Direktiva NIS – direktiva za visoko skupno raven varnosti omrežij in informacijskih sistemov v Evropski uniji je v veljavi od leta 2016 in je sprožila spremembo miselnosti znotraj institucionalnega in regulativnega pristopa do kibernetske varnosti. Pomagala je doseči višjo in enakomernejšo raven varnosti omrežij in informacijskih sistemov in hkrati prispevala k večji ozaveščenosti glede potrebe po zagotavljanju višje ravni kibernetske varnosti.

Ker je njen prenos v prakso bil v veliki meri prepuščen samim državam članicam, je pri njeni uveljavitvi prišlo do razdrobljenega pristopa na ravni držav.

Na njeni podlagi je zrasla široka mreža odzivnih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, tako imenovanih CSIRT.

Slovenija jo je v svojo zakonodajo prenesla aprila 2018, ko je bil sprejet zakon o informacijski varnosti (ZInfV).

Direktiva NIS 2 je druga različica, ki jo je EU sprejela, in je stopila v veljavo 16. januarja 2023.

Od leta 2016, ko je bila sprejeta prva različica, so okoliščine, kot so nagel tehnološki razvoj, razvoj kibernetskega vojskovanja, pandemija koronavirusne bolezni Covid-19, rusko-ukrajinski vojaški konflikt itd., močno spremenile digitalno okolje, predvsem pa vplivale na porast varnostnih groženj, ki vodijo do povečanega števila kibernetskih napadov usmerjenih na organizacije in države članice EU.

Zato se je pojavila potreba po novi ureditvi. Druga različica posodoblja pravila EU o kibernetski varnosti in zagotavlja povečanje splošne ravni kibernetske varnosti v EU.

Rok za prenos določb direktive v nacionalno zakonodajo je 17. 10. 2024.

V šestih mesecih, torej najkasneje do 17. 4. 2025, morajo države članice oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Predvidoma v tem obdobju naj bi organizacije uskladile svoje poslovanje z zahtevami direktive.

Direktiva NIS 2 prinaša naslednje ključne vidike:

• Povečanje kibernetske varnosti: cilj direktive je izboljšati odpornost kritične infrastrukture in informacijskih sistemov ter zmanjšati tveganje kibernetskih napadov.
• Identifikacija in zaščita kritičnih storitev: države članice morajo identificirati kritične storitve in organizacije ter izvajati ustrezne ukrepe za njihovo zaščito pred kibernetskimi grožnjami.
• Izboljšanje sodelovanja in izmenjave informacij: direktiva spodbuja izmenjavo informacij o kibernetskih incidentih med državami članicami EU ter krepi sodelovanje med različnimi subjekti za boljšo kibernetsko varnost.
• Zavezanost k varnosti podatkov: organizacije so zavezane k izvajanju ustreznih varnostnih ukrepov za zaščito omrežij in informacijskih sistemov ter obveščanju pristojnih organov o morebitnih kibernetskih incidentih.
• Nadzor in skladnost: države članice morajo vzpostaviti ustrezne mehanizme nadzora ter zagotavljati, da organizacije izpolnjujejo zahteve direktive in s tem krepijo kibernetsko varnost.

Direktiva NIS 2 določa dve kategoriji subjektov: bistvene in pomembne. Kot bistveni subjekti je opredeljenih 11 sektorjev, kot  pomembni pa 7 sektorjev. Subjekti v obeh kategorijah bodo morali izpolnjevati enake zahteve, razlika bo le v nadzornih ukrepih in višini kazni.

NIS 1 je veljal za vse izvajalce bistvenih storitev (OES) v sedmih kritičnih sektorjih – energetiki, prometu, bančništvu, infrastrukturi finančnih trgov, zdravstvu, oskrbi s pitno vodo in digitalni infrastrukturi – ter večje ponudnike ključnih digitalnih storitev, kot so storitve računalništva v oblaku, iskalniki in spletne tržnice.

NIS 2 pa velja za javne ali zasebne organizacije, ki so opredeljene kot bistveni ali pomembni subjekti.

Koncept bistvenega subjekta je veliko širši kot koncept OES, zato se NIS 2 ne uporablja le za področja, ki jih sedaj pokriva, temveč za 18 kritičnih sektorjev.

