Leta 2016 je bila v Evropski uniji sprejeta direktiva o varnosti omrežij in informacijskih sistemov (NIS), ki je postavila temelje za večjo zaščito digitalnih sistemov. Njen nadaljevanje, NIS 2 direktiva, prinaša še bolj stroge ukrepe za izboljšanje informacijske varnosti, saj odgovarja na naraščajoče grožnje, kot so kibernetski napadi in kriminal. Za zagotavljanje varnosti je nujna odpornost digitalne infrastrukture, zlasti v državah članicah EU.

NIS2 direktiva in njene zahteve
NIS2 direktiva je nadgradnja prvotne NIS direktive in prinaša višje standarde za kibernetsko varnost v vseh državah članicah EU. Direktiva ima za cilj zaščititi ključne sektorje, ki so pomembni za delovanje družbe, kot so energetika, zdravstvo, finančne storitve, promet, oskrba z vodo in upravljanje odpadkov. Z uvedbo NIS2 bodo države članice morale izboljšati varnost svojih informacijskih sistemov, pri čemer bo imel vsak sektor svoje specifične zahteve in standarde za izpolnjevanje.
Kazni za neupoštevanje direktive
Z nespoštovanjem zahtev NIS2 direktive so povezane precejšnje sankcije, ki vključujejo finančne kazni, ki lahko vplivajo na poslovanje podjetij. Poleg tega bo vodstvo podjetja nosilo pravno odgovornost, kar pomeni, da bodo morali voditelji podjetij zagotoviti izpolnjevanje teh zahtev, da bi se izognili resnim posledicam. Direktiva razširja seznam zavezancev, kar pomeni, da so številni sektorji sedaj vključeni in morajo izpolnjevati stroge zahteve glede informacijske varnosti.
Povečane pristojnosti in odgovornosti za nadzor
Sprejetje NIS2 direktive daje državam članicam EU večje pristojnosti za nadzor in ukrepanje v primeru neskladnosti s pravili. To pomeni, da bodo imeli regulatorji večjo moč pri preverjanju skladnosti in ukrepanju proti organizacijam, ki ne spoštujejo novih zahtev. Z izboljšanimi varnostnimi zahtevami, večjo zaščito pred kibernetskimi grožnjami in boljšo obvladovanje tveganj, NIS2 direktiva prinaša pomemben korak naprej k bolj varnemu digitalnemu okolju v EU.
NIS2 direktiva v Sloveniji
V Sloveniji se NIS2 direktiva izvaja skladno z nacionalno zakonodajo, pri čemer so potrebne prilagoditve, ki so trenutno v postopku. Urad vlade RS za informacijsko varnost (URSIV) je že pripravil osnutek novega Zakona o informacijski varnosti. Zakonodaja bo usklajena z Direktivo (EU) 2022/2555, ki jo je Evropski parlament sprejel decembra 2022. Za prilagoditev novim zahtevam imajo podjetja omejen čas, saj morajo do konca leta 2024 izpolniti določene standarde kibernetske varnosti. Nacionalni organi bodo morali vzpostaviti natančne ukrepe in nadzorne mehanizme, da bi spremljali izvajanje direktive v ključnih sektorjih.
Kdo so NIS2 zavezanci?
Če niste prepričani, ali ste zavezanec NIS2 direktive, morate vedeti, da je potrebna samoregistracija. To pomeni, da morate ugotoviti, ali delujete v kritičnem ali pomembnem sektorju, saj so za te sektorje predpisani strogi ukrepi kibernetske varnosti. Samoregistracija ni več naloga vlade, temveč odgovornost podjetij in organizacij.
Direktiva NIS2 razširja seznam sektorjev, ki morajo upoštevati zakonodajo. Zavezanci so podjetja, ki delujejo v ključnih sektorjih, kot so energetski sektor, zdravstvo, telekomunikacije, finance, transport, in oskrba z vodo. Ta podjetja so nujna za delovanje družbe in gospodarstva ter morajo izpolnjevati najstrožje standarde varnosti. Poleg tega pa so v zakonodajo vključeni tudi pomembni sektorji, kot so industrija, izobraževanje, živilska industrija in raziskave, ki imajo nekoliko prilagodljivejše varnostne standarde glede na tveganja. Če ste manjše podjetje, vendar pomembno za enega od teh sektorjev, ste vseeno zavezanec NIS2 direktive. Tudi podjetja z več kot 50 zaposlenimi, ki dosegajo določene prihodke, bodo obvezana k izpolnjevanju zahtev.
Ukrepi za zagotavljanje informacijske varnosti
NIS2 direktiva določa številne ukrepe, ki jih morajo organizacije izvajati za zagotovitev informacijske varnosti. Pomemben ukrep je redno pregledovanje in analiza tveganj, da se pravočasno prepoznajo grožnje. Organizacije morajo implementirati zaščitne ukrepe, kot so požarni zidovi, sistemi za zaznavanje vdorov in šifriranje podatkov, da zaščitijo svoje sisteme pred kibernetskimi napadi. Prav tako morajo imeti pripravljen načrt za obvladovanje kibernetskih incidentov, vključno z obveščanjem pristojnih organov v primeru varnostnih kršitev. Po napadu pa morajo imeti postopke za obnovo podatkov in zagotovitev nemotenega delovanja svojih sistemov.