Kibernetska varnost NIS 2

Kaj nam prinaša nov Zakon o informacijski varnosti (ZInfV-1) in kako se nanj ustrezno pripraviti?

Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti. Slovenija mora namreč do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 (krajše imenovano: direktiva NIS 2), ki na področje kibernetske varnosti prinaša kar nekaj bistvenih sprememb.

Cilj direktive NIS 2 je povečati varnost omrežnih in informacijskih sistemov v EU z zahtevo, da upravljavci kritične infrastrukture in bistvenih storitev izvajajo ustrezne varnostne ukrepe in o vseh incidentih poročajo ustreznim organom.

STORITVE S PODROČJA KIBERNETSKE VARNOSTI

ZInfV-1

Bistvene novosti zakona o informacijski varnosti

Širitev kroga zavezancev

Na podlagi direktive NIS iz leta 2016 je v Sloveniji med izvajalce bistvenih storitev po podatkih URSIV uvrščenih cca. 70 organizacij. Po novem se bo število zavezancev zvišalo na okoli 1.000.

Višje zahteve in novi ukrepi

ZInfV-1 opredeljuje bistveno višje zahteve in ukrepe za izvajanje kibernetske varnosti, ki se med drugim nanašajo na odgovornosti vodstva, redna usposabljanja in na zahteve glede poročanja.

Strožje sankcije

Za velika podjetja je predpisana kazen do 10 mio EUR, medtem ko je kazen za srednje velika podjetja do 7 mio EUR, oziroma znaten delež letnih prihodkov. Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.

Širitev kroga zavezancev

Bistveni in pomembni subjekti

Med subjekte, ki so po novem razvrščeni v bistvene in pomembne subjekte, se vključujejo tudi ponudniki poštnih in kurirskih storitev. Izvzet več ni bančni sektor, prav tako so vključene organizacije za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij. Vključeni so proizvajalci in distributerji kritičnih izdelkov, kot so farmacevtski proizvodi, medicinski pripomočki in kemijska industrija. Področje zdravstva se razširja, dodana pa je tudi prehrambena industrija, ponudniki digitalnih storitev ter področje digitalne infrastrukture, vključno s ponudniki javnih elektronskih komunikacij, omrežij in strežnikov. Poleg tega se dodaja področje upravljanja storitev IKT, javne uprave, raziskovalnih organizacij in vesoljske industrije.
Vsi navedeni subjekti morajo po novem nameniti posebno pozornost tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.

Med pomembne subjekte se samodejno uvrščajo organizacije iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene subjekte pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov.

Pozor: Niso pa izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev.

Samoregistracija zavezancev

Doslej je zavezance opredelila vlada Republike Slovenije, Po novem bodo morale organizacije same prepoznati, ali in koliko so zavezane izvajanju ukrepov ZInfV-1.

Kako vam lahko pomagamo?

Presoja statusa organizacije kot zavezanca

V okviru te storitve bomo preučili, ali je vaša organizacija zavezanec po direktivi NIS 2. To vključuje analizo
relevantnih kriterijev, kot so velikost organizacije, narava in obseg vaših dejavnosti ter stopnja tveganja za
informacijske sisteme. Naš cilj je zagotoviti jasnost glede vaših obveznosti pod direktivo in svetovati o
najboljših praksah za njeno izpolnjevanje.

Pridobi ponudbo

Višje zahteve in novi ukrepi za obvladovanje tveganj

V primerjavi z Zakonom o informacijski varnosti iz leta 2018, ZInfV-1 natančneje opredeljuje bistveno višje zahteve za izvajanje kibernetske varnosti. Med ukrepi za obvladovanje tveganj so zajete;

