Digitalizacija
22.05.2024 07:15

Deli z drugimi:

Share

Zaostrene zahteve na področju informacijske varnosti

Nova zakonodaja o informacijski varnosti bo število zavezancev povečala iz približno sedanjih 60 na več kot 1000 novih (NIS2, DORA, CER, ZVOP-2, ZINFV-1) Ali ste med njimi?
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005

EU bo zaostrila in poenotila zahteve na področju informacijske varnosti. Podobno počne tudi ZDA. Razlogi za to so precej očitni. Poslovanje podjetij je vse bolj informatizirano, podatki podjetij pa so vse bolj centralizirani v velikih podatkovnih centrih. To povečuje produktivnost, a hkrati povečuje ranljivost podjetij. Tu imamo še odkrite grožnje ruskih »državnih« hekerjev z napadi na vsa evropska podjetja in državno infrastrukturo. Slovenski SI-CERT opozarja, da se število napadov iz leta v leto povečuje in da  gre za dolgoletni trend.

EU je zato sprejela novo zakonodajo. Vsebina zahtev v novih aktih je zelo podobna že obstoječim zahtevam za trenutne zavezance po zakonodaji o kritični infrastrukturi. V bistvu gre za zahteve povzete po standardih informacijske varnosti ISO 27001 in ISO 22301 glede neprekinjenega poslovanja, ki temeljijo na osnovni higieni in dobrih praksah iz tega področja. Seznam nove zakonodaje in zelo kratek povzetek:

1) Direktiva NIS 2 (Network Information Security) DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. 12.  2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji

Ker gre za Direktivo, je potreben zakon. V javni razpravi do 31.5.2024 je trenutno drugi predlog Zakona o informacijski varnosti ZINFV-1. Datum za implementacijo je 17.10.2024, predlog zakona ga sicer podaljšuje. Največ novih zavezancev bo ravno po NIS-2. Zavezanci so srednja podjetja (50 + zaposlenih, 10 milijonov evrov prihodkov ali aktiva 10 milijonov evrov) in pogoj dejavnosti: energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov, digitalni ponudniki in raziskave. Nekateri bodo zavezanci ne glede na velikost. Bistveno je, da se morajo zavezanci sami prijaviti na Urad republike Slovenije za informacijsko varnost (URSIV), seveda po opravljeni samopresoji.

3) Direktiva CER (Critical Entities Resilience) DIREKTIVA (EU) 2022/2557 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o odpornosti kritičnih subjektov

V javni obravnavi je predlog  Zakona o spremembah in dopolnitvah zakona o kritični infrastrukturi, javna razprava poteka od 8.5.2024. Vlada RS naj bi identificirala zavezance do 17.6.2026.

2) Uredba DORA za finančno industrijo ( Digital Operational Resiliance Act) UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA z dne 14.12.22 o digitalni operativni odpornosti za finančni sektor

Uredba EU se uporablja neposredno od 25.1.2025 dalje. Zavezanci so finančni sektor (banke, zavarovalnice,  ipd.). Banka Slovenije že preverja pripravo novih zavezancev na začetek uporabe Uredbe DORA.

4) 23. člen Zakona o varstvu osebnih podatkov ZVOP-2 

Ta se bo začel uporabljati 26.1.2026. Med drugim se bo uporabljal za pravne osebe, ki imajo informacijske sisteme, v katerih potekajo obdelave za več kot 10.000 oseb glede občutljivih (posebne vrste) osebnih podatkov iz zdravstva, sindikatov, biometrije… ali pa je temeljna dejavnost obsežna obdelava občutljivih podatkov (npr. tudi večji zasebni zdravniki, večji sindikati ipd.). Za te bo veljala smiselna uporaba varnostnih zahtev po zakonu o informacijski varnosti.

Povzetek: Glavna sprememba je v enormnem povečanju števila zavezancev. Iz približno 60 sedanjih bo nova zakonodaja zajela približno 1.000 novih zavezancev, nekatere ocene gredo celo proti številki 2.000. Pomemben element novosti je obvezen nadzor dobaviteljev, ki bodo morali izvajati varnostne ukrepe. Tudi če niste neposredni zavezanec, so pa vaši kupci, se boste s tem ukvarjali. Druge zahteve so npr. popis informacijskih sredstev, ocena tveganja, sprejem varnostnih politik in izvajanje obveznih varnostih ukrepov. Za vodstvo, zaposlene in informatike je predvideno redno letno izobraževanje. Zakonodaja je napisana tako, da omogoča smiselno prilagajanje (tudi omilitev) zahtev glede na velikost, kritičnost, dejavnost ali izpostavljenost zavezanca.

Kot prvi korak priporočamo preveritev, ali ste zavezanec.


Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Datainfo.si.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

TEHNOLOŠKI PARK LJUBLJANA d.o.o.

Tehnološki park 19, 1000 Ljubljana, Tel: 01 620 34 01
Tehnološki park Ljubljana (TP LJ) kot mednarodni tehnološki hub, kjer se stikajo vrhunske tehnologije, srečujejo najboljša razvojna podjetja in nastajajo nove tehnološke zgodbe. ... Več

NEXT LINE d.o.o.

Ob železnici 16, 1000 Ljubljana, Tel: 041 776 822
Next line, specializirane storitve tiska pod eno streho V podjetju Next line iz Ljubljane so se osredotočili na specializirane storitve tiska s termičnimi, sublimacijskimi in ... Več

PRIMO TELEFONIJA d.o.o.

Šmartinska cesta 106, 1000 Ljubljana, Tel: 07 490 14 50
Zlati partner

SAMSUNG GmbH, podružnica v Ljubljani

Letališka cesta 29a, 1000 Ljubljana, Tel: +386 80 697 267
Samsung Electronics Co. je vodilni tehnološki gigant, ki navdihuje svet ter oblikuje prihodnost s prodornimi zamislimi in tehnologijami. Njihova poslovna filozofija, ki temelji na ... Več