V prvem delu članka smo se osredotočili na razumevanje in določila NIS 2, tokrat pa bomo pobliže pogledali zahteve in ukrepe ter poročanje in odziv na incidente.

 

Nacionalna implementacija in pristojne oblasti

Direktiva o varnosti omrežij in informacijskih sistemov (NIS) postavlja osnovo za kibernetsko varnost na ravni Evropske unije, vendar je ključno, da se ta direktiva učinkovito implementira na nacionalni ravni. Kako države članice izvajajo direktivo NIS in kako pristojni organi sodelujejo pri uveljavljanju in nadziranju skladnosti bo določilo uspešnost implementacije na ravni Evropske unije. Vsaka članica Evropske unije ima odgovornost, da prilagodi svojo zakonodajo, tako da zadosti zahtevam direktive NIS. To vključuje uvedbo zakonodajnih okvirov in pravilnikov, ki omogočajo učinkovito uveljavljanje standardov kibernetske varnosti. Države članice razvijajo nacionalne strategije kibernetske varnosti, ki sledijo smernicam direktive NIS 2. Te strategije so ključne za prepoznavanje in obravnavanje specifičnih izzivov in groženj na nacionalni ravni.

 

Vloga pristojnih organov

 

Vsaka država članica imenuje pristojni organ, odgovoren za izvajanje direktive NIS 2. Ta organ ima ključno vlogo pri koordinaciji in izvajanju ukrepov za kibernetsko varnost. V Sloveniji je to URSIV (Urad vlade za informacijsko varnost).

 

Pristojni organi imajo nalogo nadzora in spremljanja zagotavljanja skladnosti z direktivo NIS. To vključuje ocenjevanje varnostnih ukrepov, preverjanje poročanja o incidentih ter izvajanje rednih pregledov in presoj. Vloga pristojnih organov vključuje tudi sodelovanje z operaterji kritične infrastrukture in ponudniki digitalnih storitev, priprava smernic ter spodbujanje najboljših praks za kibernetsko varnost.

 

Učinkovita implementacija direktive NIS na nacionalni ravni je ključnega pomena za ustvarjanje skupnega in usklajenega pristopa h kibernetski varnosti v Evropski uniji. Sodelovanje med državami članicami in pristojnimi organi je ključno za zagotavljanje višje ravni varnosti omrežij in informacijskih sistemov.

 

Pri NIS 2 je odgovornost delegirana na nivo vodstva posameznega podjetja ali organizacije. Odgovornost vodstva (NIS 2, člen 20) je, da:

  • spremlja izvajanje ukrepov in je odgovorno za kršitve.
  • sodeluje na usposabljanjih in jih ponudi zaposlenim.

 

Zaščita kritične infrastrukture

Direktiva o varnosti omrežij in informacijskih sistemov – NIS daje poseben poudarek zaščiti kritične infrastrukture, saj je njena varnost ključnega pomena za stabilnost družbe. Ta razdelek se osredotoča na sektorje, kot so energetika, promet in zdravstvo ter obravnava specifične kibernetske zahteve, ki so namenjene operaterjem kritične infrastrukture.

 

a) Energetika

Energetski sektor je ključen za delovanje družbe, zato NIS določa posebne ukrepe za zaščito električnih omrežij, proizvodnih zmogljivosti in drugih vitalnih komponent energetskega sistema pred kibernetskimi grožnjami.

 

b) Promet

Kibernetska varnost v prometnem sektorju je ključnega pomena za nemoten prevoz potnikov in blaga. Direktiva NIS postavlja zahteve za zaščito informacijskih sistemov, ki so ključni za delovanje prometne infrastrukture.

 

c) Zdravstvo

Zdravstveni sektor je tarča posebnih kibernetskih izzivov, zato je direktiva namenjena zagotavljanju varnosti informacijskih sistemov, ki podpirajo zdravstvene storitve in upravljanje zdravstvene infrastrukture.

 

Specifične kibernetske zahteve za operaterje kritične infrastrukture

 

Operaterji kritične infrastrukture so dolžni izvajati redne identifikacije in ocene kibernetskih tveganj, s čimer prepoznavajo morebitne ranljivosti in obvladujejo grožnje.

 

NIS določa, da morajo operaterji kritične infrastrukture vzdrževati visok nivo varnostnih standardov ter uvesti inovativne pristope za obravnavanje nenehno spreminjajočih se kibernetskih groženj.

 

Operaterji kritične infrastrukture so pozvani k sodelovanju z nacionalnimi pristojnimi organi in izmenjavi informacij o kibernetskih grožnjah ter najboljših praksah za krepitev varnosti.

 

Zagotavljanje kibernetske varnosti kritične infrastrukture je ključnega pomena za ohranjanje delovanja družbe, zato direktiva NIS postavlja jasne smernice in zahteve za operaterje v teh ključnih sektorjih.

