Povežite se z nami ...

Predstavljamo

Kaj je NIS 2 in kakšen je cilj te direktive?

Direktiva NIS 2 prinaša nove zahteve za povečanje kibernetske varnosti v podjetjih na področju EU. Preverite kaj vam priporoča strokovnjak za kibernetsko varnost Mitja Pavlič.

Kako NIS2 direktiva vpliva na varnost vašega podjetja

NIS 2 direktiva: Povečanje kibernetske varnosti za podjetja v EU

Po 17. oktobru bo v Evropski uniji začel veljati nov zakon, ki prinaša pomembne spremembe na področju kibernetske varnosti za podjetja in organizacije s sedežem v EU. Nova direktiva NIS 2 določa strožje zahteve in dodatne obveznosti za širok spekter organizacij, tako v javnem kot zasebnem sektorju.

Da bi odgovorili na številna vprašanja in odpravili negotovosti v zvezi z direktivo NIS 2, smo za vas pripravili odgovore IT-strokovnjaka. Mitja Pavlič, strokovnjak za kibernetsko varnost nam je pojasnil kaj prinaša direktiva NIS 2, kako bo ta vplivala na organizacije, katere ključne ukrepe predpisuje direktiva ter kako se lahko podjetja najbolje pripravijo na izzive, ki jih prinaša nova evropska direktiva.

Kaj je NIS 2 in kakšen je cilj te direktive?

NIS2 je zakonodaja, osredotočena na kibernetsko varnost, splošno znana kot direktiva NIS2. Uvedena je bila kot razširitev prejšnje Direktive o varnosti omrežij in informacij (NIS), ki je bila prvi del zakonodaje EU v zvezi s kibernetsko varnostjo. Novi predpisi zajemajo širši seznam organizacij in tem nalagajo dodatne obveznosti. Cilj direktive NIS2 je povečati varnost omrežnih in informacijskih sistemov v EU z zahtevo, da zavezanci izvajajo ustrezne varnostne ukrepe ter o vseh incidentih poročajo ustreznim organom. Direktiva velja tako za javni kot tudi za zasebni sektor.

Kateri so pomembni izzivi, ki jih obravnava direktiva NIS2, in katere ključne novosti uvaja ta EU direktiva?

Cilj direktive NIS2 je okrepiti področje kibernetske varnosti z oblikovanjem standardiziranega pristopa, ki ga bo sprejela široka paleta sektorjev. Nove smernice bodo nadomestile obstoječo direktivo NIS, da bi te združile ukrepe kibernetske varnosti s pristopom, ki temelji na tveganju, za boj proti naraščajočim kibernetskim napadom. Novosti vključujejo celovit regulativni okvir in dodajanje novih sektorjev, vključno s panogami, ki predstavljajo kritično varnostno tveganje, kot so zdravstvo, transport in podjetja, ki upravljajo digitalne storitve.

Reklamni oglas

Regulativni okvir vključuje vrsto najboljših praks, ki standardizirajo varnost in uveljavljajo zahteve z uporabo strogih kazni ter obveznih zahtev za poročanje o incidentih. Nova direktiva poudarja tudi vseevropski program sodelovanja in delitve ranljivosti za povečanje preglednosti med organizacijami.

Kako NIS2 direktiva vpliva na varnost vašega podjetja

Katere specifične ukrepe kibernetske varnosti in strategije obvladovanja tveganja predpisuje direktiva NIS2?

NIS2 predpisuje več varnostnih ukrepov, ki bodo veljali kot minimalne zahteve za vse organizacije. Ti ukrepi vključujejo vzpostavljene politike varnosti informacijskega sistema, krizno upravljanje in ukrepe kontinuitete (npr. rezervno upravljanje), prakse in usposabljanje kibernetske higiene ter oceno postopkov obvladovanja tveganj in njihove učinkovitosti.

Direktiva uvaja tudi nove, strožje zahteve za spodbujanje podjetij k spoštovanju direktive, vključno z višjimi denarnimi globami za neupoštevanje in večjo odgovornost vodstva. To pomeni, da se vodstvo lahko sooča z večjim tveganjem, če njihova organizacija ne izpolnjuje zahtev NIS2. Minimalne zahteve za varnostne protokole in prenos odgovornosti na vodilne prisilijo organizacije, da bolj resno jemljejo IT-varnost ter si prizadevajo zaščititi svojo organizacijo in stranke pred kibernetskimi napadi.

Kako naj se organizacije pripravijo na učinkovito upravljanje incidentov in poročanje po NIS2?

Reklamni oglas

Za vodje IT-varnosti je ena najbolj opaznih posodobitev skrajšan čas za poročanje o varnostnih incidentih. Podjetja morajo zdaj to zagotoviti v 24 urah po zaznavi incidenta, nato pa v 72 urah podati opis dogodka in v enem mesecu izčrpen opis incidenta, posledic ter rešitev.

