Krepitev kibernetske varnosti v slovenskem prostoru in razumevanje direktive NIS 2 – 1. del
V 21. stoletju doživljamo digitalno industrijsko revolucijo. Izrazi kot industrija 4.0, četrta industrijska revolucija in 4IR se vsi nanašajo na sedanje obdobje povezanosti, napredne analitike, avtomatizacije in tehnologije napredne proizvodnje, ki že vrsto let preoblikujejo globalno poslovanje. Razširjena resničnost, popolna avtomatizacija strojev in še več prijemov naj bi zagotovili konkurenčnost podjetij in rast blaginje v družbi. O tem, kako se bo blaginja porazdelila, so zaenkrat različne ideje. Val sprememb se je v proizvodnem sektorju začel v sredini leta 2010 in nosi pomembne potenciale za delovanje ter prihodnost proizvodnje ter družbe.
Z naraščajočimi grožnjami, povezanimi z industrijo 4.0, ki jih povzročajo kibernetski napadi in zlorabe digitalnih omrežij se Evropska unija aktivno odziva z uvedbo posodobljene Direktive o varnosti omrežij in informacijskih sistemov, bolj znane kot direktiva NIS 2 (Network and Information Security). Ko bo Slovenija kot neodvisna država njene zahteve prenesla v nacionalno zakonodajo bodo postale zavezujoče za organizacije in podjetja, ki poslujejo na področju Slovenije.
Z direktivo NIS 2 bodo od 18. oktobra 2024 veljavni obvezni varnostni ukrepi in obveznosti poročanja za mnoga podjetja in organizacije v 18 kritičnih sektorjih – tudi za nekatere nove, ki do sedaj niso bili na seznamu zavezancev glede na prejšnjo direktivo NIS 1. Nekateri v Sloveniji pričakujejo, da bo sledil še 6 mesečni vacatio legis oz. uveljavitveni rok. NIS 2 nadomešča direktivo NIS 1 iz leta 2016 in si prizadeva za boljšo skupno raven kibernetske varnosti v EU. V primerjavi s prejšnjo direktivo NIS 2 bistveno razširja krog subjektov ter obveznosti in nadzor s strani pristojnih organov. Za kršitve NIS 2 grozijo visoke denarne kazni.
Cilj NIS 2 ni le zagotoviti visoko raven varnosti v omrežjih in informacijskih sistemih, temveč tudi vzpostaviti skupen pristop med članicami EU. Z vzpostavitvijo smernic za prepoznavanje in obvladovanje kibernetskih tveganj je direktiva NIS 2 ključna za zagotavljanje zaščite tako kritične infrastrukture kot tudi podjetij in posameznikov pred potencialno katastrofalnimi posledicami kibernetskih napadov.
V nadaljevanju bom podal pregled izhodišč, ključnih določb, nacionalnega izvajanja ter aktualne direktive NIS 2, pri čemer se osredotočam na njen vpliv na kibernetsko varnost v Sloveniji.
Ozadje direktive NIS 2
Direktiva o varnosti omrežij in informacijskih sistemov – NIS izhaja iz naraščajoče potrebe po krepitvi varnosti v digitalni dobi. Razvoj te direktive je odraz spoznanja, da so kibernetski napadi postali sofisticirani in pogosti ter predstavljajo resno grožnjo tako državam članicam kot tudi celotni Evropski uniji. Direktiva NIS izhaja iz skrb zbujajočega niza kibernetskih incidentov in napadov, ki so prizadeli evropske države. Z osredotočanjem na izmenjavo informacij in vzpostavitev usklajenega pristopa k preprečevanju in obvladovanju kibernetskih groženj, se je začela oblikovati kot odziv na potrebo po kolektivni varnosti digitalne infrastrukture.
Glavni cilji direktive NIS 2 so vzpostavitev višje ravni kibernetske varnosti v celotni EU, preprečevanje in obvladovanje kibernetskih incidentov ter krepitev odpornosti kritične infrastrukture. Poleg tega si prizadeva za ustvarjanje okolja, kjer lahko države članice sodelujejo pri izmenjavi informacij in najboljših praks, spodbujajoč sodelovanje in koordinacijo med nacionalnimi organi. Z uvajanjem teh ciljev in namenov direktiva NIS 2 postaja ključno orodje v boju proti kibernetskim grožnjam, ki zagotavlja skupen okvir za zaščito kritičnih informacijskih sistemov in omrežij, vitalnega pomena za stabilnost in varnost posameznih članic in posledično celotne Evropske unije.
