NIS 2 direktiva – Vse kar morajo podjetja vedeti

Direktiva NIS 2: Kritičen vodnik za kibernetsko varnost in odpornost podjetij

Kibernetska varnost postaja vse bolj ključna za sodobna podjetja. V tej luči je Direktiva NIS 2 predstavljena kot mejnik v zahtevah in pričakovanjih za organizacije v Evropi.

Kaj prinaša ta nova direktiva? Kdo je zavezan k njenemu spoštovanju? In kako lahko podjetja uspešno dosežejo skladnost? V tem članku raziskujemo bistvo Direktive NIS 2, odgovarjamo na ključna vprašanja ter ponujamo praktične strategije za zagotavljanje varnosti in skladnosti v digitalnem okolju.

Kaj je NIS 2?

NIS 2 predstavlja direktivo o kibernetski varnosti, ki je bila objavljena kot Direktiva (EU) 2022/2555 in je nadomestila prejšnjo direktivo NIS (EU) 2016/1148. Nova direktiva prinaša izboljšave in širši obseg uporabe, vključno z razširjenimi varnostnimi zahtevami in večjimi sankcijami za neskladnost.

Kdaj začne veljati NIS 2?

Čeprav je NIS 2 začela veljati 16. januarja 2023, morajo države članice prenesti zahteve direktive v svojo nacionalno zakonodajo do 17. oktobra 2024 in jih začeti uporabljati naslednji dan. Razveljavitev prvotne direktive NIS začne veljati isti dan.

Kakšen je namen direktive NIS 2?

NIS 2 izhaja iz pomanjkljivosti prejšnje direktive, kot so pomanjkanje jasnosti, neučinkovito izvajanje in pomanjkanje izmenjave informacij med državami članicami. Nova direktiva prinaša širše področje uporabe, razširjene varnostne zahteve, večjo odgovornost vodstva ter strožji nadzor in kazni.

Glavni cilj nove direktive je izboljšati kibernetsko varnost v Evropski uniji, zagotoviti večjo zaščito pred kibernetskimi grožnjami ter okrepiti sposobnost odziva na incidente. Hkrati si prizadeva povečati skladnost organizacij s strožjimi varnostnimi standardi.

Ključni cilji in namen te nadgradnje so:

  • Izboljšanje prejšnjih pomanjkljivosti: NIS 2 je nastala zaradi prepoznavanja pomanjkljivosti v prejšnji direktivi NIS. Te vključujejo pomanjkanje jasnosti glede zahtev, nedosledno izvajanje v državah članicah EU, neučinkovito izvrševanje ter pomanjkanje izmenjave informacij med državami.

  • Prilagoditev spremenjenim tehnološkim trendom: Direktiva se odziva na hitro rastočo tehnologijo in spreminjajoče se okolje groženj kibernetske varnosti. Od leta 2016, ko je bila uvedena prvotna direktiva NIS, so se tehnološki trendi dramatično razvili, povečala se je odvisnost družb in gospodarstev od informacijske tehnologije, kar je povečalo ranljivost za kibernetske napade.

