Mitja Trampuž, certificirani revizor informacijskih sistemom (ISACA CISA) in etični heker, je bil lani jeseni izvoljen za podpredsednika Sekcije za kibernetsko varnost (SeKV), sicer pa vodi eno najbolj prodornih regionalnih podjetij za kibernetsko varnost CREAPLUS, ki poleg Jugovzhodne Evrope deluje tudi v regiji DACH.
Kako ocenjujete pripravljenost trga na prilagoditev novim zahtevam direktive NIS2?
Direktiva podjetjem, ki so bila že do sedaj po NIS 1 oziroma po Zakonu o informacijski varnosti, zavezanci - izvajalci bistvenih storitev ali ponudniki digitalnih storitev ali pa tistim, ki resno upravljajo tveganja kibernetske varnosti po standardu ISO27001 ali okvirju NIST CSF, ne prinaša bistvenih novosti. Zato so ta podjetja prej kot ne že skoraj pripravljena na zahteve NIS 2. V določenem delu bo potrebno varnostno dokumentacijo in varnostne ukrepe le ustrezno dopolniti oziroma razširiti. Večja težave lahko pričakujemo med podjetji, ki so se na novo znašla na seznamu bistvenih oziroma pomembnih subjektov. V teh podjetjih primanjkuje predvsem specifično znanje, čeprav jih večina pričakuje tudi znatno povečanje potrošnje za informacijsko varnost. V Sloveniji se bo zaradi NIS 2 recimo krog zavezancev povečal za več kot 30-krat. Ocenjujem, da trg na takšen skok ni pripravljen. V smislu prodaje varnostnih rešitev že mogoče, zagotovo pa ne na področju ponudbe upravljanih storitev kibernetske varnosti, svetovanja pri obvladovanju tveganj, upravljanja z ranljivostmi in podobno. Za to preprosto ni dovolj kadra.
Večina podjetij pri informacijski in kibernetski varnosti praska po površini, zelo malo pa je takšnih, ki bi kibernetsko varnost živela vsak dan.
Katere varnostne ukrepe bodo morala izvajati podjetja, da bodo izpolnila zahteve direktive NIS2?
Direktiva NIS 2 opredeljuje deset prednostnih področij ukrepov. Kaj bodo podjetja morala narediti je pravzaprav odvisno od njihovega trenutnega stanja. Eno je, da bodo morala najprej ugotoviti, ali spadajo med bistvene ali pomembne subjekte in nato izvesti analizo vrzeli. NIS 2 uvaja minimalna merila in sistem stalnih izboljšav oziroma tako imenovan best effort. To pomeni, da bodo morala podjetja najprej vzpostaviti osnovne procese in rešitve, ki jih opredeljuje direktiva, nato pa ta sistem neprenehoma izboljševati, da bodo lahko v nekem doglednem času dosegla ustrezno kibernetsko odpornost. Kibernetske odpornosti namreč ne moreš doseči z eno ali dvema investicijama ampak je to nenehen proces. Konec koncev se kibernetske grožnje in tudi tveganja ob uvajanju novih digitalnih tehnologij nenehno spreminjajo in povečujejo. Menim, da se podjetja tega premalo zavedajo in še enkrat: niti nimajo znanja za to.
Na katere sektorje in subjekte bo uporaba direktive najbolj vplivala?
Vsekakor so to sektorji, ki prej niso bili vključeni med izvajalce bistvenih storitev. Med bistvenimi subjekti so to podjetja, ki izvajajo dejavnosti ravnanja z odpadno vodo, upravljanja storitev IKT ter dejavnost vesolje. Med pomembnimi subjekti so na novo poštne in kurirske storitve, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja določenih izdelkov, ponudniki digitalnih storitev ter raziskav. Potem pa so tu posebej še ponudniki, ki jih bodo opredelile vlade posameznih držav po lastni presoji.
Glede na ocene Evropske komisije iz leta 2020 naj bi povprečni izdatki za varnost IKT kot odstotek prometa znašali 0,52 %. Torej smo z NIS 2 na enem odstotku propračuna.
