Direktiva NIS 2 - najnovejša direktiva o kibernetski varnosti
Njen namen je dvigniti raven kibernetske varnosti v organizacijah in podjetjih, saj se le te v zadnjih letih soočajo s številnimi izzivi, ki so nastali kot posledica porasta varnostnih groženj zaradi naglega tehnološkega razvoja in zaostrenih okoliščin na globalni ravni.
Osvežena in razširjena direktiva NIS 2
Direktiva NIS 2 je začela veljati 16. 1. 2023, do 17.10. 2024 pa mora vsaka država članica EU njene zahteve prenesti v svojo nacionalno zakonodajo in sprejeti ukrepe za njeno uskladitev. “Glavni cilj direktive je povečati odpornost in zaščito kritične infrastrukture ter s tem zmanjšati ranljivost informacijski sistemov pred kibernetskimi napadi,” pojasni Igor Mlakar, direktor operative.
Temelji na prvotni direktivi iz 2016, a prinaša nekaj pomembnih sprememb, in sicer:
- širše področje uporabe (znatno povečanje števila zavezanih subjektov, kar morajo sami prepoznati),
- večja odgovornost poslovodstva,
- širši obseg varnostnih zahtev in jasnejše obveznosti glede poročanja ob incidentih,
- večji poudarek na ključne oskrbne verige,
- strožji nadzor in strožje kazni idr.
Naredite prvi korak k skladnosti!
Pripravili smo enostaven vprašalnik, ki vam bo podal odgovor, ali boste glede na določila direktive kot organizacija neposredno vključeni v obseg direktive, ali pa se boste morali zahtevam direktive prilagoditi kot del ključne oskrbne verige vaših partnerjev.
Preverite, ali mora vaša organizacija zagotoviti skladnost.
Prednosti, ki jih prinaša zagotovitev skladnosti
Skladnost z zahtevami direktive na področju kibernetske varnosti organizacijam prinaša večjo zanesljivost informacijsko komunikacijskih sistemov ter posledično večjo varnost poslovanja, kar lahko pomembno prispeva k njihovemu poslovnemu uspehu in zaupanju v industriji.
[Novost] Strokovna delavnica
Želite jasno sliko in smernice, ki vam bodo pomagale do skladnosti?
Potem se nam 12. novembra 2024 pridružite na delavnici, ki vam bo podala praktično in uporabno znanje, saj smo vsebino zasnovali tako, da je enostavno prenosljiva v dejansko prakso.
Pravočasno pričnite s pripravo za učinkovito prilagoditev zahtevam direktive NIS 2 oziroma prilagoditev procesov vaše organizacije.
Ali mora vaša organizacija zagotoviti skladnost?
Glede na to, da mora po novem organizacija sama prepoznati, ali je zavezana po direktivi NIS 2 ali ne, lahko s pomočjo našega vprašalnika to hitro in enostavno ugotovite.
NIS 2 skladnost kot pomoč pri zamejitvi groženj
Zagotavljanje skladnosti predstavlja precejšen organizacijski, procesni in sistemski izziv. Prilagajanje novim zahtevam bo za večino organizacij dolgotrajen in zahteven proces, ki bo uspešen le če bodo pristopile strateško.
Na ta način prilagoditev zahtevam ne bo pomenila dodatnega bremena za organizacijo, ampak bo podprla njene strateške poslovne cilje ter pripomogla k povečanju odpornosti na kibernetske grožnje.
[FAQ] Razumevanje direktive NIS 2
Vse, kar morate vedeti o pripravi in zagotovitvi skladnosti z določbami direktive NIS 2 do roka, ki se izteče 17. 10. 2024.
Kaj je direktiva NIS?
Direktiva NIS – direktiva za visoko skupno raven varnosti omrežij in informacijskih sistemov v Evropski uniji je v veljavi od leta 2016 in je sprožila spremembo miselnosti znotraj institucionalnega in regulativnega pristopa do kibernetske varnosti. Pomagala je doseči višjo in enakomernejšo raven varnosti omrežij in informacijskih sistemov in hkrati prispevala k večji ozaveščenosti glede potrebe po zagotavljanju višje ravni kibernetske varnosti.
Ker je njen prenos v prakso bil v veliki meri prepuščen samim državam članicam, je pri njeni uveljavitvi prišlo do razdrobljenega pristopa na ravni držav.
