Direktiva NIS 2, uradno imenovana Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, je vseevropska zakonodaja o kibernetski varnosti. V njej so določeni ukrepi za visoko skupno raven varnosti omrežij in informacijskih sistemov držav članic. Spoznajte, kako lahko zagotovite skladnost in se izognete napačnim interpretacijam ukrepov direktive NIS 2.
Podrsajte levo za prikaz vseh gumbov
Za zagotavljanje skladnosti z direktivo NIS 2 je ključnega pomena samoprepoznava. To pomeni, da mora organizacija glede na določila direktive NIS 2 sama prepoznati ali bo kot organizacija neposredno vključena v obseg direktive, ali pa se bo morala zahtevam direktive prilagoditi kot del ključne oskrbne verige partnerjev.
Naš direktor za kibernetsko odpornost, Uroš Majcen, pri tem organizacijam svetuje, da na spletni strani Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) izpolnijo obrazec za samoprepoznavo, ki je namenjen organizacijam za pomoč in podporo pri njihovi začetni oceni kibernetske varnosti. Podjetja lahko s pomočjo obrazca ugotovijo, ali spadajo v kritične sektorje, ki jih zajema direktiva NIS 2 ali izpolnjujejo specifične kriterije, kot so velikost podjetja, število zaposlenih, promet in druge ključne značilnosti, ki so določene v direktivi NIS 2 za posamezne sektorje.
Oglejte si kratko predavanje
V manj kot pol ure spoznajte:
Ukrepi, opredeljeni v 54 členih direktive NIS 2, ki jih morajo organizacije izpolnjevati, zajemajo različne vidike varnosti in upravljanja tveganj. Ključne aktivnosti za doseganje skladnosti z direktivno NIS 2 vključujejo oceno tveganj, izvajanje tehničnih, operativnih in organizacijskih ukrepov za izboljšanje kibernetske varnosti, vzpostavitev mehanizmov za odzivanje na varnostne incidente, izvajanje rednih pregledov in testiranj ter vzpostavitev postopkov za obveščanje in poročanje o kibernetskih incidentih. Med tehničnimi, operativnimi in organizacijskimi ukrepi so uporaba naprednih varnostnih tehnologij, vzpostavitev politik in postopkov za upravljanje s tveganji, redno usposabljanje osebja ter vzpostavitev rednih preverjanj in testiranj varnostnih sistemov.
Več podrobnosti o posameznih ukrepih in naša priporočila najdete v nadaljevanju.
Za zagotovitev skladnosti z direktivo NIS 2 pripravite celovito oceno varnostnega tveganja organizacijskega omrežja in informacijskih sistemov za identifikacijo in oceno potencialnih kibernetskih groženj in ranljivosti ter poskrbite za:
Priporočilo: Pri zmanjševanju pojava tveganj vam lahko pomaga ekipa Varnostno operativnega centra SOC, ki s postopki za obvladovanje tveganj prepoznava in obravnava potencialne nevarnosti in dogodke, katerih uresničitev bi povzročila težave ali škodo pri poslovanju družbe.
Analiza tveganj informacijske varnosti predstavlja formalni pristop za oceno izpostavljenosti ključnih poslovnih funkcij specifičnim tveganjem, povezanim z informacijsko varnostjo.
Za ocenjevanje tveganj informacijske varnosti Kontronovi SOC strokovnjaki uporabijo spisek informacijskih sredstev, ki zajema: infrastrukturo, strojno in programsko opremo, podatke in dokumente oziroma druge nosilce podatkov, ljudi ter elemente, pomembne za razvoj družbe (ideje o novih proizvodih in rešitvah, izvorne kode). Ocenjevanje tveganj praviloma izvajajo po procesih/storitvah za informacijska sredstva, ki se v posameznem procesu uporabljajo. Če vas zanima več, vprašajte naše SOC strokovnjake.
Za zagotavljanje skladnosti z direktivo NIS 2 vzpostavite in vzdržujte varnostne politike in postopke, ki vključujejo upravljanje kibernetskih incidentov, tako da:
Priporočilo: Vzpostavite centraliziran sistem za upravljanje kibernetskih incidentov, ki omogoča hitro zbiranje in analizo podatkov ter poročanje v skladu z zahtevami direktive NIS 2. Za preglednost varnostnih dogodkov priporočamo uporabo orodij SIEM in njihovo nagradnjo s SOAR orodjem.
