Direktiva NIS2 je direktiva EU, ki s strožjimi pravili krepi ki­ber­net­sko odpornost evropskih držav članic in podjetij. Zajemajo izvajanje var­no­stnih ukrepov za boljšo zaščito in­for­ma­cij­skih sistemov ter varnostne preglede in hitre kanale za poročanje o in­ci­den­tih ki­ber­net­ske varnosti. Čeprav Združeno kra­lje­stvo te direktive ne izvaja, saj ga za­ko­no­da­ja EU ne zavezuje več, je dobro, da jo poznate, če poslujete znotraj EU.

Kaj je Direktiva NIS2?

Direktiva NIS2 Evropske unije ima za cilj iz­bolj­ša­ti odpornost ključnih in pomembnih in­fra­struk­tur držav članic proti grožnjam ki­ber­net­ske varnosti. Okrajšava NIS2 pomeni »Varnost omrežij in in­for­ma­cij 2«. Ko je 16. januarja 2023 stopila v veljavo, je na­do­me­sti­la prejšnjo direktivo NIS1, ki je že spod­bu­di­la spremembo v pristopu k in­for­ma­cij­ski varnosti.

Da bi za­go­to­vi­li največjo možno zaščito tako v zasebnem kot v javnem sektorju držav članic EU, nova direktiva NIS2 uvaja ce­lo­vi­tej­ša in strožja pravila za širšo ciljno skupino. Na ta način naj bi nova pravila za­go­to­vi­la večjo ki­ber­net­sko odpornost ter učin­ko­vi­tej­še ukrepanje proti ki­ber­net­skim grožnjam in kršitvam varnosti. Cilj direktive NIS2 je tudi za­go­to­vi­ti, da so ključne in­sti­tu­ci­je, ki pre­bi­val­stvo oskr­bu­je­jo z ži­vljenj­sko po­memb­ni­mi dobrinami ali sto­ri­tva­mi, v primeru krize zaščitene pred izpadi in motnjami.

Glavni cilj direktive NIS2 je boljša priprava podjetij na ki­ber­net­ske napade ter učin­ko­vi­to in hitro odzivanje na motnje v delovanju in­for­ma­cij­skih sistemov. Zato naj bi bolj usklajena varnostna stra­te­gi­ja v državah članicah EU za­go­to­vi­la najvišjo možno raven ki­ber­net­ske varnosti tako na na­ci­o­nal­ni kot na med­na­ro­dni ravni na območju EU. Vse države članice morajo direktivo prenesti v na­ci­o­nal­no za­ko­no­da­jo, kar zadeva velika podjetja ter mala in srednja podjetja, ki sodijo v področje uporabe novih predpisov.

Kaj spreminja direktiva NIS2?

Obveznost izvajanja Direktive o okrepitvi ki­ber­net­ske varnosti NIS2 (NIS2UmsuCG) prinaša dalj­no­se­žne spremembe v 18 različnih sektorjih. Med drugim je število sektorjev, ki so opre­de­lje­ni kot ključni, več kot podvojeno, poleg tega pa so bile zaostrene kazni za ne­iz­pol­nje­va­nje zahtev. Poleg tega bodo od­go­vor­nost nosili tudi di­rek­tor­ji.

V Nemčiji, Španiji, Italiji in Franciji bo na primer direktiva NIS2 vplivala na tisoče podjetij. V Nemčiji bo moralo novo direktivo upo­šte­va­ti do 40.000 podjetij, v Italiji pa okoli 50.000 podjetij. V Španiji bo nova direktiva veljala za približno 25.000 podjetij, v Franciji pa bo prizadela več kot 10.000 subjektov.

Tukaj je pregled vseh sprememb, ki jih prinaša Direktiva NIS2:

