Ste pripravljeni na NIS 2?
Ali je vaše podjetje zavezano k skladnosti? Ugotovite vse potrebno!
Dvig splošne ravni kibernetske varnosti
Odgovornost vodstva podjetja
Visoke globe za neupoštevanje direktive
Osvežena in razširjena direktiva NIS 2
Direktiva NIS 2 je začela veljati 16. januarja 2023. Do 17. oktobra 2024 mora vsaka država članica EU njene zahteve prenesti v svojo nacionalno zakonodajo in sprejeti ukrepe za njeno uskladitev.
Glavni cilj nove direktive je izboljšati kibernetsko varnost v Evropski uniji, zagotoviti večjo zaščito pred kibernetskimi grožnjami ter okrepiti sposobnost odziva na incidente.
NIS 2 prinaša pomembne spremembe, vključno z:
Širše področje uporabe in jasnejša pravila: direktiva zdaj velja za precej več sektorjev in subjektov.
Razširjene varnostne zahteve: nova direktiva uvaja več obveznih ukrepov, kot so analiza tveganj, kibernetska higiena, usposabljanje za varnost ter močnejša avtentikacija.
Večja odgovornost vodij in upravnih odborov: NIS 2 določa večjo vključenost in odgovornost vodstva ter upravnih odborov pri zagotavljanju skladnosti z varnostnimi standardi in ukrepi.
Strožji nadzor in kazni: direktiva standardizira in zaostruje kazni za neskladnost ter povečuje pristojnosti nadzornih organov za izvajanje nadzora.
Jasnejše obveznosti poročanja o incidentih: NIS 2 podrobneje določa postopke, roke in vsebino poročanja o kibernetskih incidentih.
Večja varnost dobavne verige: direktiva krepi varnost dobavne verige z zahtevami za oceno tveganja in ustrezno upravljanje te pomembne komponente informacijskega okolja.
SPLETNI VPRAŠALNIK
PREVERITE SKLADNOST SVOJEGA PODJETJA
Pripravili smo enostaven vprašalnik, ki vam bo podal jasen odgovor, ali boste glede na določila direktive kot organizacija neposredno vključeni v obseg direktive.
Time's up
Prednosti, ki jih prinaša skladnost z direktivo NIS 2
Skladnost z zahtevami direktive na področju kibernetske varnosti organizacijam prinaša večjo zanesljivost informacijsko komunikacijskih sistemov ter posledično večjo varnost poslovanja, kar lahko pomembno prispeva k njihovemu dolgoročnemu poslovnemu uspehu ter zaupanju in ugledu v industriji.
Izboljšana splošna raven kibernetske varnosti
Zmanjšuje tveganja za kibernetske napade in izboljšuje zaščito kritične infrastrukture.
Večja zaščita kritičnih poslovnih procesov
Povečuje zanesljivost in stabilnost storitev ter
zaupanje strank in poslovnih partnerjev.
Skladnost z zakonskimi zahtevami
Zmanjšuje tveganje za morebitne pravne posledice in v izogib visokim kaznim ter krepi zaupanje deležnikov.
VSE KAR MORAJO PODJETJA VEDETI O DIREKTIVI NIS 2 - STROKOVNO PREDAVANJE
Bodite obveščeni, pridružite se dogodku!
Pridružite se nam na osrednjem dogodku dne 10.09.2024, kjer bomo razkrili vse ključne informacije o novi direktivi NIS 2, ki bo v prihodnjih mesecih močno vplivala na vašo organizacijo. Na strokovnem predavanju boste izvedeli, kako direktiva NIS 2 razširja področje uporabe, uvaja strožje varnostne zahteve, povečuje odgovornost vodstva in uvaja strožje kazni za neskladnost.
Spoznali boste tudi, kako nova pravila vplivajo na vašo dobavno verigo in kako izboljšati kibernetsko varnost v vaši organizaciji.
Ne zamudite priložnosti, da se seznanite s ključnimi koraki za skladnost in zaščitite svoje podjetje pred kibernetskimi grožnjami. Prijavite se na dogodek in si zagotovite svoje mesto med vodilnimi strokovnjaki, ki vam bodo pomagali učinkovito pripraviti vaše podjetje na nove zahteve.
Prijavite se zdaj in bodite korak pred kibernetskimi grožnjami!
Kako do skladnosti
Doseganje skladnosti z direktivo NIS 2 ni enkraten postopek, ampak zahteva stalno spremljanje, nadgradnje in prilagajanja varnostnih ukrepov glede na spremenljive kibernetske grožnje ter zakonske zahteve. Organizacije morajo za zagotovitev skladnosti z NIS 2 izvesti vrsto ključnih korakov in ukrepov.
