Optisis
dsc
Beenius
ZAPRI+

NIS 2 skladnost

Direktiva NIS 2 - najnovejša direktiva o kibernetski varnosti

Njen namen je dvigniti raven kibernetske varnosti v organizacijah in podjetjih, saj se le te v zadnjih letih soočajo s številnimi izzivi, ki so nastali kot posledica porasta varnostnih groženj zaradi naglega tehnološkega razvoja in zaostrenih okoliščin na globalni ravni.

kompleksnost

Kompleksnost predpisov in ukrepov

null

Prilagajanje novim tehnikam in taktikam napadalcev

null

Pomanjkanje specializiranega kadra

Osvežena in razširjena direktiva NIS 2

Direktiva NIS 2 je začela veljati 16. 1. 2023, 17.10. 2024 pa je potekel rok, da katerega bi morala vsaka država članica EU njene zahteve prenesti v svojo nacionalno zakonodajo in sprejeti ukrepe za njeno uskladitev. “Glavni cilj direktive je povečati odpornost in zaščito kritične infrastrukture ter s tem zmanjšati ranljivost informacijski sistemov pred kibernetskimi napadi,” pojasni Igor Mlakar, direktor operative.

Temelji na prvotni direktivi iz 2016, a prinaša nekaj pomembnih sprememb, in sicer:

  • širše področje uporabe (znatno povečanje števila zavezanih subjektov, kar morajo sami prepoznati),
  • večja odgovornost poslovodstva,
  • širši obseg varnostnih zahtev in jasnejše obveznosti glede poročanja ob incidentih,
  • večji poudarek na ključne oskrbne verige,
  • strožji nadzor in strožje kazni idr.

Naredite prvi korak k skladnosti!

Pripravili smo enostaven vprašalnik, ki vam bo podal odgovor, ali boste glede na določila direktive kot organizacija neposredno vključeni v obseg direktive, ali pa se boste morali zahtevam direktive prilagoditi kot del ključne oskrbne verige vaših partnerjev.

Preverite, ali mora vaša organizacija zagotoviti skladnost.

Prednosti, ki jih prinaša zagotovitev skladnosti

Skladnost z zahtevami direktive na področju kibernetske varnosti organizacijam prinaša večjo zanesljivost informacijsko komunikacijskih sistemov ter posledično večjo varnost poslovanja, kar lahko pomembno prispeva k njihovemu poslovnemu uspehu in zaupanju v industriji.

kibernetska varnost

Izboljšana kibernetska varnost

Zmanjšuje tveganja za kibernetske napade in
izboljšuje zaščito kritične infrastrukture.
tlesk

Večja zaščita kritičnih storitev

Povečuje zanesljivost in stabilnost storitev ter
zaupanje strank in poslovnih partnerjev.
postenost

Skladnost z zakonskimi zahtevami

Zmanjšuje tveganje za morebitne pravne posledice/kazni ter
krepi zaupanje deležnikov.

Kako do skladnosti?

Doseganje skladnost z direktivo NIS 2 ni enkraten postopek, ampak zahteva stalno spremljanje, nadgradnje in prilagajanja varnostnih ukrepov glede na spremenljive kibernetske grožnje ter zakonske zahteve. Organizacije morajo za zagotovitev skladnosti z NIS 2 izvesti vrsto ključnih korakov in ukrepov.

Stevilka ena

Analiza vrzeli

Stevilka dva

Izvedba ocene tveganja in ranljivosti

Stevilka tri

Vzpostavitev ustreznih varnostnih ukrepov

Stevilka stiri

Uvedba mehanizmov za odkrivanje in odzivanje na incidente

Stevilka pet

Vzpostavitev postopkov poročanja in dokumentiranja

Stevilka sest

Redno testiranje in izboljševanje varnostnih ukrepov

Stevilka_sedem

Sodelovanje in izmenjava informacij

Strokovna delavnica

Želite jasno sliko in smernice, ki vam bodo pomagale do skladnosti?

Potem se nam 21. januarja 2025 pridružite na delavnici, ki vam bo podala praktično in uporabno znanje, saj smo vsebino zasnovali tako, da je enostavno prenosljiva v dejansko prakso.

Pravočasno pričnite s pripravo za učinkovito prilagoditev zahtevam direktive NIS 2 oziroma prilagoditev procesov vaše organizacije.

Izvedite analizo vrzeli!

Če spadate med zavezance direktive NIS 2 izvedite analizo vrzeli, s katero boste natančno določili potrebne prilagoditve, zagotovili skladnost in povečali raven kibernetske varnosti.

NIS 2 skladnost kot pomoč pri zamejitvi groženj

Zagotavljanje skladnosti predstavlja precejšen organizacijski, procesni in sistemski izziv. Prilagajanje novim zahtevam bo za večino organizacij dolgotrajen in zahteven proces, ki bo uspešen le če bodo pristopile strateško.

Na ta način prilagoditev zahtevam ne bo pomenila dodatnega bremena za organizacijo, ampak bo podprla njene strateške poslovne cilje ter pripomogla k povečanju odpornosti na kibernetske grožnje.

