Priročnik za NIS2 v Sloveniji: Vse, kar morate vedeti

Kaj predstavlja direktiva?

Direktiva NIS2 (NIS = Network and Information System oz. omrežni in informacijski sistem) je nadaljevanje trenutno veljavne Direktive NIS (o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacijskih sistemov v EU) in razširja njeno področje uporabe zaradi vse intenzivnejše digitalizacije. Direktiva NIS2 je bila sprejeta decembra 2022 in od Slovenije ter drugih držav članic EU zahteva, da do 17. oktobra 2024 spremenijo svojo nacionalno zakonodajo.

Bistvena sprememba v primerjavi z NIS je predvsem v dojemanju tveganja in kibernetskih groženj. Medsebojna povezanost delovanja družbe kot celote in organizacij (podjetij) v njej je že tako velika, da praktično ni panoge, v kateri informacijski sistemi ne bi imeli pomembne vloge. Zato tudi direktiva NIS2 ne išče več sistemov, ki so pomembni za podjetje, temveč zahteva, da se zavaruje vse, kar je povezano z zagotavljanjem storitev, potrebnih za njegovo delovanje.

Direktiva NIS2 torej prinaša številne spremembe na področju kibernetske varnosti in znatno povečuje število organizacij, ki bodo na novo regulirane.

Kdaj NIS2 velja za vašo organizacijo?

Organizacija spada pod ureditev direktive NIS2, če izpolnjuje naslednja dva pogoja:

• Opravlja vsaj eno regulirano storitev, navedeno v prilogah k direktivi NIS2.
• Gre za srednje ali veliko podjetje. Odvisno od velikosti organizacije in pomembnosti regulirane storitve bodo zanje veljale višje ali nižje

Nova uredba bo tako vplivala na številne subjekte, za katere bo pomenila veliko finančno in upravno breme. Zato je vsekakor primerno, da se čim prej začnete ukvarjati s finančnim načrtovanjem, ki bo upoštevalo izpolnjevanje obveznosti iz predlaganega zakona o kibernetski varnosti.

Zavezanci bodo morali sprejeti tehnične in organizacijske ukrepe za obvladovanje varnostnih tveganj. Tehnični ukrepi so lahko na primer uporaba ustrezne programske opreme (npr. protivirusne), spremljanje ranljivosti, segmentacija omrežja in uvedba večfaktorske avtentikacije. Organizacijski ukrepi pomenijo oblikovanje dokumentacije – pravil za notranje postopke (npr. postopek uvajanja novega zaposlenega, vzpostavitev računov, upravljanje varnostnih incidentov itd.).

Zavezanci morajo izpolnjevati merila, določena v predlagani uredbi. Podjetja morajo na novo opraviti tako imenovano samoidentifikacijo = ugotoviti, ali so obvezen subjekt reguliranih storitev in v katero kategorijo obveznosti po novem spadajo.

Nove odgovornosti za vašo organizacijo

Zavezanci se bodo morali osredotočiti na:

• obvezno izobraževanje najvišjega vodstva organizacije in večjo odgovornost vodstva za zagotavljanje kibernetske varnosti v organizaciji. Če se najvišje vodstvo regulirane organizacije dosledno izogiba izpolnjevanju pravnih obveznosti, ki izhajajo iz osnutka zakona o kibernetski varnosti in njegovih izvedbenih predpisov, lahko regulator odredi začasni odvzem vodstvene funkcije;
• obveznost odobritve ukrepov za obvladovanje tveganj kibernetske varnosti;
• analizo tveganj in politiko informacijske varnosti;
• obvladovanje incidentov;
• neprekinjenost dejavnosti (tj. neprekinjeno poslovanje), medtem ko direktiva to področje nadalje razčlenjuje s primerom varnostnega kopiranja, obnovitve (disaster recovery) in kriznega upravljanja;
• varnost dobavne verige;
• varnost pri nabavi, razvoju in vzdrževanju sistemov;
• politike in postopke za ocenjevanje učinkovitosti varnostnih ukrepov (tj. revidiranje);
• osnovne prakse računalniške higiene in izobraževanje o kibernetski varnosti;
• politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranja;
• varnost človeških virov, upravljanje dostopa in sredstev ter uporabo večfaktorske avtentikacije;
• subjektom bodo naložene globe zaradi neizpolnjevanja naloženih obveznosti.

Načelo izvajanja teh varnostnih ukrepov je, da se organizacija usmeri v kartiranje svojega okolja, opredelitev vsega, kar potrebuje za zagotavljanje delovanja svoje regulirane storitve, oceno tveganj (ne le kibernetskih), ki lahko ogrozijo storitev, in izvajanje ustreznih ukrepov, s katerimi se bodo ta tveganja zmanjšala na sprejemljivo raven.

Kako vam lahko pomagamo?

• S spremljanjem prihajajočih sprememb slovenske zakonodaje na področju kibernetske varnosti ter pojasnjevanjem sprememb in obveznosti, ki iz njih izhajajo.
• Z razlago nastalih obveznosti na ključnih področjih, kot so načrt neprekinjenega poslovanja, upravljanje dobavne verige, upravljanje tveganj in upravljanje incidentov
• Revizija varnostne dokumentacije, notranjih predpisov in zadevnih procesov
• Upravljanje tveganj in pomoč pri inšpekcijskih pregledih ter zastopanje v postopkih pred nadzornimi organi