Glavne Spremembe v NIS 2

  • Širše področje uporabe in jasnejša pravila: NIS 2 velja za več sektorjev in subjektov kot prejšnja direktiva. Razširja obseg organizacij, ki so pod njenim nadzorom, ter jasno opredeljuje standardna merila za določanje, kdo jo mora upoštevati.
  • Razširjene varnostne zahteve: Nova direktiva uvaja več obveznih ukrepov za preprečevanje kibernetskih incidentov, kot so analiza tveganj, kibernetska higiena, usposabljanje za varnost ter močnejša avtentikacija. Te zahteve so bolj podrobno opredeljene in zahtevajo strožje izvajanje.
  • Večja odgovornost vodij in upravnih odborov: NIS 2 določa večjo vključenost in odgovornost vodstva ter upravnih odborov pri zagotavljanju skladnosti z varnostnimi standardi in ukrepi.
  • Strožji nadzor in kazni: Nova direktiva standardizira in zaostruje kazni za neskladnost ter povečuje pristojnosti nadzornih organov za izvajanje nadzora nad izvajanjem zahtev direktive.
  • Jasnejše obveznosti poročanja o incidentih: NIS 2 podrobneje določa postopke, roke in vsebino poročanja o kibernetskih incidentih, kar zagotavlja hitrejše in bolj natančne informacije ob ugotovitvi incidentov.
  • Večja varnost dobavne verige: Nova direktiva krepi varnost dobavne verige s posebnimi ukrepi, ki zahtevajo oceno tveganja in ustrezno upravljanje v tej pomembni komponenti informacijskega okolja.
  • Večje mednarodno sodelovanje: Uvedba nove platforme za obvladovanje obsežnih čezmejnih kriz kibernetske varnosti, priznavanje potrebe po tesnejšem mednarodnem sodelovanju v primeru kibernetskih incidentov.

Direktiva NIS 2 prinaša temeljne spremembe v pristopu k kibernetski varnosti, s poudarkom na širši vključenosti sektorjev, jasnejših pravilih, odgovornosti vodstva ter močnejših zahtevah glede varnostnih standardov.

Kdo vse je obvezan skladno z NIS 2?

NIS 2 je razširila obseg subjektov, na katere se nanaša, in določila nove zahteve, ki se nanašajo na njihovo skladnost. Direktiva zajema bistvene in pomembne subjekte ter določa, kdo mora izpolnjevati določene varnostne zahteve. Sistem NIS 2 se razlikuje od prejšnje direktive v širšem obsegu subjektov, ki so vključeni ter glede na obveznosti, ki jih morajo izpolnjevati.

Bistveni in Pomembni Subjekti

Bistveni Subjekti

Pod NIS 2 so bistveni subjekti opredeljeni kot širši koncept kot OES (Operaterji Bistvenih Storitev), ki so bili glavna skupina v prejšnji direktivi. Ta nova definicija zajema več sektorjev, vključno s tistimi, ki jih je pokrivala prejšnja direktiva, in dodaja dodatne sektorje.

Bistveni subjekti vključujejo organizacije iz 18 kritičnih sektorjev:

  • Promet (zračni, železniški, vodni ali cestni)
  • Bančništvo
  • Infrastruktura finančnega trga
  • Zdravstvo
  • Pitna voda
  • Odpadne vode
  • Digitalna infrastruktura (storitve računalništva v oblaku, podatkovni centri, omrežja za dostavo vsebin, javna elektronska komunikacijska omrežja)
  • Podjetja za upravljanje medpodjetniških storitev (MSP) in ponudniki upravljanih varnostnih storitev (MSSP)
  • Javna uprava
  • Vesolje
  • Poštne in kurirske storitve
  • Ravnanje z odpadki
  • Proizvodnja, predelava in distribucija kemikalij
  • Proizvodnja, predelava in distribucija hrane
  • Proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, strojev in transportne opreme
  • Ponudniki digitalnih storitev (spletne tržnice, iskalniki, platforme za storitve družabnih omrežij)
  • Raziskave

Pomembni subjekti

Poleg bistvenih subjektov so pod NIS 2 definirani tudi pomembni subjekti. Ti zajemajo širšo skupino organizacij, ki niso vključene v kategorijo bistvenih subjektov, vendar morajo še vedno izpolnjevati določene varnostne zahteve.

Pomembni subjekti lahko vključujejo “ponudnike digitalnih storitev”, ki so bili opredeljeni že v prejšnji direktivi NIS 1, pa tudi druge organizacije, ki imajo manjše zahteve v primerjavi z bistvenimi subjekti, vendar še vedno morajo izpolniti določene obveznosti.