 

Vse, kar morate vedeti o NIS 2

 

Ukrepi za obvladovanje tveganja na področju kibernetske varnosti (NIS 2, člen 21)

 

V skladu z NIS 2 morajo organizacije in podjetja izvajati vsaj naslednje ukrepe kibernetske varnosti, da obvladujejo tveganja za varnost lastnih omrežij in informacijskih sistemov – ter preprečujejo ali zmanjšujejo posledice varnostnih incidentov. Zaščiteni morajo biti informacijski sistemi in njihovo fizično okolje (t. i. pristop vseh nevarnosti). Obseg ukrepov, ki je primeren, določi vsako podjetje ali organizacija zase v skladu s pristopom, ki temelji na tveganju.

 

Politike: koncepti za analizo tveganj in varnost informacijskih sistemov.

 

Upravljanje incidentov: zaznavanje, analiza, omejevanje in odzivanje na incidente.

 

Poslovna kontinuiteta: upravljanje varnostnih kopij in obnovitev, krizno upravljanje.

 

Dobavna veriga: varnost v dobavni verigi.

 

Nabava: varnost pri pridobivanju, razvoju in vzdrževanju informacijskih sistemov.

 

Učinkovitost: ocenjevanje učinkovitosti ukrepov za obvladovanje tveganja.

 

Kibernetska higiena, usposabljanje: kibernetska higiena (npr. posodobitve) in usposabljanje v kibernetski varnosti.

 

Kriptografija: uporaba kriptografije in po potrebi šifriranje.

 

Osebje, dostopi, sredstva: varnost osebja, nadzor dostopa in upravljanje sredstev.

 

Avtentikacija: večfaktorska avtentikacija ali kontinuirana avtentikacija.

 

Komunikacija: varna glasovna, video in besedilna komunikacija, po potrebi tudi v izrednih razmerah.

 

Poročanje in odziv na incidente

 

Direktiva o varnosti omrežij in informacijskih sistemov – NIS 2 postavlja jasne smernice glede obveznosti poročanja o kibernetskih incidentih. V nadaljevanju pojasnjujem te obveznosti in razmišljam, kako bi organizacije morale odgovoriti na kibernetske incidente v skladu z zahtevami direktive.

 

Direktiva NIS opredeljuje kibernetski incident, kar vključuje dogodke, ki imajo negativne posledice za varnost omrežij in informacijskih sistemov.

 

Ponudniki digitalnih storitev in operaterji kritične infrastrukture so dolžni nemudoma poročati pristojnim organom o resnih kibernetskih incidentih, da se omogoči hitra in učinkovita obravnava groženj.

 

Poročila morajo vsebovati ključne informacije o incidentu, vključno z vrsto napada, obsegom škode, morebitnimi vzroki in ukrepi za obvladovanje situacije.

 

Od organizacije se pričakuje, da vzpostavi načrte odziva na incidente, ki vključujejo postopke za prepoznavanje, obvladovanje in obnovo po kibernetskem napadu.

 

Hitro in učinkovito sodelovanje z nacionalnimi pristojnimi organi je ključno za usklajeno obravnavanje incidentov in omejevanje potencialnih škod.

 

Učinkovitost odziva na incidente je odvisna od izmenjevati informacije o incidentih v organizaciji z drugimi prizadetimi subjekti v družbi in sodelovanja v skupnih prizadevanjih za krepitev kibernetske varnosti.

 

Zaposleni bi morali biti usposobljeni za prepoznavanje in odzivanje na kibernetske grožnje. Redna izobraževanja in vaje so ključnega pomena za izboljšanje celotne kibernetske odpornosti organizacije.

 

Direktiva NIS ne določa le obveznosti poročanja o kibernetskih incidentih, temveč tudi spodbuja organizacije, da aktivno sodelujejo v preprečevanju in odzivanju na te incidente, s čimer prispevajo k okrepitvi kibernetske varnosti v Sloveniji in celotni Evropski uniji.

 

Obveznost poročanja o varnostnih incidentih (NIS 2, člen 23)

 

Direktiva NIS 2 določa, da je treba pomembne varnostne incidente prijaviti nacionalnim organom in po potrebi prejemnikom lastnih storitev. Direktiva določa naslednje roke za prijavo incidenta organu:

 

Zgodnje opozorilo v 24 urah po ugotovitvi
Sum o tem, ali incident temelji na nezakonitem ali zlonamernem dejanju ter ali ima morebitne čezmejne učinke.

 

Podrobno poročilo v 72 urah po ugotovitvi
Prva ocena varnostnega incidenta, vključno z resnostjo, posledicami in morebitnimi kazalniki ogroženosti.

 

Poročilo o napredku/poročilo ob zaključku en mesec po prijavi
Podroben opis, podatki o vrsti grožnje, vzroki, ukrepi za odpravo, morebitni čezmejni vplivi

 

V naslednjem in zadnjem delu članka bomo pogledali še izzive pri implementaciji direktive NIS 2 v  prakso.

 

Reference na relevantne vire za nadaljnje branje: