4.0m min branja

Priročnik za NIS2 v Sloveniji: Vse, kar morate vedeti

Iveta-sablikova-contact
Iveta SáblíkováInformation Security Consultant
Your guide to NIS2 in Slovenia: Everything you need to know

Kaj predstavlja direktiva?

Direktiva NIS2 (NIS = Network and Information System oz. omrežni in informacijski sistem) je nadaljevanje trenutno veljavne Direktive NIS (o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacijskih sistemov v EU) in razširja njeno področje uporabe zaradi vse intenzivnejše digitalizacije. Direktiva NIS2 je bila sprejeta decembra 2022 in od Slovenije ter drugih držav članic EU zahteva, da do 17. oktobra 2024 spremenijo svojo nacionalno zakonodajo.

Bistvena sprememba v primerjavi z NIS je predvsem v dojemanju tveganja in kibernetskih groženj. Medsebojna povezanost delovanja družbe kot celote in organizacij (podjetij) v njej je že tako velika, da praktično ni panoge, v kateri informacijski sistemi ne bi imeli pomembne vloge. Zato tudi direktiva NIS2 ne išče več sistemov, ki so pomembni za podjetje, temveč zahteva, da se zavaruje vse, kar je povezano z zagotavljanjem storitev, potrebnih za njegovo delovanje.

Direktiva NIS2 torej prinaša številne spremembe na področju kibernetske varnosti in znatno povečuje število organizacij, ki bodo na novo regulirane.

Kakšni so cilji NIS2?

  • app services icon

    Razširitev regulacije na subjekte, ki opravljajo storitve, pomembne za delovanje države.

  • woman up icon

    Povečanje ravni kibernetske varnosti in odpornosti.

  • transactions icon

    Skupno komuniciranje in usklajevanje na področju kibernetske varnosti v EU.

  • mobile phone icon

    Izboljšanje zmožnosti zavezancev za odzivanje na incidente na področju kibernetske varnosti.

  • decentralize icon

    Izboljšanje zmogljivosti zavezancev za pripravo in odzivanje v primeru obsežnega incidenta ali krize.

Kdaj NIS2 velja za vašo organizacijo?

Organizacija spada pod ureditev direktive NIS2, če izpolnjuje naslednja dva pogoja:

  • Opravlja vsaj eno regulirano storitev, navedeno v prilogah k direktivi NIS2.
  • Gre za srednje ali veliko podjetje. Odvisno od velikosti organizacije in pomembnosti regulirane storitve bodo zanje veljale višje ali nižje

Nova uredba bo tako vplivala na številne subjekte, za katere bo pomenila veliko finančno in upravno breme. Zato je vsekakor primerno, da se čim prej začnete ukvarjati s finančnim načrtovanjem, ki bo upoštevalo izpolnjevanje obveznosti iz predlaganega zakona o kibernetski varnosti.

Zavezanci bodo morali sprejeti tehnične in organizacijske ukrepe za obvladovanje varnostnih tveganj. Tehnični ukrepi so lahko na primer uporaba ustrezne programske opreme (npr. protivirusne), spremljanje ranljivosti, segmentacija omrežja in uvedba večfaktorske avtentikacije. Organizacijski ukrepi pomenijo oblikovanje dokumentacije – pravil za notranje postopke (npr. postopek uvajanja novega zaposlenega, vzpostavitev računov, upravljanje varnostnih incidentov itd.).

Zavezanci morajo izpolnjevati merila, določena v predlagani uredbi. Podjetja morajo na novo opraviti tako imenovano samoidentifikacijo = ugotoviti, ali so obvezen subjekt reguliranih storitev in v katero kategorijo obveznosti po novem spadajo.

Nove odgovornosti za vašo organizacijo

Zavezanci se bodo morali osredotočiti na:

  • obvezno izobraževanje najvišjega vodstva organizacije in večjo odgovornost vodstva za zagotavljanje kibernetske varnosti v organizaciji. Če se najvišje vodstvo regulirane organizacije dosledno izogiba izpolnjevanju pravnih obveznosti, ki izhajajo iz osnutka zakona o kibernetski varnosti in njegovih izvedbenih predpisov, lahko regulator odredi začasni odvzem vodstvene funkcije;
  • obveznost odobritve ukrepov za obvladovanje tveganj kibernetske varnosti;
  • analizo tveganj in politiko informacijske varnosti;
  • obvladovanje incidentov;
  • neprekinjenost dejavnosti (tj. neprekinjeno poslovanje), medtem ko direktiva to področje nadalje razčlenjuje s primerom varnostnega kopiranja, obnovitve (disaster recovery) in kriznega upravljanja;
  • varnost dobavne verige;
  • varnost pri nabavi, razvoju in vzdrževanju sistemov;
  • politike in postopke za ocenjevanje učinkovitosti varnostnih ukrepov (tj. revidiranje);
  • osnovne prakse računalniške higiene in izobraževanje o kibernetski varnosti;
  • politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranja;
  • varnost človeških virov, upravljanje dostopa in sredstev ter uporabo večfaktorske avtentikacije;
  • subjektom bodo naložene globe zaradi neizpolnjevanja naloženih obveznosti.

Načelo izvajanja teh varnostnih ukrepov je, da se organizacija usmeri v kartiranje svojega okolja, opredelitev vsega, kar potrebuje za zagotavljanje delovanja svoje regulirane storitve, oceno tveganj (ne le kibernetskih), ki lahko ogrozijo storitev, in izvajanje ustreznih ukrepov, s katerimi se bodo ta tveganja zmanjšala na sprejemljivo raven.

Kako vam lahko pomagamo?

  • S spremljanjem prihajajočih sprememb slovenske zakonodaje na področju kibernetske varnosti ter pojasnjevanjem sprememb in obveznosti, ki iz njih izhajajo.
  • Z razlago nastalih obveznosti na ključnih področjih, kot so načrt neprekinjenega poslovanja, upravljanje dobavne verige, upravljanje tveganj in upravljanje incidentov
  • Revizija varnostne dokumentacije, notranjih predpisov in zadevnih procesov
  • Upravljanje tveganj in pomoč pri inšpekcijskih pregledih ter zastopanje v postopkih pred nadzornimi organi

Pripravite se zgodaj, da povečate svojo pripravljenost in konkurenčnost

Ne glede na to, ali vas zakonodaja NIS2 zadeva ali ne, je naložba v varnost vaše organizacije manjša od izgub zaradi vpliva morebitnega kibernetskega incidenta na delovanje in ugled podjetja.

Kontaktirajte nas in pogovorili se bomo!

 

Zakaj SoftwareOne?

  • Smo strokovnjaki za organizacijsko in tehnično varnost.
  • Pomagamo vam pri varnosti procesov in priporočamo ustrezne tehnologije za vašo organizacijo. 
  • Naš portfelj zajema zakon o kibernetski varnosti, NIS2, DORA, GDPR, standarde ISO, standarde v oblaku in druge.
  • Vemo, kaj prihaja – bodisi posodobitve zakonodaje bodisi najnovejši tehnološki trendi.
  • Nismo zgolj enoplastni! Zagotavljamo rešitve, ki vam bodo koristile dolgo časa.
  • Storitve zagotavljamo na razumljiv način, prilagojen potrebam vaše ekipe.

Spoznajte naše storitve za celovite rešitve kibernetske varnosti, prilagojene za NIS2.

A close up of a pink and blue flower.

Kontaktirajte nas

Z veseljem vam pomagamo.

Kontaktirajte nas

Z veseljem vam pomagamo.

Avtor

Iveta-sablikova-contact

Iveta Sáblíková
Information Security Consultant