Razumevanje novosti, ki jih NIS2 prinaša, kakšno vlogo ima v kibernetski varnosti ter kako se pripraviti na uvedbo
Direktiva NIS2 je najobsežnejša evropska direktiva o kibernetski varnosti doslej in je nadgradnja obstoječe zakonodaje o kibernetski varnosti. Cilj so strožje zahteve za obvladovanje tveganja, poenostavljeno poročanje o incidentih, širša pokritost sektorjev ter strožje kaznimi za neskladnost in izvrševanje. Na ta način se razširja obseg entitet in sektorjev, ki so primorani ponovno oceniti svoj položaj glede kibernetske varnosti ter sprejeti nove ukrepe.
Več kot 160 000 podjetij
10 milijonov € kazni
15 sektorjev, ki spadajo v direktivo
Kdaj NIS2 vstopi v veljavo?
NIS2 direktiva je bila objavljena v Uradnem listu Evropske unije in je začela veljati že 16. 1. 2023, vendar pa je za vse države članice rok za vpeljavo direktive v zakonodajo do 17. 10. 2024.
To je ključen podatek za podjetja, saj morajo do tega dne imeti urejeno kibernetsko varnost kot jo zahteva direktiva. Od 17. 10. 2024 naprej lahko neupoštevanje NIS2 direktive povzroči resne posledice – velike finančne kazni in škoda ugledu podjetja.
Kdo vse je vključen v NIS2 direktivo?
NIS2 vpliva na vse entitete, ki zagotavljajo bistvene ali pomembne storitve za evropsko gospodarstvo in družbo.
NIS 2 velja za vse subjekte v spodaj navedenih sektorjih, ki se uvrščajo med srednje velika ali večja podjetja. Obvezen bo za vse subjekte, ki imajo več kot 50 zaposlenih ter letni promet in/ali letno bilančno vsoto, ki presega 10 milijonov EUR.
Bistvene storitve:
- energija (elektrika, daljinsko ogrevanje in hlajenje, nafta, vodik),
- promet (zračni, železniški, vodni, cestni),
- bančništvo (kreditne institucije),
- infrastruktura finančnega trga (upravljalci mest trgovanja, centralne nasprotne stranke),
- zdravje (izvajalci zdravstvenega varstva, referenčni laboratoriji, medicinski pripomočki),
- pitna voda (dobavitelji in distributerji pitne vode – glavna dejavnost),
- odpadna voda (zbiranje, odvajanje in čiščenje odpadne vode – glavna dejavnost),
- digitalna infrastruktura (DNS, TLD, storitve zaupanja, operaterji javnih elektronski komunikacijskih omrežij ali storitev, podatkovni centri, storitve oblaka),
- upravljanje storitev IKT (ponudniki upravljanih varnostnih storitev),
- javna uprava (centralni nivo državna uprava, lokalni (regionalni) nivo),
- vesolje (upravljalci talne infrastrukture, podpora opravljanja vesoljskih storitev).
Pomembne storitve:
- poštne in kurirske storitve (izvajalci določenih poštnih in kurirskih storitev),
- ravnanje z odpadki (izvajalci – glavna dejavnost),
- izdelava, proizvodnja in distribucija kemikalij (proizvodnja in distribucija določenih snovi),
- pridelava, predelava in distribucija živil (prodaja na debelo, industrijska pri(e)delava),
- proizvodnja določenih vrst izdelkov (medicinski pripomočki; računalniki, elektronski in optični izdelki, proizvodnja električnih naprav, proizvodnja drugih strojev in naprav, proizvodnja motornih vozil, prikolic, polprikolic, proizvodnja drugih vozil in plovil),
- digitalni ponudniki (spletne tržnice, spletni iskalniki, platforme storitev družbenega mreženja),
- raziskave (raziskovalne organizacije).