Politike o analizi tveganja in varnosti informacijskih sistemov;
Obvladovanje incidentov;
Neprekinjeno poslovanje, vključno z upravljanjem varnostnih kopij in vnovično vzpostavitvijo delovanja po nepredvidljivih dogodkih ter za obvladovanje kriz;
Varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;
Varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem ranljivosti;
Politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;
Osnovne prakse kibernetske higiene in usposabljanje na področju kibernetske varnosti;
Politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranjem;
Varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;
Uporaba večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili znotraj subjekta, kadar je to primerno.
Redno izobraževanje vodstva, skrbnikov IT in zaposlenih

Odgovornost vodstva

Novi zakon jasno poudarja, da je za zagotavljanje informacijske varnosti organizacije odgovorno poslovodstvo, in ne posamezniki na katere bi poslovodstvo morda želelo prenesti odgovornost. Vodstvo organizacije (Odgovorne osebe pravnih oseb oziroma člani poslovodnih organov, ki so bistveni ali pomembni subjekti (člani uprave, direktorji, izvršni direktorji, predstojniki, župani…) je dolžno redno izvajati ocene varnostnih tveganj, sprejeti načrte za njihovo obvladovanje ter se nenehno izobraževati na tem področju.

Kako vam lahko pomagamo?

GAP analiza – analiza vrzeli

GAP analiza vključuje pregled obstoječe dokumentacije, ki opisuje politike za upravljanje dostopa, zaščito podatkov, preprečevanje vdorov, preverjanje varnosti omrežij, varnostne kopije in obnovitve podatkov ter upravljanje incidentov. Cilj je pridobiti celovit pregled obstoječega stanja kibernetske varnosti v organizaciji, vključno z ugotavljanjem, katere politike in postopki so že v skladu z zahtevami direktive in kateri bi lahko zahtevali prilagoditve.
Sledi identificiranje razlik med zahtevami direktive in dejanskimi praksami organizacije, pomanjkljivosti v varnostnih postopkih ali tehnologiji, nedoslednosti pri določanju odgovornosti za kibernetsko varnost,
neupoštevanje predpisov o poročanju incidentov ali neizvajanje rednih pregledov varnostnih tveganj. Identifikacija teh vrzeli je ključna za razumevanje obsega prilagoditev, ki jih je treba izvesti, da bi organizacija postala skladna z direktivo. Na podlagi GAP analize bomo pripravili načrt s priporočili za izboljšave, ki bodo vašo organizacijo vodile k skladnosti z zakonodajo.

Pridobi ponudbo

Posledice kršitev

Nova zakonodaja posega tudi po kaznih za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti. Če pride zaradi opustitve dolžnega ravnanja do varnostnega incidenta, ki ogrozi delovanje dela družbe, je za velika podjetja predpisana kazen deset milijonov evrov, medtem ko je kazen za srednje velika podjetja sedem milijonov evrov oziroma znaten delež letnih prihodkov.

Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.

Kibernetska varnost

Prihajajoči dogodki in izobraževanja

5 dnevni online seminar v Angleščini

IZOBRAŽEVANJE ZA ISO/IEC 27001 VODILNI IMPLEMENTATOR- ISO/IEC 27001 LEAD IMPLEMENTER

VEČ INFORMACIJ >

5 dnevni online seminar v Angleščini

IZOBRAŽEVANJE ISO/IEC 27001 VODILNI PRESOJEVALEC- ISO/IEC 27001 LEAD AUDITOR

VEČ INFORMACIJ >

Kako vam lahko pomagamo?

Storitve

GAP ANALIZA

vaših informacijskih sistemov in varnostnih postopkov, da identificirate morebitne vrzeli med trenutnimi praksami in zahtevami direktive NIS 2.

NAČRT IZBOLJŠAV

Pripravo načrta izboljšav za popolno skladnost z regulativno in zakonodajo in svetovanje o najboljših praksah za izpolnjevanje obveznosti.

PRESOJA ZAVEZANCEV

Analiza statusa vaše organizacije kot zavezanca po direktivi NIS 2, ob upoštevanju relevantnih kriterijev.

Hitri kontakt

Kontaktni obrazec

DATAINFO ikona - celovite rešitve za varstvo osebnih podatkov.