[FAQ] Razumevanje direktive NIS 2

Vse, kar morate vedeti o pripravi in zagotovitvi skladnosti z določbami direktive NIS 2.

Kaj je direktiva NIS?

Direktiva NIS – direktiva za visoko skupno raven varnosti omrežij in informacijskih sistemov v Evropski uniji je v veljavi od leta 2016 in je sprožila spremembo miselnosti znotraj institucionalnega in regulativnega pristopa do kibernetske varnosti. Pomagala je doseči višjo in enakomernejšo raven varnosti omrežij in informacijskih sistemov in hkrati prispevala k večji ozaveščenosti glede potrebe po zagotavljanju višje ravni kibernetske varnosti.

Ker je njen prenos v prakso bil v veliki meri prepuščen samim državam članicam, je pri njeni uveljavitvi prišlo do razdrobljenega pristopa na ravni držav.

Na njeni podlagi je zrasla široka mreža odzivnih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, tako imenovanih CSIRT.

Slovenija jo je v svojo zakonodajo prenesla aprila 2018, ko je bil sprejet zakon o informacijski varnosti (ZInfV).

Kaj je direktiva NIS 2?

Direktiva NIS 2 je druga različica, ki jo je EU sprejela, in je stopila v veljavo 16. januarja 2023.

Od leta 2016, ko je bila sprejeta prva različica, so okoliščine, kot so nagel tehnološki razvoj, razvoj kibernetskega vojskovanja, pandemija koronavirusne bolezni Covid-19, rusko-ukrajinski vojaški konflikt itd., močno spremenile digitalno okolje, predvsem pa vplivale na porast varnostnih groženj, ki vodijo do povečanega števila kibernetskih napadov usmerjenih na organizacije in države članice EU.

Zato se je pojavila potreba po novi ureditvi. Druga različica posodoblja pravila EU o kibernetski varnosti in zagotavlja povečanje splošne ravni kibernetske varnosti v EU.

Kdaj začne veljati direktiva NIS 2?

Rok za prenos določb direktive v nacionalno zakonodajo je bil 17. 10. 2024.

V šestih mesecih, torej najkasneje do 17. 4. 2025, morajo države članice oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Predvidoma v tem obdobju naj bi organizacije uskladile svoje poslovanje z zahtevami direktive.

Slovenija zakonodaje, potrebne za prenos direktive NIS 2, še ni sprejela, nov zakon o informacijski varnosti (ZinfV-1), ki prenaša določbe direktive v naš pravni red, je trenutno še v zaključnih fazah medresorskega usklajevanja.

Katere ključne vidike prinaša direktiva NIS 2?

Direktiva NIS 2 prinaša naslednje ključne vidike:

  • Povečanje kibernetske varnosti: cilj direktive je izboljšati odpornost kritične infrastrukture in informacijskih sistemov ter zmanjšati tveganje kibernetskih napadov.
  • Identifikacija in zaščita kritičnih storitev: države članice morajo identificirati kritične storitve in organizacije ter izvajati ustrezne ukrepe za njihovo zaščito pred kibernetskimi grožnjami.
  • Izboljšanje sodelovanja in izmenjave informacij: direktiva spodbuja izmenjavo informacij o kibernetskih incidentih med državami članicami EU ter krepi sodelovanje med različnimi subjekti za boljšo kibernetsko varnost.
  • Zavezanost k varnosti podatkov: organizacije so zavezane k izvajanju ustreznih varnostnih ukrepov za zaščito omrežij in informacijskih sistemov ter obveščanju pristojnih organov o morebitnih kibernetskih incidentih.
  • Nadzor in skladnost: države članice morajo vzpostaviti ustrezne mehanizme nadzora ter zagotavljati, da organizacije izpolnjujejo zahteve direktive in s tem krepijo kibernetsko varnost.

Kateri so zavezanci po direktivi NIS 2?

Direktiva NIS 2 določa dve kategoriji subjektov: bistvene in pomembne. Kot bistveni subjekti je opredeljenih 11 sektorjev, kot  pomembni pa 7 sektorjev. Subjekti v obeh kategorijah bodo morali izpolnjevati enake zahteve, razlika bo le v nadzornih ukrepih in višini kazni.

NIS 1 je veljal za vse izvajalce bistvenih storitev (OES) v sedmih kritičnih sektorjih – energetiki, prometu, bančništvu, infrastrukturi finančnih trgov, zdravstvu, oskrbi s pitno vodo in digitalni infrastrukturi – ter večje ponudnike ključnih digitalnih storitev, kot so storitve računalništva v oblaku, iskalniki in spletne tržnice.

NIS 2 pa velja za javne ali zasebne organizacije, ki so opredeljene kot bistveni ali pomembni subjekti.

Koncept bistvenega subjekta je veliko širši kot koncept OES, zato se NIS 2 ne uporablja le za področja, ki jih sedaj pokriva, temveč za 18 kritičnih sektorjev.

