so pomembni za delovanje družbe. Sem prištevamo energetiko, zdravstvo, finančne storitve, promet, upravljanje odpadkov in oskrbo z vodo.
Za neupoštevanje direktive so predvidene tudi finančne kazni, ki lahko krepko obremenijo vaš bančni račun. Prav tako bo vodstvo pravno odgovarjalo. Pazite – seznam zavezancev je direktiva razširila.
Številni sektorji so na seznamu, ki moraj slediti direktivi in izpolnjevati stroge zahteve glede informacijske varnosti. Pristojnosti držav članic pri nadzoru in ukrepanju v primeru neskladnosti so velike. Zelo pomembno je, da direktiva uvaja strožje varnostne zahteve, skupaj z boljšo zaščito pred kibernetskimi grožnjami in večjim poudarkom na obvladovanju tveganj.
NIS 2 direktiva v RS
Direktiva se izvaja tudi v Sloveniji, in sicer v skladu z nacionalno zakonodajo ter prilagoditvami. Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti, ki ga mora Slovenija do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022.
Organi, odgovorni za izvajanje direktive, bodo imeli večje pristojnosti pri nadzoru nad skladnostjo, kar vključuje možnost izrekanja kazni za kršitve. Kot organizacija ali podjetje morate prilagoditi svojo politiko kibernetske varnosti, da boste izpolnjevali zahteve direktive.
Je za uvedbo predviden rok? Podjetja imajo omejen čas, v katerem se morajo prilagoditi novim zahtevam. Zavezujoči roki za implementacijo direktive so določeni za konec leta 2024. Nacionalni organi bodo primorani določiti točno določene ukrepe in vzpostaviti nadzorne mehanizme, da bodo z njimi spremljali izvajanje direktive v ključnih sektorjih.
Kdo so NIS 2 zavezanci?
Niste prepričani, če ste zavezanec direktive?
Bodite previdni, saj je potrebna samoregistracija zavezancev. Če je do sedaj za to poskrbela vlada RS, morate sedaj glede na kriterije spoznati, da ste zavezanec in če morate izvajati ukrepe ZInfV-1.
V kolikor ste podjetje ali organizacija, ki deluje v kritičnih in pomembnih sektorjih, potem ste NIS 2 zavezanci. Nova direktiva razširja seznam sektorjev, ki jih ta zakonodaja zajema, kar pomeni, da bodo zavezanci vključeni v različne panoge:
• Kritični sektorji: Zavezanci kritičnega sektorja so energetski sektor, oskrba z vodo, zdravstvo, digitalna infrastruktura, telekomunikacije, finance, transport in javna uprava. Ker so ta podjetja ključna za delovanje družbe in gospodarstva, morajo izpolnjevati najstrožje standarde kibernetske varnosti.
• Pomembni sektorji: V pomembne sektorje prištevamo industrije, ki se navezujejo na odpadke, izobraževanje, raziskave, proizvodnjo, živilsko industrijo in nekatere digitalne storitve. Za ta sektor so standardi nekoliko prilagodljivi glede na obseg tveganj in vpliv, a morajo vseeno zagotoviti visoko raven varnosti.
Če ste malo podjetje in je vaše delovanje pomembno za katerega od bistvenih sektorjev, ste vseeno zavezanec direktive. Samodejno so vključena tudi vse organizacije izmed naštetih, ki imajo več kot 50 zaposlenih in dosegajo naslednje prihodke:
Kriteriji
Letni promet
Število zaposlenih
Letna bilančna vsota
Srednji subjekti
10-50 mio €
50-250
10-42 mio €
Veliki subjekti
Več kot 50 mio €
Več kot 250
Več kot 42 mio €
Podjetja in organizacije, ki ne dosegajo teh kriterijev, lahko ostanejo zunaj obsega NIS 2 zavezanci, vendar se še vedno spodbuja, da vzpostavijo ustrezne ukrepe za obvladovanje kibernetskih tveganj.
Kazni in posledice za nespoštovanje NIS 2
NIS 2 direktiva določa različne sankcije za neskladnost z varnostnimi zahtevami in obveznostmi poročanja o incidentih. Med sankcijami so nedenarna pravna sredstva, upravne globe in kazenske sankcije. Te se lahko naložijo bistvenim in pomembnim subjektom, torej NIS 2 zavezancem, ki ne izpolnjujejo svojih obveznosti glede kibernetske varnosti.
Nedenarne kazni nacionalnim nadzornim organom omogočajo izdajo odredb o skladnosti, zavezujočih navodil in zahtev za varnostne revizije. Organi lahko odredijo tudi obveščanje strank o zaznanih grožnjah ali incidentih.
Višina denarnih kazni se razlikuje med državami članicami, vendar NIS 2 direktiva določa minimalne upravne sankcije. Te veljajo za kršitve obveznosti obvladovanja tveganj in poročanja o kibernetskih incidentih. NIS 2 zavezanci morajo zato vzpostaviti ustrezne notranje nadzorne mehanizme in postopke za zagotavljanje skladnosti z zahtevami direktive.
Podjetja, ki zahtev NIS 2 ne bodo spoštovala, se lahko soočijo z visokimi globami in omejitvami poslovanja. Poleg tega neskladnost povzroča izgubo zaupanja strank in škodo ugledu podjetja. V času povečanih kibernetskih groženj takšna podjetja postajajo še posebej ranljiva za napade.
