Poglavja 08 Uveljavljeno: 18. oktober 2024

Direktiva NIS2

Direktiva o varnosti omrežij in informacijskih sistemov

Pregled

NIS2 nadomešča in bistveno širi prvotno Direktivo NIS, s čimer vzpostavlja visoko skupno raven kibernetske varnosti po vsej EU. Nanaša se na veliko širši spekter sektorjev in subjektov, uvaja strožje nadzorne ukrepe ter usklajuje sankcije med državami članicami.[1]

Kot direktiva je NIS2 zahtevala prenos v nacionalno zakonodajo do 17. oktobra 2024. Izvajanje se razlikuje glede na državo članico.

Obseg: Bistveni proti pomembnim subjektom

Bistveni subjekti (strožji nadzor)[2]

SektorPrimeri
EnergijaElektrika, nafta, plin, vodik, daljinsko ogrevanje
TransportZračni, železniški, vodni, cestni
BančništvoKreditne institucije
Finančni trgiTrgovske platforme, centralni nasprotni udeleženci
ZdravjeZdravstveni ponudniki, laboratoriji, farmacija, medicinske naprave
Pitna vodaDobavitelji vode
Odpadne vodeObdelava odpadnih voda
Digitalna infrastrukturaIXP-ji, DNS, registri TLD, oblak, podatkovni centri, CDN-ji, TSP-ji
Upravljanje ICT storitevPonudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev
Javna upravaSubjekti centralne vlade
VesoljeOperaterji zemeljskih infrastruktur

Pomembni subjekti (blažji nadzor)

SektorPrimeri
Poštne storitvePoštne in kurirske storitve
Upravljanje odpadkovZbiranje in obdelava odpadkov
KemikalijeProizvodnja in distribucija
HranaProizvodnja in distribucija
ProizvodnjaMedicinske naprave, elektronika, stroji, vozila
Digitalni ponudnikiSpletna tržnica, iskalniki, družbena omrežja
RaziskaveRaziskovalne organizacije

Velikostni pragovi

NIS2 se na splošno nanaša na srednje in velike subjekte:

  • Srednji: 50+ zaposlenih ALI 10 milijonov €+ prihodkov/bilance stanja
  • Veliki: 250+ zaposlenih ALI 50 milijonov €+ prihodkov ALI 43 milijonov €+ bilance stanja

Nekateri subjekti veljajo ne glede na velikost (DNS, registri TLD, ponudniki oblaka, podatkovni centri itd.).

Ključne zahteve

Ukrepi za upravljanje tveganj (člen 21)[3]

Subjekti morajo uvesti ustrezne tehnične, operativne in organizacijske ukrepe:

  1. Politike: Analiza tveganj in politike varnosti informacijskih sistemov
  2. Ravnanje z incidenti: Postopki zaznavanja, odziva in okrevanja
  3. Poslovna kontinuiteta: Varnostne kopije, obnovitev po nesrečah, upravljanje kriz
  4. Varnost dobavne verige: Varnostne zahteve za dobavitelje
  5. Varnost omrežja: Varnost pri pridobivanju, razvoju in vzdrževanju
  6. Ocena učinkovitosti: Politike za ocenjevanje učinkovitosti varnostnih ukrepov
  7. Osnovna kibernetska higiena: Programi usposabljanja in ozaveščanja
  8. Kryptografija: Politike o kriptografskih kontrolah in šifriranju
  9. Človeški viri: Varnost osebja in nadzor dostopa
  10. Večfaktorska avtentikacija: MFA in varni komunikacijski sistemi

Prijava incidentov (člen 23)[4]

Časovni okvirZahteva
24 urZgodnje opozorilo CSIRT/kompetentnemu organu
72 urObvestilo o incidentu z začetno oceno
1 mesecKončno poročilo z vzrokom in ukrepi za ublažitev

Pomembne incidente je treba prijaviti, če povzročijo ali lahko povzročijo hudo motnjo v delovanju ali finančno izgubo, ali vplivajo na druge fizične ali pravne osebe.

Odgovornost upravljanja

Upravni organi morajo:

  • Odobriti ukrepe za upravljanje tveganj kibernetske varnosti
  • Nadzorovati izvajanje varnostnih ukrepov
  • Biti osebno odgovorni za neizpolnjevanje
  • Opraviti usposabljanje o kibernetski varnosti

Sankcije

  • Bistveni subjekti: Do 10 milijonov € ali 2 % globalnega prometa
  • Pomembni subjekti: Do 7 milijonov € ali 1,4 % globalnega prometa[5]

Države članice lahko uvedejo dodatne sankcije, vključno s začasnimi prepovedmi upravljanja.

Obveznosti razvijalcev in ponudnikov ICT storitev

Če nudite ICT storitve ali izdelke:

  1. Ponudniki upravljanih storitev: Neposredno v obsegu kot bistveni subjekti
  2. Ponudniki oblaka: Neposredno v obsegu kot bistveni subjekti
  3. Razvijalci programske opreme: Obveznosti v dobavni verigi od strank-subjektov
  4. Varnostni ponudniki: Lahko so določeni kot pomembni subjekti

Viri in reference

[1]
Direktiva (EU) 2022/2555 o visoki skupni ravni kibernetske varnosti. EUR-Lex: Uradno besedilo NIS2
[2]
Priloge I in II NIS2: sektorji bistvenih in pomembnih subjektov. NIS2-Directive.com: Sektorji
[3]
Člen 21 NIS2: Ukrepi za upravljanje tveganj kibernetske varnosti. NIS2-Directive.com: Člen 21
[4]
Člen 23 NIS2: Obveznosti prijave incidentov. NIS2-Directive.com: Člen 23
[5]
Člen 34 NIS2: Upravno kaznovanje. NIS2-Directive.com: Člen 34