Bistvene storitve:

  • promet, vključno z zračnim, železniškim, vodnim ali cestnim,
  • bančništvo,
  • energija
  • infrastrukture finančnega trga,
  • zdravstvo,
  • pitna voda,
  • odpadne vode,
  • digitalna infrastruktura, vključno s storitvami računalništva v oblaku in podatkovnih centrov, omrežjem za dostavo vsebin in javnimi elektronskimi komunikacijskimi omrežji,
  • podjetja za upravljanje medpodjetniških storitev, kot so ponudniki upravljanih storitev (MSP) in ponudniki upravljanih varnostnih storitev (MSSP),
  • javna uprava,
  • vesolje.

Pomembne storitve:

  • poštne in kurirske storitve,
  • ravnanje z odpadki,
  • izdelava, proizvodnja in distribucija kemikalij,
  • pridelava, predelava in distribucija živil,
  • proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, strojev in transportne opreme,
  • ponudniki digitalnih storitev spletnih tržnic, spletnih iskalnikov in platform za storitve družabnih omrežij,
  • raziskave.

Pomemben subjekt – izpolnjevati mora enake zahteve kot bistveni subjekti, vendar so pod manjšim nadzorom oz. so podvrženi naknadnemu nadzoru, kar pomeni, da bodo organi ukrepali, če bodo prejeli dokaze o neskladnosti subjekta z direktivno NIS 2.

VELIKOST

Z NIS 1 so bile države članice odgovorne za določitev organizacij, ki so izpolnjevale merila za OES. NIS 2 pa velja za vse subjekte v navedenih sektorjih, ki se uvrščajo med srednje velika ali večja podjetja, kot so opredeljena v členu 2 Priloge k Priporočilu Komisije 2003/361/ES. Tako bo obvezen za vse subjekte, ki imajo več kot 50 zaposlenih ter letni promet in/ali letno bilančno vsoto, ki presega 10 milijonov EUR.

NIS 2 velja tudi za manjše subjekte, ki “izpolnjujejo posebna merila, ki kažejo na ključno vlogo za družbo, gospodarstvo ali določene sektorje ali vrste storitev”. To opozorilo na primer velja za ponudnike javnih elektronskih komunikacijskih omrežij, če bi motnje v delovanju storitve lahko imele pomembne posledice za javno zdravje.

Kako se pripraviti na spremembe, ki jih prinaša direktiva NIS 2?

Skladnost z direktivo NIS 2 ni enkraten postopek, ampak zahteva stalno spremljanje, nadgradnje in prilagajanja varnostnih ukrepov glede na spremenljive kibernetske grožnje ter zakonske zahteve. Pomembno je tudi sledenje najnovejšim smernicam in standardom kibernetske varnosti ter stalno izobraževanje zaposlenih za vzdrževanje najvišje ravni kibernetske varnosti.

Priprave na skladnost z direktivo NIS 2 se lahko razlikujejo glede na sektor, velikost organizacije in že obstoječe varnostne prakse. Priporočamo, da organizacije k vzpostavitvi skladnosti pristopijo strukturirano in sistematično:

  • Ukrepi na strateški ravni (ugotavljanje potreb – postavitev zahtev):
    • Izdelava celovite varnostne strategije organizacije
    • Revizija obstoječih varnostnih politik in postopkov
    • Določitev področij, ki so nujno potrebna za dvig ravni kibernetske varnosti
    • Odločitev o načinu zagotavljanja skladnosti
    • Pregled procesov in določitev organizacijske strategije
    • Obravnava priporočil glede varnostne zrelosti in popravki strategij, potreb, zahtev
  • Ukrepi na taktični ravni (udejanjanje strateških ciljev):
    • Vzpostavitev ustreznih kadrovskih struktur
    • Vzpostavitev potrebnih procesnih sprememb
    • Vzpostavitev načrtov za obvladovanje varnostnih incidentov
    • Vzpostaviti tehnoloških rešitev za zagotovitev visoke ravni kibernetske varnosti
    • Ukrepi za povečanje ozaveščenost o kibernetski varnosti in izboljšanje splošne varnostne kulture znotraj podjetja
    • Preverjanje in poročanje
  • Ukrepi na operativni ravni:
    • Redno izvajanje varnostnih presoj
    • Izvajanje rednih aktivnosti pri obratovanju sistemov
    • Izvedba izobraževanj

Preverite naše svetovalne storitve, ki so vam lahko v oporo na poti do skladnosti.

newsletterr

Postanite skladni, ostanite varni

Preverite varnostno zrelost vaše organizacije ter tako zagotovite obvladovanje kibernetskih tveganj.

Prijavite se na vsebine, ki jih pripravljajo naši specializirani strokovnjaki.

Zakaj zaupati Smart Comu

Specialist za kibernetsko varnost

Razumemo tehnologije, procese in standarde

Zanesljiv in strokoven partner

Pri doseganju skladnosti z direktivo NIS 2

Več kot 33 let izkušenj

zagotavljanja celovitih izvedenskih varnostih storitev

Raziskujte naprej

VPRAŠAJTE NAS
Arrow

Soglašam, da zaupane osebne podatke lahko hranite in uporabite za obveščanje o:

Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.

x
Zapri obrazec
ZAPRI+