NIS2 v Sloveniji: Kaj morajo vedeti organizacije

NIS2 bistveno razširja zahteve kibernetske varnosti za slovenske organizacije. Kot nekdo, ki tesno sodeluje s podjetji pri pripravi na te zahteve, vam lahko povem, da je vpliv precej širši, kot si večina predstavlja. Direktiva ni le posodobitev prvotne direktive NIS — gre za temeljno preoblikovanje pristopa EU h kibernetski varnosti.

Kdo je prizadet

Obseg NIS2 je dramatično večji od predhodnice. V Sloveniji se direktiva prenaša prek Zakona o informacijski varnosti (ZInfV), pri čemer URSIV služi kot pristojni organ.

• Bistveni subjekti: Organizacije v energetiki, prometu, zdravstvu, bančništvu, vodooskrbi ter digitalni infrastrukturi. V Sloveniji to vključuje distributerje električne energije, bolnišnična omrežja, večje banke in telekomunikacijske ponudnike.
• Pomembni subjekti: Proizvodnja, živilska industrija, ravnanje z odpadki, poštne storitve, kemikalije in digitalni ponudniki. Številna slovenska proizvodna podjetja, ki se nikoli niso smatrala za relevantna z vidika kibernetske varnosti, zdaj spadajo pod te zahteve.
• Zahteve dobavne verige: Tudi če vaša organizacija ni neposredno v obsegu, vas to lahko prizadene, če dobavljate izdelke ali storitve bistvenemu ali pomembnemu subjektu. To ima pomembne posledice za obsežen slovenski ekosistem MSP.
• Pragi velikosti: Na splošno so v obsegu srednje velika podjetja (50+ zaposlenih ali 10M+ EUR prometa) in velika podjetja. Nekateri subjekti so zajeti ne glede na velikost, vključno s kvalificiranimi ponudniki storitev zaupanja in ponudniki storitev DNS.

Ključne zahteve

NIS2 zahteva celovit pristop k upravljanju tveganj kibernetske varnosti. Organizacije morajo implementirati ukrepe, sorazmerne s tveganji.

• Ukrepi upravljanja tveganj: Formalni postopek ocenjevanja tveganj, ki identificira grožnje, ranljivosti in potencialne vplive. To mora biti dokumentirano in redno posodobljeno.
• Poročanje o incidentih: Zgodnje opozorilo URSIV-u v 24 urah od zaznave pomembnega incidenta, polno obvestilo v 72 urah in končno poročilo v enem mesecu.
• Varnost dobavne verige: Oceniti morate tveganja kibernetske varnosti v svoji dobavni verigi, vključno z neposrednimi dobavitelji in ponudniki storitev.
• Načrtovanje neprekinjenosti poslovanja: Dokumentirani načrti za vzdrževanje delovanja med in po incidentu kibernetske varnosti.
• Obvladovanje ranljivosti: Strukturiran postopek za identifikacijo, dokumentiranje in odpravo ranljivosti.

Kazni

Okvir kazni je zasnovan tako, da zagotovi obravnavo kibernetske varnosti na ravni uprave.

• Bistveni subjekti: globe do 10 milijonov EUR ali 2 % globalnega letnega prometa.
• Pomembni subjekti: globe do 7 milijonov EUR ali 1,4 % globalnega letnega prometa.
• Osebna odgovornost vodstva: Višje vodstvo je lahko osebno odgovorno za neizpolnjevanje obveznosti. Člani uprave in direktorji, ki zanemarjajo tveganje kibernetske varnosti, to počnejo na lastno pravno in finančno odgovornost.

Slovenski kontekst implementacije

Slovenski pristop k prenosu NIS2 ima svoje posebnosti. URSIV pripravlja smernice za implementacijo, a številne organizacije poročajo o negotovosti glede tega, kako bodo zahteve uveljavljane lokalno. SI-CERT še naprej igra ključno vlogo pri koordinaciji incidentov, kar dopolnjuje regulativno funkcijo URSIV-a.

Presek z ZVOP-2, slovensko implementacijo GDPR, ustvarja dodatno kompleksnost. Organizacije, ki obdelujejo osebne podatke, morajo zagotoviti, da njihovi ukrepi kibernetske varnosti zadoščajo tako zahtevam NIS2 kot zahtevam varstva podatkov. Informacijski pooblaščenec in URSIV imata delno prekrivajoči se pristojnosti, po katerih morajo organizacije skrbno krmariti.

Koraki priprave

Na podlagi mojih izkušenj s pomočjo slovenskim organizacijam pri pripravi na NIS2 priporočam naslednji strukturirani pristop, ki ga lahko prilagodite glede na velikost in zrelost vaše organizacije.

1. Določite, ali ste v obsegu: Skrbno preglejte sezname sektorjev in prage velikosti. Če dobavljate izdelke ali storitve bistvenemu ali pomembnemu subjektu, imate morda posredne obveznosti, tudi če niste neposredno zajeti v direktivo.
2. Analiza vrzeli glede na zahteve: Primerjajte svojo trenutno varnostno držo z zahtevami NIS2. Identificirajte, kje imate obstoječe kontrole in kje obstajajo vrzeli. Penetracijski test vam da pošteno oceno dejanske varnosti, ne le dokumentirane varnosti.
3. Implementirajte manjkajoče kontrole: Prioritizirajte na podlagi tveganja. Vsega ni treba narediti hkrati, a potrebujete verodostojen načrt s časovnicami in jasno dodelitvijo virov ter odgovornosti.
4. Vzpostavite odziv na incidente: Zahteva po začetnem poročanju v 24 urah pomeni, da ne morete ugotavljati svojega odzivnega procesa med dejanskim incidentom. Vadite z namiznimi vajami in zagotovite, da so kontaktni podatki za URSIV in SI-CERT takoj dostopni.
5. Dokumentirajte vse: Skladnost z NIS2 ne pomeni le, da imate vzpostavljene kontrole — pomeni dokazovati, da jih imate. Dokumentacija politik, postopkov, ocen tveganj in varnostnega testiranja je ključna za izkazovanje dolžne skrbnosti.