1
Pridobitev podpore vodstva
2
Ozaveščanje in izobraževanje zaposlenih
3
Natančen pregled stanja in identifikacija kritičnih procesov
4
Priprava ocene tveganja in ranljivosti poslovanja
5
Identifikacija ranljivosti in predlog korektivnih ukrepov
6
Pregled stanja dobavne verige
7
Izvedba vseh korektivnih ukrepov
8
Preverjanje učinkovitosti uvedenih sprememb in procesov
Kako ugotoviti ali mora vaše podjetje zagotoviti skladnost z novo direktivo NIS 2?
Ker je zdaj na organizacijah breme, da same ugotovijo, ali morajo izpolnjevati zahteve direktive NIS 2, vam ponujamo učinkovito rešitev. Hitro in preprosto preverite svojo skladnost z izpolnitvijo našega vprašalnika.
Ne odlašajte – pridobite ključno informacijo zdaj in zaščitite svojo organizacijo!
Pogosta vprašanja o NIS 2 direktivi
NIS 2 predstavlja direktivo o kibernetski varnosti, ki je bila objavljena kot Direktiva (EU) 2022/2555 in je nadomestila prejšnjo direktivo NIS (EU) 2016/1148. Nova direktiva prinaša izboljšave in širši obseg uporabe, vključno z razširjenimi varnostnimi zahtevami in večjimi sankcijami za neskladnost.
Čeprav je NIS 2 začela veljati 16. januarja 2023, morajo države članice prenesti zahteve direktive v svojo nacionalno zakonodajo do 17. oktobra 2024 in jih začeti uporabljati naslednji dan. Razveljavitev prvotne direktive NIS začne veljati isti dan.
NIS 2 izhaja iz pomanjkljivosti prejšnje direktive, kot so pomanjkanje jasnosti, neučinkovito izvajanje in pomanjkanje izmenjave informacij med državami članicami. Nova direktiva prinaša širše področje uporabe, razširjene varnostne zahteve, večjo odgovornost vodstva ter strožji nadzor in kazni.
Glavni cilj nove direktive je izboljšati kibernetsko varnost v Evropski uniji, zagotoviti večjo zaščito pred kibernetskimi grožnjami ter okrepiti sposobnost odziva na incidente. Hkrati si prizadeva povečati skladnost organizacij s strožjimi varnostnimi standardi.
Ključni cilji in namen te nadgradnje so:
- Izboljšanje prejšnjih pomanjkljivosti: NIS 2 je nastala zaradi prepoznavanja pomanjkljivosti v prejšnji direktivi NIS. Te vključujejo pomanjkanje jasnosti glede zahtev, nedosledno izvajanje v državah članicah EU, neučinkovito izvrševanje ter pomanjkanje izmenjave informacij med državami.
- Prilagoditev spremenjenim tehnološkim trendom: Direktiva se odziva na hitro rastočo tehnologijo in spreminjajoče se okolje groženj kibernetske varnosti. Od leta 2016, ko je bila uvedena prvotna direktiva NIS, so se tehnološki trendi dramatično razvili, povečala se je odvisnost družb in gospodarstev od informacijske tehnologije, kar je povečalo ranljivost z
- Širše področje uporabe in jasnejša pravila: NIS 2 velja za več sektorjev in subjektov kot prejšnja direktiva. Razširja obseg organizacij, ki so pod njenim nadzorom, ter jasno opredeljuje standardna merila za določanje, kdo jo mora upoštevati.
- Razširjene varnostne zahteve: Nova direktiva uvaja več obveznih ukrepov za preprečevanje kibernetskih incidentov, kot so analiza tveganj, kibernetska higiena, usposabljanje za varnost ter močnejša avtentikacija. Te zahteve so bolj podrobno opredeljene in zahtevajo strožje izvajanje.
- Večja odgovornost vodij in upravnih odborov: NIS 2 določa večjo vključenost in odgovornost vodstva ter upravnih odborov pri zagotavljanju skladnosti z varnostnimi standardi in ukrepi.
- Strožji nadzor in kazni: Nova direktiva standardizira in zaostruje kazni za neskladnost ter povečuje pristojnosti nadzornih organov za izvajanje nadzora nad izvajanjem zahtev direktive.
- Jasnejše obveznosti poročanja o incidentih: NIS 2 podrobneje določa postopke, roke in vsebino poročanja o kibernetskih incidentih, kar zagotavlja hitrejše in bolj natančne informacije ob ugotovitvi incidentov.
- Večja varnost dobavne verige: Nova direktiva krepi varnost dobavne verige s posebnimi ukrepi, ki zahtevajo oceno tveganja in ustrezno upravljanje v tej pomembni komponenti informacijskega okolja.
- Večje mednarodno sodelovanje: Uvedba nove platforme za obvladovanje obsežnih čezmejnih kriz kibernetske varnosti, priznavanje potrebe po tesnejšem mednarodnem sodelovanju v primeru kibernetskih incidentov.
Direktiva NIS 2 prinaša temeljne spremembe v pristopu k kibernetski varnosti, s poudarkom na širši vključenosti sektorjev, jasnejših pravilih, odgovornosti vodstva ter močnejših zahtevah glede varnostnih standardov.