NIS2 zahteve in obveznosti
- Ocene tveganja in varnost informacijskega sistema
- Politike in postopki za ocenjevanje učinkovitosti varnostnih ukrepov
- Politike in postopki za uporabo kriptografije in po potrebi šifriranja
- Načrt za obravnavo incidentov
- Varnost v zvezi z pridobivanjem, razvojem in delovanjem informacijskih sistemov – politike za obravnavanje in poročanje o ranljivostih
- Usposabljanje o kibernetski varnosti in praksa osnovne računalniške higiene
- Varnostni postopki za zaposlene z dostopom do občutljivih ali pomembnih podatkov
- Načrt vodenja poslovanja med varnostnim incidentom in po njem
- Uporaba večfaktorske avtentikacije (MFA) ali stalne avtentikacije, zaščita glasovnega, video in šifriranja besedila ter šifrirane interne komunikacije v nujnih primerih
- Varnost okoli dobavnih verig – podjetja morajo oceniti splošno raven varnosti za vse dobavitelje
Ukrepi morajo biti na ravni varnosti, ki ustreza tveganjem. Pri ocenjevanju sorazmernosti teh ukrepov je treba upoštevati naslednje dejavnike:
- izpostavljenost subjekta tveganju
- velikost subjekta
- verjetnost, da bo prišlo do incidenta
- potencialno resnost incidenta, vključno z njegovim družbenim in gospodarskim vplivom
Obveznosti poročanja v skladu z NIS2
Ko subjekt izve za incident, mora izdati naslednje:
- zgodnje opozarjanje – zgodnje opozorilo je treba posredovati “brez nepotrebnega odlašanja” v 24 urah – seznanitev CSIRT in pristojnega organa z incidentom ter navesti ali obstaja sum, da je incident posledica nezakonitih ali zlonamernih dejanj, in ali je verjetno, da bo imel čezmejni učinek
- obvestilo o incidentu – je treba poslati v 72 urah po seznanitvi z incidentom. Zagotoviti mora začetno oceno incidenta, vključno z njegovo resnostjo in vplivom, ter vse znane kazalnike kompromitacije.
- končno poročilo – najpozneje en mesec po obvestilu o incidentu mora subjekt predložiti končno poročilo. Če incident še vedno poteka, mora zagotoviti poročilo o napredku, ki mu sledi končno poročilo v enem mesecu po obravnavi incidenta.
Kadar je treba javnost obvestiti zaradi preprečevanja ali reševanja tekočega pomembnega incidenta ali zaradi javnega interesa, lahko tako nacionalne skupine CSIRT ali skupine CSIRT tretjih držav kot pristojni organi prevzamejo pobudo za obveščanje javnosti o incidentu ali zahtevajo, da to stori prizadeti subjekt. Po potrebi bi morali subjekti svoje prejemnike storitev obvestiti o pomembni kibernetski grožnji in vseh ukrepih, ki jih lahko sprejmejo za zmanjšanje tveganj zaradi nje.
Pooblastila za preiskovanje in kazni za neupoštevanje NIS2
Te kazni se lahko naložijo subjektom za kršitve, kot je neizpolnjevanje varnostnih zahtev in neporočanje incidentov. Posebne globe se bodo razlikovale glede na državo članico, vendar Direktiva določa minimalni seznam upravnih sankcij za kršitev obveznosti upravljanja tveganja kibernetske varnosti in poročanja.
Direktiva NIS2 določa posebne kazni za neskladnost, ki vključujejo:
1. Nedenarna pravna sredstva
NIS2 daje nadzornim organom pooblastilo za uveljavljanje nedenarnih pravnih sredstev za:
- Odredbo o skladnosti
- Zavezujoča navodila
- Naročila za izvedbo varnostne revizije
- Naročila obveščanja o grožnjah strankam subjektov
2. Upravne kazni
V zvezi z upravnimi globami direktiva NIS2 natančno razlikuje med bistvenimi in pomembnimi subjekti.
3. Kazenske sankcije
NIS2 dovoljuje organom držav članic, da vodijo organizacije osebno odgovorne, če se po kibernetskem incidentu dokaže huda malomarnost.
Regulatorji imajo naslednja preiskovalna pooblastila:
- inšpekcijske preglede na kraju incidenta,
- varnostne revizije in pregledi,
- zahteve po informacijah za oceno varnostnih odzivnih načrtov subjekta in ukrepov, ki jih je uvedel,
- dostop do informacij za oceno ukrepov za obvladovanje tveganja kibernetske varnosti, dokazil o izvajanju teh ukrepov ter vseh povezanih dokumentov in informacij.
Za organizacije, ki se štejejo za pomembne in ne bistvene, so ti ukrepi dovoljeni šele po incidentu. Pri bistvenih subjektih pa imajo regulatorji pristojnost, da vključijo vse te ukrepe, za katere menijo, da so potrebni kot sredstvo za zagotavljanje skladnosti.
Katere korake vam lahko pomagamo zagotoviti mi?
- ️Ocena skladnosti
- Izobraževanje in usposabljanje
- Sistemski varnostni pregledi
- Pregled in posodabljanje IKT opreme
- Vzpostavitev postopkov za obvladovanje incidentov
- Večnivojska zaščita
- Vzpostavitev varnostne politike
- ️Kibernetska zavarovanja
- …..in še več