NIS2

Direktiva o varnosti omrežij in informacijskih sistemov, na kratko NIS2, je nova evropska direktiva. Nadomestila bo prvotno NIS direktivo, ki je bila sprejeta leta 2016. Glavna naloga direktive NIS2 je ta, da bo okrepila odpornost na kibernetske grožnje in izboljšala varnost kritične infrastrukture v Evropski uniji. V času digitalne dobe, je to izjemno pomemben korak v digitalni varnosti. Kibernetske grožnje so namreč vedno bolj pogoste, to pa zahteva strožje ukrepe in večjo usklajenost med državami članicami.

Glavni cilji NIS2

V direktivi NIS2 vse stremi k temu, da bi se povečala odpornost podjetij in organizacij na kibernetske napade. V njej so vključene strožje varnostne zahteve, večja pooblastila za nadzorne organe in širša definicija sektorjev, ki so nova pravila obvezani upoštevati. Direktiva je sedaj bolj razširjena, zato jo mora upoštevati več podjetij, ki zagotavljajo ključne storitve v sektorjih. To posebej velja za energetiko, transport, bančništvo, zdravstveno varstvo, dobavo pitne vode in digitalne storitve.

Ključni cilji direktive so:

  • Izboljšanje odpornosti, torej povečanje varnosti informacijskih sistemov, ki so pomembni in ključni za delovanje družbe in gospodarstva.
  • Usklajenost na ravni EU, kar pomeni, da se bodo zagotavljali enotni standardi in pristopi k varnostnim praksam med državami članicami.
  • Boljša pripravljenost in odziv, v sklopu odkrivanja, preprečevanja in odzivanja na kibernetske incidente.
  • Zmanjšanje administrativnih bremen, tako da bodo postopki poročanja bolj enostavni, uvedla pa se bodo enotna pravila za podjetja in organizacije.
NIS2

Kdo je zavezan spoštovati NIS2?

Nova direktiva se ne nanaša le na kritično infrastrukturo. To je veljalo v prejšnji direktivi, sedaj pa nova zajema več sektorjev, kot so:

  • Dobavitelji digitalnih storitev,
  • Telekomunikacijske ponudnike,
  • Podjetja, ki delujejo v logistiki in transportu,
  • Zdravstvene in farmacevtske organizacije in
  • Javne uprave

Tisti, ki se je primoran držati pravil v direktivi, bodo morali vzpostaviti ustrezne ukrepe za upravljanje tveganj. Ti ukrepi združujejo preprečevanje, zaznavanje in odzivanje na kibernetske napade. Podjetja morajo vzpostaviti pomembne varnostne politike, ki bodo vključevali redne preglede, varnostne nadgradnje in hkrati usposabljanje zaposlenih, da bodo ti prepoznali grožnje.

Kazni za neupoštevanje NIS2

Če podjetja in organizacije ne bodo upoštevale direktive NIS2, bodo lahko oglobljena. Kazni bodo znašale tudi do 10 milijonov evrov ali 2% letnega prometa podjetja, odvisno od tega, katera vrednost je višja. Lahko se soočijo tudi z revizijami in sankcijami, ki jih uvedejo nadzorni organi.

Ključni poudarki nove direktive

Nova direktiva se osredotoča na več ključnih točk:

  • Ukrepi za obvladovanje tveganj – potrebno bo vzpostaviti močne in zanesljive varnostne prakse
  • Obvezno poročanje o incidentih – v roku 72 ur od odkritja varnostnega incidenta je organizacija zavezana k poročanju, da bo odziv hitrejši, posledice pa manjše.
  • Zahteve glede dobavne verige – dobavitelji in tretje osebe, ki sodelujejo z organizacijo morajo biti skladni z varnostnimi standardi, da se prepreči napade.
  • Povečana odgovornost – nadzorni organi bodo lahko izvajali inšpekcije, uvedli kazni in izvajali revizije v podjetjih.

Prihodnost kibernetske varnosti

Direktiva predstavlja pomemben korak naprej v prizadevanjih za izboljšanje kibernetske varnosti v Evropi. Direktiva postavlja temelje za bolj usklajeno in učinkovito zaščito pred naraščajočimi kibernetskimi grožnjami, hkrati pa poudarja odgovornost vseh udeležencev, da prispevajo k varnosti digitalnega prostora. S strožjimi zahtevami, izboljšanimi politikami in večjim nadzorom bo direktiva omogočila hitrejši in bolj učinkovit odziv na kibernetske napade, kar bo dolgoročno okrepilo zaupanje v digitalne storitve.

Z upoštevanjem NIS2 bodo podjetja in organizacije bolje pripravljena na prihodnje izzive v digitalnem svetu, kar bo prispevalo k večji odpornosti in varnosti evropskega digitalnega gospodarstva.