Delovni čas
Pon - pet: 9.00 - 14.00
Pon - pet: 9.00 - 14.00
Leta 2016 je Evropska unija sprejela direktivo o varnosti omrežij in informacijskih sistemov NIS. Njena nadgradnja, torej NIS2 direktiva, se še bolj poglablja v izboljšanje informacijske varnosti. Prinaša odgovor na vedno bolj naraščajočo grožnjo kibernetskih napadov in kibernetskega kriminala. Zaradi tega je zelo pomembna odpornost digitalne infrastrukture v državah članicah EU.
Ste tudi vi med zavezanci NIS 2? Kaj se od vas pričakuje glede zagotavljanja informacijske varnosti? Kakšno odgovornost ima ob tem vodstvo podjetja?
Že v letu 2016 je bila uvedena NIS direktiva. Sedaj nam nova direktiva, to je NIS2 direktiva o ukrepih za visoko skupno raven kibernetske varnosti EU prinaša nekaj novosti in je nadgradnja prejšnje direktive. Z NIS2 so postavljeni višji standardi za kibernetsko varnost v vseh državah članicah EU. Glavni cilj direktive je, da zaščiti ključne sektorje, ki so pomembni za delovanje družbe. Sem prištevamo energetiko, zdravstvo, finančne storitve, promet, upravljanje odpadkov in oskrbo z vodo.
Za neupoštevanje direktive so predvidene tudi finančne kazni, ki lahko krepko obremenijo vaš bančni račun. Prav tako bo vodstvo pravno odgovarjalo. Pazite – seznam zavezancev je direktiva razširila.
Številni sektorji so na seznamu, ki moraj slediti direktivi in izpolnjevati stroge zahteve glede informacijske varnosti. Pristojnosti držav članic pri nadzoru in ukrepanju v primeru neskladnosti so velike. Zelo pomembno je, da direktiva uvaja strožje varnostne zahteve, skupaj z boljšo zaščito pred kibernetskimi grožnjami in večjim poudarkom na obvladovanju tveganj.
Direktiva se izvaja tudi v Sloveniji, in sicer v skladu z nacionalno zakonodajo ter prilagoditvami. Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti, ki ga mora Slovenija do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022.
Organi, odgovorni za izvajanje direktive, bodo imeli večje pristojnosti pri nadzoru nad skladnostjo, kar vključuje možnost izrekanja kazni za kršitve. Kot organizacija ali podjetje morate prilagoditi svojo politiko kibernetske varnosti, da boste izpolnjevali zahteve direktive.
Je za uvedbo predviden rok? Podjetja imajo omejen čas, v katerem se morajo prilagoditi novim zahtevam. Zavezujoči roki za implementacijo direktive so določeni za konec leta 2024. Nacionalni organi bodo primorani določiti točno določene ukrepe in vzpostaviti nadzorne mehanizme, da bodo z njimi spremljali izvajanje direktive v ključnih sektorjih.
Bodite previdni, saj je potrebna samoregistracija zavezancev. Če je do sedaj za to poskrbela vlada RS, morate sedaj glede na kriterije spoznati, da ste zavezanec in če morate izvajati ukrepe ZInfV-1.
V kolikor ste podjetje ali organizacija, ki deluje v kritičnih in pomembnih sektorjih, potem ste NIS 2 zavezanci. Nova direktiva razširja seznam sektorjev, ki jih ta zakonodaja zajema, kar pomeni, da bodo zavezanci vključeni v različne panoge:
• Kritični sektorji: Zavezanci kritičnega sektorja so energetski sektor, oskrba z vodo, zdravstvo, digitalna infrastruktura, telekomunikacije, finance, transport in javna uprava. Ker so ta podjetja ključna za delovanje družbe in gospodarstva, morajo izpolnjevati najstrožje standarde kibernetske varnosti.
• Pomembni sektorji: V pomembne sektorje prištevamo industrije, ki se navezujejo na odpadke, izobraževanje, raziskave, proizvodnjo, živilsko industrijo in nekatere digitalne storitve. Za ta sektor so standardi nekoliko prilagodljivi glede na obseg tveganj in vpliv, a morajo vseeno zagotoviti visoko raven varnosti.
Če ste malo podjetje in je vaše delovanje pomembno za katerega od bistvenih sektorjev, ste vseeno zavezanec direktive. Samodejno so vključena tudi vse organizacije izmed naštetih, ki imajo več kot 50 zaposlenih in dosegajo naslednje prihodke:
Podjetja in organizacije, ki ne dosegajo teh kriterijev, lahko ostanejo zunaj obsega NIS2, vendar se še vedno spodbuja, da vzpostavijo ustrezne ukrepe za obvladovanje kibernetskih tveganj.
En najpomembnejših delov, ki jih vsebuje NIS2 direktiva, je zahteva po zagotavljanju celovite informacijske varnosti. Ukrepi za zaščito pred kibernetskimi grožnjami, ki morajo biti uvedeni, so:
NIS2 direktiva prinaša zelo stroge zahteve za pomembne in kritične sektorje. V nekaterih pa primerih je možna in predlagana tudi samoregulacija. Podjetja, ki niso neposredni zavezanci direktive, lahko sama določajo notranje standardne varnosti. Morajo pa biti ti standardi skladni z dobrimi praksami kibernetske varnosti.
Samoregulacija je zelo pomembna v manjših podjetjih, ki si lahko s prilagodljivimi in ustreznimi ukrepi zagotovijo varnost svojih informacijskih sistemov in podatkov. Glede na prakse zadnjih let, ko so kibernetske grožnje vedno bolj številne, je zelo smiselno, da manjša podjetja, ki niso neposredno zajeta v novo direktivo, vključijo ukrepe, ki bodo zmanjšali tveganje za kibernetske napade in varnostne grožnje.
Najbolj pomembno vlogo pri obvladovanju kibernetskih tveganj ima v podjetjih, ki so NIS 2 zavezanci, vodstvo. Poleg tega, da je odgovornost za zagotavljanje skladnosti z direktivo tehnična, je tudi strateška. Zato je pomembno, da se vodstvo vključi v proces upravljanja tveganj. To vključevanje predstavlja:
Najbolj pomemben člen pri prepoznavanju kibernetskih groženj, je izobraževanje. Ozaveščanje je ključnega pomena za uspešno izvajanje NIS 2 direktive. V izogib težavam, si zagotovite redna izobraževanja, ki vam bodo pomagala spoznati in nadzorovati:
Usposabljanja pomagajo zagotoviti, da so vsi zaposleni, ne glede na njihovo funkcijo, pripravljeni na izzive, ki jih prinaša sodobni digitalni svet.
NIS2 direktiva postavlja nove, strožje standarde za kibernetsko varnost v EU in Sloveniji. Povečuje zahteve glede varnosti informacijskih sistemov, upravljanja tveganj in poročanja o incidentih. Velja za več kritičnih sektorjev, vključno z energijo, zdravjem, transportom in digitalnimi storitvami. Pomembno je poznati zahteve in prilagoditi informacijske sisteme v izogib tveganjem za kibernetske napade.
Piškotek | Trajanje | Opis |
---|---|---|
cookielawinfo-checbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 mesecev | Spletni piškotek nastavi vtičnik "GDPR Cookie Consent" in se uporablja za shranjevanje podatka o tem, če je uporabnik privolil v uporabo spletnih piškotkov ali ne. Ne shranjuje nobenih osebnih podatkov. |