Digitalizacija
22.05.2024 07:15

Deli z drugimi:

Share

Zaostrene zahteve na področju informacijske varnosti

Nova zakonodaja o informacijski varnosti bo število zavezancev povečala iz približno sedanjih 60 na več kot 1000 novih (NIS2, DORA, CER, ZVOP-2, ZINFV-1) Ali ste med njimi?
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005
Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005

EU bo zaostrila in poenotila zahteve na področju informacijske varnosti. Podobno počne tudi ZDA. Razlogi za to so precej očitni. Poslovanje podjetij je vse bolj informatizirano, podatki podjetij pa so vse bolj centralizirani v velikih podatkovnih centrih. To povečuje produktivnost, a hkrati povečuje ranljivost podjetij. Tu imamo še odkrite grožnje ruskih »državnih« hekerjev z napadi na vsa evropska podjetja in državno infrastrukturo. Slovenski SI-CERT opozarja, da se število napadov iz leta v leto povečuje in da  gre za dolgoletni trend.

EU je zato sprejela novo zakonodajo. Vsebina zahtev v novih aktih je zelo podobna že obstoječim zahtevam za trenutne zavezance po zakonodaji o kritični infrastrukturi. V bistvu gre za zahteve povzete po standardih informacijske varnosti ISO 27001 in ISO 22301 glede neprekinjenega poslovanja, ki temeljijo na osnovni higieni in dobrih praksah iz tega področja. Seznam nove zakonodaje in zelo kratek povzetek:

1) Direktiva NIS 2 (Network Information Security) DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. 12.  2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji

Ker gre za Direktivo, je potreben zakon. V javni razpravi do 31.5.2024 je trenutno drugi predlog Zakona o informacijski varnosti ZINFV-1. Datum za implementacijo je 17.10.2024, predlog zakona ga sicer podaljšuje. Največ novih zavezancev bo ravno po NIS-2. Zavezanci so srednja podjetja (50 + zaposlenih, 10 milijonov evrov prihodkov ali aktiva 10 milijonov evrov) in pogoj dejavnosti: energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja določenih vrst izdelkov, digitalni ponudniki in raziskave. Nekateri bodo zavezanci ne glede na velikost. Bistveno je, da se morajo zavezanci sami prijaviti na Urad republike Slovenije za informacijsko varnost (URSIV), seveda po opravljeni samopresoji.

3) Direktiva CER (Critical Entities Resilience) DIREKTIVA (EU) 2022/2557 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o odpornosti kritičnih subjektov

V javni obravnavi je predlog  Zakona o spremembah in dopolnitvah zakona o kritični infrastrukturi, javna razprava poteka od 8.5.2024. Vlada RS naj bi identificirala zavezance do 17.6.2026.

2) Uredba DORA za finančno industrijo ( Digital Operational Resiliance Act) UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA z dne 14.12.22 o digitalni operativni odpornosti za finančni sektor

Uredba EU se uporablja neposredno od 25.1.2025 dalje. Zavezanci so finančni sektor (banke, zavarovalnice,  ipd.). Banka Slovenije že preverja pripravo novih zavezancev na začetek uporabe Uredbe DORA.

4) 23. člen Zakona o varstvu osebnih podatkov ZVOP-2 

Ta se bo začel uporabljati 26.1.2026. Med drugim se bo uporabljal za pravne osebe, ki imajo informacijske sisteme, v katerih potekajo obdelave za več kot 10.000 oseb glede občutljivih (posebne vrste) osebnih podatkov iz zdravstva, sindikatov, biometrije… ali pa je temeljna dejavnost obsežna obdelava občutljivih podatkov (npr. tudi večji zasebni zdravniki, večji sindikati ipd.). Za te bo veljala smiselna uporaba varnostnih zahtev po zakonu o informacijski varnosti.

Povzetek: Glavna sprememba je v enormnem povečanju števila zavezancev. Iz približno 60 sedanjih bo nova zakonodaja zajela približno 1.000 novih zavezancev, nekatere ocene gredo celo proti številki 2.000. Pomemben element novosti je obvezen nadzor dobaviteljev, ki bodo morali izvajati varnostne ukrepe. Tudi če niste neposredni zavezanec, so pa vaši kupci, se boste s tem ukvarjali. Druge zahteve so npr. popis informacijskih sredstev, ocena tveganja, sprejem varnostnih politik in izvajanje obveznih varnostih ukrepov. Za vodstvo, zaposlene in informatike je predvideno redno letno izobraževanje. Zakonodaja je napisana tako, da omogoča smiselno prilagajanje (tudi omilitev) zahtev glede na velikost, kritičnost, dejavnost ali izpostavljenost zavezanca.

Kot prvi korak priporočamo preveritev, ali ste zavezanec.


Miroslav Ekart iz Datainfo.si je pooblaščena oseba za varstvo podatkov in Lead risk manager po ISO 27005


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Datainfo.si.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

CDS COM d.o.o.

Pot k sejmišču 30, 1231 Ljubljana Črnuče, Tel: 01 580 96 50
Podjetje CDS COM d.o.o. je na slovenskem trgu prisotno že več kot 30 let. Prepoznavno je kot kvaliteten distributer in serviser strojne opreme za potrebe digitalnega tiska. Poleg ... Več
Zlati partner

Enaa / Gambit trade d.o.o.

Savska cesta 3a, 1000 Ljubljana, Tel: 01 437 63 33
Gambit trade d.o.o. je eno najstarejših in uspešnejših računalniških podjetij pri nas. S svojo inovativnostjo premikajo meje. Tako so že leta 1999 postavili tudi Enaa prvo spletno ... Več

ETRUST d.o.o.

Arja vas 101, 3301 Petrovče, Tel: 03 710 37 80
Etrust d.o.o. razvija MES sisteme, namenjene planiranju in optimizaciji proizvodnje, ki so povezljive tudi z ERP sistemi, kot je npr. SAP. Več
Zlati partner

E-športna zveza Slovenije (EŠZS)

Zvezda 19, 1000 Ljubljana,
E-šport je v preteklem desetletju doživel izjemno rast, tako glede gledanosti, raznovrstnosti in prihodkov. Povečana gledanost, k čemer so prispevale platforme za pretakanje vsebin ... Več