NIS 2

17-krat več zavezancev in številni novi ukrepi

Vse, kar morate vedeti o EU-direktivi za kibernetsko varnost NIS 2 365 dni pred zadnjim rokom za prenos v nacionalno zakonodajo.

17-krat več zavezancev in številni novi ukrepi
NIS 2 samo v godpodarstvu razširja zakonsko opredeljeno upravljanje kibernetske odpornosti z 49 na kar 923 podjetij. Vladna odločba bo lahko dodala še kakšnega.

NIS 2, ki je stopila v veljavo 16. januarja 2023, je nova vse evropska horizontalna zakonodaja o kibernetski varnosti (Uradni list Evropske unije, L333/142, z dne 27. 12. 2022). Gre za Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta Evrope o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, ki je bila sprejeta 14. decembra 2022, na osnovi spremembe Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitve Direktive (EU) 2016/1148.

Slednja direktiva, poznana kot NIS 1, je bila namenjena ukrepom za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji. V Sloveniji je bila z nekaterimi strožjimi zahtevami, kot jih je nalagala EU, implementirana v Zakon o informacijski varnosti, ki je bil soglasno sprejet v Državnem zboru 17. aprila 2018. Rok za prenos direktive NIS 2, ki se nanaša na vse gospodarske panoge in javni sektor – razen za dejavnosti na področju nacionalne in javne varnosti, obrambe ali kazenskega pregona – za vpis nacionalno zakonodajo ter za notifikacijo te zakonodaje Evropski uniji, je 17. oktober 2024.

Nova direktiva krepi varnostne ukrepe, natančneje določa način poročanja, prinaša pa tudi usklajeno odkrivanje ranljivosti in omogoča skupno ukrepanje EU-držav v primeru kibernetskih napadov. Ne zajema samo ponudnikov bistvenih storitev oziroma kritične infrastrukture državnega pomena, ampak ščiti celoten gospodarski prostor EU in javni sektor.

Direktiva NIS 2 je namenjena povečanju splošne ravni kibernetske varnosti v EU, poleg nje pa lahko države članice sprejmejo ali ohranijo določbe, ki zagotavljajo še višjo raven kibernetske varnosti. Krepi varnostne ukrepe in jih podrobneje določa ter sloni na pristopu upoštevanja vseh nevarnosti, na primer z varnostjo dobavnih verig, politiko kriptografije in večfaktorskega overjanja. Natančneje določa postopke poročanja o incidentih, vsebini poročil in rokih za njihovo predložitev. Vzpostavlja okvir za usklajeno razkrivanje ranljivosti, povečuje skupno situacijsko zavedanje in omogoča skupno odzivanje na kibernetske napade znotraj Evropske unije.

V NIS 2 samo krog zavezancev v slovenskem gospodarstvu šteje trenutno 923 poslovnih subjektov, med njimi 704 srednja in 219 velikih podjetij - prej 49!

V primerjavi z NIS 1, katere namen je bil premoščanje zelo velikih razlik pri pristopu oziroma obravnavi kibernetske varnosti med državami EU in se je z vidika zaščite osredotočala na pomembno infrastrukturo, ki je bistvenega pomena za nemoteno delovanje države in ohranitev ključnih družbenih in gospodarskih dejavnosti, NIS 2 ščiti celoten kibernetski prostor EU. Torej javni sektor in zasebni sektor z velikimi in srednjimi podjetji v visoko kritičnih in drugih kritičnih sektorjih, operaterje, ponudnike bistvenih storitev, kritično infrastrukturo in podobno. Zraven tega prinaša enotno prakso in pristope posameznih držav EU glede obravnave kibernetske varnosti.

Drastično povečanje zavezancev

V primerjavi z NIS1, za katero je bilo v Sloveniji zavezanih 49 izvajalcev bistvenih storitev, 18 organov državne uprave in en ponudnik digitalnih storitev, torej skupaj 68 zavezancev, v NIS 2 samo krog zavezancev v slovenskem gospodarstvu šteje trenutno 923 poslovnih subjektov, med njimi 704 srednja in 219 velikih podjetij. Nova direktiva namreč poleg bistvenih subjektov, ki zajemajo tri dodatne visoko kritične sektorje, dodaja številne nove pomembne subjekte z razširitvijo tako imenovanih drugih kritičnih sektorjev.

NIS 2 poleg dejavnosti, kot so energija, promet, bančništvo, infrastruktura finančnega trga, zdravstvo, pitna voda, digitalna infrastruktura, varstvo okolja, preskrba s hrano, javna uprava ter subjekti, ki se povezujejo s centralnim državnim informacijsko-komunikacijskim sistemom, med visoko kritične sektorje dodaja še dejavnosti ravnanja z odpadno vodo in upravljanja storitev IKT ter dejavnost vesolje.

