Vas skrbi direktiva NIS2?

Najprej razjasnimo, kaj je direktiva NIS2 in kaj vsebuje. Gre za posodobljeno zakonodajo EU, ki bi morala nadomestiti prvotno direktivo NIS. Glavni cilj je povečati raven kibernetske varnosti vseh držav članic in hkrati izboljšati zaščito infrastrukture kritičnih in pomembnih podjetij.

Za koga velja direktiva NIS2?

V primerjavi s prvotno direktivo NIS je področje uporabe precej razširjeno. Gre za vključitev širšega spektra sektorjev, vključno z zdravstvenim varstvom, prometom, energetiko, ravnanjem z odpadki in vodo ter finančnimi in digitalnimi viri. To vključuje tudi ponudnike storitev v oblaku in spletne tržnice. Prizaneseno ne bo niti proizvodnemu sektorju, direktiva pa bo prizadela proizvajalce medicinskih pripomočkov, strojev, elektronske opreme ter motornih vozil in drugih prevoznih sredstev. Če povzamemo, bo direktiva NIS2 vplivala na približno 7.000 organizacij neposredno na Slovaškem.

Katere obveznosti in ukrepe morajo organizacije izpolnjevati?

- odkrivanje, prepoznavanje in evidentiranje varnostnih incidentov

- pomembno je ustvariti postopke za obravnavo incidentov ter načrt za obnovo in delovanje po incidentu

- nujna je popolna analiza tveganja

- določitev odgovorne osebe za kibernetsko varnost (sprejem in evidentiranje prijav)

- zagotavljanje rednega usposabljanja zaposlenih na področju kibernetske varnosti na vseh ravneh

Kdaj bo začel veljati NIS2?

Predvidena uveljavitev te direktive je 1. januarja 2025. Organizacije, ki spadajo pod to, bodo imele 12 mesecev časa, da bodo lahko izpolnile vse zahteve. 

Sankcije za kršitve obveznosti

Če organizacija ne izpolnjuje zahtev direktive NIS2, lahko to privede do visokih denarnih kazni, do 10 milijonov EUR ali 2 % neto letnega prometa. Odvisno, kateri znesek je višji. To bo prizadelo predvsem operaterje kritičnih storitev. Pri operaterjih standardnih storitev lahko znaša 7 mio EUR ali 1,4 % prometa. Vsekakor gre za precejšen znesek, nadzorni organ pa lahko večkratno sankcijo do dvakratnika te meje.

Vpliv NIS2 na mala in srednje velika podjetja

Čeprav je NIS2 namenjen predvsem velikim organizacijam in tistim, ki so ključni ponudniki storitev, ne zaobide MSP za specifične sektorje, dobavne verige in druge. 

Pametno je, da si zdaj ogledate direktivo NIS2 in razmislite, kako bo vplivala na vaše podjetje, sektor in kaj lahko storite. Kibernetska varnost je dandanes neizogibna in vsaka organizacija s 50 ali več zaposlenimi to počne predvsem zase, ne zaradi predpisov.

Sektorji, ki spadajo vanj 

- zdravstvo

- prevoz

- energija

- bančništvo

- finančni trgi

- digitalna infrastruktura

- upravljanje storitev IKT

- javna uprava

- prostor

- voda in atmosfera

- proizvodnja (izbrani proizvodni sektorji)

- raziskave

- ravnanje z odpadki

- kemična industrija

- živilska industrija

- digitalne storitve

- poštne in kurirske storitve

Obveznost teh sektorjev je, da upoštevajo obvestilo Agenciji za nacionalno varnost (NBÚ). Identifikacija in evidentiranje varnostnega incidenta ter izdelava postopka in reševanja incidentov z izdelanim poincidentnim postopkom. Izvedba celovite analize tveganja in izvajanje ustreznega nabora varnostnih ukrepov. Odgovorna, pooblaščena oseba, ki smo jo že omenili, in seveda usposobite in prekvalificirajte svoje zaposlene na področju kibernetske varnosti.

Največje tveganje za organizacije predstavlja pomanjkljiva segmentacija omrežja, nezadostna zaščita perimetra, nezavarovan ali slabo zavarovan dostop do interneta, šibka ali popolnoma odsotna zaščita e-poštnih storitev, nizka varnost končnih postaj.

Druge kritične točke vključujejo: prekomerno avtorizacijo običajnih uporabnikov, odsotnost večfaktorske avtentikacije v kombinaciji s šibkim geslom in nedelujočim ciklom identitete uporabnika, zastarelo strojno in programsko opremo, ki vsebuje ranljivosti, in nizko vidljivost omrežnega prometa.

Vse to vas lahko spravi v težave. Na dnu te verige je slabo ali manjkajoče upravljanje dnevnikov in centralizacija, pa tudi nezadostno varnostno kopiranje in odsotnost obnovitvenih načrtov in hitrega odziva na varnostne incidente.

Pogosto tveganje je šibek in premalo informiran, usposobljen zaposleni. Kot pravijo, je motiti se človeško, zato ne podcenjujte usposabljanja zaposlenih v tej smeri. Ravno pri rutinskih delovnih opravilih se pojavi razpoka za nastanek kibernetskega incidenta. Dobra praksa je uporaba koncepta ničelnega zaupanja. Predpostavlja, da nobenemu uporabniku, napravi ali omrežju ni samodejno zaupanja, niti v infrastrukturi podjetja. Organizacija se mora osredotočiti tudi na centralno upravljanje identitet, vključno s privilegiranimi.

Kibernetska varnost je precej zapleteno področje in v bistvu ni rešitve, ki bi ustrezala vsem. Skladnost je vedno bolj ali manj povezana z ljudmi, procesi in tehnologijo. Direktiva NIS2 ni nič novega, nasprotno, izhaja iz znanega koncepta varnosti.