Na njeni podlagi je zrasla široka mreža odzivnih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, tako imenovanih CSIRT.
Slovenija jo je v svojo zakonodajo prenesla aprila 2018, ko je bil sprejet zakon o informacijski varnosti (ZInfV).
Kaj je direktiva NIS 2?
Direktiva NIS 2 je druga različica, ki jo je EU sprejela, in je stopila v veljavo 16. januarja 2023.
Od leta 2016, ko je bila sprejeta prva različica, so okoliščine, kot so nagel tehnološki razvoj, razvoj kibernetskega vojskovanja, pandemija koronavirusne bolezni Covid-19, rusko-ukrajinski vojaški konflikt itd., močno spremenile digitalno okolje, predvsem pa vplivale na porast varnostnih groženj, ki vodijo do povečanega števila kibernetskih napadov usmerjenih na organizacije in države članice EU.
Zato se je pojavila potreba po novi ureditvi. Druga različica posodoblja pravila EU o kibernetski varnosti in zagotavlja povečanje splošne ravni kibernetske varnosti v EU.
Kdaj začne veljati direktiva NIS 2?
Rok za prenos določb direktive v nacionalno zakonodajo je 17. 10. 2024.
V šestih mesecih, torej najkasneje do 17. 4. 2025, morajo države članice oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Predvidoma v tem obdobju naj bi organizacije uskladile svoje poslovanje z zahtevami direktive.
Katere ključne vidike prinaša direktiva NIS 2?
Direktiva NIS 2 prinaša naslednje ključne vidike:
- Povečanje kibernetske varnosti: cilj direktive je izboljšati odpornost kritične infrastrukture in informacijskih sistemov ter zmanjšati tveganje kibernetskih napadov.
- Identifikacija in zaščita kritičnih storitev: države članice morajo identificirati kritične storitve in organizacije ter izvajati ustrezne ukrepe za njihovo zaščito pred kibernetskimi grožnjami.
- Izboljšanje sodelovanja in izmenjave informacij: direktiva spodbuja izmenjavo informacij o kibernetskih incidentih med državami članicami EU ter krepi sodelovanje med različnimi subjekti za boljšo kibernetsko varnost.
- Zavezanost k varnosti podatkov: organizacije so zavezane k izvajanju ustreznih varnostnih ukrepov za zaščito omrežij in informacijskih sistemov ter obveščanju pristojnih organov o morebitnih kibernetskih incidentih.
- Nadzor in skladnost: države članice morajo vzpostaviti ustrezne mehanizme nadzora ter zagotavljati, da organizacije izpolnjujejo zahteve direktive in s tem krepijo kibernetsko varnost.
Kateri so zavezanci po direktivi NIS 2?
Direktiva NIS 2 določa dve kategoriji subjektov: bistvene in pomembne. Kot bistveni subjekti je opredeljenih 11 sektorjev, kot pomembni pa 7 sektorjev. Subjekti v obeh kategorijah bodo morali izpolnjevati enake zahteve, razlika bo le v nadzornih ukrepih in višini kazni.
NIS 1 je veljal za vse izvajalce bistvenih storitev (OES) v sedmih kritičnih sektorjih – energetiki, prometu, bančništvu, infrastrukturi finančnih trgov, zdravstvu, oskrbi s pitno vodo in digitalni infrastrukturi – ter večje ponudnike ključnih digitalnih storitev, kot so storitve računalništva v oblaku, iskalniki in spletne tržnice.
NIS 2 pa velja za javne ali zasebne organizacije, ki so opredeljene kot bistveni ali pomembni subjekti.
Koncept bistvenega subjekta je veliko širši kot koncept OES, zato se NIS 2 ne uporablja le za področja, ki jih sedaj pokriva, temveč za 18 kritičnih sektorjev.
Bistvene storitve:
- promet, vključno z zračnim, železniškim, vodnim ali cestnim,
- bančništvo,
- energija
- infrastrukture finančnega trga,
- zdravstvo,
- pitna voda,
- odpadne vode,
- digitalna infrastruktura, vključno s storitvami računalništva v oblaku in podatkovnih centrov, omrežjem za dostavo vsebin in javnimi elektronskimi komunikacijskimi omrežji,
- podjetja za upravljanje medpodjetniških storitev, kot so ponudniki upravljanih storitev (MSP) in ponudniki upravljanih varnostnih storitev (MSSP),
- javna uprava,
- vesolje.
