Kibernetska varnost NIS 2
Urad vlade RS za informacijsko varnost (URSIV) je objavil osnutek novega Zakona o informacijski varnosti. Slovenija mora namreč do 17.10.2024 v svojo nacionalno zakonodajo prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 (krajše imenovano: direktiva NIS 2), ki na področje kibernetske varnosti prinaša kar nekaj bistvenih sprememb.
Cilj direktive NIS 2 je povečati varnost omrežnih in informacijskih sistemov v EU z zahtevo, da upravljavci kritične infrastrukture in bistvenih storitev izvajajo ustrezne varnostne ukrepe in o vseh incidentih poročajo ustreznim organom.
ZInfV-1
Na podlagi direktive NIS iz leta 2016 je v Sloveniji med izvajalce bistvenih storitev po podatkih URSIV uvrščenih cca. 70 organizacij. Po novem se bo število zavezancev zvišalo na okoli 1.000.
ZInfV-1 opredeljuje bistveno višje zahteve in ukrepe za izvajanje kibernetske varnosti, ki se med drugim nanašajo na odgovornosti vodstva, redna usposabljanja in na zahteve glede poročanja.
Za velika podjetja je predpisana kazen do 10 mio EUR, medtem ko je kazen za srednje velika podjetja do 7 mio EUR, oziroma znaten delež letnih prihodkov. Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.
Bistveni in pomembni subjekti
Med subjekte, ki so po novem razvrščeni v bistvene in pomembne subjekte, se vključujejo tudi ponudniki poštnih in kurirskih storitev. Izvzet več ni bančni sektor, prav tako so vključene organizacije za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij. Vključeni so proizvajalci in distributerji kritičnih izdelkov, kot so farmacevtski proizvodi, medicinski pripomočki in kemijska industrija. Področje zdravstva se razširja, dodana pa je tudi prehrambena industrija, ponudniki digitalnih storitev ter področje digitalne infrastrukture, vključno s ponudniki javnih elektronskih komunikacij, omrežij in strežnikov. Poleg tega se dodaja področje upravljanja storitev IKT, javne uprave, raziskovalnih organizacij in vesoljske industrije.
Vsi navedeni subjekti morajo po novem nameniti posebno pozornost tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.
Med pomembne subjekte se samodejno uvrščajo organizacije iz naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene subjekte pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oziroma bilančno vsoto vsaj 42 milijonov evrov.
Pozor: Niso pa izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev.
Samoregistracija zavezancev
Doslej je zavezance opredelila vlada Republike Slovenije, Po novem bodo morale organizacije same prepoznati, ali in koliko so zavezane izvajanju ukrepov ZInfV-1.
Kako vam lahko pomagamo?
V okviru te storitve bomo preučili, ali je vaša organizacija zavezanec po direktivi NIS 2. To vključuje analizo
relevantnih kriterijev, kot so velikost organizacije, narava in obseg vaših dejavnosti ter stopnja tveganja za
informacijske sisteme. Naš cilj je zagotoviti jasnost glede vaših obveznosti pod direktivo in svetovati o
najboljših praksah za njeno izpolnjevanje.
V primerjavi z Zakonom o informacijski varnosti iz leta 2018, ZInfV-1 natančneje opredeljuje bistveno višje zahteve za izvajanje kibernetske varnosti. Med ukrepi za obvladovanje tveganj so zajete;
Odgovornost vodstva
Novi zakon jasno poudarja, da je za zagotavljanje informacijske varnosti organizacije odgovorno poslovodstvo, in ne posamezniki na katere bi poslovodstvo morda želelo prenesti odgovornost. Vodstvo organizacije (Odgovorne osebe pravnih oseb oziroma člani poslovodnih organov, ki so bistveni ali pomembni subjekti (člani uprave, direktorji, izvršni direktorji, predstojniki, župani…) je dolžno redno izvajati ocene varnostnih tveganj, sprejeti načrte za njihovo obvladovanje ter se nenehno izobraževati na tem področju.
Kako vam lahko pomagamo?
GAP analiza vključuje pregled obstoječe dokumentacije, ki opisuje politike za upravljanje dostopa, zaščito podatkov, preprečevanje vdorov, preverjanje varnosti omrežij, varnostne kopije in obnovitve podatkov ter upravljanje incidentov. Cilj je pridobiti celovit pregled obstoječega stanja kibernetske varnosti v organizaciji, vključno z ugotavljanjem, katere politike in postopki so že v skladu z zahtevami direktive in kateri bi lahko zahtevali prilagoditve.
Sledi identificiranje razlik med zahtevami direktive in dejanskimi praksami organizacije, pomanjkljivosti v varnostnih postopkih ali tehnologiji, nedoslednosti pri določanju odgovornosti za kibernetsko varnost,
neupoštevanje predpisov o poročanju incidentov ali neizvajanje rednih pregledov varnostnih tveganj. Identifikacija teh vrzeli je ključna za razumevanje obsega prilagoditev, ki jih je treba izvesti, da bi organizacija postala skladna z direktivo. Na podlagi GAP analize bomo pripravili načrt s priporočili za izboljšave, ki bodo vašo organizacijo vodile k skladnosti z zakonodajo.
Nova zakonodaja posega tudi po kaznih za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti. Če pride zaradi opustitve dolžnega ravnanja do varnostnega incidenta, ki ogrozi delovanje dela družbe, je za velika podjetja predpisana kazen deset milijonov evrov, medtem ko je kazen za srednje velika podjetja sedem milijonov evrov oziroma znaten delež letnih prihodkov.
Podjetjem pa ne grozijo zgolj denarne kazni, temveč tudi pravne posledice za vodstvo.
Kibernetska varnost
Kako vam lahko pomagamo?
GAP ANALIZA
vaših informacijskih sistemov in varnostnih postopkov, da identificirate morebitne vrzeli med trenutnimi praksami in zahtevami direktive NIS 2.
NAČRT IZBOLJŠAV
Pripravo načrta izboljšav za popolno skladnost z regulativno in zakonodajo in svetovanje o najboljših praksah za izpolnjevanje obveznosti.
PRESOJA ZAVEZANCEV
Analiza statusa vaše organizacije kot zavezanca po direktivi NIS 2, ob upoštevanju relevantnih kriterijev.
Hitri kontakt
Tržaška cesta 85, 2000 SI – Maribor
DELOVNI ČAS
Vsak delovni dan od 8.00 do 16.00
Sobota, nedelja in prazniki: ZAPRTO
INFORMACIJE
DATAINFO © 2024 | Vse pravice pridržane.
Piškotek | Trajanje | Opis |
---|---|---|
_wpfuuid | 1 year 1 month 4 days | Ta piškotek uporablja vtičnik WPForms za WordPress. Piškotek omogoča plačani različici vtičnika povezavo vnosov istega uporabnika in se uporablja za nekatere dodatne funkcije, kot je dodatek za opuščene obrazce. |