Organizacije naj naredijo naslednje korake:

  • Ocenijo trenutno tveganje: Izvedejo notranjo analizo tveganja (sistemski pregled, pen test, test socialnega inženiringa) ter prepoznajo svoje ranljivosti.
  • Naredijo načrt odzivanja na incidente: Premišljen načrt odzivanja na incidente jih bo pripravil na nove smernice NIS2.
  • Redno izvajajo usposabljanja in ozaveščajo zaposlene: Zaposlene redno obveščajo o aktualnih kibernetskih grožnjah ter jih pripravijo na primere različnih IT-varnostnih incidentov.

 

Kako si predstavljate razvoj direktive NIS in prihodnost kibernetske varnosti?

Direktiva NIS2 odgovarja na potrebo po boljši kibernetski varnosti glede na trenutne globalne grožnje. Varnostni strokovnjaki se zavedamo, da se digitalne grožnje nenehno razvijajo, zato so zakoni, kot je NIS2, nujno potrebni. Pričakujemo, da bosta umetna inteligenca in kvantno računalništvo preoblikovala IT-varnostno področje, kar bo zahtevalo nove in posodobljene predpise za soočanje z aktualnimi grožnjami. Verjetno lahko kmalu pričakujemo tudi tretjo različico, t. i. NIS3 ali vsaj dopolnitev obstoječe.

Reklamni oglas

Kaj priporočate trenutnim zavezancem po uredbi NIS2 in ostalim, ki trenutno še niso obvezni zavezanci?

Večina večjih in srednje velikih slovenskih podjetij je razmeroma dobro pripravljenih na trenutne kibernetske grožnje, zlasti glede zmogljivosti njihove IT-varnostne opreme. Največja ranljivost teh organizacij je še vedno pri zaposlenih. Slovenska podjetja premalo vlagajo v izobraževanje zaposlenih o IT-varnosti.

Vsem zavezancem svetujem, da najprej opravijo temeljit pregled svoje IT-varnosti, odpravijo pomanjkljivosti, poskrbijo za ustrezno dokumentacijo, izobrazijo zaposlene ter vzpostavijo rešitve za bodoče upravljanje zahtev NIS2 in njenih nadgradenj. Organizacije, ki so pravilno skladne z GDPR uredbo in ZVOP-2 ter imajo pridobljen standard ISO 27001, imajo precej olajšano delo, saj imajo določene pravilnike in smernice že ustrezno urejene.

NIS2 je priložnost tudi za organizacije, ki trenutno še niso zavezanke, vendar lahko že danes implementirajo smernice in priporočila uredbe ter s tem izboljšajo svojo odpornost na kibernetske grožnje.

Reklamni oglas

 

Kako NIS2 direktiva vpliva na varnost vašega podjetja

Bi radi še kaj dodali?

Ker so nekateri še vedno mnenja, da je vlaganje v informacijske tehnologije le nepotreben strošek, jih pozivam, da naj pomislijo, koliko časa in kadra je bilo nekoč potrebnega za opravljanje dela, ki ga danes z IT-tehnologijo opravi en sam zaposleni v nekaj urah ali celo nekaj sekundah. Investiranje v informacijsko tehnologijo je danes nuja in hkrati dolgoročna naložba za vsako podjetje ter organizacijo.

Direktiva NIS2 prinaša pomembne spremembe in zahteve za podjetja ter organizacije v EU, ki bodo povečale odpornost na kibernetske grožnje. V tem hitro spreminjajočem se okolju je ključno, da so podjetja dobro pripravljena in sposobna učinkovito upravljati svojo kibernetsko varnost.

Reklamni oglas

Za pomoč pri uskladitvi za direktivo NIS 2, obiščite spletno stran NIS2.si, kjer lahko naročite:

  • Ocenjevanje tveganj: Izvajanje notranjih analiz tveganj, sistemskih pregledov, penetracijskih testov in testov socialnega inženiringa za prepoznavanje ranljivosti.
  • Načrtovanje odziva na incidente: Razvoj premišljenih načrtov za učinkovito odzivanje na kibernetske incidente v skladu z NIS2 smernicami.
  • Izobraževanje zaposlenih: Redna usposabljanja in ozaveščanje zaposlenih o aktualnih kibernetskih grožnjah in IT-varnostnih protokolih.
  • Upravljanje varnostnih politik: Uvajanje in vzdrževanje politik varnosti informacijskega sistema ter kriznega upravljanja.
  • NIS2 Control: Celovita platforma za upravljanje skladnosti z NIS 2 direktivo.
  • Svetovanje o kibernetski varnosti: Svetovanje na področju IT-varnosti glede na stanje v organizaciji.

Ne dovolite, da vas presenetijo hekerji ali visoke globe zaradi neupoštevanja direktive NIS 2.

Za več informacij obiščite www.nis2.si ali www.virtual.si.

 

 

Reklamni oglas