Prihaja novi Zakon o informacijski varnosti

V zapletenih geopolitičnih razmerah in povečani spletni kriminalni dejavnosti se svet sooča z vedno novejšimi kibernetskimi grožnjami. Konflikti med državami niso več omejeni le na fizična bojišča, temveč se odvijajo tudi v kibernetskem prostoru. Kibernetski napadi postajajo vse bolj prefinjeni in ciljno usmerjeni, kar predstavlja resno grožnjo tako za nacionalno varnost kot za varnost podjetij in posameznikov.

Direktiva NIS 2 kot ključ do večje kibernetske varnosti v Evropski uniji (EU)

Poglavitni namen priprave novega zakona ZInfv-1 je prenos zakonodaje EU v slovenski pravni red. S predlaganim novim zakonom Slovenija namreč med drugim v svoj pravni red prenaša evropsko Direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, znano tudi kot direktivo NIS 2, ki je bila sprejeta decembra 2022, države članice EU pa naj bi jo v svoj pravni red prenesle do 17. oktobra 2024.

Direktiva NIS 2 predstavlja vseevropsko zakonodajo o kibernetski varnosti in določa pravne ukrepe za povečevanje splošne ravni kibernetske odpornosti v EU. Glavni cilj direktive je posodobiti obstoječi pravni okvir, da bi sledil vse večji digitalizaciji in grožnjam kibernetske varnosti. Z razširitvijo uporabe pravil o kibernetski varnosti na nova področja in subjekte direktiva dodatno izboljšuje odpornost ter zmogljivosti odzivanja na kibernetske incidente. S tem bo prispevala k večji kibernetski varnosti podjetji, držav članic ter EU kot celote.

Širši obseg in večja odgovornost

Obseg direktive NIS 2 je bistveno širši in ni več nujno povezan s predhodno identifikacijo podjetja kot zavezanca od pristojnih nacionalnih organov. Podjetje bo tako v primeru, da spada v kategorijo velikega ali srednjega podjetja (kar pomeni, da ima več kot 50 zaposlenih in letni promet več kot 10 milijonov evrov) ter deluje v enem izmed opredeljenih visoko kritičnih ali kritičnih sektorjev, spadalo med zavezance direktive. Pri tem obstajajo izjeme, ko so subjekti zavezani ne glede na velikost.

Pomembna novost je, da direktiva na novo opredeljuje kritične sektorje, ki niso enaki kot v obstoječem Zakonu o informacijski varnosti. Prav tako se bodo zavezanci po novem delili na bistvene in pomembne subjekte. Vsak zavezanec se bo moral samoprepoznati oz. samoregistrirati preko mehanizma za samoregistracijo, ki ga bo v ta namen vzpostavil URSIV kot pristojni nacionalni organ. URSIV bo torej šele na podlagi pridobljenih informacij samoregistriranih zavezancev vzpostavil seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen.

Direktiva NIS 2 prav tako krepi varnostne zahteve za zavezane subjekte, uvaja natančnejše določbe o postopku poročanja o incidentih, vsebini poročil in rokih za njihovo predložitev. Tudi ključni ponudniki digitalnih storitev, kot so iskalniki, storitve računalništva v oblaku in spletne tržnice, bodo po novem morali izpolnjevati zahteve glede varnosti in obveščanja. Določa tudi strožje nadzorne ukrepe, okrepljeno varnost dobavnih verig ter vzpostavlja osnovni okvir za usklajeno razkritje ranljivosti.

Priporočila za pripravo na nove zahteve

Priporočeno je, da podjetja preučijo obstoječe varnostne politike in izboljšajo morebitne pomanjkljivosti na področju kibernetske varnosti. Hkrati je dobro, da podjetja in drugi deležni akterji pregledajo direktivo NIS 2 in preučijo novosti, ki jih prinaša. Slednje bo olajšalo prehod na zahteve, ki jih bo vseboval nov zakon. Več na www.gov.si. (P.R.)