Bistvene storitve:

• promet, vključno z zračnim, železniškim, vodnim ali cestnim,
• bančništvo,
• energija
• infrastrukture finančnega trga,
• zdravstvo,
• pitna voda,
• odpadne vode,
• digitalna infrastruktura, vključno s storitvami računalništva v oblaku in podatkovnih centrov, omrežjem za dostavo vsebin in javnimi elektronskimi komunikacijskimi omrežji,
• podjetja za upravljanje medpodjetniških storitev, kot so ponudniki upravljanih storitev (MSP) in ponudniki upravljanih varnostnih storitev (MSSP),
• javna uprava,
• vesolje.

Pomembne storitve:

• poštne in kurirske storitve,
• ravnanje z odpadki,
• izdelava, proizvodnja in distribucija kemikalij,
• pridelava, predelava in distribucija živil,
• proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, strojev in transportne opreme,
• ponudniki digitalnih storitev spletnih tržnic, spletnih iskalnikov in platform za storitve družabnih omrežij,
• raziskave.

Pomemben subjekt – izpolnjevati mora enake zahteve kot bistveni subjekti, vendar so pod manjšim nadzorom oz. so podvrženi naknadnemu nadzoru, kar pomeni, da bodo organi ukrepali, če bodo prejeli dokaze o neskladnosti subjekta z direktivno NIS 2.

VELIKOST

Z NIS 1 so bile države članice odgovorne za določitev organizacij, ki so izpolnjevale merila za OES. NIS 2 pa velja za vse subjekte v navedenih sektorjih, ki se uvrščajo med srednje velika ali večja podjetja, kot so opredeljena v členu 2 Priloge k Priporočilu Komisije 2003/361/ES. Tako bo obvezen za vse subjekte, ki imajo več kot 50 zaposlenih ter letni promet in/ali letno bilančno vsoto, ki presega 10 milijonov EUR.

NIS 2 velja tudi za manjše subjekte, ki “izpolnjujejo posebna merila, ki kažejo na ključno vlogo za družbo, gospodarstvo ali določene sektorje ali vrste storitev”. To opozorilo na primer velja za ponudnike javnih elektronskih komunikacijskih omrežij, če bi motnje v delovanju storitve lahko imele pomembne posledice za javno zdravje.

Skladnost z direktivo NIS 2 ni enkraten postopek, ampak zahteva stalno spremljanje, nadgradnje in prilagajanja varnostnih ukrepov glede na spremenljive kibernetske grožnje ter zakonske zahteve. Pomembno je tudi sledenje najnovejšim smernicam in standardom kibernetske varnosti ter stalno izobraževanje zaposlenih za vzdrževanje najvišje ravni kibernetske varnosti.

Priprave na skladnost z direktivo NIS 2 se lahko razlikujejo glede na sektor, velikost organizacije in že obstoječe varnostne prakse. Priporočamo, da organizacije k vzpostavitvi skladnosti pristopijo strukturirano in sistematično:

• Ukrepi na strateški ravni (ugotavljanje potreb – postavitev zahtev):
  • Izdelava celovite varnostne strategije organizacije
  • Revizija obstoječih varnostnih politik in postopkov
  • Določitev področij, ki so nujno potrebna za dvig ravni kibernetske varnosti
  • Odločitev o načinu zagotavljanja skladnosti
  • Pregled procesov in določitev organizacijske strategije
  • Obravnava priporočil glede varnostne zrelosti in popravki strategij, potreb, zahtev
• Ukrepi na taktični ravni (udejanjanje strateških ciljev):
  • Vzpostavitev ustreznih kadrovskih struktur
  • Vzpostavitev potrebnih procesnih sprememb
  • Vzpostavitev načrtov za obvladovanje varnostnih incidentov
  • Vzpostaviti tehnoloških rešitev za zagotovitev visoke ravni kibernetske varnosti
  • Ukrepi za povečanje ozaveščenost o kibernetski varnosti in izboljšanje splošne varnostne kulture znotraj podjetja
  • Preverjanje in poročanje
• Ukrepi na operativni ravni:
• • Redno izvajanje varnostnih presoj
  • Izvajanje rednih aktivnosti pri obratovanju sistemov
  • Izvedba izobraževanj

Preverite naše svetovalne storitve, ki so vam lahko v oporo na poti do skladnosti.