Menim, da bodo največ težav imela srednja in tista velika podjetja, kjer je bila kibernetska varnost obravnavana kot neka pod dejavnost oddelka za informatiko in kjer zanjo niso imeli opredeljenega proračuna. Direktiva v prilogah natančneje opredeljuje sektorje za bistvene in pomembne subjekte, med katere bodo spadala podjetja z najmanj 250 zaposlenih in letnim prometom vsaj 50 milijonov evrov, oziroma letno bilančno vsoto vsaj 42 milijonov evrov. Poleg teh med bistvene subjekte spadajo še ponudniki kvalificiranih storitev zaupanja in registrov vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost ter ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov.
Ali pričakujete povečanje stroškov za podjetja zaradi zahtev po skladnosti, povezanih z NIS 2?
Vsekakor, predvsem za podjetja, ki niso bila vključena v NIS 1. Takšnim podjetjem naj bi se glede na ocene Evropske komisije stroški povečali za približno 22 odstotkov. Za podjetja, ki jih je zajela direktiva NIS 1, pa naj bi se stroški povečali za približno 12 odstotkov. Neposredni stroški izvajanja uredbe za podjetja v EU so bili leta 2023 ocenjeni 31,2 milijarde EUR na leto, kar predstavlja 0,31 % celotnega prometa v vseh sektorjih, na katere vpliva direktiva NIS2. Pri tem seveda ni upoštevana inflacija. Vpliv na sektorje oziroma subjekte, ki jih že ureja direktiva NIS 1, je po podatkih iz leta 2023 znašal 1,3 milijarde EUR na leto, kar je 0,20 % celotnega prometa sektorja. Povečanje za sektorje oziroma subjekte, ki jih po novem zajema direktiva NIS2, naj bi znašalo 29,9 milijarde EUR na leto, kar je 0,32 % celotnega prometa.
Pomembno je tudi to, da bo lahko kršitelju odvzeta pravica do opravljanja dejavnosti. To pomeni zaustavitev poslovanja, kar je lahko za podjetje veliko hujša kazen od globe.
Seveda to pomeni veliko povečanje stroškov, glede na ocene Evropske komisije iz leta 2020, ko naj bi povprečni izdatki za varnost IKT kot odstotek prometa znašali 0,52 %. Vseh teh stroškov sicer ne moremo prispisati samo direktivi NIS oziroma NIS2 ampak so povezani tudi z izvajanjem uredbe GDPR.
Kako bodo ustrezni nacionalni organi pomagali organizacijam pri izvajanju direktive?
Države bodo izvajanje zahtev direktive NIS 2 podprle na različne načine. Zagotovo lahko pričakujemo, da bosta pristojni nacionalni organ, ki je pri nas Urad Vlade Republike Slovenije za informacijsko varnosti, in nacionalni CERT (SI-CERT) izvajala neko pomoč, še posebej pri prepoznavi zavezancev, odkritju ranljivosti, odzivanju na incidente ter pri poročanju. Ne moremo pa pričakovati, da bodo imeli ob svojem delu še strokovnjake, ki bodo svetovali podjetjem pri uvajanju direktive ozirma izvajanju zakona, ki bo v naš pravni red prenesel NIS 2. To bo prenešeno na trg.
Kakšne posledice so pričakovane za podjetja, ki svojega poslovanja ne bodo uskladila z direktivo?
NIS 2 predvideva razširjene pristojnosti nadzornega organa in ostre kazni. Od držav članic zahteva, da za bistvene subjekte določijo najvišjo globo v višini do 10 milijonov evrov ali do 2 % svetovnih letnih prihodkov, kar je več. Za pomembne subjekte pa zahteva najvišjo globo v višini do 7 milijonov evrov ali do 1,4 % svetovnih letnih prihodkov, kar je več.
Direktiva poleg upravnih glob določa še druge posebne kazni, kot so nedenarna pravna sredstva, objava lastnih kršitev in kazenske sankcije za poslovodstvo. Te kazni se lahko naložijo bistvenim in pomembnim subjektom zaradi kršitev, kot sta neizpolnjevanje varnostnih zahtev in ne-prijavljanje incidentov. Konkretne globe se bodo sicer razlikovale po posameznih državah članicah, vendar je v direktivi določen minimalni standard upravnih sankcij za kršitev obveznosti glede obvladovanja tveganj kibernetske varnosti in poročanja. Ena od pomembnih novosti je to, da bodo menedžerji v podjetjih neposredno, torej tudi materialno odgovorni za kršitve varnosti in neskladja z direktivo. Pomembno je tudi to, da bo lahko kršitelju odvzeta pravica do opravljanja dejavnosti dokler hujše kršitve niso odpravljene. To lahko pomeni zaustavitev poslovanja, kar je za podjetje veliko hujša kazen od globe.
