Mnogo širši krog zavezancev, visoke kazni ob opustitvi dolžnega ravnanja, jasno določena odgovornost poslovodstva, okrepljeno sodelovanje skupin za spremljanje varnostnih incidentov. To je le nekaj sprememb, ki jih prinaša osvežena in razširjena direktiva EU o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov (NIS 2), ki nadgrajuje direktivo iz leta 2016 (NIS). Nekatere spremembe direktive in nove obveznosti je pojasnil Igor Mlakar, direktor operative v Smart Comu.

 

Za začetek spomnimo, katere so glavne določbe direktive o varnosti omrežij in informacijskih sistemov, ki je veljala od leta 2016?

 

Z direktivo o varnosti omrežij in informacijskih sistemov (NIS) iz 2016 se je na ravni EU vzpostavila enotna skrb za informacijsko varnost. V posameznih državah in organizacijah je bilo to namreč urejeno precej različno. Zaradi vse večjih varnostnih tveganj in vse bolj naprednih kibernetskih groženj, ki so se pojavljale tudi že takrat, je bilo nujno, da se to področje obravnava poenoteno na ravni EU. Hkrati se je zaradi direktive pri organizacijah sprožilo zavedanje, da morajo informacijsko varnost postaviti v jedro svojega delovanja.

 

Na njeni podlagi je zrasla široka mreža odzivnih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, tako imenovanih CSIRT. Predstavljajte si, da mreža deluje kot nekakšen živčni sistem EU. Ko pride do kibernetskega napada na katero od organizacij, ki so zavezane k poročanju o zaznanem dogodku, se napad pregleda, ugotovi, kakšen je bil vpliv na preostale organizacije, in sprejmejo ukrepi za korektivno delovanje.

 

Po novem se bo morala organizacija sama prepoznati, ali in koliko je zavezana ukrepom direktive NIS 2. Doslej jih je opredelila vlada Republike Slovenije.

 

Direktiva iz leta 2016 – Slovenija jo je v svojo zakonodajo prenesla aprila 2018, ko je bil sprejet zakon o informacijski varnosti (ZInfV) – je bila precej ohlapna pri določanju bistvenih subjektov oziroma tako imenovane kritične infrastrukture, ki so zavezani k spoštovanju strožjih varnostnih ukrepov v okviru direktive. Tako je vsaka država članica EU sama določila, katere organizacije iz izbranih sektorjev – na primer energija, promet, zdravje – se uvrščajo mednje. Z novo direktivo, ki jo mora Slovenija v svojo zakonodajo prenesti do 17. oktobra 2024, so sektorji veliko bolj jasno določeni. Direktiva NIS 2 določa 11 sektorjev, ki so opredeljeni kot bistveni subjekti, in sedem sektorjev, ki so opredeljeni kot pomembni subjekti.

 

Koliko organizacij bo v Sloveniji po novem uvrščenih med bistvene subjekte?

 

Na podlagi direktive NIS iz leta 2016 je v Sloveniji med izvajalce bistvenih storitev po podatkih URSIV uvrščenih 68 organizacij. Po novi direktivi NIS 2 bo zavezancev mnogo mnogo več, okoli tisoč, so ocenili pri slovenskem uradu za informacijsko varnost (URSIV). V strokovni javnosti se pojavlja tudi številka 2.500, sam pa menim, da bo tako bistvenih kot pomembnih subjektov precej več kot tisoč, morda celo prek 1.500.

 

Zakaj toliko? Ker direktiva določa dodatne sektorje, iz katerih so zavezanci, pa tudi velikost, pri kateri se neka organizacija oziroma podjetje avtomatično uvršča med izvajalce bistvenih storitev. Natančneje bo to določeno v spremenjenem zakonu o informacijski varnosti. Njegov predlog je pričakovati v začetku prihodnjega leta.

 

Med subjekte, ki se bodo po novem delili na bistvene in pomembne, bodo poleg trenutnih vključeni tudi ponudniki poštnih in kurirskih storitev, bančni sektor ne bo več izvzet, poleg podjetij za upravljanje pitne vode bodo vključena tudi tista, ki se ukvarjajo z odpadno vodo ter odpadki oziroma bolj ali manj vsa komunalna podjetja. Vključeni bodo proizvajalci in distributerji nekaterih kritičnih izdelkov (farmacija, medicinski pripomočki, kemijska industrija), širi se področje zdravstva, dodaja prehrambna industrija, pa ponudniki digitalnih storitev, kot so spletne tržnice, platforme storitev družbenega mreženja, širi se področje digitalne infrastrukture, ponudniki javnih elektronskih komunikacij, omrežij in strežnikov, dodaja se področje upravljanja storitev IKT, javna uprava, pa tudi raziskovalne organizacije in vesoljska industrija. Vsi našteti bodo morali pozornost po novem posvečati tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.

 

Samodejno se med pomembne subjekte uvrščajo podjetja iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov. Niso pa izvzeta niti mikro in mala podjetja, če je njihovo delovanje pomembno za katerega od navedenih sektorjev.

 

Kako zahtevno je izvajanje sedanje direktive NIS?

 

Direktiva je določila, da morajo organizacije, ki sodijo pod tako imenovano kritično infrastrukturo – pri tem gre praviloma za večje subjekte –, redno sodelovati z nacionalnim organom, ki je v Sloveniji SI-CERT, mu poročati o vseh varnostnih incidentih, tem slediti in jih analizirati.

 

Skrbi za visoko raven organizacijske varnosti pa jim ne nalaga le direktiva NIS, ampak že sama po sebi tudi narava njihovega delovanja. Ne nazadnje tudi vrsta področnih standardov in zavez, ki jih morajo te organizacije praviloma izpolnjevati pri svojem delovanju.