V sklop zagotavljanja neprekinjenega poslovanja v direktivi NIS 2 spada:
Priporočilo: Redno varnostno kopirajte podatke in preverjajte obnovljivost varnostnih kopij. Uporabite avtomatizirana orodja za varnostno kopiranje, ki zagotavljajo redne preglede in teste obnovljivosti. Več o rešitvah, ki ščitijo ter izolirajo kritične podatke pred izsiljevalsko programsko opremo in drugimi izpopolnjenimi grožnjami, najdete v predavanju Kako povečati odpornost pred kibernapadalci na zadnji obrambni črti?
Organizacije morajo za zagotavljanje varnosti dobavnih verig, ki jo določa direktiva NIS 2, narediti sledeče:
Vključeni so tudi vidiki, povezani z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev. To pomeni, da mora organizacija upoštevati in upravljati varnostne prakse svojih neposrednih dobaviteljev in ponudnikov storitev in poskrbeti, da tudi njeni neposredni dobavitelji in ponudniki storitev spoštujejo določene varnostne standarde in prakse. Vse varnostne zahteve morajo biti jasno opredeljene v pogodbenih pogojih.
Priporočilo: Med organizacijo in njenimi neposrednimi dobavitelji in ponudniki storitev mora obstajati odprta in učinkovita komunikacija o varnostnih grožnjah, incidentih in ranljivostih. Kontron strokovnjaki vam lahko pomagajo pri:
Direktiva NIS 2 določa skrb za varnost omrežnih in informacijskih virov – tako novih kot tistih v razvoju in vzdrževanju:
Priporočilo: Z rednim izvajanjem penetracijskih testov lahko odkrijete varnostne luknje, ki jih pregledi ranljivosti morda niso zaznali. Naši SOC strokovnjaki izvajajo vdorne teste in varnostne preglede, ki vključujejo fizični ogled varnosti, procesov in izvedbo simuliranih napadov na infrastrukturne storitve (penetracijski test sistemskega nivoja) in aplikativne storitve (penetracijski test aplikativnega nivoja).
Ocena učinkovitosti varnostnih ukrepov je določena v direktivi NIS 2 in poskrbeti je potrebno za;
Priporočilo: Poskrbite za arhiviranje dokumentacije in poročil, ki služijo kot referenca za prihodnje revizije in zahteve po skladnosti ter spodbujajte kulturo nenehnega izboljševanja varnosti med zaposlenimi in vodstvom organizacije. Pri doseganju skladnosti z veljavno zakonodajo pri postopkih arhiviranja vam lahko pomagajo tudi naši strokovnjaki.
Direktiva NIS 2 posebno pozornost namenja tudi izobraževanju zaposlenih. Izvedite redna usposabljanja za ozaveščanje o kibernetski varnosti med zaposlenimi. Program lahko nadgradite s testi za utrditev znanja, saj so vaši zaposleni prva obrambna linija proti kibernetskim grožnjam.
Priporočilo: Uporabite lahko simulacije phishing napadov, da bodo vaši zaposleni bolj pozorni na morebitne grožnje. Več o phishing napadih lahko izveste tudi z ogledom predavanja Zaščitimo uporabnika, preden se ujame na mamljivo vsebino, v katerem je prikazanih več primerov uspešnih phishing napadov in njihove posledice.
Uporaba kriptografije je skladno z direktivo NIS 2 ključnega pomena za zagotavljanje zaupnosti, integritete in avtentičnosti podatkov v digitalnih omrežjih in sistemih, v sklopu tega pa poskrbite še za:
Priporočilo: Zagotovite, da je šifriranje integrirano na vseh ravneh, kjer je potrebno zaščititi podatke, vključno s prenosom podatkov preko omrežja, shranjevanjem podatkov in uporabniškimi identifikacijskimi podatki. Kontronovi strokovnjaki vam lahko pomagajo pri vpeljevanju kriptografske zaščite na različnih nivojih.
Direktiva NIS 2 narekuje skrb za varnost človeških virov, politike nadzora dostopa in upravljanje sredstev v naslednjih točkah:
Priporočilo: Vpeljava rešitve PAM omogoča vzpostavitev proaktivnega in varnega načina upravljanja privilegiranih dostopov, kjer lahko samo zaupanja vredni uporabniki dostopajo do posameznih virov, ki so jim dodeljeni.
Pri rešitvah za overjanje in prenos informacij se v direktivi NIS 2 določena:
Priporočilo: Ker je končni uporabnik še vedno najbolj izpostavljen člen pri zaščiti informacij in podatkov, sta šifriranje podatkov na mobilnih napravah in večstopenjska avtentikacija nujni ukrep. Več o tem preberite TUKAJ.
Prvi korak k skladnosti z direktivo NIS 2 je torej samoprepoznava. Izvedba gap analize oz. analize vrzeli, ki omogoča natančno oceno trenutnega stanja varnostnih ukrepov in vključuje pregled obstoječih procesov, politik in tehnologij, je naslednji korak. Sledi primerjava ugotovitev analize vrzeli z zahtevami direktive NIS 2 in identifikacija odstopanj s prepoznavo področij, ki potrebujejo izboljšave. Na podlagi tega lahko oblikujete celovit načrt, ki vključuje potrebne korake za odpravo ugotovljenih odstopanj, implementacijo ustreznih varnostnih ukrepov in vzpostavitev procesov za nenehno spremljanje in izboljševanje skladnosti.
Če pri izvedbi GAP analize ali pripravi celovitega načrta potrebujete nasvet strokovnjaka, vljudno vabljeni, da stopite v stik z našimi strokovnjaki oz. našimi NIS 2 busterji, ki za vas razkrivajo neresnice in napačne interpretacije direktive NIS 2. V kratkih videovsebinah, ki jih pripravljamo za vas, odgovarjajo na pereča vprašanja in komentirajo aktualne novosti o direktivi NIS 2, zato bodo veseli tudi vaših vprašanj in trditev, ki potrebujejo razlago.
Izzovite naše NIS 2 busterje in postavite svoje vprašanje ali trditev, ki potrebuje razlago.
Prvi kriterij za vključitev po uredbi je velikost podjetja (ki je določena s številom zaposlenih ali finančnim stanjem podjetja). Drugi kriterij je status v dejavnosti, ki jo določa uredba o reguliranih storitvah. Tako iz uredbe niso izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev. Samodejno pa se med pomembne subjekte uvršajo podjetja iz v nadaljevanju naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oz. bilančno vsoto vsaj 42 milijonov evrov.
Zavezanci direktive NIS 2 so torej bistveni subjekti, ki so ključnega pomena za delovanje družbe in gospodarstva (npr. energetika, promet, zdravstvo), dodatno pa tudi :
Med pomembne subjekte, ki so zavezanci direktive NIS 2 sodijo podjetja, ki se ukvarjajo s katero od sledečih dejavnosti: poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija določenih snovi, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov (medicinski pripomočki; računalniki, elektronski in optični izdelki, proizvodnja električnih naprav, proizvodnja drugih strojev in naprav, proizvodnja motornih vozil, prikolic, polprikolic, proizvodnja drugih vozil in plovil), digitalni ponudniki (spletne tržnice, spletni iskalniki, platforme storitev družbenega mreženja) in raziskovalne agencije.
Vsi našteti bodo morali pozornost po novem posvečati tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.
Vsi subjekti, iz Priloge I Direktive 2022/2555, ki imajo vsaj 250 zaposlenih in letni promet vsaj 50 milijonov evrov oziroma letno bilančno vsoto vsaj 42 milijonov evrov;
Ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost;
Ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov;
Subjekti javne uprave na državni ravni in določeni subjekti lokalne samouprave;
Subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo;
Subjekti, ki so bili v skladu z Zakonom o informacijski varnosti določeni kot izvajalci bistvenih storitev pred 16. januarjem 2023;
Vsi drugi subjekti vrste iz Prilog I ali II Direktive 2022/2555, ki jih država članica identificira in jih na predlog pristojnega nacionalnega organa določi vlada z odločbo.
Direktiva NIS2 je osredotočena na širši spekter subjektov, medtem ko je okvir za digitalno operativno odpornost DORA osredotočen specifično na finančne institucije, kot so banke in ponudniki plačilnih storitev.
Relevantne povezave:
