Evropska unija je nedavno sprejela novo direktivo, imenovano "Direktiva o ukrepih za visoko raven varnosti mrež in informacijskih sistemov", bolj znano kot NIS2. Ta direktiva predstavlja pomemben korak k izboljšanju varnosti mrež in informacijskih sistemov po vsej Evropi, še posebej ob upoštevanju naraščajočih groženj s področja kibernetskih napadov in vse večje odvisnosti družbe od digitalnih tehnologij.
Glavni cilj direktive NIS2 je izboljšati sposobnosti držav članic za odkrivanje, preprečevanje in odzivanje na kibernetske grožnje in incidente, ki bi lahko imeli širok vpliv na vitalne storitve in infrastrukturo. Prav tako si prizadeva za krepitev sodelovanja med državami članicami in ključnimi akterji na področju informacijske tehnologije, da bi se izboljšal odziv na kibernetske grožnje na evropski ravni.
Glavne določbe direktive NIS2 vključujejo:
Razširitev obsega: NIS2 razširja obseg prejšnje direktive (NIS Directive) na nove sektorje in kategorije operaterjev storitev, ki so vitalnega pomena, vključno s ponudniki storitev na področju umetne inteligence, proizvajalci naprav za internet stvari (IoT), ponudniki storitev kriptovalut in drugimi.
Krepitev zaščite kritične infrastrukture: Direktiva postavlja strožje zahteve za zaščito kritične infrastrukture, kot so energetski sistemi, telekomunikacije, zdravstvene storitve in finančne institucije, da bi se zmanjšalo tveganje kibernetskih napadov, ki bi lahko imeli resne posledice za družbo in gospodarstvo.
Povečanje zmogljivosti za odzivanje: NIS2 vzpostavlja okvir za izmenjavo informacij med državami članicami in ključnimi akterji, kot so nacionalne pristojne institucije, ekipe CERT (Computer Emergency Response Team) in ponudniki storitev, da se omogoči hitrejše odkrivanje in odzivanje na kibernetske incidente.
Sankcije za neupoštevanje: Direktiva predvideva stroge kazni za operaterje storitev, ki so vitalnega pomena, in druge subjekte, ki ne izpolnjujejo zahtev glede varnosti informacijskih sistemov, da bi se zagotovilo spoštovanje predpisov in spodbudila nenehna vlaganja v varnost.
Sankcije za neupoštevanje predpisanih varnostnih ukrepov informacijskih sistemov lahko vključujejo denarne kazni, začasno ustavitev poslovanja ali druge upravne sankcije. Višina kazni bo odvisna od resnosti kršitev in morebitnih posledic, ki jih lahko imajo kibernetski napadi.
Z uvedbo direktive NIS2 si Evropska unija prizadeva znatno izboljšati varnost mrež in informacijskih sistemov po vsem kontinentu. To bo pripomoglo k boljši zaščiti vitalnih storitev, infrastrukture in zasebnih podatkov ter zagotovilo varnejšo digitalno prihodnost za vse državljane in gospodarske subjekte v EU.
Med sektorji, ki bodo podvrženi novim zahtevam, so ponudniki javnih elektronskih komunikacij, ponudniki digitalnih storitev, kot so družbena omrežja in podatkovni centri, podjetja, ki delujejo v vesoljski industriji, ter podjetja za upravljanje z odpadnimi vodami in odpadki. Prav tako so zajeti proizvajalci nekaterih kritičnih produktov, kot so farmacevtski izdelki, medicinski pripomočki in kemična industrija, ter podjetja, ki zagotavljajo poštne in dostavne storitve, prehrambna industrija ter javna uprava.
Po novi direktivi bodo organizacije med drugim dolžne v 24 urah poročati o zaznanem varnostnem incidentu, nato pa v roku enega meseca predložiti končno poročilo, v katerem bodo poleg podatkov o incidentu in vzroku vključeni tudi vpeljani in načrtovani ukrepi za odpravljanje tveganj.
Za neskladnost z določili direktive so predvidene finančne globe, ki lahko znašajo določen odstotek letnega prometa podjetja ali fiksni znesek, odvisno od tega, kateri znesek je višji. Poleg tega bodo kršitelji morali slediti zavezujočim navodilom izrečene sankcije, vpeljati priporočila iz poročila varnostnega pregleda ter uvesti varnostne mehanizme, ki bodo skladni z Direktivo NIS2.
Podjetjem lahko pri prilagajanju na novo zakonodajo pomagajo strokovnjaki za kibernetsko varnost, kot so na primer specialisti za penetracijska testiranja, ki nudijo strokovno znanje in svetovanje. Za več informacij o novi direktivi lahko obiščete spletne strani Evropske komisije in Evropskega parlamenta.
Pomembno je, da se pravočasno prilagodite spremembam in zagotovite ustrezno raven kibernetske varnosti svojih procesov in sistemov.
