Ste pripravljeni za implementacijo direktive NIS2?

Raziskava poudarja, da kar 84% organizacij, ki niso izvedle revizije skladnosti, doživlja težave pri zaščiti podatkov ali pa so nedavno bile tarča neke oblike kibernetskega napada. Po drugi strani pa je med organizacijami, ki so izvedle revizijo skladnosti, le 21% poročalo o kakršni koli zlorabi podatkov. Po izvedbi revizije skladnosti se je število organizacij, ki so prijavile kršitev varstva podatkov, po polovici zmanjšalo.

Neprestano smo priča pojavljanju novih regulativ, ki postajajo vse strožje in podrobneje določene. To prav tako vodi k strožjim revizijam, ki odkrivajo nove ranljivosti. Zelo kmalu bo začela veljati dolgo pričakovana in napovedana direktiva NIS2 (Direktiva o varnosti omrežij in informacij). Vse članice Evropske unije, in s tem tudi zavezanci direktive, morajo do 17. oktobra 2024 sprejeti in objaviti ukrepe za uskladitev z regulativo ter te ukrepe začeti izvajati že naslednji dan.

Kaj natančno predpisuje in kakšne obveznosti nalaga direktiva NIS2? Čeprav se o direktivi piše že mesece, velja temeljito preučiti gradivo.

Kaj določa NIS2 in na koga se nanaša?

NIS2 je pravna ureditev, namenjena vzpostavitvi varnostnih standardov za zaščito kritične infrastrukture po vsej Evropski uniji. Z implementacijo direktive NIS2 v nacionalno zakonodajo želi Evropska komisija povečati raven kibernetske varnosti znotraj EU in spodbuditi večje mednarodno sodelovanje v boju proti kibernetskim napadom.

Čeprav formalno velja od 16. januarja 2023, morajo države članice EU smernice direktive izvajati šele od oktobra 2024. 17. oktobra morajo javno objaviti ukrepe za uskladitev z direktivo. Ocenjuje se, da bo direktiva neposredno vplivala na približno 160.000 tisoč subjektov pri izboljšanju njihovih varnostnih ukrepov.

Zakaj NIS2, če že obstaja NIS?

Prva verzija regulative, NIS, je bila sprejeta leta 2016. Ta regulativa se je v veliki meri zanašala na diskrecijsko pravico posameznih članic in je bila pomanjkljiva glede odgovornosti zavezancev. Ker nenehna digitalizacija in druge spremembe v poslovanju povečujejo pogostost kibernetskih napadov, je Evropska unija predlagala revizijo direktive, kar je privedlo do podrobnejše in strožje NIS2.

Ker razširja ukrepe in obveznosti v primerjavi s svojo predhodnico, regulativa NIS2 zajema več sektorjev in predpisuje dodatne ukrepe za upravljanje tveganj ter obveznosti poročanja o incidentih. NIS2 hkrati omogoča učinkovitejše izvajanje smernic.