Kibernetska varnost NIS 2

Kaj nam prinaša nov Zakon o informacijski varnosti (ZInfV-1) in kako se nanj ustrezno pripraviti?

Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti. Slovenija mora namreč do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 (krajše imenovano: direktiva NIS 2), ki na področje kibernetske varnosti prinaša kar nekaj bistvenih sprememb.

 

Cilj direktive NIS 2 je povečati varnost omrežnih in informacijskih sistemov v EU z zahtevo, da upravljavci kritične infrastrukture in bistvenih storitev izvajajo ustrezne varnostne ukrepe in o vseh incidentih poročajo ustreznim organom.

ZInfV-1

Bistvene novosti zakona o informacijski varnosti

Širitev kroga zavezancev

Na podlagi direktive NIS iz leta 2016 je v Sloveniji med izvajalce bistvenih storitev po podatkih URSIV uvrščenih cca. 70 organizacij. Po novem se bo število zavezancev zvišalo na okoli 1.000.

Višje zahteve in novi ukrepi

ZInfV-1 opredeljuje bistveno višje zahteve in ukrepe za izvajanje kibernetske varnosti, ki se med drugim nanašajo na odgovornosti vodstva, redna usposabljanja in na zahteve glede poročanja. 

Strožje sankcije

Za velika podjetja je predpisana kazen do 10 mio EUR, medtem ko je kazen za srednje velika podjetja do 7 mio EUR, oziroma znaten delež letnih prihodkov. Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.

Širitev kroga zavezancev

Bistveni in pomembni subjekti

Med subjekte, ki so po novem razvrščeni v bistvene in pomembne subjekte, se vključujejo tudi ponudniki poštnih in kurirskih storitev. Izvzet več ni bančni sektor, prav tako so vključene organizacije za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij. Vključeni so proizvajalci in distributerji kritičnih izdelkov, kot so farmacevtski proizvodi, medicinski pripomočki in kemijska industrija. Področje zdravstva se razširja, dodana pa je tudi prehrambena industrija, ponudniki digitalnih storitev ter področje digitalne infrastrukture, vključno s ponudniki javnih elektronskih komunikacij, omrežij in strežnikov. Poleg tega se dodaja področje upravljanja storitev IKT, javne uprave, raziskovalnih organizacij in vesoljske industrije.
Vsi navedeni subjekti morajo po novem nameniti posebno pozornost tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.

Med pomembne subjekte se samodejno uvrščajo organizacije iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene subjekte pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov.

Pozor: Niso pa izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev.

Samoregistracija zavezancev

Doslej je zavezance opredelila vlada Republike Slovenije, Po novem bodo morale organizacije same prepoznati, ali in koliko so zavezane izvajanju  ukrepov ZInfV-1.

Kako vam lahko pomagamo?

Presoja statusa organizacije kot zavezanca

V okviru te storitve bomo preučili, ali je vaša organizacija zavezanec po direktivi NIS 2. To vključuje analizo
relevantnih kriterijev, kot so velikost organizacije, narava in obseg vaših dejavnosti ter stopnja tveganja za
informacijske sisteme. Naš cilj je zagotoviti jasnost glede vaših obveznosti pod direktivo in svetovati o
najboljših praksah za njeno izpolnjevanje.

Višje zahteve in novi ukrepi za obvladovanje tveganj

V primerjavi z Zakonom o informacijski varnosti iz leta 2018, ZInfV-1 natančneje opredeljuje bistveno višje zahteve za izvajanje kibernetske varnosti. Med ukrepi za obvladovanje tveganj so zajete;

Odgovornost vodstva

Novi zakon jasno poudarja, da je za zagotavljanje informacijske varnosti organizacije odgovorno poslovodstvo, in ne posamezniki na katere bi poslovodstvo morda želelo prenesti odgovornost. Vodstvo organizacije (Odgovorne osebe pravnih oseb oziroma člani poslovodnih organov, ki so bistveni ali pomembni subjekti (člani uprave, direktorji, izvršni direktorji, predstojniki, župani…) je dolžno redno izvajati ocene varnostnih tveganj, sprejeti načrte za njihovo obvladovanje ter se nenehno izobraževati na tem področju.