Katere glavne izzive pričakujete pri izvajanju direktive?
Znanje oziroma ustrezne kompetence. Primanjkuje revizorjev informacijskih sistemov, primanjkuje strokovnjakov za kibernetsko varnost, znanje sistemskih skrbnikov in administratorjev podatkovnih zbirk na področju kibernetske varnosti je pomanjkljivo. V naši regiji je na enega revizorja več kot 100 zavezancev po NIS2, česar fizično ni možno izvesti. Večina podjetij pri informacijski in kibernetski varnosti praska po površini, zelo malo pa je takšnih, ki bi kibernetsko varnost živela vsak dan. Gre za spremembo v delovanju podjetja, spremembo procesov, spremembo kulture, v razmišljanju zaposlenih in vodstva, za odnose s partnerji, ne samo dobavitelji informacijskih tehnologij ampak celotne oskrbne verige.
Glede na splošen primanjkljaj, tako zmogljivosti na strani ponudbe kot tudi sposobnosti na strani povpraševanja, se bomo v prihodnjih letih v naši regiji srečali tudi z nastopom globalnih ponudnikov storitev, ki imajo že utečene rešitve, procese in predvsem ljudi z ustreznimi znanji. Torej lahko pričakujemo tudi premešanje kart na samem trgu.
Po drugi strani bodo uporabniki začeli iskati rešitve, ki bodo imele visoko raven vgrajene varnosti, in pa storitve strokovnega upravljanja varnostnih rešitev ter kibernetske varnosti. To spet pomeni spremembe v ponudbi. Ta del v EU recimo že nakazuje certifikacijska shema za kibernetsko varnost EUCC.
Kako bo izvajanje direktive NIS2 vplivalo na industrijo kibernetske varnosti v regiji in po svetu? Ali pričakujete povečanje naložb v varnostne tehnologije?
Pričakujemo lahko skokovit porast zunanjega izvajanja storitev kibernetske varnosti, predvsem zaradi kadrovskih izzivov v podjetjih. Podobno kot na primer nekatera podjetja najemajo storitve čiščenja, požarne varnosti ali fizičnega varovanja. Poleg tega bodo podjetja investirala v tehnologije in storitve, ki jih doslej niso uporabljala. Na primer v upravljanje tveganj dobavne verige, v kriptografijo in šifriranje podatkov, v kibernetsko varnostno obveščanje, simuliranje vdorov, spremljanje ranljivosti, ustrezno upravljanje varnostnih kopij podatkov in podobno. Zagotovo se bo povečala uporaba orodij za avtomatizacijo odkrivanja in odzivanja na grožnje. Prav tako lahko pričakujemo porast povpraševanja po rešitvah za upravljanje identitet in priviligiranih uporabnikov. Vsekakor se bo povečala uporaba pristopa ničelnega zaupanja (ang. zero trust) ter posledično uporaba varnih digitalnih identitet. Pred nami je razcvet uporabe strojnih varnostnih modulov HSM zaradi potreb po šifriranju podatkov in podatkovnih tokov ter digitalnega podpisovanja. Tu so še dodatne tehnične rešitve s katerimi na primer podjetja na fizični ravni omejujejo uporabo omrežij in IT-sredstev, upravljajo varnost celotnega portfelja končnih točk ter nenazadnje zagotavljajo varne in čiste kopije podatkov. Kdor do sedaj ni vlagal v to področje bo moral to storiti v enem letu. S tega vidika bodo podjetja zagotovo povpraševala po upravljanih storitvah. Verjetno se bo povečala tudi uporaba storitev zavarovanja kibernetske zaščite, predvsem kot način zmanjševanja finančnih tveganj v primeru incidentov. Prihodnost na kibernetskem področju bo vsekakor polna izzivov za vse.
