NIS2; tveganja in priložnosti za podjetja

avtorji

Fabio Borri

Ni bilo najdenih rezultatov.

Objavljeno dne:

30. julij 2025

Vsebina

Delite ta članek

Uvod in sklici na predpise

NIS je kratica za »varnost omrežij in informacij«.

S to kratico je Evropska skupnost želela označiti zakonodajna prizadevanja za opredelitev enotnega pristopa k kibernetski varnosti v vseh državah članicah EU.

Leta 2018 je bila sprejeta prva evropska uredba z imenom NIS1 (Direktiva EU 2016/1148), ki je bila na nacionalni ravni prenesena z Zakonskim odlokom št. 65 z dne 18. maja 2018.

Uredba o nacionalnem informacijskem sistemu je predvidela tudi sprejetje »nacionalne strategije za kibernetsko varnost« ter ustanovitev italijanske skupine CSIRT (skupina za odzivanje na incidente v zvezi z računalniško varnostjo), ki ima v sodelovanju z evropskimi skupinami CSIRT tehnične naloge na področju preprečevanja, odzivanja in spremljanja kibernetskih incidentov.

NIS1 je bil kasneje nadomeščen z NIS2 (Direktiva EU 2022/2555); prenesen v nacionalno pravo z Zakonskim odlokom št. 138 z dne 4. septembra 2024.

Cilj direktive NIS 2 je odpraviti omejitve direktive NIS 1, ki je državam članicam pri prenosu v nacionalno pravo prepustila preveč diskrecijske pravice, zaradi česar cilj usklajevanja ni bil dosežen, ter izključila nekatere kategorije subjektov, ki bi jih bilo treba urediti zaradi njihovega pomena za evropski trg.

Poleg tega je bil NIS2 uveden kot odziv na pospešeno digitalizacijo, ki je potekala v vseh državah članicah in jo je še dodatno pospešila pandemija; to je povečalo površino za kibernetske napade, ne da bi se ustrezno okrepili varnostni sistemi.

Nazadnje; še en cilj direktive NIS2 je, da se upravljavce ključnih in pomembnih storitev ter ponudnike digitalnih storitev zaveže k sprejetju ustreznih varnostnih ukrepov ter k takojšnjemu poročanju o incidentih pristojnim organom in uporabnikom njihovih storitev.

Nova direktiva je bila usklajena z drugimi posebnimi evropskimi sektorskimi predpisi, med katerimi so:

- Direktiva o digitalni operativni odpornosti finančnega sektorja (DORA). Gre za uredbo, sprejeto 10. novembra 2022, katere cilj je okrepiti varnostne ukrepe za zagotavljanje odpornosti in kibernetske varnosti finančnega sektorja z uvedbo vrste obveznih varnostnih ukrepov, ki zagotavljajo celovitost informacij in kibernetsko varnost storitev;

- Direktiva o odpornosti ključnih subjektov (CER); njen cilj je zagotoviti pravno jasnost in skladnost med različnimi direktivami.

Zadevna podjetja so razdeljena na:

Ključni sektorji (energetika; promet; zdravstvo; oskrba z vodo; javna uprava; finance; vesolje; digitalna infrastruktura)
Pomembni sektorji (raziskave; kemikalije; prehrana; industrijska proizvodnja; ponudniki digitalnih storitev; poštne storitve; odpadki)
Javni organi: Centralna vlada (ustavni organi in organi, pomembni za ustavo; Urad predsednika vlade in ministrstva; davčne agencije; neodvisni upravni organi) | Regionalna vlada (regije in avtonomne pokrajine) | Lokalna vlada (metropolitanska mesta; občine z več kot 100.000 prebivalci; regionalna središča; lokalni zdravstveni organi) | Drugi javni subjekti (organi za gospodarsko regulacijo; ponudniki gospodarskih storitev; združenja; ponudniki storitev na področju socialnega varstva, rekreacije in kulture; raziskovalni organi in ustanove; eksperimentalni zooprofilaktični inštituti) | Druge vrste subjektov (subjekti, ki opravljajo storitve lokalnega javnega prevoza; izobraževalne ustanove, ki izvajajo raziskovalne dejavnosti; subjekti, ki izvajajo dejavnosti v javnem interesu; notranja podjetja; podjetja, v katera se vlaga, in podjetja v javni lasti)
Dobavitelji: organizacije, ki zagotavljajo ključne storitve subjektom, na katere se nanaša direktiva NIS2, morajo okrepiti svojo digitalno varnost, tudi če so izrecno uvrščene med obvezne sektorje.