Zagotavljanje informacijske varnosti
En najpomembnejših delov, ki jih vsebuje NIS 2 direktiva, je zahteva po zagotavljanju celovite informacijske varnosti. Ukrepi za zaščito pred kibernetskimi grožnjami, ki morajo biti uvedeni, so:
- Identifikacija tveganj, kar pomeni, da morajo organizacije redno pregledovati in izvajati analize tveganj, da lahko pravočasno prepoznajo in ocenijo možne grožnje. S tem ugotovijo tudi, kje so njihovi najšibkejši členi.
- Zaščita pred kibernetskimi napadi na način, da se implementirajo zaščitni ukrepi, na primer požarni zidovi, sistemi za zaznavanje vdorov, šifriranje podatkov in dostop do občutljivih informacij.
- Obvladovanje incidentov, če se ti pojavijo. Po direktivi morajo organizacije pripraviti načrte za obvladovanje kibernetskih incidentov, ki morajo vključevati hitre odzivne ukrepe in obveščanje pristojnih organov o varnostnih kršitvah.
- Obvladovanje delovanja po kibernetskem napadu ali drugem varnostnem incidentu. V organizacijah mora biti vzpostavljeno, katere postopke bodo uporabili za obnovo podatkov in sistemov in kako bodo zagotovili neprekinjeno delovanje.
Samoregulacija in NIS 2
NIS 2 direktiva prinaša zelo stroge zahteve za pomembne in kritične sektorje. V nekaterih pa primerih je možna in predlagana tudi samoregulacija. Podjetja, ki niso neposredni zavezanci direktive, lahko sama določajo notranje standardne varnosti. Morajo pa biti ti standardi skladni z dobrimi praksami kibernetske varnosti.
Samoregulacija je zelo pomembna v manjših podjetjih, ki si lahko s prilagodljivimi in ustreznimi ukrepi zagotovijo varnost svojih informacijskih sistemov in podatkov. Glede na prakse zadnjih let, ko so kibernetske grožnje vedno bolj številne, je zelo smiselno, da manjša podjetja, ki niso neposredno zajeta v novo direktivo, vključijo ukrepe, ki bodo zmanjšali tveganje za kibernetske napade in varnostne grožnje.
Odgovornost vodstva za obvladovanje tveganj
Najbolj pomembno vlogo pri obvladovanju kibernetskih tveganj ima v podjetjih, ki so NIS 2 zavezanci, vodstvo. Poleg tega, da je odgovornost za zagotavljanje skladnosti z direktivo tehnična, je tudi strateška. Zato je pomembno, da se vodstvo vključi v proces upravljanja tveganj. To vključevanje predstavlja:
- Sprejemanje odločitev glede naložb v kibernetsko varnost. Razumeti je treba, da je za kibernetsko varnost potrebno zagotoviti potrebna finančna sredstva, da se ukrepi lahko izvajajo.
- Določanje varnostne politike. Tukaj imajo zavezanci jasno določene politike in postopke, s katerimi bodo obvladovali kibernetska tveganja. Vodstvo je v tem primeru odgovorno za implementacijo teh postopkov.
- Redno spremljanje in poročanje. Izvaja ga vodstvo. Analizirati je treba poročila o tveganjih in varnostnih incidentih, na podlagi tega pa primerno ukrepati.
- Kazni. V kolikor podjetja in organizacije ne bodo spoštovale zahtev direktive, si lahko pridobijo visoke kazni. Vodstvo mora zato sprejeti proaktivni pristop za zagotavljanje skladnosti.
Izobraževanja in usposabljanja iz kibernetske varnosti
Najbolj pomemben člen pri prepoznavanju kibernetskih groženj, je izobraževanje. Ozaveščanje je ključnega pomena za uspešno izvajanje NIS 2 direktive. V izogib težavam, si zagotovite redna izobraževanja, ki vam bodo pomagala spoznati in nadzorovati:
- Prepoznavanje kibernetskih groženj, kar pomeni, da zaposleni prepoznajo sumljive dejavnosti, phishing e-pošto in druge oblike kibernetskih napadov.
- Pravilno ravnanje s podatki, saj je potrebnega veliko razumevanja o tem, kako se z občutljivimi podatki varno ravna, kdaj in kako se lahko oziroma mora uporabiti šifriranje podatkov ter kako pravilno shraniti informacije.
- Odziv na incidente, mora biti prav tako ustrezen, tako da morajo zaposleni poznati ukrepe, vedeti, komu poročat in kakšne postopke je potrebno sprožiti v primeru kibernetskega incidenta, da se omeji škoda.
Usposabljanja pomagajo zagotoviti, da so vsi zaposleni, ne glede na njihovo funkcijo, pripravljeni na izzive, ki jih prinaša sodobni digitalni svet.
NIS 2 direktiva postavlja nove, strožje standarde za kibernetsko varnost v EU in Sloveniji. Povečuje zahteve glede varnosti informacijskih sistemov, upravljanja tveganj in poročanja o incidentih. Velja za več kritičnih sektorjev, vključno z energijo, zdravjem, transportom in digitalnimi storitvami. Pomembno je poznati zahteve in prilagoditi informacijske sisteme v izogib tveganjem za kibernetske napade.