NIS 2 je razširila obseg subjektov, na katere se nanaša, in določila nove zahteve, ki se nanašajo na njihovo skladnost. Direktiva zajema bistvene in pomembne subjekte ter določa, kdo mora izpolnjevati določene varnostne zahteve. Sistem NIS 2 se razlikuje od prejšnje direktive v širšem obsegu subjektov, ki so vključeni ter glede na obveznosti, ki jih morajo izpolnjevati.
Bistveni in Pomembni Subjekti
Bistveni Subjekti
Pod NIS 2 so bistveni subjekti opredeljeni kot širši koncept kot OES (Operaterji Bistvenih Storitev), ki so bili glavna skupina v prejšnji direktivi. Ta nova definicija zajema več sektorjev, vključno s tistimi, ki jih je pokrivala prejšnja direktiva, in dodaja dodatne sektorje.
Bistveni subjekti vključujejo organizacije iz 18 kritičnih sektorjev:
- Promet (zračni, železniški, vodni ali cestni)
- Bančništvo
- Infrastruktura finančnega trga
- Zdravstvo
- Pitna voda
- Odpadne vode
- Digitalna infrastruktura (storitve računalništva v oblaku, podatkovni centri, omrežja za dostavo vsebin, javna elektronska komunikacijska omrežja)
- Podjetja za upravljanje medpodjetniških storitev (MSP) in ponudniki upravljanih varnostnih storitev (MSSP)
- Javna uprava
- Vesolje
- Poštne in kurirske storitve
- Ravnanje z odpadki
- Proizvodnja, predelava in distribucija kemikalij
- Proizvodnja, predelava in distribucija hrane
- Proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, strojev in transportne opreme
- Ponudniki digitalnih storitev (spletne tržnice, iskalniki, platforme za storitve družabnih omrežij)
- Raziskave
Pomembni subjekti
Poleg bistvenih subjektov so pod NIS 2 definirani tudi pomembni subjekti. Ti zajemajo širšo skupino organizacij, ki niso vključene v kategorijo bistvenih subjektov, vendar morajo še vedno izpolnjevati določene varnostne zahteve.
Pomembni subjekti lahko vključujejo “ponudnike digitalnih storitev”, ki so bili opredeljeni že v prejšnji direktivi NIS 1, pa tudi druge organizacije, ki imajo manjše zahteve v primerjavi z bistvenimi subjekti, vendar še vedno morajo izpolniti določene obveznosti.
Merila za določitev subjektov
Velikost in vloga organizacije sta ključna merila za določitev, ali organizacija spada med bistvene ali pomembne subjekte. NIS 2 določa število zaposlenih, letni promet in/ali bilančno vsoto kot ključne dejavnike za uvrstitev v eno od kategorij.
- Bistveni subjekti: Organizacije, ki spadajo med srednje velika ali večja podjetja (opredeljena v členu 2 Priloge k Priporočilu 2003/361/ES), kar pomeni več kot 50 zaposlenih in letni promet ali bilančno vsoto nad določenimi vrednostmi (10 miljonov EUR in navzgor)
- Pomembni subjekti: Vključujejo organizacije, ki morda ne dosežejo meril za bistvene subjekte, vendar še vedno izpolnjujejo določena merila.
Direktiva NIS 2 prinaša širše in bolj natančne opredelitve ter razširja kategorije organizacij, ki morajo izpolnjevati varnostne zahteve. Razumevanje teh kategorij in meril za določitev subjektov je ključno za organizacije pri ugotavljanju, ali so obvezne izpolnjevati zahteve direktive ter kaj je potrebno za skladnost z zakonodajo o kibernetski varnosti.
Direktiva NIS 2 zahteva, da države članice določijo kazni za neskladnost, ki morajo biti učinkovite, sorazmerne in odvračilne.
Kazni za neskladnost so odvisne od kategorije subjekta.
- Bistveni subjekti: Minimalna kazen je 10 milijonov EUR ali 2 % svetovnega letnega prometa, upošteva tisto kar je višje.
- Pomembni subjekti: Minimalna kazen je 7 milijonov EUR ali 1,4 % svetovnega letnega prometa, upošteva tisto kar je višje.
Odgovornost vodstva: Poleg kazni za organizacije je lahko po tej direktivi tudi vodstveno osebje odgovorno za neskladnost z direktivo.
Poročanje o kršitvah: Organi za preiskovanje imajo preiskovalna pooblastila, ki vključujejo inšpekcijske preglede, varnostne revizije in dostop do informacij, povezanih z varnostnimi odzivnimi načrti subjekta.
NIS 2 prinaša jasnejše in natančnejše zahteve glede poročanja o kibernetskih incidentih ter uveljavlja višje kazni za neskladnost, kar spodbuja organizacije k boljšemu obvladovanju in prijavljanju kibernetskih groženj.