Merila za določitev subjektov

Velikost in vloga organizacije sta ključna merila za določitev, ali organizacija spada med bistvene ali pomembne subjekte. NIS 2 določa število zaposlenih, letni promet in/ali bilančno vsoto kot ključne dejavnike za uvrstitev v eno od kategorij.

  • Bistveni subjekti: Organizacije, ki spadajo med srednje velika ali večja podjetja (opredeljena v členu 2 Priloge k Priporočilu 2003/361/ES), kar pomeni več kot 50 zaposlenih in letni promet ali bilančno vsoto nad določenimi vrednostmi (10 miljonov EUR in navzgor)
  • Pomembni subjekti: Vključujejo organizacije, ki morda ne dosežejo meril za bistvene subjekte, vendar še vedno izpolnjujejo določena merila.

Direktiva NIS 2 prinaša širše in bolj natančne opredelitve ter razširja kategorije organizacij, ki morajo izpolnjevati varnostne zahteve. Razumevanje teh kategorij in meril za določitev subjektov je ključno za organizacije pri ugotavljanju, ali so obvezne izpolnjevati zahteve direktive ter kaj je potrebno za skladnost z zakonodajo o kibernetski varnosti.

Katere so varnostne obveznosti direktive NIS 2?

Tehnični, operativni in organizacijski ukrep

NIS 2 zahteva, da organizacije, ki so označene kot bistveni ali pomembni subjekti, izvajajo različne vrste ukrepov, da obvladujejo tveganja za varnost svojih informacijskih sistemov.

Vključeni ukrepi:

  • Analiza tveganja in varnost informacijskih sistemov: Organizacije morajo izvajati redne analize tveganj za varnost svojih informacijskih sistemov. To vključuje prepoznavanje potencialnih tveganj, njihovo oceno in sprejemanje ukrepov za zmanjšanje teh tveganj.
  • Obravnavanje incidentov: Obveznost vzpostavitve načrta za odziv na incidente ter sprejemanje ukrepov za obvladovanje in reševanje incidentov v najkrajšem možnem času.
  • Neprekinjeno poslovanje in kibernetska odpornost: Razvoj strategij za kibernetsko odpornost, ki vključujejo načrte za obnovitev po nesreči, varnostno kopiranje podatkov in strategije za nadaljevanje poslovanja v primeru nesreč.
  • Varnost dobavne verige: Izvajanje ocene tveganja in učinkovito upravljanje varnosti v dobavni verigi, vključno s tveganji, ki izhajajo iz zunanjih ponudnikov in partnerjev.
  • Razvoj, vzdrževanje in varnost informacijskih sistemov: Ustrezno varovanje vseh informacijskih sistemov, vključno z razvojem, vzdrževanjem in pridobivanjem le-teh.
  • Kibernetska higiena in usposabljanje: Uvedba osnovnih praks kibernetske higiene in usposabljanje zaposlenih za izboljšanje ozaveščenosti o kibernetski varnosti.
  • Kriptografija, šifriranje in dostop do podatkov: Ustrezno upravljanje in nadzor nad kriptografijo, šifriranjem in dostopom do podatkov.
  • Varnost človeških virov in upravljanje sredstev: Zaščita človeških virov, upravljanje dostopa in sredstev v informacijskih sistemih.
  • Več faktorska avtentikacija (MFA) in zaščita komunikacije: Uvedba več faktorske avtentikacije, zaščitena komunikacija ter uporaba varnih komunikacijskih sistemov za nujne primere.

Prilagajanje ukrepov glede na tveganja

Pri izvajanju teh varnostnih ukrepov je ključno upoštevati sorazmernost glede na tveganja, s katerimi se organizacija sooča. Različne organizacije bodo imele različne stopnje izpostavljenosti in občutljivosti na kibernetska tveganja. Zato morajo ukrepi odražati to raznolikost in biti prilagojeni, da se učinkovito odzovejo na specifična tveganja vsake organizacije.

