Zaostrene zahteve na področju informacijske varnosti

EU bo zaostrila in poenotila zahteve na področju informacijske varnosti. Podobno počne tudi ZDA. Razlogi za to so precej očitni. Poslovanje podjetij je vse bolj informatizirano, podatki podjetij pa so vse bolj centralizirani v velikih podatkovnih centrih. To povečuje produktivnost, a hkrati povečuje ranljivost podjetij. Tu imamo še odkrite grožnje ruskih »državnih« hekerjev z napadi na vsa evropska podjetja in državno infrastrukturo. Slovenski SI-CERT opozarja, da se število napadov iz leta v leto povečuje in da  gre za dolgoletni trend.

EU je zato sprejela novo zakonodajo. Vsebina zahtev v novih aktih je zelo podobna že obstoječim zahtevam za trenutne zavezance po zakonodaji o kritični infrastrukturi. V bistvu gre za zahteve povzete po standardih informacijske varnosti ISO 27001 in ISO 22301 glede neprekinjenega poslovanja, ki temeljijo na osnovni higieni in dobrih praksah iz tega področja. Seznam nove zakonodaje in zelo kratek povzetek:

1) Direktiva NIS 2 (Network Information Security) DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. 12.  2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji

Ker gre za Direktivo, je potreben zakon. V javni razpravi do 31.5.2024 je trenutno drugi predlog Zakona o informacijski varnosti ZINFV-1. Datum za implementacijo je 17.10.2024, predlog zakona ga sicer podaljšuje. Največ novih zavezancev bo ravno po NIS-2. Zavezanci so srednja podjetja (50 + zaposlenih, 10 milijonov evrov prihodkov ali aktiva 10 milijonov evrov) in pogoj dejavnosti: energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov, digitalni ponudniki in raziskave. Nekateri bodo zavezanci ne glede na velikost. Bistveno je, da se morajo zavezanci sami prijaviti na Urad republike Slovenije za informacijsko varnost (URSIV), seveda po opravljeni samopresoji.

3) Direktiva CER (Critical Entities Resilience) DIREKTIVA (EU) 2022/2557 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o odpornosti kritičnih subjektov

V javni obravnavi je predlog  Zakona o spremembah in dopolnitvah zakona o kritični infrastrukturi, javna razprava poteka od 8.5.2024. Vlada RS naj bi identificirala zavezance do 17.6.2026.

2) Uredba DORA za finančno industrijo ( Digital Operational Resiliance Act) UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA z dne 14.12.22 o digitalni operativni odpornosti za finančni sektor

Uredba EU se uporablja neposredno od 25.1.2025 dalje. Zavezanci so finančni sektor (banke, zavarovalnice,  ipd.). Banka Slovenije že preverja pripravo novih zavezancev na začetek uporabe Uredbe DORA.

4) 23. člen Zakona o varstvu osebnih podatkov ZVOP-2 

Ta se bo začel uporabljati 26.1.2026. Med drugim se bo uporabljal za pravne osebe, ki imajo informacijske sisteme, v katerih potekajo obdelave za več kot 10.000 oseb glede občutljivih (posebne vrste) osebnih podatkov iz zdravstva, sindikatov, biometrije… ali pa je temeljna dejavnost obsežna obdelava občutljivih podatkov (npr. tudi večji zasebni zdravniki, večji sindikati ipd.). Za te bo veljala smiselna uporaba varnostnih zahtev po zakonu o informacijski varnosti.

Povzetek: Glavna sprememba je v enormnem povečanju števila zavezancev. Iz približno 60 sedanjih bo nova zakonodaja zajela približno 1.000 novih zavezancev, nekatere ocene gredo celo proti številki 2.000. Pomemben element novosti je obvezen nadzor dobaviteljev, ki bodo morali izvajati varnostne ukrepe. Tudi če niste neposredni zavezanec, so pa vaši kupci, se boste s tem ukvarjali. Druge zahteve so npr. popis informacijskih sredstev, ocena tveganja, sprejem varnostnih politik in izvajanje obveznih varnostih ukrepov. Za vodstvo, zaposlene in informatike je predvideno redno letno izobraževanje. Zakonodaja je napisana tako, da omogoča smiselno prilagajanje (tudi omilitev) zahtev glede na velikost, kritičnost, dejavnost ali izpostavljenost zavezanca.

Kot prvi korak priporočamo preveritev, ali ste zavezanec.

Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005