Digitalizacija
22.05.2024 07:15

Deli z drugimi:

Share

Zaostrene zahteve na področju informacijske varnosti

Nova zakonodaja o informacijski varnosti bo število zavezancev povečala iz približno sedanjih 60 na več kot 1000 novih (NIS2, DORA, CER, ZVOP-2, ZINFV-1) Ali ste med njimi?
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005

EU bo zaostrila in poenotila zahteve na področju informacijske varnosti. Podobno počne tudi ZDA. Razlogi za to so precej očitni. Poslovanje podjetij je vse bolj informatizirano, podatki podjetij pa so vse bolj centralizirani v velikih podatkovnih centrih. To povečuje produktivnost, a hkrati povečuje ranljivost podjetij. Tu imamo še odkrite grožnje ruskih »državnih« hekerjev z napadi na vsa evropska podjetja in državno infrastrukturo. Slovenski SI-CERT opozarja, da se število napadov iz leta v leto povečuje in da  gre za dolgoletni trend.

EU je zato sprejela novo zakonodajo. Vsebina zahtev v novih aktih je zelo podobna že obstoječim zahtevam za trenutne zavezance po zakonodaji o kritični infrastrukturi. V bistvu gre za zahteve povzete po standardih informacijske varnosti ISO 27001 in ISO 22301 glede neprekinjenega poslovanja, ki temeljijo na osnovni higieni in dobrih praksah iz tega področja. Seznam nove zakonodaje in zelo kratek povzetek:

1) Direktiva NIS 2 (Network Information Security) DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. 12.  2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji

Ker gre za Direktivo, je potreben zakon. V javni razpravi do 31.5.2024 je trenutno drugi predlog Zakona o informacijski varnosti ZINFV-1. Datum za implementacijo je 17.10.2024, predlog zakona ga sicer podaljšuje. Največ novih zavezancev bo ravno po NIS-2. Zavezanci so srednja podjetja (50 + zaposlenih, 10 milijonov evrov prihodkov ali aktiva 10 milijonov evrov) in pogoj dejavnosti: energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov, digitalni ponudniki in raziskave. Nekateri bodo zavezanci ne glede na velikost. Bistveno je, da se morajo zavezanci sami prijaviti na Urad republike Slovenije za informacijsko varnost (URSIV), seveda po opravljeni samopresoji.

3) Direktiva CER (Critical Entities Resilience) DIREKTIVA (EU) 2022/2557 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o odpornosti kritičnih subjektov

V javni obravnavi je predlog  Zakona o spremembah in dopolnitvah zakona o kritični infrastrukturi, javna razprava poteka od 8.5.2024. Vlada RS naj bi identificirala zavezance do 17.6.2026.

2) Uredba DORA za finančno industrijo ( Digital Operational Resiliance Act) UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA z dne 14.12.22 o digitalni operativni odpornosti za finančni sektor

Uredba EU se uporablja neposredno od 25.1.2025 dalje. Zavezanci so finančni sektor (banke, zavarovalnice,  ipd.). Banka Slovenije že preverja pripravo novih zavezancev na začetek uporabe Uredbe DORA.

4) 23. člen Zakona o varstvu osebnih podatkov ZVOP-2 

Ta se bo začel uporabljati 26.1.2026. Med drugim se bo uporabljal za pravne osebe, ki imajo informacijske sisteme, v katerih potekajo obdelave za več kot 10.000 oseb glede občutljivih (posebne vrste) osebnih podatkov iz zdravstva, sindikatov, biometrije… ali pa je temeljna dejavnost obsežna obdelava občutljivih podatkov (npr. tudi večji zasebni zdravniki, večji sindikati ipd.). Za te bo veljala smiselna uporaba varnostnih zahtev po zakonu o informacijski varnosti.

Povzetek: Glavna sprememba je v enormnem povečanju števila zavezancev. Iz približno 60 sedanjih bo nova zakonodaja zajela približno 1.000 novih zavezancev, nekatere ocene gredo celo proti številki 2.000. Pomemben element novosti je obvezen nadzor dobaviteljev, ki bodo morali izvajati varnostne ukrepe. Tudi če niste neposredni zavezanec, so pa vaši kupci, se boste s tem ukvarjali. Druge zahteve so npr. popis informacijskih sredstev, ocena tveganja, sprejem varnostnih politik in izvajanje obveznih varnostih ukrepov. Za vodstvo, zaposlene in informatike je predvideno redno letno izobraževanje. Zakonodaja je napisana tako, da omogoča smiselno prilagajanje (tudi omilitev) zahtev glede na velikost, kritičnost, dejavnost ali izpostavljenost zavezanca.

Kot prvi korak priporočamo preveritev, ali ste zavezanec.


Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Datainfo.si.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Minevra, Matjaž Kramar s.p.

Krallova 31, 8000 Novo mesto, Tel: 041-649-387
Kaj lahko za vas naredi podjetje Minevra? Živimo v digitalni dobi, kjer prevladuje računalniška in tiskalna oprema. Iskanje sebi primerno opremo je izziv in za mnoge zamudno opravilo. ... Več
Zlati partner

Endava PLC

Vilharjeva cesta 46, 1000 Ljubljana,
Endava spreminja odnos med ljudmi in tehnologijo. Pri izkoriščanju prednosti novih poslovnih modelov in priložnosti na trgu pomagamo nekaterim vodilnim svetovnim podjetjem iz ... Več

COPIGRAF FAGANELJ d.o.o.

Ulica tolminskih puntarjev 4, 5000 Nova Gorica, Tel: 05 333 34 56
V digitalnem svetu se poraja pomembno vprašanje. Je digitalna prisotnost vse, kar potrebuje podjetje? Je digitalna identiteta dovolj za krepitev prepoznavnosti blagovne znamke? Ne, ... Več
Srebrni partner

VERLAG DASHOFER d.o.o.

Dunajska cesta 21, 1000 Ljubljana, Tel: 01 434 55 90
Založba Verlag Dashöfer je v Sloveniji prisotna že več kot 20 let. Od ustanovitve leta 2003 smo postali zanesljiva podpora že več kot 15.300 poslovnim uporabnikom, ki spremembe ... Več