DIREKTIVA EU 2022/2555 -ukrepi za visoko skupno raven kibernetske varnosti v Evropski Uniji
V drugem delu je Aleš Rakovnik napovedal, da želi Evropska unija z direktivo NIS 2 doseči visoko skupno raven kibernetske varnosti, dodatno izboljšati kibernetsko odpornost in odzivnost v primeru varnostnih incidentov v vseh državah članicah EU in Unije kot celote. NIS 2 velja za srednja in velika podjetja v določenih javnih in zasebnih sektorjih, ki ponujajo bistvene ali pomembne storitve in izpolnjujejo določene pogoje.
Zavezanci NIS2 bodo morali slediti strožjim zahtevam za zagotavljanje kibernetske varnosti, poročanje in zagotavljanje neprekinjenega poslovanja v primeru varnostnih incidentov ter povečati sodelovanje med državami članicami za izmenjavo informacij in koordinirane odzive na kibernetske napade.
Direktiva NIS2 je v veljavi od 16.1.2023, rok za prenos direktive v slovensko zakonodajo pa je 17.10.2024. Obvezna je samoregistracija zavezancev, kjer je potrebno med drugim določiti tudi kontaktno osebo in njegovega namestnika (elektronski naslov, kontaktna telefonska številka), ki mora biti dosegljiv 24/7. Nadzor nad izvajanjem bo vršil Urad Republike Slovenije za informacijsko varnost (URSIV), ki je pripravil tudi vprašalnik URSIV z 238 kontrolnimi točkami za presojo (samoregistracijo), da lahko podjetja ugotovijo ali so zavezanci ali ne.
Do uveljavitve je zato nujno potrebno, da:
-podjetja popišejo kritične poslovne procese, informacijska sredstva,
-izvedejo ocene tveganja in opredelijo scenarije,
-pripravijo varnostne politike,
-načrtujejo obravnave varnostnih incidentov,
-izvedejo penetracijske teste,
-izobrazijo ljudi, zaposlene (vodje, informatike) in analizirajo dobavitelje oziroma dobavne verige, da ugotovijo, kakšen je njihov nivo varnosti.