NASLOV PODJETJA

Tržaška cesta 85, 2000 SI - Maribor

ELEKTRONSKA POŠTA

info@datainfo.si

TELEFONSKA ŠTEVILKA

(02) 620 43 00

Piškotek	Trajanje	Opis
_wpfuuid	11 let	Registrira edinstven ID za obiskovalca, da lahko spletno mesto obiskovalca prepozna ob ponovnem vstopu.
cookielawinfo-checkbox-advertisement	1 leto	Uporablja se za ugotavljanje, ali je obiskovalec sprejel tržno kategorijo v pasici s piškotki. Ta piškotek je potreben za skladnost spletne strani z GDPR.
cookielawinfo-checkbox-analytics	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Analitika".
cookielawinfo-checkbox-functional	11 mesecev	Piškotek je nastavljen s soglasjem piškotka GDPR, da zabeleži soglasje uporabnika za piškotke v kategoriji "Funkcionalno".
cookielawinfo-checkbox-necessary	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotki se uporabljajo za shranjevanje soglasja uporabnika za piškotke v kategoriji "Obvezno".
cookielawinfo-checkbox-others	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Drugo".
cookielawinfo-checkbox-performance	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Uspešnost".
elementor	Vedno	Uporablja se v besedilu s temo WordPress na spletnem mestu. Piškotek omogoča spletnemu mestu, da v realnem času izvaja ali spreminja vsebino spletnega mesta.
test_cookie	1 dan	Uporablja se za preverjanje, ali brskalnik uporabnika podpira piškotke.
viewed_cookie_policy	11 mesecev	Piškotek nastavi vtičnik GDPR Cookie Consent in se uporablja za shranjevanje, ali je uporabnik privolil v uporabo piškotkov ali ne. Ne hrani nobenih osebnih podatkov.

Piškotek	Trajanje	Opis
_ga	2 leti	Uporablja se za razlikovanje uporabnikov.
_ga_	2 leti	Uporablja se za vztrajanje stanja seje.
_gac_gb_	90 dni	Vsebuje informacije, povezane z oglaševalsko akcijo. Če ste povezali račune Google Analytics in Google Ads, bodo oznake za pretvorbo na spletnem mestu Google Ads prebrale ta piškotek, razen če se ne odjavite.
_gid	24 ur	Uporablja se za razlikovanje uporabnikov.
AnalyticsSyncHistory	30 dni	Uporablja se v povezavi s sinhronizacijo podatkov s storitvijo za analizo tretjih oseb.

Piškotek	Trajanje	Opis
_fbp	3 mesece	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od oglaševalcev tretjih oseb.
bcookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
bscookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
IDE	1 leto	Uporablja ga Google DoubleClick za registracijo in poročanje o dejanjih uporabnika spletnega mesta po ogledu ali kliku enega od oglaševalčevih oglasov z namenom merjenja učinkovitosti oglasa in predstavitve ciljnih oglasov uporabniku.
lang	Med obiskom strani	Nastavi LinkedIn, ko spletna stran vsebuje vgrajeno ploščo »Sledi nam«.
li_gc	2 leti	Shranjuje stanje privolitve piškotkov vašega servisa za trenutno domeno (LinkedIn re-direct).
lidc	1 dan	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
pagead/1p-conversion/#	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek GA in FB pixla.
pagead/1p-user-list/#	Med obiskom strani	Spremlja, ali je uporabnik pokazal zanimanje za določene izdelke ali dogodke na več spletnih mestih, in zazna, kako se uporabnik premika med spletnimi mesti. Uporablja se za merjenje oglaševalskih prizadevanj in olajša plačevanje pristojbin za napotitev med spletnimi mesti.
pagead/viewthroughconversion/773406361	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek FB pixla.
tr	Med obiskom strani	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od tretjih oglaševalcev.
UserMatchHistory	30 dni	Uporablja se za sledenje obiskovalcem na več spletnih mestih za predstavitev ustreznih oglasov na podlagi želja obiskovalca.