Kibernetska varnost NIS 2
Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti. Slovenija mora namreč do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 (krajše imenovano: direktiva NIS 2), ki na področje kibernetske varnosti prinaša kar nekaj bistvenih sprememb.
Cilj direktive NIS 2 je povečati varnost omrežnih in informacijskih sistemov v EU z zahtevo, da upravljavci kritične infrastrukture in bistvenih storitev izvajajo ustrezne varnostne ukrepe in o vseh incidentih poročajo ustreznim organom.
ZInfV-1
Na podlagi direktive NIS iz leta 2016 je v Sloveniji med izvajalce bistvenih storitev po podatkih URSIV uvrščenih cca. 70 organizacij. Po novem se bo število zavezancev zvišalo na okoli 1.000.
ZInfV-1 opredeljuje bistveno višje zahteve in ukrepe za izvajanje kibernetske varnosti, ki se med drugim nanašajo na odgovornosti vodstva, redna usposabljanja in na zahteve glede poročanja.
Za velika podjetja je predpisana kazen do 10 mio EUR, medtem ko je kazen za srednje velika podjetja do 7 mio EUR, oziroma znaten delež letnih prihodkov. Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.
Bistveni in pomembni subjekti
Med subjekte, ki so po novem razvrščeni v bistvene in pomembne subjekte, se vključujejo tudi ponudniki poštnih in kurirskih storitev. Izvzet več ni bančni sektor, prav tako so vključene organizacije za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij. Vključeni so proizvajalci in distributerji kritičnih izdelkov, kot so farmacevtski proizvodi, medicinski pripomočki in kemijska industrija. Področje zdravstva se razširja, dodana pa je tudi prehrambena industrija, ponudniki digitalnih storitev ter področje digitalne infrastrukture, vključno s ponudniki javnih elektronskih komunikacij, omrežij in strežnikov. Poleg tega se dodaja področje upravljanja storitev IKT, javne uprave, raziskovalnih organizacij in vesoljske industrije.
Vsi navedeni subjekti morajo po novem nameniti posebno pozornost tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.
Med pomembne subjekte se samodejno uvrščajo organizacije iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene subjekte pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov.
Pozor: Niso pa izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev.
Samoregistracija zavezancev
Doslej je zavezance opredelila vlada Republike Slovenije, Po novem bodo morale organizacije same prepoznati, ali in koliko so zavezane izvajanju ukrepov ZInfV-1.
Kako vam lahko pomagamo?
V okviru te storitve bomo preučili, ali je vaša organizacija zavezanec po direktivi NIS 2. To vključuje analizo
relevantnih kriterijev, kot so velikost organizacije, narava in obseg vaših dejavnosti ter stopnja tveganja za
informacijske sisteme. Naš cilj je zagotoviti jasnost glede vaših obveznosti pod direktivo in svetovati o
najboljših praksah za njeno izpolnjevanje.
V primerjavi z Zakonom o informacijski varnosti iz leta 2018, ZInfV-1 natančneje opredeljuje bistveno višje zahteve za izvajanje kibernetske varnosti. Med ukrepi za obvladovanje tveganj so zajete;
Odgovornost vodstva
Novi zakon jasno poudarja, da je za zagotavljanje informacijske varnosti organizacije odgovorno poslovodstvo, in ne posamezniki na katere bi poslovodstvo morda želelo prenesti odgovornost. Vodstvo organizacije (Odgovorne osebe pravnih oseb oziroma člani poslovodnih organov, ki so bistveni ali pomembni subjekti (člani uprave, direktorji, izvršni direktorji, predstojniki, župani…) je dolžno redno izvajati ocene varnostnih tveganj, sprejeti načrte za njihovo obvladovanje ter se nenehno izobraževati na tem področju.
Kako vam lahko pomagamo?
GAP analiza vključuje pregled obstoječe dokumentacije, ki opisuje politike za upravljanje dostopa, zaščito podatkov, preprečevanje vdorov, preverjanje varnosti omrežij, varnostne kopije in obnovitve podatkov ter upravljanje incidentov. Cilj je pridobiti celovit pregled obstoječega stanja kibernetske varnosti v organizaciji, vključno z ugotavljanjem, katere politike in postopki so že v skladu z zahtevami direktive in kateri bi lahko zahtevali prilagoditve.
Sledi identificiranje razlik med zahtevami direktive in dejanskimi praksami organizacije, pomanjkljivosti v varnostnih postopkih ali tehnologiji, nedoslednosti pri določanju odgovornosti za kibernetsko varnost,
neupoštevanje predpisov o poročanju incidentov ali neizvajanje rednih pregledov varnostnih tveganj. Identifikacija teh vrzeli je ključna za razumevanje obsega prilagoditev, ki jih je treba izvesti, da bi organizacija postala skladna z direktivo. Na podlagi GAP analize bomo pripravili načrt s priporočili za izboljšave, ki bodo vašo organizacijo vodile k skladnosti z zakonodajo.
Nova zakonodaja posega tudi po kaznih za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti. Če pride zaradi opustitve dolžnega ravnanja do varnostnega incidenta, ki ogrozi delovanje dela družbe, je za velika podjetja predpisana kazen deset milijonov evrov, medtem ko je kazen za srednje velika podjetja sedem milijonov evrov oziroma znaten delež letnih prihodkov.
Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.
Kibernetska varnost
Kako vam lahko pomagamo?
GAP ANALIZA
vaših informacijskih sistemov in varnostnih postopkov, da identificirate morebitne vrzeli med trenutnimi praksami in zahtevami direktive NIS 2.
NAČRT IZBOLJŠAV
Pripravo načrta izboljšav za popolno skladnost z regulativno in zakonodajo in svetovanje o najboljših praksah za izpolnjevanje obveznosti.
PRESOJA ZAVEZANCEV
Analiza statusa vaše organizacije kot zavezanca po direktivi NIS 2, ob upoštevanju relevantnih kriterijev.
Hitri kontakt
Tržaška cesta 85, 2000 SI - Maribor
DELOVNI ČAS
Vsak delovni dan od 8.00 do 16.00
Sobota, nedelja in prazniki: ZAPRTO
INFORMACIJE
DATAINFO © 2023 | Vse pravice pridržane.
Piškotek | Trajanje | Opis |
---|---|---|
_wpfuuid | 11 let | Registrira edinstven ID za obiskovalca, da lahko spletno mesto obiskovalca prepozna ob ponovnem vstopu. |
cookielawinfo-checkbox-advertisement | 1 leto | Uporablja se za ugotavljanje, ali je obiskovalec sprejel tržno kategorijo v pasici s piškotki. Ta piškotek je potreben za skladnost spletne strani z GDPR. |
cookielawinfo-checkbox-analytics | 11 mesecev | Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Analitika". |
cookielawinfo-checkbox-functional | 11 mesecev | Piškotek je nastavljen s soglasjem piškotka GDPR, da zabeleži soglasje uporabnika za piškotke v kategoriji "Funkcionalno". |
cookielawinfo-checkbox-necessary | 11 mesecev | Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotki se uporabljajo za shranjevanje soglasja uporabnika za piškotke v kategoriji "Obvezno". |
cookielawinfo-checkbox-others | 11 mesecev | Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Drugo". |
cookielawinfo-checkbox-performance | 11 mesecev | Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Uspešnost". |
elementor | Vedno | Uporablja se v besedilu s temo WordPress na spletnem mestu. Piškotek omogoča spletnemu mestu, da v realnem času izvaja ali spreminja vsebino spletnega mesta. |
test_cookie | 1 dan | Uporablja se za preverjanje, ali brskalnik uporabnika podpira piškotke. |
viewed_cookie_policy | 11 mesecev | Piškotek nastavi vtičnik GDPR Cookie Consent in se uporablja za shranjevanje, ali je uporabnik privolil v uporabo piškotkov ali ne. Ne hrani nobenih osebnih podatkov.
|
Piškotek | Trajanje | Opis |
---|---|---|
lang | Med obiskom strani | Zapomni si izbrano jezikovno različico spletnega mesta za uporabnika. |
Piškotek | Trajanje | Opis |
---|---|---|
_ga | 2 leti | Uporablja se za razlikovanje uporabnikov. |
_ga_ | 2 leti | Uporablja se za vztrajanje stanja seje. |
_gac_gb_ | 90 dni | Vsebuje informacije, povezane z oglaševalsko akcijo. Če ste povezali račune Google Analytics in Google Ads, bodo oznake za pretvorbo na spletnem mestu Google Ads prebrale ta piškotek, razen če se ne odjavite. |
_gid | 24 ur | Uporablja se za razlikovanje uporabnikov. |
AnalyticsSyncHistory | 30 dni | Uporablja se v povezavi s sinhronizacijo podatkov s storitvijo za analizo tretjih oseb. |
Piškotek | Trajanje | Opis |
---|---|---|
_fbp | 3 mesece | Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od oglaševalcev tretjih oseb. |
bcookie | 2 leti | Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev. |
bscookie | 2 leti | Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev. |
IDE | 1 leto | Uporablja ga Google DoubleClick za registracijo in poročanje o dejanjih uporabnika spletnega mesta po ogledu ali kliku enega od oglaševalčevih oglasov z namenom merjenja učinkovitosti oglasa in predstavitve ciljnih oglasov uporabniku. |
lang | Med obiskom strani | Nastavi LinkedIn, ko spletna stran vsebuje vgrajeno ploščo »Sledi nam«. |
li_gc | 2 leti | Shranjuje stanje privolitve piškotkov vašega servisa za trenutno domeno (LinkedIn re-direct). |
lidc | 1 dan | Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev. |
pagead/1p-conversion/# | Med obiskom strani | Uporablja se za sledenje konverzij iz strani oglaševanja prek GA in FB pixla. |
pagead/1p-user-list/# | Med obiskom strani | Spremlja, ali je uporabnik pokazal zanimanje za določene izdelke ali dogodke na več spletnih mestih, in zazna, kako se uporabnik premika med spletnimi mesti. Uporablja se za merjenje oglaševalskih prizadevanj in olajša plačevanje pristojbin za napotitev med spletnimi mesti. |
pagead/viewthroughconversion/773406361 | Med obiskom strani | Uporablja se za sledenje konverzij iz strani oglaševanja prek FB pixla. |
tr | Med obiskom strani | Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od tretjih oglaševalcev. |
UserMatchHistory | 30 dni | Uporablja se za sledenje obiskovalcem na več spletnih mestih za predstavitev ustreznih oglasov na podlagi želja obiskovalca. |