Pomembne storitve:
- poštne in kurirske storitve,
- ravnanje z odpadki,
- izdelava, proizvodnja in distribucija kemikalij,
- pridelava, predelava in distribucija živil,
- proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, strojev in transportne opreme,
- ponudniki digitalnih storitev spletnih tržnic, spletnih iskalnikov in platform za storitve družabnih omrežij,
- raziskave.
Pomemben subjekt – izpolnjevati mora enake zahteve kot bistveni subjekti, vendar so pod manjšim nadzorom oz. so podvrženi naknadnemu nadzoru, kar pomeni, da bodo organi ukrepali, če bodo prejeli dokaze o neskladnosti subjekta z direktivno NIS 2.
VELIKOST
Z NIS 1 so bile države članice odgovorne za določitev organizacij, ki so izpolnjevale merila za OES. NIS 2 pa velja za vse subjekte v navedenih sektorjih, ki se uvrščajo med srednje velika ali večja podjetja, kot so opredeljena v členu 2 Priloge k Priporočilu Komisije 2003/361/ES. Tako bo obvezen za vse subjekte, ki imajo več kot 50 zaposlenih ter letni promet in/ali letno bilančno vsoto, ki presega 10 milijonov EUR.
NIS 2 velja tudi za manjše subjekte, ki “izpolnjujejo posebna merila, ki kažejo na ključno vlogo za družbo, gospodarstvo ali določene sektorje ali vrste storitev”. To opozorilo na primer velja za ponudnike javnih elektronskih komunikacijskih omrežij, če bi motnje v delovanju storitve lahko imele pomembne posledice za javno zdravje.
Kako se pripraviti na spremembe, ki jih prinaša direktiva NIS 2?
Skladnost z direktivo NIS 2 ni enkraten postopek, ampak zahteva stalno spremljanje, nadgradnje in prilagajanja varnostnih ukrepov glede na spremenljive kibernetske grožnje ter zakonske zahteve. Pomembno je tudi sledenje najnovejšim smernicam in standardom kibernetske varnosti ter stalno izobraževanje zaposlenih za vzdrževanje najvišje ravni kibernetske varnosti.
Priprave na skladnost z direktivo NIS 2 se lahko razlikujejo glede na sektor, velikost organizacije in že obstoječe varnostne prakse. Priporočamo, da organizacije k vzpostavitvi skladnosti pristopijo strukturirano in sistematično:
- Ukrepi na strateški ravni (ugotavljanje potreb – postavitev zahtev):
- Izdelava celovite varnostne strategije organizacije
- Revizija obstoječih varnostnih politik in postopkov
- Določitev področij, ki so nujno potrebna za dvig ravni kibernetske varnosti
- Odločitev o načinu zagotavljanja skladnosti
- Pregled procesov in določitev organizacijske strategije
- Obravnava priporočil glede varnostne zrelosti in popravki strategij, potreb, zahtev
- Ukrepi na taktični ravni (udejanjanje strateških ciljev):
- Vzpostavitev ustreznih kadrovskih struktur
- Vzpostavitev potrebnih procesnih sprememb
- Vzpostavitev načrtov za obvladovanje varnostnih incidentov
- Vzpostaviti tehnoloških rešitev za zagotovitev visoke ravni kibernetske varnosti
- Ukrepi za povečanje ozaveščenost o kibernetski varnosti in izboljšanje splošne varnostne kulture znotraj podjetja
- Preverjanje in poročanje
- Ukrepi na operativni ravni:
-
- Redno izvajanje varnostnih presoj
- Izvajanje rednih aktivnosti pri obratovanju sistemov
- Izvedba izobraževanj
Preverite naše svetovalne storitve, ki so vam lahko v oporo na poti do skladnosti.
Postanite skladni, ostanite varni
Seznanite se z zahtevami direktive in preverite varnostno zrelost vaše organizacije ter tako zagotovite obvladovanje kibernetskih tveganj.
Prijavite se na vsebine, ki jih pripravljajo naši specializirani strokovnjaki.