Med pomembne subjekte se uvrščajo organizacije, ki izvajajo vrste dejavnosti iz Prilog I in II in niso določene kot bistveni subjekti, pri čemer imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov.

Najbolj drastično razširja dejavnosti pomembnih subjektov. Prva direktiva je mednje štela subjekte v dejavnosti ravnanja z odpadki, druga pa dodaja poštne in kurirske storitve, izdelavo, proizvodnjo in distribucijo kemikalij, pridelavo, predelavo in distribucijo živil, proizvodnjo določenih izdelkov, ponudnike digitalnih storitev ter raziskav.

Vsi podsektorji so natančneje opisani v Prilogi I in II.

Kateri so bistveni in kateri pomembni subjekti

Gre za subjekte, ki imajo 250 zaposlenih in letni promet vsaj 50 milijonov evrov, oziroma letno bilančno vsoto vsaj 42 milijonov evrov. Ta definicija v Sloveniji torej zajema veliko večino vseh velikih podjetij glede na merila za razvrstitev družb po 55. členu Zakona o gospodarskih družbah. Poleg teh med bistvene ponudnike spadajo še ponudniki kvalificiranih storitev zaupanja in registrov vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost ter ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov.

Pri tem se kot bistveni, ne glede na velikost in prihodek, štejejo subjekti, ki kot edini nudijo storitve, ki so bistvene za ohranjanje kritičnih družbenih ali gospodarskih dejavnosti v Republiki Sloveniji. Med njimi so še ponudniki, katerih motnja pri opravljanju storitve bi lahko povzročila pomembno sistemsko tveganje, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv ter subjekti, ki so kritični zaradi njihovega posebnega pomena na državni, regionalni ali lokalni ravni za določen sektor, vrsto storitve ali za druge medsebojno odvisne sektorje v Republiki Sloveniji. Vlada bo na podlagi predloga Urada Vlade za informacijsko varnost določila te ponudnike iz Priloge I in II s posebno odločbo.

Med bistvene se šteje tudi subjekte javne uprave na državni ravni ali na regionalni oziroma lokalni ravni, če pri njih iz ocene tveganja izhaja, da opravljajo storitve, katerih motnje bi lahko pomembno negativno vplivale na ključne družbene ali gospodarske dejavnosti.

Med pomembne subjekte se uvrščajo organizacije, ki izvajajo vrste dejavnosti iz Prilog I in II in niso določene kot bistveni subjekti, pri čemer imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov. V tem primeru gre torej za srednja podjetja, ki izvajajo opredeljene dejavnosti.

Zavezanci bodo pri preučevanju ustreznih ukrepov glede varnosti dobavne verige primorani upoštevati ranljivosti, ki so specifične za posameznega neposrednega dobavitelja in ponudnika storitev.

10 ukrepov za upravljanje kibernetske odpornosti po NIS 2

Direktiva zavezancem pravzaprav narekuje uvedbo dobrih praks kibernetske odpornosti, ki bi jih bilo smiselno uvesti že z vidika dobrega gospodarja. Bistvenim in pomembnim subjektom nalaga sprejem ustreznih, za dejavnost specifičnih in sorazmernih tehničnih, operativnih in organizacijskih ukrepov, na osnovi katerih bodo obvladovali tveganja za varnost omrežnih in informacijskih sistemov, ki jih uporabljajo za svoje delovanje ali opravljanje storitev ter za preprečevanje ali zmanjšanje vpliva incidentov na prejemnike njihovih storitev oziroma vpliva na druge storitve.

Zavezanci bodo pri preučevanju ustreznih ukrepov glede varnosti dobavne verige primorani upoštevati ranljivosti, ki so specifične za posameznega neposrednega dobavitelja in ponudnika storitev. Obravnavati bodo morali tudi splošno kakovost proizvodov ter praks dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.

Ukrepi, ki jih bodo morali sprejeti zavezanci po NIS 2 so:

  1. politike o analizi tveganja in varnosti informacijskih sistemov;
  2. obvladovanje incidentov;
  3. neprekinjeno poslovanje, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz;
  4. varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;
  5. varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem ranljivosti;
  6. politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;
  7. osnovne prakse kibernetske higiene in usposabljanje na področju kibernetske varnosti;
  8. politike in postopke v zvezi z uporabo kriptografije in po potrebi s šifriranjem;
  9. varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;
  10. uporaba več faktorskega overjanja uporabnikov ali rešitev neprekinjenega overjanja, varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili znotraj subjekta, kadar je to primerno.