Ključne določbe in razumevanje direktive NIS 2
Direktiva o varnosti omrežij in informacijskih sistemov (NIS) predstavlja celovit pravni okvir, ki določa ključne elemente za krepitev kibernetske varnosti v Evropski uniji. Poglobimo se v ključne določbe te direktive in poglejmo njen obseg ter sektorje, ki so zajeti.
- Podroben pregled ključnih določb
Obseg direktive NIS 2 zajema tako javni sektor kot tudi zasebne subjekte. V osrčju direktive so izvajalci bistvenih storitev (IBS) in ponudniki digitalnih storitev (PDS), ki so bili definirani v direktivi NIS 1. NIS 2 zajema veliko širši nabor podjetij v različnih panogah, pomembnih za delovanje družbe. Določa zahteve za vzpostavitev učinkovitih ukrepov kibernetske varnosti, vključno z vzdrževanjem primernega nivoja varnosti, preprečevanjem in obvladovanjem incidentov ter izvajanjem rednih preizkusov in ocen varnosti. Direktiva postavlja obveznosti glede poročanja o resnih kibernetskih incidentih pristojnim organom, s čimer omogoča hitro odzivanje in usklajevanje med državami članicami.
- Obseg in sektorska pokritost
Direktiva posebej obravnava sektorje, ki so ključni za delovanje družbe, kot so energetika, promet, zdravstvo, finance itd. Operaterji kritične infrastrukture so podvrženi dodatnim zahtevam glede kibernetske varnosti. Vključuje tudi ponudnike digitalnih storitev, ki so ključni za digitalno gospodarstvo, na primer ponudnike oblačnih storitev, spletnih trgovin in druge digitalne platforme. NIS 2 določa obveznosti za državne organe in javne institucije, ki so ključnega pomena za ohranjanje delovanja družbe in izvajanje javnih storitev.
Direktiva NIS 2 se nanaša na podjetja in organizacije iz 18 sektorjev, ki so navedeni v Prilogi I in II in jih deli na bistvene in pomembne subjekte. Za vsak sektor natančno določa, katera vrsta dejavnosti, ki jo izvaja organizacija, je zajeta v ukrepe. Zato je za organizacije ključno ugotoviti, ali je na seznamu organizacij. Te organizacije so natančneje opredeljene v Prilogi I in Prilogi II dokumenta. Z uvedbo ključnih določb direktiva NIS 2 vzpostavlja temelje za celovit pristop k varnosti omrežij in informacijskih sistemov, ki presega meje posameznih držav članic in ustvarja skupen standard za kibernetsko varnost v Evropski uniji.
Določitev podjetij glede na Prilogo I in Prilogo II je relativno enostavna. Večji izziv predstavlja določitev tistih podjetij ali organizacij, ki jih NIS 2 določa neodvisno od velikosti ali pomena. Ustanove, ki spadajo pod direktivo NIS 2 NE glede na njihovo velikost:
- ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev,
- ponudniki zaupanja vrednih storitev,
- registracije imen najvišje ravni (TLD) in ponudniki DNS storitev (razen upravljavcev koreninskih DNS strežnikov),
- enotni ponudniki, ki so ključnega pomena za družbo in gospodarstvo,
- ustanove, katerih odpoved bi imela velik vpliv na javni red, varnost ali zdravje,
- ustanove, katerih odpoved bi lahko pomenila sistemsko tveganje s čezmejnimi posledicami,
- ustanove, ki so zaradi posebne nacionalne ali regionalne pomembnosti kritične,
- ustanove javne uprave, določene s strani države članice EU ali kritične ustanove javne uprave na regionalni ravni,
- kritične infrastrukture v skladu z Direktivo (EU) 2022/2557,
- ustanove, ki zagotavljajo storitve registracije domenskih imen.
Dodatno nova direktiva posredno velja tudi za ponudnike storitev in dobavitelje naštetih podjetij ali organizacij.
V naslednjem delu se bomo poglobil v implementacijo direktive na nacionalni ravni…
Reference na relevantne vire za nadaljnje branje: