NIS 2 direktiva je vseevropska zakonodaja o kibernetski varnosti.

Doseganje skladnosti z direktivo NIS 2

Direktiva NIS 2, uradno imenovana Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, je vseevropska zakonodaja o kibernetski varnosti. V njej so določeni ukrepi za visoko skupno raven varnosti omrežij in informacijskih sistemov držav članic. Spoznajte, kako lahko zagotovite skladnost in se izognete napačnim interpretacijam ukrepov direktive NIS 2.

Podrsajte levo za prikaz vseh gumbov

Zahteve direktive 2022/2555 (NIS 2), ki je pričela veljati januarja 2024 in nadgrajuje direktivo iz leta 2016 EU 2016/1148 (NIS), bodo v nacionalno zakonodajo prenesene z novelo Zakona o informacijski varnosti (ZInfV), ki jo mora RS sprejeti do 17. oktobra 2024. Sledilo bo prehodno obdobje šestih mesecev, v katerem bodo morali zavezanci prilagoditi svoje sisteme in prakse za zagotavljanje skladnosti z direktivo NIS 2. Od 17. aprila 2025 bodo tako nova pravila v celoti veljala za vse zavezance, kar pomeni, da bodo morali izpolnjevati vse zahteve direktive NIS 2.

Mehanizem za določanje zavezancev - samoprepoznava

Za zagotavljanje skladnosti z direktivo NIS 2 je ključnega pomena samoprepoznava. To pomeni, da mora organizacija glede na določila direktive NIS 2 sama prepoznati ali bo kot organizacija neposredno vključena v obseg direktive, ali pa se bo morala zahtevam direktive prilagoditi kot del ključne oskrbne verige partnerjev.

Obrazec za samoprepoznavo

Naš direktor za kibernetsko odpornost, Uroš Majcen, pri tem organizacijam svetuje, da na spletni strani Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) izpolnijo obrazec za samoprepoznavo, ki je namenjen organizacijam za pomoč in podporo pri njihovi začetni oceni kibernetske varnosti. Podjetja lahko s pomočjo obrazca ugotovijo, ali spadajo v kritične sektorje, ki jih zajema direktiva NIS 2 ali izpolnjujejo specifične kriterije, kot so velikost podjetja, število zaposlenih, promet in druge ključne značilnosti, ki so določene v direktivi NIS 2 za posamezne sektorje. 

 

Ukrepi za doseganje skladnosti z direktivo NIS 2

Ukrepi, opredeljeni v 54 členih direktive NIS 2, ki jih morajo organizacije izpolnjevati, zajemajo različne vidike varnosti in upravljanja tveganj. Ključne aktivnosti za doseganje skladnosti z direktivno NIS 2 vključujejo oceno tveganj, izvajanje tehničnih, operativnih in organizacijskih ukrepov za izboljšanje kibernetske varnosti, vzpostavitev mehanizmov za odzivanje na varnostne incidente, izvajanje rednih pregledov in testiranj ter vzpostavitev postopkov za obveščanje in poročanje o kibernetskih incidentih. Med tehničnimi, operativnimi in organizacijskimi ukrepi so uporaba naprednih varnostnih tehnologij, vzpostavitev politik in postopkov za upravljanje s tveganji, redno usposabljanje osebja ter vzpostavitev rednih preverjanj in testiranj varnostnih sistemov.

Več podrobnosti o posameznih ukrepih in naša priporočila najdete v nadaljevanju.

Celovit načrt za zagotavljanje skladnosti z direktivo NIS 2

Prvi korak k skladnosti z direktivo NIS 2 je torej samoprepoznava. Izvedba gap analize oz. analize vrzeli, ki omogoča natančno oceno trenutnega stanja varnostnih ukrepov in vključuje pregled obstoječih procesov, politik in tehnologij, je naslednji korak. Sledi primerjava ugotovitev analize vrzeli z zahtevami direktive NIS 2 in identifikacija odstopanj s prepoznavo področij, ki potrebujejo izboljšave. Na podlagi tega lahko oblikujete celovit načrt, ki vključuje potrebne korake za odpravo ugotovljenih odstopanj, implementacijo ustreznih varnostnih ukrepov in vzpostavitev procesov za nenehno spremljanje in izboljševanje skladnosti.

Kako vam lahko pomaga Kontron?

Če pri izvedbi GAP analize ali pripravi celovitega načrta potrebujete nasvet strokovnjaka, vljudno vabljeni, da stopite v stik z našimi strokovnjaki oz. našimi NIS 2 busterji, ki za vas razkrivajo neresnice in napačne interpretacije direktive NIS 2. V kratkih videovsebinah, ki jih pripravljamo za vas, odgovarjajo na pereča vprašanja in komentirajo aktualne novosti o direktivi NIS 2, zato bodo veseli tudi vaših vprašanj in trditev, ki potrebujejo razlago. 

Razkrivamo neresnice o direktivi z našimi NIS 2 busterji

Razjasnite svoje dvome

Izzovite naše NIS 2 busterje in postavite svoje vprašanje ali trditev, ki potrebuje razlago.

Pogosta vprašanja

Prvi kriterij za vključitev po uredbi je velikost podjetja (ki je določena s številom zaposlenih ali finančnim stanjem podjetja). Drugi kriterij je status v dejavnosti, ki jo določa uredba o reguliranih storitvah. Tako iz uredbe niso izvzeta niti mala podjetja, če je njihovo delovanje pomembno za katerega od bistvenih sektorjev. Samodejno pa se med pomembne subjekte uvršajo podjetja iz v nadaljevanju naštetih sektorjev z več kot 50 zaposlenimi in več kot desetimi milijoni evrov prihodkov, med bistvene pa podjetja z več kot 250 zaposlenimi in več kot 50 milijoni evrov prihodkov oz. bilančno vsoto vsaj 42 milijonov evrov.

Zavezanci direktive NIS 2 so torej bistveni subjekti, ki so ključnega pomena za delovanje družbe in gospodarstva (npr. energetika, promet, zdravstvo),  dodatno pa tudi :

  • ponudniki za zagotavljanje digitalne infrastrukture in storitev IKT v segmentu B2B,
  • ponudniki digitalnih storitev (storitve računalništva v oblaku, družbena omrežja, spletne tržnice, iskalniki)
  • vesoljske tehnologije
  • podjetja za upravljanje pitne vode, odpadne vode in odpadkov, vključno z večino komunalnih podjetij
  • proizvodnja nekaterih kritičnih produktov (farmacevtski proizvodi, medicinski pripomočki, kemijska industrija, računalniki),
  • poštne in kurirske storitve,
  • proizvodnja hrane, predelava in distribucija hrane,
  • bančni sektor,
  • raziskovalne organizacije
  • javna uprava.

Med pomembne subjekte, ki so zavezanci direktive NIS 2 sodijo podjetja, ki se ukvarjajo s katero od sledečih dejavnosti: poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija določenih snovi, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov (medicinski pripomočki; računalniki, elektronski in optični izdelki, proizvodnja električnih naprav, proizvodnja drugih strojev in naprav, proizvodnja motornih vozil, prikolic, polprikolic, proizvodnja drugih vozil in plovil), digitalni ponudniki (spletne tržnice, spletni iskalniki, platforme storitev družbenega mreženja) in raziskovalne agencije.

Vsi našteti bodo morali pozornost po novem posvečati tudi informacijski varnosti dobaviteljev v njihovih oskrbnih verigah.

Vsi subjekti, iz Priloge I Direktive 2022/2555, ki imajo vsaj 250 zaposlenih in letni promet vsaj 50 milijonov evrov oziroma letno bilančno vsoto vsaj 42 milijonov evrov;

Ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost;

Ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov;

Subjekti javne uprave na državni ravni in določeni subjekti lokalne samouprave;

Subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo;

Subjekti, ki so bili v skladu z Zakonom o informacijski varnosti določeni kot izvajalci bistvenih storitev pred 16. januarjem 2023;

Vsi drugi subjekti vrste iz Prilog I ali II Direktive 2022/2555, ki jih država članica identificira in jih na predlog pristojnega nacionalnega organa določi vlada z odločbo.

Direktiva NIS2 je osredotočena na širši spekter subjektov, medtem ko je okvir za digitalno operativno odpornost DORA osredotočen specifično na finančne institucije, kot so banke in ponudniki plačilnih storitev.

NIS 2 busterji

Miro Faganel

Vodja oddelka Prodaja
Varnost

Stopite v stik
SOC Uros Majcen

Uroš Majcen

Direktor za kibernetsko odpornost

Stopite v stik
Alex Crgol

Alex Crgol

Analitik za kibernetsko varnost

Stopite v stik
Jernej Bunic

Jernej Bunič

Tehnološki svetovalec za informacijsko varnost

Stopite v stik