Direktiva NIS 2 prinaša številne spremembe na področju kibernetske varnosti. Ne vpliva le na subjekte, ki so že dolžni zavarovati svoje sisteme na podlagi veljavnega Zakona o informacijski varnosti (ZInfV), temveč tudi na število drugih subjektov. Ti bodo na novo vključeni v področje, ki ga ureja direktiva in jim doslej ni bilo treba izpolnjevati nobenih obveznosti.
Direktiva NIS 2 prinaša številne spremembe na področju kibernetske varnosti. Ne vpliva le na subjekte, ki so že dolžni zavarovati svoje sisteme na podlagi veljavnega Zakona o informacijski varnosti (ZInfV), temveč tudi na število drugih subjektov. Ti bodo na novo vključeni v področje, ki ga ureja direktiva in jim doslej ni bilo treba izpolnjevati nobenih obveznosti.
Ali sem zavezanec po direktivi NIS 2?
Če imate podjetje ali organizacijo v EU, se morda sprašujete, ali direktiva NIS2 za vas velja. Odgovor je odvisen od različnih dejavnikov, vključno s sektorjem, v katerem poslujete, velikostjo podjetja in širšim družbenim pomenom vaše organizacije.
Direktiva NIS 2 se uporablja za zasebne ali javne subjekte, ki veljajo za bistvene in pomembne. V skladu z direktivo je določitev, ali je subjekt bistven ali pomemben, odvisna od sektorja, v katerem deluje, in velikosti organizacije.
V področje uporabe direktive NIS 2 so vključene le srednje in velike organizacije, predvsem velika podjetja z več kot 250 zaposlenimi in srednje velika podjetja s 50-250 zaposlenimi. Podjetja z manj kot 50 zaposlenimi ali letnim prometom, manjšim od 10 milijonov EUR, so izključena, razen če se šteje, da so ključnega pomena za družbo. Podrobnejšo opredelitev zavezancev si lahko preberete v direktivi NIS 2.
Ne glede na velikost pa je ključnega pomena izpolnjevanje zahtev direktive NIS 2. Direktiva NIS 2 bistveno razširja obseg zahtev za obvladovanje tveganj kibernetske varnosti, ki jih morajo subjekti upoštevati kot minimalni standard. Pripravlja tudi podlago za inšpekcijske preglede, ki lahko potekajo pred ali po nastanku pomembnih incidentov. Neupoštevanje direktive NIS 2 lahko privede do visokih kazni in škodi vašemu ugledu.
Ne glede na to, ali vaša organizacija spada na področje uporabe direktive NIS 2 ali ne, je pomembno, da ste obveščeni o zahtevah direktive in morebitnem vplivu na vaše poslovanje. S proaktivnim pristopom k upravljanju tveganj na področju kibernetske varnosti lahko zaščitite svoje podjetje ter ohranite zaupanje strank in zainteresiranih strani.
Ali direktiva NIS 2 že velja? Kako je z njenim prenosom v slovenski pravni red?
Direktiva NIS 2 sicer že velja vendar, kot to velja za direktive na splošno, ni neposredno uporabljiva, prenesti jo je namreč treba v nacionalne zakonodaje držav članic EU. Rok za njen prenos je bil pri 17. oktober 2024. Slovenija zakonodaje, potrebne za prenos direktive NIS 2, še ni sprejela, kot tudi še precej drugih držav članic EU.
Slovenija bo direktivo NIS 2 prenesla v nacionalno zakonodajo skozi nov zakon o informacijski varnosti (ZinfV-1). Zakon predvideva tako prenos določb direktive kot tudi vzpostavitev posebnih nacionalnih določb ob ohranitvi ali izboljšavi obstoječih določil, ki urejajo trenutni sistem kibernetske varnosti v Republiki Sloveniji.
Ali se bom moral registrirati? Do kdaj?
Zavezanci bodo morali preko obrazca za samoregistracijo sporočiti svoje podatke na URSIV in se s tem registrirati kot zavezanci. Postopek samoregistracije bodo morali opraviti (kot je to trenutno predvideno) v roku 30. dni od nastopa okoliščin, na podlagi katerih izpolnjujejo merila za obravnavo kot zavezanec po ZInfV-1. Zavezanci, ki bodo ob uveljavitvi zakona že izpolnjevali merila, pa bodo morali postopek samoregistracije (kot je to trenutno predvideno) opraviti v roku šestih mesecev od uveljavitve ZInfV-1.
ZInfV-1 je trenutno še v zaključnih fazah medresorskega usklajevanja. Ko ga bo zakonodajalec sprejel, bo objavljen v Uradnem listu Republike Slovenije. Po objavi bo začel teči rok za njegovo uveljavitev. Trenuten predlog za dolžino roka 15 dni.
Opozorilo
Predstavljene informacije v zvezi s prihodnjo zakonodajo ZinfV-1 lahko vsebujejo mnenja in načrte URSIV kot pristojnega nacionalnega organa za to vprašanje. Ta mnenja in načrti temeljijo na trenutno razpoložljivih informacijah. V okviru postopka priprave predloga ZInfV-1, ki ga Vlada pošlje zakonodajalcu, kot tudi še v samem zakonodajnem postopku, se namreč lahko predstavljene vsebine še spreminjajo.VIR: Urad Vlade Republike Slovenije za informacijsko varnost