Slovenija je uradno prenesla direktivo NIS2 v nacionalno zakonodajo z novim Zakonom o informacijski varnosti (ZInfV-1), ki je začel veljati junija 2025. Za številne organizacije to ustvarja občutek nujnosti, pomešan z občutkom zmedenosti. Pomagajmo vam razjasniti nekatere stvari.
Ta članek odgovarja na ključna vprašanja:
- Kakšne posledice ima ZInfV-1 za slovenska podjetja?
- Kakšen je časovni okvir in kako se lahko vaše podjetje pripravi na skladnost?
Direktiva NIS2 v Sloveniji
Z direktivo NIS2 in zakonom ZInfV-1 se v Sloveniji zvišuje prag digitalne odpornosti v sektorjih, ki so ključni za delovanje družbe. Organizacije, na katere se direktiva nanaša, morajo uvesti nove tehnične in operativne mehanizme za upravljanje tveganj, s ciljem zagotoviti nacionalno kibernetsko varnost.
Zakon ZInfV-1 bo močno vplival na poslovno okolje v Sloveniji, saj bo podjetja spodbudil, da:
- Uvedejo mehanizme za upravljanje tveganj
- Se bolje pripravijo na kibernetske grožnje
- Zmanjšajo finančna in operativna tveganja, povezana s kibernetskimi napadi
- Okrepijo svojo splošno informacijsko varnost
Zakon uvaja pomembne spremembe za javni in zasebni sektor ter določa širok nabor zahtev, vključno z zgodnjim obveščanjem o incidentih (najpozneje v 24 urah po prepoznavi), poročanjem o incidentih, načrtovanjem neprekinjenega poslovanja in okrevanja po nesrečah. Glede na obseg teh obveznosti bi morale organizacije čim prej začeti korake k skladnosti – če tega še niso storile. To odpira vprašanje – koliko časa sploh še imamo?
Začetek dirke za skladnost z NIS2
Vprašanje »koliko časa imamo za izpolnitev zahtev iz ZInfV-1?« je eno najpogosteje zastavljenih vprašanj, na katera odgovarja slovenska vlada v pogostih vprašanjih (FAQ) o ZInfV-1. Spodaj navajamo njihov odgovor:
“62. člen ZInfV-1 določa časovni okvir za sprejetje ukrepov za upravljanje tveganj. Prvi odstavek določa, da morajo bistveni in pomembni subjekti uvesti ukrepe za upravljanje tveganj na področju informacijske in kibernetske varnosti, kot je opredeljeno v 21. in 22. členu zakona, v roku osemnajstih mesecev po uveljavitvi zakona. Drugi odstavek nadalje določa, da morajo bistveni subjekti, ki so bili določeni kot ponudniki bistvenih storitev po 6. členu prejšnjega ZInfV, ukrepe iz 21. in 22. člena uvesti v enem letu po uveljavitvi novega zakona. Do tega roka zanje še naprej veljajo varnostne zahteve, dokumentacija, ukrepi, nadzor in kazni iz” starega ZInfV.
Čeprav se roki 12 in 18 mesecev morda zdijo radodarni, zahtevnost in obseg zahtev pomenita, da se morajo organizacije začeti pripravljati takoj.
Kako se pripraviti?
Prvi in najpomembnejši korak je, da natančno opredelite ključne poslovne procese in IT storitve, ki so bistvene za izvajanje vaših osnovnih storitev. Preglejte svoje IT okolje in ugotovite, kateri sistemi, aplikacije in zunanji ponudniki neposredno podpirajo te funkcije. Jasna slika vašega digitalnega ekosistema vam bo pomagala določiti, kaj je treba zaščititi in kako bi motnje lahko vplivale na izvajanje storitev.
Poleg tega je priporočljivo da:
Razmislite o neprekinjenem poslovanju
Eden ključnih elementov direktive NIS2 je neprekinjeno poslovanje, kar pomeni zagotavljanje, da ključni sistemi in aplikacije delujejo tudi ob nepredvidenih dogodkih, vključno s kibernetskimi napadi. Tehnologije, kot sta načrt za obnovo po nesreči (DR) in rešitve za varnostno kopiranje, imajo tu osrednjo vlogo. Dobro opredeljen načrt DR zagotavlja hitro obnovitev sistemov, redne in varne varnostne kopije pa preprečujejo trajno izgubo podatkov.
Sprejmite večplastni pristop k varnosti
Tehnični nadzor je še en ključni del NIS2. Zato razmislite o uvedbi večplastnih varnostnih ukrepov, kot so požarni zidovi, sistemi za zaznavanje/preprečevanje vdorov in večstopenjska avtentikacija za zaščito dostopa do omrežij in občutljivih sistemov.
Vzpostavite kulturo ozaveščenosti o varnosti
Priprava na NIS2 pomeni gradnjo kulture ozaveščenosti in odgovornosti za varnost. To vključuje določitev notranjih odgovornosti za informacijsko varnost, dokumentiranje postopkov in vzpostavitev jasnih komunikacijskih ter odzivnih protokolov za ravnanje z incidenti. Redna izobraževanja, notranje revizije in tesno sodelovanje med IT, skladnostjo in vodstvom bodo pomagali zagotoviti, da vaša organizacija izpolnjuje zahteve NIS2/ZInfV-1.
Skladnost z NIS2/ZInfV-1: Mi vam lahko pomagamo
HC Center lahko vaša podjetja podpre na ključnih področjih skladnosti s specializiranimi IT in oblačnimi rešitvami, podporo pri ocenjevanju in implementaciji ter upravljanimi storitvami.
Obrnite se na naše varnostne strokovnjake in se pozanimajte o rešitvah in storitvah za NIS2.