Kako vam lahko pomagamo?

GAP analiza – analiza vrzeli

GAP analiza vključuje pregled obstoječe dokumentacije, ki opisuje politike za upravljanje dostopa, zaščito podatkov, preprečevanje vdorov, preverjanje varnosti omrežij, varnostne kopije in obnovitve podatkov ter upravljanje incidentov. Cilj je pridobiti celovit pregled obstoječega stanja kibernetske varnosti v organizaciji, vključno z ugotavljanjem, katere politike in postopki so že v skladu z zahtevami direktive in kateri bi lahko zahtevali prilagoditve.
Sledi identificiranje razlik med zahtevami direktive in dejanskimi praksami organizacije, pomanjkljivosti v varnostnih postopkih ali tehnologiji, nedoslednosti pri določanju odgovornosti za kibernetsko varnost,
neupoštevanje predpisov o poročanju incidentov ali neizvajanje rednih pregledov varnostnih tveganj. Identifikacija teh vrzeli je ključna za razumevanje obsega prilagoditev, ki jih je treba izvesti, da bi organizacija postala skladna z direktivo. Na podlagi GAP analize bomo pripravili načrt s priporočili za izboljšave, ki bodo vašo organizacijo vodile k skladnosti z zakonodajo.

Posledice kršitev

Nova zakonodaja posega tudi po kaznih za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti. Če pride zaradi opustitve dolžnega ravnanja do varnostnega incidenta, ki ogrozi delovanje dela družbe, je za velika podjetja predpisana kazen deset milijonov evrov, medtem ko je kazen za srednje velika podjetja sedem milijonov evrov oziroma znaten delež letnih prihodkov.

Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.

Kibernetska varnost

Prihajajoči dogodki in izobraževanja

5 dnevni online seminar v Angleščini

IZOBRAŽEVANJE ZA ISO/IEC 27001 VODILNI IMPLEMENTATOR- ISO/IEC 27001 LEAD IMPLEMENTER

5 dnevni online seminar v Angleščini

IZOBRAŽEVANJE ISO/IEC 27001 VODILNI PRESOJEVALEC- ISO/IEC 27001 LEAD AUDITOR

Kako vam lahko pomagamo?

Storitve

GAP ANALIZA

vaših informacijskih sistemov in varnostnih postopkov, da identificirate morebitne vrzeli med trenutnimi praksami in zahtevami direktive NIS 2.

NAČRT IZBOLJŠAV

Pripravo načrta izboljšav za popolno skladnost z regulativno in zakonodajo in svetovanje o najboljših praksah za izpolnjevanje obveznosti.

PRESOJA ZAVEZANCEV

Analiza statusa vaše organizacije kot zavezanca po direktivi NIS 2, ob upoštevanju relevantnih kriterijev.

Hitri kontakt

Kontaktni obrazec

S prijavo na e-novice soglašate, da hranimo vaš e-naslov, beležimo vašo dejavnost odpiranja e-poštnih sporočil in klike na povezave v sporočilih za namen analize ter prilagoditve vsebine. Več informacij je na voljo v naši Politiki zasebnosti. Svojo privolitev lahko kadarkoli prekličete s klikom na povezavo v elektronskem sporočilu. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.
=
DATAINFO ikona - celovite rešitve za varstvo osebnih podatkov.
NASLOV PODJETJA

Tržaška cesta 85, 2000 SI – Maribor

DATAINFO ikona - celovite rešitve za varstvo osebnih podatkov.
ELEKTRONSKA POŠTA
DATAINFO ikona - celovite rešitve za varstvo osebnih podatkov.
TELEFONSKA ŠTEVILKA