  • Raz­ši­ri­tev obsega ključnih področij: Direktiva NIS2 kot ključna opre­de­lju­je še več sektorjev.
  • Strožje kazni: Direktiva znatno povečuje globe za kršitve
  • Od­go­vor­nost vod­stve­nih delavcev: Vodstveni delavci so zdaj ne­po­sre­dno odgovorni za skladnost s predpisi o ki­ber­net­ski varnosti.
  • Raz­šir­je­na področja uporabe: Direktiva NIS2 velja za podjetja z več kot 50 za­po­sle­ni­mi ali prometom več kot 10 milijonov evrov ter za nekatera podjetja ne glede na njihovo velikost.
  • Potreba po celoviti analizi tveganj: Podjetja so dolžna izvesti temeljito analizo tveganj.
  • Zahtevano upra­vlja­nje tveganj in varnosti: Za upra­vlja­nje tveganj in varnostne ukrepe veljajo stroge zahteve. Različni zaščitni ukrepi, kot so testi pe­ne­tra­ci­je, strojna požarna zidova in stra­te­gi­je var­no­stne­ga kopiranja, so obvezni.
  • Obvezno krizno upra­vlja­nje: V primeru var­no­stnih in­ci­den­tov so potrebne hitre in učin­ko­vi­te stra­te­gi­je kriznega upra­vlja­nja, ko­mu­ni­ka­cij­ski kanali in sistemi poročanja.
  • Uporaba ob­sto­je­čih var­no­stnih pro­to­ko­lov: Podjetja lahko kot referenco uporabijo obstoječe varnostne standarde iz re­gu­li­ra­nih panog.

Koga zadeva Direktiva NIS2?

NIS2 razlikuje med podjetji v raz­šir­je­ni ka­te­go­ri­ji ključnih podjetij in ka­te­go­ri­ji pomembnih podjetij, ki je povsem nova. To ne­po­sre­dno zadeva podjetja z več kot 50 za­po­sle­ni­mi ali letnim prometom 10 milijonov evrov ali več. Poleg tega lahko podjetja sodijo v okvir NIS2 ne glede na svojo velikost, če bi njihovo neuspešno delovanje pov­zro­či­lo sistemska tveganja. Ka­te­go­ri­ja „bistvenih“ podjetij zajema podjetja iz enajstih sektorjev, med katerimi so zlasti podjetja s kritično in­fra­struk­tu­ro, ki so ključnega pomena za vlado in družbo. Ka­te­go­ri­ja „pomembnih“ podjetij pa se nanaša na sedem sistemsko pomembnih sektorjev.

Ključni sektorji in podjetja

  • Energija
  • Oskrba z vodo
  • Promet
  • Ban­čni­štvo
  • In­fra­struk­tu­re fi­nanč­ne­ga trga
  • Zdravstvo
  • Vesolje
  • Odpadne vode
  • Javna uprava
  • Digitalna in­fra­struk­tu­ra
  • Upra­vlja­nje storitev IKT (B2B)

Pomembni sektorji in podjetja

  • Poštne in kurirske storitve
  • Odpadki
  • Kemična in­du­stri­ja
  • Oskrba s hrano
  • Ponudniki di­gi­tal­nih storitev
  • In­du­stri­ja (predelava / pro­i­zvo­dnja)
  • Raziskave (neobvezno)

Katere ob­ve­zno­sti veljajo za podjetja?

V okviru NIS2 morajo podjetja iz­pol­nje­va­ti stroge ob­ve­zno­sti in se pri­la­go­di­ti pomembnim spre­mem­bam. Mednje spadajo:

Ob­ve­zno­sti Ukrepi
Upra­vlja­nje tveganj in upra­vlja­nje ne­pre­ki­nje­ne­ga po­slo­va­nja (§30, 31) Ši­fri­ra­nje, ve­č­fak­tor­ska av­ten­ti­fi­ka­ci­ja, krip­to­gra­fi­ja, ki­ber­net­ska higiena, do­de­lje­va­nje vlog in nadzor dostopa, upra­vlja­nje var­no­stnih kopij in obnovitev sistema, varnost dobavne verige ter analize tveganj so obvezni. Minimalne zahteve se raz­li­ku­je­jo glede na velikost podjetja zaradi pravila o „omejitvi velikosti“.
Ob­ve­zno­sti poročanja in ob­ve­šča­nja (§32, 35) Pomembne varnostne incidente je treba prijaviti organom v 24 urah. Prvotne ocene morajo biti na voljo v 72 urah. Podrobno končno poročilo je treba pre­dlo­ži­ti v enem mesecu.
Ob­ve­zno­sti re­gi­stra­ci­je (§33, 34) Prizadete or­ga­ni­za­ci­je in ponudniki storitev re­gi­stra­ci­je domenskih imen morajo in­for­ma­ci­je pre­dlo­ži­ti pri­stoj­nim organom naj­po­zne­je tri mesece po začetku ve­ljav­no­sti NIS2. Če obveznost re­gi­stra­ci­je ni iz­pol­nje­na, jo lahko izpolni tudi CSIRT (skupina za odzivanje na varnostne incidente v ra­ču­nal­ni­štvu).
Ob­ve­zno­sti glede odobritve, spre­mlja­nja in uspo­sa­blja­nja za di­rek­tor­je (§38) Prenos var­no­stnih ukrepov s strani vodstva ni več zadosten. Vodstvo mora aktivno odobriti potrebne ukrepe in je delno dolžno za­go­to­vi­ti uspo­sa­blja­nje.
Nadzorni in izvršilni ukrepi (§61, 62) Pričakuje se, da bo ena od skupin CSIRT delovala kot nadzorni organ za skladnost z zah­te­va­ni­mi ukrepi. Najprej tri leta po začetku ve­ljav­no­sti NIS2 ima nadzorni organ možnost zahtevati dokazila o iz­pol­nje­va­nju ob­ve­zno­sti. V primeru ne­po­sre­dne ne­var­no­sti se lahko odredijo ukrepi.

