NIS2 Direktiva in Nov Zakon o Informacijski Varnosti (ZInfV-1)
Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) pripravlja nov Zakon o informacijski varnosti (ZInfV-1), ki bo v slovensko zakonodajo prenesel evropsko Direktivo NIS 2 (Direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji). Ta direktiva, ki je bila sprejeta decembra 2022, državam članicam EU nalaga, da jo prenesejo v svoj pravni red do 17. oktobra 2024.
Kaj prinaša NIS 2?
Direktiva NIS 2 predstavlja pomemben korak naprej v prizadevanjih za povečanje kibernetske odpornosti v EU. Namenjena je posodobitvi obstoječega pravnega okvira, ki je zdaj prilagojen hitri digitalizaciji in novim grožnjam na področju kibernetske varnosti. Glavni cilji direktive so:
- Izboljšanje odpornosti: S širitvijo pravil na več sektorjev in subjektov se izboljšuje odpornost organizacij na kibernetske grožnje.
- Hitrejše odzivanje na incidente: Nova ureditev bo omogočala boljšo pripravljenost in odzivnost ob kibernetskih napadih.
- Povečana zaščita: Direktiva bo prispevala k večji kibernetski varnosti podjetij, držav članic ter EU kot celote.
Obseg NIS 2 je širši od obstoječe zakonodaje, saj vključuje tudi nove subjekte, ki doslej niso bili dolžni izpolnjevati obveznosti v zvezi z varovanjem informacijskih sistemov. Spremembe bodo zadevale tudi tiste subjekte, ki so že bili zavezani k izpolnjevanju določil prejšnjega Zakona o informacijski varnosti (ZInfV). Ti subjekti bodo morali še dodatno okrepiti varnost svojih sistemov in postopkov.
Celostni pristop vpeljave NIS 2 direktive s pomočjo partnerja ADD po korakih:
1) Prvi korak je samoprepoznava: V partnerstvu z vodilnimi strokovnjaki na področju vas vodimo skozi postopek samoprepoznave, s katero si boste odgovorili na vprašanje, če je vaša organizacija zavezana k vpeljavi NIS 2 direktive.
2) Če je vaša organizacija spada med zavezance, sledi izvedba ocene tveganja in ranljivosti. Ocena tveganjavključuje vse poslovne procese in tehnološke sisteme, identifikacijo kritičnih informacijskih in komunikacijskih tehnologij (IKT) ter oceno možnih posledic kibernetskih incidentov. Pri oceni tveganj se naslanjamo na zakonsko določena izhodišča (zahteve), kot tudi na uporabo svetovno uveljavljenih standardov CIS (»CIS Constrols in CIS Benchmark«).
3) Vzpostavitev varnostne strategije in politike s prioritizacijo Na podlagi izvedene ocene tveganja in ranljivosti, se nato vzpostavi varnostna strategija in politika s prioritizacijo. Le ta mora vključevati več komponent, med drugim: politike upravljanja varnosti informacijskih sistemov, pravila in postopke za odzivanje na incidente, določitev odgovornosti za upravljanje in varnost podatkov in druge. Dodatno je potrebno definirati jasne postopke za obravnavanje kibernetskih napadov in komunikacijo z ustreznimi organi ter pripraviti načrt za hitro okrevanje in nadaljevanje poslovanja po morebitnem incidentu.
4) Implementacija tehničnih ukrepov Z namenom doseganja ciljev direktive, morajo organizacije implementirati tehnične ukrepe za zaščito informacijskih sistemov, med drugim:
- Sistemi za zaznavanje in preprečevanje vdorov.
- Šifriranje občutljivih podatkov.
- Varnostno kopiranje podatkov.
- Vzpostavitev segmentacije omrežij, da se prepreči širjenje groženj.
- Redne varnostne nadgradnje in posodobitve.
- Vzpostavitev zmogljivosti za odzivanje na incidente.
5) Izobraževanje in ozaveščanje zaposlenih
Opažamo, da organizacije že danes vlagajo veliko resursov v izobraževanje in dvig zavedanja tveganj, povezanimi s kibernetskimi grožnjami. S tega naslova se od zavezancev pričakuje stalno izobraževanje tudi o varnostnih politikah in praksah ter zaposlene seznaniti in jim omogočati varno ravnanje s podatki in zaščito osebnih informacij. Dodaten poudarek bo tudi na seznanitev glede postopkov v primeru incidenta (kaj storiti v primeru suma vdora ali napada).
6) Redni pregledi in testiranje sistemov
Z izvajanjem varnostnih testov, kot so penetracijski testi in sistemski varnostni pregledi bodo organizacije lahko preverjale učinkovitost varnostnih ukrepov. Priporočljivo je tudi izvajanje simulacijskih vaj za obravnavanje incidentov, da bodo zaposleni vedeli, kako ukrepati v primeru dejanskega napada – kot primer navajamo izvedbo »Phising testov«, ki jih lahko združite z izobraževanjem vaših zaposlenih po opravljenem testiranju.
7) Sodelovanje in izmenjava informacij
Direktiva NIS 2 spodbuja organizacije k sodelovanju z drugimi deležniki (državnimi organi, partnerji, sektorji), da izmenjujejo informacije o kibernetskih grožnjah in napadih. Pomembno je, da vzpostavite mehanizme za poročanje in sodelovanje z ustreznimi organi in partnerji.
8) Upravljanje dobaviteljev
Tveganja se lahko prenašajo znotraj dobavne verige, zato bodo morale organizacije poskrbeti za upravljanje kibernetskih tveganj, povezanih z njihovimi dobavitelji. Vključite dobavitelje v vašo varnostno politiko in vzpostavite postopke za oceno njihove skladnosti z NIS 2.
»Vpeljava NIS 2 zahteva tehnične in organizacijske ukrepe. Pomembno je redno ocenjevati varnostne sisteme, izobraževati zaposlene ter sodelovati z ustreznimi organi. Naše podjetje vam pri tem pomaga in vas usmerja.”
ZA POMOČ IN DODATNE INFORMACIJE VAM JE NA VOLJO NAŠA EKIPA SPECIALISTOV IZ RAZLIČNIH PODROČIJ.
Za več informacij nas kontaktirajte na info@add.si, +386 (0)1 479 00 11 ali pa izpolnite kontaktni obrazec.