Direktiva (EU) 2022/255 (NIS 2) je že v veljavi (od 16. 1. 2023), v Republiki Sloveniji pa je po besedah zakonodajalca v zaključni fazi tudi priprava ZInfV-1 (Zakona o informacijski varnosti – 1), s katerim se bo direktiva prenesla v nacionalno zakonodajo.
Z novo direktivo NIS 2 želi Evropska unija doseči visoko skupno raven kibernetske varnosti ter dodatno izboljšati kibernetsko odpornost in odzivnost v primeru varnostnih incidentov v vseh državah članicah EU in Unije kot celote.
Podatek, da 83 % napadenih malih in srednjih podjetij v EU, v 2022 ni bilo pripravljenih na okrevanje po kibernetskem napadu, govori o tem, da je potrebno na področju informacijske varnosti narediti korak naprej in zagotoviti visoko raven kibernetske varnosti, kar pomeni tudi krepitev varnosti znotraj podjetij in bistvenih dejavnosti za državo in družbo.
Zakonodaja loči dve vrsti podjetij oz. subjektov: BISTVENI in POMEMBNI. Glavna razlika med njimi je, da so bistveni subjekti predmet rednega nadzora, obvezna je samoocena na dve leti in poročanje ter višina kazni.
Opozoriti je potrebno, da tudi, če niste zavezanec, ste pa dobavitelj za bistvene/pomembne subjekte, imate obveznosti glede direktive NIS 2.
Dodaten kriterij za določitev subjektov je tudi velikost podjetja (letni promet, število zaposlenih in letna bilančna vsota).
Vsak zavezanec mora sam ugotoviti, ali spada med zavezance ali ne – potrebno bo izvesti samoregistracijo.
Pristojni organ je Urad Republike Slovenije za informacijsko varnost – URSIV. Slednji je pripravil tudi vprašalnik z 238 kontrolnimi točkami, ki nam je lahko v pomoč pri analizi, ali smo zavezanci ali ne: https://www.gov.si/novice/2023-12-21-samoocena-informacijska-varnost/.
Odgovornost za obvladovanje tveganj nosijo odgovorne osebe pravnih oseb oz. člani poslovodstva:
- odgovorne osebe odobrijo ukrepe,
- odgovorne osebe nadzirajo samo izvajanje,
- odgovorne osebe se morajo redno usposabljati.
Odgovorne osebe se morajo izobraževati iz obvladovanja tveganj kibernetske varnosti, prav tako pa se morajo redno izobraževati tudi zaposleni, da pridobivajo dovolj znanj in novih informacij ter spretnosti, ki jim omogočajo prepoznavo morebitnih tveganj za napade.
Potrebno je sprejeti ukrepe za obvladovanje tveganj za varnost IKT sistemov:
- tehnični ukrepi,
- operativni ukrepi,
- organizacijski ukrepi.
Kaj storiti?
Kot vedno, se je potrebno lotiti graditve sistema na začetku, torej:
- popisati kritične poslovne procese,
- popisati informacijska sredstva,
- pregled organizacije omrežja v podjetju,
- izvedba ocene tveganja glede na izsledke prejšnjih treh korakov – katalogi groženj in ranljivosti, opredelitev scenarijev tveganja,
- priprava varnostnih politik (v kolikor jih še nimate),
- izobraževanja zaposlenih, vodstva in informatikov,
- varnostno kopiranje podatkov – analiza izvajanja / testiranje obnove varnostnih kopij,
- načrt za obravnavo varnostnih incidentov – načrt, kdo bo izvajal, komuniciranje z javnostjo / krizno komuniciranje,
- analiza dobaviteljev in dobavnih verig – kakšen je njihov nivo varnosti,
- izvedba penetracijskih testov, phishing testov itd..