Direktiva NIS 2 predstavlja vseevropsko zakonodajo o kibernetski varnosti in določa pravne ukrepe za povečevanje splošne ravni kibernetske odpornosti v EU. Glavni cilj direktive je posodobiti pravni okvir,
Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) pripravlja nov Zakon o informacijski varnosti (ZInfV-1), ki bo med drugim v slovensko zakonodajo prenesel evropsko Direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji znano tudi kot direktivo NIS 2, ki je bila sprejeta decembra 2022, države članice EU pa naj bi jo v svoj pravni red prenesle do 17. oktobra 2024.
Direktiva NIS 2 predstavlja vseevropsko zakonodajo o kibernetski varnosti in določa pravne ukrepe za povečevanje splošne ravni kibernetske odpornosti v EU. Glavni cilj direktive je posodobiti pravni okvir, da bi sledil vse večji digitalizaciji in novim grožnjam kibernetske varnosti. Z razširitvijo pravil o kibernetski varnosti na nova področja in subjekte direktiva dodatno izboljšuje odpornost ter zmogljivost odzivanja na kibernetske incidente. S tem bo prispevala k večji kibernetski varnosti podjetij, držav članic ter EU kot celote.
Obseg direktive NIS 2 je bistveno širši od obstoječe zakonodaje. Prinaša veliko sprememb za subjekte, ki so že zavezanci po obstoječem Zakonu o informacijski varnosti (ZInfV) in morajo temu primerno varovati svoje informacijske sisteme. Novosti pa se obetajo tudi za veliko število drugih subjektov, ki jih bo zajela nova ureditev in doslej niso bili dolžni izpolnjevati nobenih obveznosti ter so incidente priglašali na prostovoljni podlagi.
Ali ostajajo kritični sektorji enaki kot pod obstoječim zakonom?
Pomembna novost je, da direktiva na novo opredeljuje kritične sektorje, ki niso enaki kot v obstoječem ZInfV. Sektorji so po novem razdeljeni v dve skupini.
Prvo skupino predstavljajo visoko kritični sektorji:
- energetika (elektrika, daljinsko ogrevanje in hlajenje, nafta, zemeljski plin, vodik),
- promet (zrak, železnica, voda, cestni),
- bančništvo,
- infrastruktura finančnih trgov,
- zdravje (ne vključuje več le bolnišnic, ampak tudi referenčne laboratorije, proizvajalce medicinskih pripomočkov ali farmacevtskih pripravkov in druge),
- pitna voda,
- odpadne vode,
- digitalna infrastruktura,
- upravljanje s storitvami IKT,
- javna uprava (centralna in regionalna) ter
- vesolje.
Druga skupina so ostali kritični sektorji:
- poštne in kurirske storitve,
- ravnanje z odpadki,
- izdelava, proizvodnja in distribucija kemikalij,
- pridelava, predelava in distribucija živil,
- digitalni ponudniki,
- raziskave ter
- proizvodnja:
- medicinskih pripomočkov ter in vitro diagnostičnih medicinskih pripomočkov,
- računalnikov, elektronskih in optičnih izdelkov,
- električnih naprav,
- drugih strojev in naprav,
- motornih vozil, prikolic in polprikolic,
- drugih vozil in plovil.
Kdo bo podjetje ali državni organ določil za zavezanca po zakonu?
Nova ureditev ne bo več nujno povezana s predhodno identifikacijo podjetja kot zavezanca od pristojnih nacionalnih organov. Podjetje bo tako v primeru, da spada v kategorijo velikega ali srednjega podjetja (več kot 50 zaposlenih in letni promet več kot 10 milijonov evrov) ter deluje v enem izmed opredeljenih visoko kritičnih ali kritičnih sektorjev, avtomatično spadalo med zavezance direktive. Pri tem obstajajo izjeme, ko so subjekti zavezani ne glede na velikost.
Zavezanci se bodo po novem morali samoregistrirati. Prav tako se bodo po novem delili na bistvene in pomembne subjekte, kar bo nadomestilo staro razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev. Razlika med bistvenimi in pomembnimi subjekti bo predvsem v nadzoru in sankcijah.
Bistveni in pomembni subjekti bodo morali med drugim sprejeti ustrezne in sorazmerne ukrepe za upravljanje tveganj za varnost svojih omrežij in informacijskih sistemov ter preprečevanje incidentov ali omilitev posledic incidentov za prejemnike svojih storitev in za druge storitve. Hkrati bodo morali brez odlašanja poročati o vsakem pomembnem incidentu. Direktiva NIS 2 ob tem določa postopke obveščanja ter zavezuje subjekte k obveščanju prejemnikov njihov storitev.
Kaj pomeni samoregistracija?
Pomembna novost za slovenske subjekte je samoregistracija. Vsak zavezanec se bo moral samoprepoznati oziroma samoregistrirati preko mehanizma za samoregistracijo, ki ga bo v ta namen vzpostavil URSIV kot pristojni nacionalni organ.
URSIV bo torej šele na podlagi pridobljenih informacij samoregistriranih zavezancev vzpostavil seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen.
Potencialni zavezanec bo ob vnašanju podatkov v samoregistracijski mehanizem ugotovil ali je zavezanec kot tudi, ali je bistven ali pomemben subjekt.
Kako se bo izvajal nadzor nad izvajanjem zakona?
Direktiva NIS 2 razširja področje uporabe, krepi varnostne zahteve za zavezane subjekte ter uvaja natančnejše določbe o postopku poročanja o incidentih, vsebini poročil in rokih za njihovo predložitev. Določa tudi strožje nadzorne ukrepe, okrepljeno varnost dobavnih verig ter vzpostavlja osnovni okvir za usklajeno razkritje ranljivosti.
Direktiva NIS 2 predvideva, da bi morali imeti pristojni nacionalni organi tudi pooblastila za ukrepanje, da bi spodbudili subjekte k sprejetju ustreznih ukrepov. To se lahko giblje od izdaje opozoril ali zavezujočih navodil za odpravo pomanjkljivosti do obveščanja njihovih strank. Poleg teh upravnih ukrepov se lahko uvedejo tudi učinkovite, sorazmerne in odvračilne upravne globe.
Priporočeno je, da podjetja preučijo obstoječe varnostne politike in izboljšajo morebitne pomanjkljivosti na področju kibernetske varnosti. Hkrati je dobro, da podjetja in drugi deležni akterji pregledajo direktivo NIS 2 in preučijo novosti, ki jih prinaša. Slednje bo olajšalo prehod na zahteve, ki jih bo vseboval nov zakon. Prav tako naj podjetja redno spremljajo spletno stran URSIV, kjer bodo objavljene novice o ZInfV-1. URSIV bo na voljo tudi v primeru vprašanj in pojasnil.