Da bi kot prizadeto podjetje že v zgodnji fazi izpolnili svoje ob­ve­zno­sti, morate izvesti naslednje ukrepe:

  • Analiza DE­JAN­SKE­GA stanja in CILJEV: Preverite, ali za vas veljajo ob­ve­zno­sti iz direktive NIS2, ter ugotovite trenutno stanje ki­ber­net­ske od­por­no­sti vašega podjetja ter morebitna področja za iz­bolj­ša­nje.
  • Izvajanje: Za vse in­for­ma­cij­ske sisteme je treba uvesti analizo tveganj in varnostne koncepte.
  • Ocena: Učin­ko­vi­tost lastnih metod upra­vlja­nja tveganj v vašem podjetju je treba redno pre­gle­do­va­ti.
  • Obli­ko­va­nje: Razvoj koncepta za obrav­na­va­nje var­no­stnih in­ci­den­tov je obvezen.
  • Varnostno kopiranje in krizno upra­vlja­nje: Uvesti je treba ukrepe za varnostno kopiranje podatkov in krizno upra­vlja­nje.
  • Sistem poročanja: Vzpo­sta­vi­ti je treba učinkovit sistem poročanja o var­no­stnih in­ci­den­tih.
  • Uspo­sa­blja­nje: Zaposlene je treba redno uspo­sa­blja­ti.
  • Varnost dobavne verige: Za­go­to­vi­ti je treba varnost v dobavni verigi.

Kaj se bo zgodilo, če se NIS2 ne bo izvedel?

Podjetja, ki ne izvedejo pred­pi­sa­nih ukrepov, lahko pri­ča­ku­je­jo visoke globe (§ 65). V skladu z NIS2 imajo nadzorni organi obsežna po­o­bla­sti­la za nadzor, kontrolo in dajanje navodil, vključno z uve­lja­vlja­njem rokov. Poleg tega nosijo di­rek­tor­ji znatno večjo od­go­vor­nost za zaščitne in varnostne ukrepe ter se v primeru kršitev ali ma­lo­mar­no­sti lahko štejejo za osebno odgovorne (§ 38, § 61).

Kdaj začne veljati Direktiva NIS2?

14. decembra 2022 sta Evropski parlament in Svet sprejela Direktivo (EU) 2022/2555, znano kot Direktiva NIS2. Ta uvaja obsežne spremembe Uredbe eIDAS (EU) št. 910/2014 in Direktive EECC (EU) 2018/1972. Uradno je začela veljati 16. januarja 2023 in na­do­me­sti­la Direktivo NIS. Vse države članice EU jo morajo prenesti v na­ci­o­nal­no za­ko­no­da­jo do 17. oktobra 2024.

V različnih državah za vodenje izvajanja direktive skrbijo različni organi. V Franciji na primer pri­za­de­va­nja za izvajanje vodi agencija ANSSI (Na­ci­o­nal­na agencija za varnost in­for­ma­cij­skih sistemov), ki je celo uvedla digitalno storitev »Mon Espace NIS 2«, namenjeno podpori subjektom pri izvajanju direktive. V Nemčiji je za to pristojna agencija BSI (Zvezni urad za varnost in­for­ma­cij), v Španiji pa CCN-CERT (Na­ci­o­nal­ni krip­to­lo­ški center) nadzoruje ukrepe za ki­ber­net­sko varnost in za­go­ta­vlja skladnost.

Go to Main Menu