Ukrepi za Večjo Odpornost

Vključitev teh ukrepov in izvajanje smiselnih strategij za kibernetsko odpornost je ključno ne le za izpolnjevanje zahtev NIS 2, temveč tudi za zagotavljanje trajne varnosti informacijskih sistemov v organizacijah.

Katere so obveznosti poročanja v skladu z NIS 2?

NIS 2 prinaša natančnejša pravila in zahteve glede poročanja o kibernetskih incidentih, kar je ključno za preprečevanje in odzivanje na varnostne grožnje.

Ocenjevanje Incidentov: Organizacije morajo svoji skupini za odzivanje na računalniške varnostne incidente (CSIRT) ali pristojnemu organu predložiti oceno incidenta v različnih fazah. To vključuje začetno oceno v 24 urah po seznanitvi z incidentom, končno posodobitev v enem mesecu po prvem obvestilu ter morebitne druge posodobitve v primeru, da incident še poteka.

Obveščanje Javnosti in Prejemnikov Storitev: V primeru resnih incidentov ali v javnem interesu lahko pristojni organi ali CSIRT javnost obvestijo o incidentu. Prav tako morajo subjekti obvestiti svoje prejemnike storitev o pomembnih kibernetskih grožnjah in ukrepih za zmanjšanje tveganj, če je to potrebno.

Poročanje o Incidentih: Subjekti imajo določene roke za poročanje o incidentih. To vključuje:

Zgodnje opozorilo, ki mora biti poslano v 24 urah po seznanitvi z incidentom. Vsebuje minimalne informacije, potrebne za oceno incidenta.

Obvestilo o incidentu, ki ga je treba poslati v 72 urah po seznanitvi z incidentom. Vključuje začetno oceno incidenta in znane kazalnike kompromitacije.

Končno poročilo, ki ga je treba predložiti najpozneje en mesec po incidentu.

Kazni za Neskladnost

Direktiva NIS 2 zahteva, da države članice določijo kazni za neskladnost, ki morajo biti učinkovite, sorazmerne in odvračilne.

Kazni za neskladnost so odvisne od kategorije subjekta.

  • Bistveni subjekti: Minimalna kazen je 10 milijonov EUR ali 2 % svetovnega letnega prometa, upošteva tisto kar je višje.
  • Pomembni subjekti: Minimalna kazen je 7 milijonov EUR ali 1,4 % svetovnega letnega prometa, upošteva tisto kar je višje.

Odgovornost vodstva: Poleg kazni za organizacije je lahko po tej direktivi tudi vodstveno osebje odgovorno za neskladnost z direktivo.

Poročanje o kršitvah: Organi za preiskovanje imajo preiskovalna pooblastila, ki vključujejo inšpekcijske preglede, varnostne revizije in dostop do informacij, povezanih z varnostnimi odzivnimi načrti subjekta.

NIS 2 prinaša jasnejše in natančnejše zahteve glede poročanja o kibernetskih incidentih ter uveljavlja višje kazni za neskladnost, kar spodbuja organizacije k boljšemu obvladovanju in prijavljanju kibernetskih groženj.

Kako lahko organizacije izpolnijo obveznosti iz NIS 2?

Za organizacije je ključno, da ne le izpolnijo zahteve direktive, temveč tudi gradijo kibernetsko odpornost. To vključuje sprejemanje ustreznih okvirov, vlaganje v rešitve za obvladovanje tveganj ter upoštevanje standardov in certifikatov v industriji.

Kibernetska odpornost postaja ključna strategija v boju proti kibernetskim grožnjam in kot odgovor na zahteve direktive NIS 2. Ta strategija zajema več vidikov, ki organizacijam omogočajo boljšo zaščito pred napadi ter hitrejše okrevanje v primeru incidentov.

