Direktiva NIS 2 določa zahteve za ukrepe za obvladovanje tveganja kibernetske varnosti v 18 kritičnih sektorjih, pri čemer so zahteve glede kibernetske varnosti za sektorja digitalne infrastrukture in upravljanja storitev IKT podrobneje opredeljene z Izvedbeno uredbo Evropske komisije 2024/2690.
"Izvajanje NIS 2 je za agencijo ENISA najpomembnejša prednostna naloga. Agencija si prizadeva za večjo usklajenost in poenostavitev. Da bi to dosegli, pripravljamo praktične in tehnične smernice za kibernetsko varnost v podporo izvajanju ukrepov kibernetske varnosti, ki so na poti k izboljšanju zrelosti kibernetske varnosti v evropskih kritičnih sektorjih," je dejal Juhan Lepassaar, izvršni direktor agencije ENISA.
Tehnične smernice za vzpostavitev varnostnih ukrepov iz izvedbene uredbe so v agenciji ENISA pripravili skupaj s Skupino za sodelovanje na področju varnosti omrežij in informacij ter Evropsko komisijo. Pri pripravi smernic so upoštevali tudi povratne informacije iz zasebnega sektorja, ki so jih zbrali v okviru odprtega posvetovanja.
Komu so tehnične smernice sploh namenjene
Izvedbena uredba o varnosti omrežij in informacij zavezuje ponudnike storitev DNS, registratorje vrhnjih domen, ponudnike storitev računalništva v oblaku in podatkovnih centrov, ponudnike omrežij za dostavo vsebin, ponudnike upravljanih storitev in upravljanih varnostnih storitev, ponudnike spletnih tržnic, spletnih iskalnikov in storitev platform družabnih omrežij ter ponudniki storitev zaupanja.
Dokument tem ponudnikom podaja smernice za implementacijo naslednjih zahteve glede kibernetske varnosti:
- politika o varnosti omrežij in informacijskih sistemov;
- politika upravljanja tveganj;
- obravnava incidentov;
- neprekinjeno poslovanje in krizno upravljanje;
- varnost dobavne verige;
- varnost pri nabavi, razvoju in vzdrževanju omrežij in informacijskih sistemov;
- politike in postopki za ocenjevanje učinkovitosti ukrepov za obvladovanje tveganj kibernetske varnosti;
- osnovne prakse kibernetske higiene in varnostno usposabljanje;
- kriptografija;
- varnost človeških virov;
- nadzor dostopa;
- upravljanje sredstev;
- okolijska in fizična varnost.
Smernice za izvajanje sicer niso pravno zavezujoč dokument in niso namenjene nadomeščanju okvirov, smernic ali orodij, ki jih države članice zagotavljajo na nacionalni ravni. V agenciji ENISA svetujejo, da se podjetja, ki so zavezana upravljanju kibernetske varnosti po direktivi NIS 2 oziroma v Sloveniji po ZinfV-1 o svojih obveznostih najprej posvetujejo z nacionalnimi organi v svoji državi.