NIS 2 torej ne le da širi krog zavezancev, temveč povečuje tudi nabor ukrepov pri obvladovanju s kibernetskimi tveganji v primerjavi z NIS 1. Torej poleg ukrepov, kot so:

  • vodenje seznama ključnih, krmilnih in nadzornih informacijskih sistemov;
  • priprava načrta obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov,
  • analiza obvladovanja tveganj z oceno sprejemljive ravni tveganj;
  • vzpostavitev politike neprekinjenega poslovanja in načrt upravljanja;
  • načrt odzivanja na incidente s protokolom obveščanja CSIRT ter
  • načrt varnostnih ukrepov;

prinaša še pet ukrepov. To so:

  • politike, postopki in kazalniki za ocenjevanje učinkovitosti ukrepov za obvladovanje tveganj;
  • ukrepi za varnost dobavne verige z vsemi varnostnimi vidiki;
  • politike in postopki v zvezi z uporabo kriptografskih rešitev pri hrambi in prenosu podatkov;
  • obravnavanje in razkrivanje ranljivosti ter
  • uporaba zaščitene komunikacije in zaščitenih sistemov za nujne primere.

Med novostmi je tudi določitev nacionalnega koordinatorja za usklajeno razkrivanje ranljivosti, ki ga je dolžna določiti država. Ta bo olajšal sodelovanje med fizično ali pravno osebo, ki bo poročala o ranljivostih, ter proizvajalcem ali ponudnikom proizvodov IKT ali storitev IKT, na katere se nanaša razkrita ranljivost. Fizične oziroma pravne osebe bodo o zaznanih ranljivostih lahko koordinatorju poročale tudi anonimno, slednji pa bo zagotovil ustrezno ukrepanje v zvezi s sporočenimi ranljivostmi in zagotavljal anonimnost prijavitelja. Koordinator bo v zvezi s sporočenimi ranljivostmi sodeloval z Agencijo Evropske unije za kibernetsko varnost ENISA, ki vodi evropsko podatkovno zbirko ranljivosti, v skladu z aktom o kibernetski odpornosti.

Bistveni in pomembni subjekti bodo dolžni poročati pristojnemu nacionalnemu organu oziroma ekipi za odzivanje na kibernetske incidente brez nepotrebnega odlašanja o vseh incidentih, ki pomembno vplivajo na zagotavljanje njihovih storitev.

Kako bo potekal nadzor nad zavezanci in poročanje o incidentih

Nadzor nad bistvenimi subjekti, kot ga opredeljuje 32. člen direktive, bo izvajala Inšpekcija za informacijsko varnost. Ta bo zadolžena tako za redni inšpekcijski nadzor kot tudi izredne inšpekcijske nadzore in odrejanje ciljno usmerjenih revizij informacijske varnosti. Zavezanci bodo na drugi strani primorani v predpisano periodično izvajanje revizij varnosti informacijskih sistemov.

Izredni inšpekcijski nadzor, in s tem povezane odredbe naknadnih nadzornih ukrepov, se bo odredil v primeru, ko bodo organu predloženi dokazi, indici ali informacije, da pomemben subjekt domnevno ni skladen z direktivo oziroma zakonom. Rezultati ciljno usmerjene revizije varnosti bodo podani na vpogled pristojnemu organu, pri čemer bodo stroške ciljno usmerjene revizije varnosti, ki jo opravi neodvisni organ, krili revidirani subjekti, razen v ustrezno utemeljenih primerih, ko bo pristojni organ odločil drugače.

Bistveni in pomembni subjekti bodo dolžni poročati pristojnemu nacionalnemu organu oziroma ekipi za odzivanje na kibernetske incidente brez nepotrebnega odlašanja o vseh incidentih, ki pomembno vplivajo na zagotavljanje njihovih storitev. Incident se šteje kot pomemben, če bi subjektu povzročil ali lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube in če bi vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode. Bistveni in pomembni subjekti so primorani upoštevati tudi izdane izvedbene akte Komisije, s katerimi ta podrobneje določa vrsto informacij, obliko in postopek priglasitve in obvestila ter določene posebne primere, ko se incident šteje za pomembnega.

Zavezanci bistvenih in pomembnih subjektov bodo morali zagotoviti obvezno usposabljanje svojih članov v organih upravljanja za prepoznavanje in ocenjevanje tveganj in za oceno praks obvladovanja tveganj za kibernetsko varnost ter njihovega vpliva na storitve, ki jih opravlja subjekt.

Povzeto po predavanju Matjaža Mravljaka, direktorja Inšpekcije za informacijsko varnost, Urad Vlade RS za informacijsko varnost, na konferenci INFOSEK 2023.

Partnerji

 

creaplus logo

 

EGAL LOGOTIP 300x92

 

Zakonodaja

O Kibernitju