Elementi kibernetske odpornosti:

  • Preventivni ukrepi: Ključno je vlaganje v ukrepe za preprečevanje kibernetskih napadov. To vključuje redno izvajanje analiz tveganj, uvajanje kibernetske higiene, učinkovito usposabljanje osebja za prepoznavanje in preprečevanje groženj, ter uvajanje močnih mehanizmov avtentikacije, kot je večfaktorska avtentikacija (MFA).
  • Reaktivni ukrepi: Kljub preventivi so napadi še vedno mogoči. Kibernetska odpornost poudarja hitro in učinkovito odzivanje v primeru incidenta. To vključuje vzpostavitev skupine za odzivanje na računalniške varnostne incidente (CSIRT), ki hitro prepozna, ukrepa ter obnovi sisteme po incidentu.
  • Kibernetska odpornost podjetja: To ni le odgovor na kibernetske napade, temveč tudi na druge nesreče, kot so naravne katastrofe, izpadi energije itd. Zato morajo organizacije razviti načrte za obnovo delovanja po nesreči, redno izvajati varnostne kopije podatkov ter preverjati obstoječe strategije za hitro obnovo po incidentu.
  • Sistem zaščite dobavne verige: Dobavna veriga je pogosto šibka točka, zato je del kibernetske odpornosti tudi ocena tveganja in vzpostavitev učinkovitega sistema zaščite dobavne verige.
  • Sodelovanje in izmenjava informacij: Organizacije se morajo vključiti v sodelovanje z drugimi, izmenjavo informacij o grožnjah ter skupno odzivanje na incidente. To je še posebej pomembno v primeru direktive NIS 2, ki priznava potrebo po mednarodnem sodelovanju ob večjih kibernetskih krizah.

Kibernetska Odpornost in NIS 2:

Direktiva NIS 2 postavlja poudarek na razvoj kibernetske odpornosti v organizacijah, zlasti v sektorjih, ki so ključnega pomena za delovanje družbe, javne varnosti in gospodarstva. To pomeni, da se ne smejo le osredotočiti na obrambo pred kibernetskimi napadi, temveč morajo razviti sposobnost hitrega okrevanja po incidentu.

Ključne Strategije za Kibernetsko Odpornost po NIS 2:

  • Uvedba kibernetskih okvirov: Organizacije naj sprejmejo in implementirajo uveljavljene kibernetske okvire, kot je okvir kibernetske varnosti Nacionalnega inštituta za standarde in tehnologijo (NIST CSF). Ti okviri pomagajo pri strukturiranju strategije kibernetske varnosti.
  • Ustrezna upravljanja tveganj: Razvoj in izvajanje učinkovitih strategij za obvladovanje tveganj je ključnega pomena. To vključuje redno ocenjevanje tveganj, odzivanje na potencialne grožnje ter prilagajanje strategij za zmanjševanje tveganj.
  • Certifikacija in standardizacija: Organizacije naj se zanašajo na certifikate in standarde kibernetske varnosti, kot so SOC 2 Type 2, ISO 27001, 27017 in 27018, ki jim pomagajo pri vzpostavljanju standardov in izpolnjevanju zahtev direktive.
  • Pripravljenost na krizne razmere: Razvoj načrtov za obnovo po incidentih, testiranje teh načrtov ter redno izvajanje vaj za obvladovanje incidentov so ključni koraki za hitro okrevanje po napadu.

Kibernetska odpornost je postala ključna strategija za organizacije, ki se soočajo z vse večjimi kibernetskimi grožnjami. Uspešna implementacija kibernetske odpornosti lahko znatno zmanjša vpliv napadov in izboljša sposobnost organizacije, da se hitro vrne v normalno delovanje po incidentih.

Delite objavo:

Zadnje objave

Štirje načini, kako hekerji uporabljajo socialni inženiring za obvoz večfaktorske avtentikacije (MFA)

Uvedba načela ničelnega zaupanja (ang. Zero trust) v podjetje: planiranje, izvedba, korak za korakom  

Uvedba Zero Trust v podjetju...

NIS2 direktiva in njene globalne posledice