NIS2 – Urejanje za varnejšo prihodnost
NIS2 je tako imenovana vseevropska direktiva o kibernetski varnosti, ki je začela veljati oktobra 2024. V primerjavi z NIS1 uvaja NIS2 pomembne spremembe, ki bodo več organizacijam naložile tudi strožje obveznosti glede kibernetske varnosti. Države članice bodo morale sprejeti nove določbe, ki bodo vsebovale te strožje ukrepe nadzora in izvrševanja, da bi zagotovile skladnost z direktivo. NIS2 nadomešča direktivo NIS1, zaradi česar je v primerjavi z NIS1 več pomembnih razlik: NIS2 razširja področje uporabe na večje subjekte, kot so proizvajalci kemikalij in medicinskih pripomočkov, proizvajalci hrane in ponudniki družbenih omrežij, ki jih NIS1 prej ni zajemala. NIS2 razlikovanje med “izvajalcem bistvenih storitev” in “ponudnikom digitalnih storitev” nadomešča z “bistvenimi subjekti” in “kritičnimi subjekti”, ki med drugim temeljijo na velikosti in sektorju. Čeprav imajo oboji podobne obveznosti, za ključne subjekte veljajo strožji ukrepi izvrševanja in nadzora. Za nadzorne ukrepe mora biti odgovoren sektorski nadzornik.
NIS2 nalaga “bistvenim” in “kritičnim” subjektom nove obveznosti glede kibernetske varnosti, vključno z upravljanjem tveganj in dobavne verige, poročanjem o kibernetskih incidentih in izmenjavo informacij. Zaradi izpolnjevanja teh zahtev bodo morali subjekti, na katere se te zahteve nanašajo, razviti in izvajati nove politike in postopke. NIS2 od držav članic EU zahteva, da izboljšajo svoje nacionalne strategije kibernetske varnosti in se odzovejo na digitalne grožnje, s katerimi se soočajo. Za organizacije je pomembno, da spremljajo prihodnje pobude držav članic na tem področju.
Okrepljene varnostne zahteve
NIS2 bo izboljšal varnostne zahteve podjetij z uvedbo metodologije upravljanja tveganj in minimalnega seznama osnovnih varnostnih elementov. Direktiva vsebuje tudi veliko podrobnejše določbe o poročanju o incidentih, vključno na primer z vsebino in časom poročanja. V skladu z direktivo je treba prijavo opraviti v 24 urah po nastanku incidenta in mora vključevati podrobnejši postopek poročanja. NIS2 zahteva tudi obravnavo varnosti dobavne verige. To vključuje tudi tveganja, ki jih povzročajo razmerja v zvezi s sočasnim merjenjem. NIS2 poudarja tudi odgovornost vodstva za organizacijsko kibernetsko varnost in nalaga individualno odgovornost organom upravljanja, kot so upravni odbori podjetij in vodstvo, da zagotovijo učinkovito izvajanje zahtev kibernetske varnosti. Organizacije so lahko predmet različnih izvršilnih nalogov, neizpolnjevanje zahtev pa lahko povzroči visoke denarne kazni.