 

Te organizacije imajo, denimo, jasno predpisane varnostne organizacijske ukrepe, skrbijo za namestitev in redno posodabljanje programske opreme, za informacijsko varnost v organizaciji so praviloma imenovale odgovorno osebo. Ta naj ne bi bila del ekipe IT, ampak se osredotoča predvsem na procese in organizacijo priprave in izvajanja ukrepov varovanja informacij.

 

Vse, kar morate vedeti o NIS 2

 

Katere spremembe v direktivi NIS 2, ki bodo tudi pri nas začele veljati v 2024, bi poudarili?

 

Ena od pomembnih novosti je, da mora po novem organizacija sama prepoznati, ali je del zavez po direktivi NIS 2 ali ni. Kot rečeno, je doslej to naredil regulator.

 

Pomembna novost so tudi kazni za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti. Če je zaradi tega prišlo do varnostnega incidenta, ki je ogrozil delovanje dela družbe, je za velika podjetja predpisana kazen deset milijonov evrov, za srednja sedem – oziroma nezanemarljiv delež njihovih letnih prihodkov. Plača se znesek, ki je višji.

 

Direktiva NIS 2 jasno določa tudi, da je za zagotavljanje informacijske varnosti organizacije odgovorno poslovodstvo, ne pa, denimo, informacijski varnostni inženir ali celo zunanji deležnik, na katerega bi poslovodstvo želelo prenesti odgovornost. Poslovodstvo mora redno izvajati ocene varnostnih tveganj, odobriti načrte za njihovo odpravo in znižanje stopnje tveganj ter se po novem na tem področju tudi redno izobraževati. To, da nekdo ni strokovnjak za IT, ga ne odveže odgovornosti.

 

Kot je določeno, bo moral subjekt o kibernetskem napadu centru za obveščanje poročati v 24 urah in v 72 urah o incidentu pripraviti celostno poročilo, ki mora vsebovati oceno incidenta, resnost in vpliv ter kazalnike varnostne ogroženosti. Končno poročilo bo treba pripraviti v 30 dneh. Da bo organizacija ta poročila lahko izdelala, bo morala vzpostaviti ustrezen sistem zaznave in poročanja.

 

Dodal bi še, da bo posodobljena direktiva še okrepila sodelovanje med skupinami za spremljanje in odzivanje na varnostne incidente. Danes je vseh organizacij na tem področju globalno 550, od tega 38 članic mreže EU CSIRT. Varnostna tveganja in varnostne grožnje so se od sprejetja prvotne direktive NIS, ki je postavila platformo in vzorce za sodelovanje teh skupin, spremenile. Število groženj in napadov se povečuje eksponentno, napadi so vse bolj kompleksni.

 

Katere obveznosti posodobljena direktiva dodatno nalaga organizacijam in podjetjem?

 

V naboru ukrepov pri obvladovanju varnostnih tveganj direktiva NIS 2 po novem našteva politike, postopke in kazalnike za ocenjevanje učinkovitosti ukrepov za obvladovanje tveganj; ukrepe za varnost dobavne verige z vsemi varnostnimi vidiki; politike in postopke v zvezi z uporabo kriptografskih rešitev pri hrambi in prenosu podatkov; obravnavanje in razkrivanje varnostnih ranljivosti ter uporabo zaščitene komunikacije in zaščitenih sistemov za nujne primere.

 

Kako aktivno se pri nas podjetja in organizacije pripravljajo na izvajanje NIS 2?

 

Tiste organizacije, ki že zdaj sodijo v kritično infrastrukturo, se na spremembe verjetno že pripravljajo oziroma vsaj preverjajo, ali imajo vzpostavljene potrebne postopke in tehnologije na področju informacijske varnosti. Nemara pa tudi čakajo na zakonodajo, vendar so seznanjene s spremembami, ki jih prinaša posodobljena direktiva.

 

Večina – na primer množica komunalnih podjetij, zdravstvenih organizacij, transportnih podjetij, proizvodnih podjetij, kurirskih podjetij … – pa se z direktivno NIS 2 in obveznostmi, ki jim jih bo naložila, še ne ukvarja. Morda jih od 20 do 30 odstotkov o tem razmišlja, polovica pa jih niti ne ve, da bodo med zavezanci.

 

Kako lahko bistvenim in pomembnim subjektom pomagate v Smart Comu?

 

V Smart Comu smo specializirani na področju vzpostavljanja informacijske varnosti tako v poslovnih kot industrijskih okoljih, kjer prevladujejo operativne tehnologije (OT). Imamo več kot 35 let izkušenj in se ponašamo tako z razumevanjem informacijske tehnologije kot razumevanjem procesov in standardov.

 

Za prilagoditev podjetja ali organizacije na direktivo NIS 2 in tudi sicer za dvig ravni informacijske varnosti in varnostne ozaveščenosti zaposlenih smo pripravili storitev procesnega svetovanja in oblikovali ustrezno metodologijo. Pomagamo jim vrednotiti trenutno stanje in raven informacijske varnosti v poslovnih in industrijskih okoljih, pomagamo jim prepoznati njihove potrebe, imamo veščine, da vemo, kako vprašati in kaj vprašati. Pomagati znamo pri pripravi strategije informacijske varnosti, svetujemo pri vzpostavitvi procesov, pomagamo jim pri oblikovanju zahtev za uvedbo vseh potrebnih sprememb, ki so ob upoštevanju zahtev iz NIS 2 poudarjene zgoraj.

 

Intervju je bil objavljen na portalu Tovarna leta, 11. decembra 2023.