Zakaj NIS2, če že obstaja NIS?

NIS regulativa se je v veliki meri zanašala na diskrecijsko pravico posameznih članic in je bila pomanjkljiva glede odgovornosti zavezancev. Ker nenehna digitalizacija in druge spremembe v poslovanju povečujejo pogostost kibernetskih napadov, je Evropska unija predlagala revizijo direktive, kar je privedlo do podrobnejše in strožje NIS2.

Ker razširja ukrepe in obveznosti v primerjavi s svojo predhodnico, regulativa NIS2 zajema več sektorjev in predpisuje dodatne ukrepe za upravljanje tveganj ter obveznosti poročanja o incidentih. NIS2 hkrati omogoča učinkovitejše izvajanje smernic.

V primerjavi s prejšnjo verzijo NIS2 dodaja štiri bistvene razlike:

Razširjen obseg

NIS direktiva iz leta 2016 je identificirala samo zdravstvo, oskrbo s pitno vodo, digitalno infrastrukturo, finančni trg, bančništvo in energetiko kot ključne sektorje. V “Essential” sektorju nove in razširjene NIS2 regulative se, poleg prej naštetih, nahajajo tudi ponudniki digitalnih storitev, javna uprava, sektor ravnanja z odpadki, farmacevtska podjetja ter organizacije, ki se ukvarjajo z raziskovanjem vesolja.

NIS2 je “Essential” kategoriji dodala tudi “Important”, s čimer direktiva vključuje tudi ponudnike javnih komunikacij, proizvajalce kemikalij, podjetja za proizvodnjo in distribucijo hrane, družabna omrežja in spletno trgovino ter dostavne storitve.

Poosstreni varnostne zahteve

Konec koncev je cilj NIS2 regulative zaščititi omrežne in informacijske sisteme ter fizično okolje teh sistemov pred varnostnimi incidenti. Člen 21 NIS2 direktive podrobno opisuje vse varnostne ukrepe, ki jih morajo organizacije upoštevati, da bi dosegli ta cilj. Ukrepajoči vključujejo:

• Analiza tveganja

• Reševanje incidentov

• Zagotavljanje poslovnega kontinuiteta in upravljanje tveganj

• Zaščita oskrbnih verig

• Zaščita omrežij in informacijskih sistemov

• Upravljanje tveganj

• Nenehno izobraževanje o kibernetski varnosti

• Kriptografija in šifriranje

• Nadzor dostopa in upravljanje virov

• Večfaktorska avtentikacija

Obvezno poročanje o incidentih

Po NIS2 bodo organizacije morale prijaviti vsak resen kibernetski napad takoj po njegovem izbruhu. Kot “resen” se šteje vsak incident, ki bi lahko potencialno negativno vplival na zagotavljanje storitev organizacije. Podjetja morajo zato oddati “Early warning” poročilo v roku 24 ur ali obvestiti o incidentu v 72 urah od prvega zavedanja o njegovem obstoju. Končno poročilo je treba predložiti v 30 dneh.

Kazni v primeru neupoštevanja

V primerjavi s svojo predhodnico, NIS2 prinaša znatno strožje kazni za neupoštevanje. Denarne kazni za subjekte, ki opravljajo eno od bistvenih storitev ali poslov, lahko znašajo do 10.000,00 € ali najmanj 2% skupnega letnega globalnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Po drugi strani pa lahko subjekti iz kategorije “Important” prejmejo kazni do 7.000,00 € ali najmanj 1,4% skupnega letnega globalnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Kako vam lahko Thales pomaga pri skladnosti z NIS2

Z nakupom podjetij Imperva in OneWelcome je Thales razširil svoj nabor rešitev, ki lahko poenostavijo skladnost z zakoni, kot je NIS2.

Njihov razširjeni nabor rešitev vključuje:

• Varnost aplikacij: Zaščita aplikacij in API-jev na ravni obsežnega števila oblakov, on-premise ali hibridnih okolij. Paket vključuje rešitve WAF, zaščito pred DDoS in zlonamernimi BOT napadi, rešitve za zaščito API-jev ter zaščito CDN in RASP (Runtime Application Self-Protection).

• Zaščita podatkov: Odkrivanje in klasifikacija občutljivih podatkov v hibridnem IT okolju, z avtomatsko zaščito – bodisi v počitku, gibanju ali v uporabi podatkov – ter tokenizacijo in upravljanjem ključev. Rešitve iz Thalesovega nabora vključujejo tudi identifikacijo in oceno potencialnih tveganj ter sposobnost prepoznavanja odstopanj od pričakovanega. Prav tako Thales omogoča kontinuirano preverjanje skladnosti ter organizacijam lažje določanje prednostnih nalog.

• Upravljanje identitete in dostopa: Rešitve za večfaktorsko avtentikacijo omogočajo varno in zanesljivo dostopanje do aplikacij in digitalnih storitev za stranke, zaposlene in partnerje.