Vsebina NIS2

Splošne obveznosti, ki izhajajo iz vsebine NIS2, je mogoče povzeti na podlagi štirih glavnih stebrov:

Upravljanje: Vodstvo mora odobriti ukrepe za obvladovanje tveganj, ki jih sprejme organizacija, ter redno ocenjevati njihovo učinkovitost: redno se udeleževati usposabljanj o vprašanjih kibernetske varnosti in podobna usposabljanja ponujati tudi zaposlenim.

Upravljanje tveganj: organizacija mora oceniti varnostna in omrežna tveganja ter sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za preprečevanje ali zmanjšanje vpliva incidentov na uporabnike svojih storitev.

Nadaljevanje poslovanja: organizacija mora sprejeti rešitve za zagotovitev neprekinjenega poslovanja (npr. varnostne kopije, načrt za obnovo po nesreči in postopki za krizno upravljanje), katerih cilj je zmanjšati vpliv morebitnih prekinitev pri zagotavljanju storitev.

Dobavna veriga: podjetje mora oceniti ranljivosti vsakega neposrednega dobavitelja ter splošno kakovost izdelkov in praks na področju kibernetske varnosti svojih dobaviteljev. Ocena bo zajemala dobavitelje informacijsko-komunikacijske tehnologije (IKT) in druge ključne dobavitelje, ki bi lahko povzročili motnje v storitvi, zaradi katere je bila organizacija vključena v obseg NIS2.

Podjetja bodo zato morala biti sposobna meriti in poročati o:

Analiza tveganj in varnostne politike informacijskih sistemov
Postopki za obvladovanje incidentov
Rešitve za neprekinjeno poslovanje (varnostno kopiranje in obnova po nesreči) ter postopki za krizno upravljanje in komuniciranje
Politike varnosti dobavne verige (dobavitelji in ponudniki storitev)
Varnost pri pridobivanju, razvoju, vzdrževanju in upravljanju ranljivosti informacijskih sistemov in omrežij

Časovni razpored NIS2

Podjetja in javne uprave bodo morala opraviti oceno, da ugotovijo, ali zanje veljajo obveznosti iz Direktive NIS2.

Od 1. decembra 2024 do 28. februarja 2025 morajo podjetja opraviti avtentifikacijo na portalu ACN (Nacionalna agencija za kibernetsko varnost) s svojimi SPID-uporabniškimi podatki. V tem obdobju morajo uporabniki, ki so določeni kot /Registration Service.

Zlasti morajo podjetja:

Navedite, ali je podjetje del skupine podjetij, in navedite davčno številko matične družbe, če je to ustrezno.
Navedite povezana podjetja in njihove davčne številke.
Navedite ATECO-kode, ki opisujejo dejavnost subjekta.
Navedite ustrezne sektorske predpise Evropske unije.
Navedite podatke o prometu, bilanci stanja in številu zaposlenih, da se določi kategorija podjetja.
Navedite vrste subjektov, v katere je podjetje vključeno.

Do 17. januarja 2025 se morajo na platformi registrirati upravljavci registrov domenskih imen najvišje ravni, ponudniki storitev sistema domenskih imen in registracije domenskih imen, ponudniki storitev računalništva v oblaku, podatkovnih centrov, omrežij za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev ter ponudniki spletnih tržnic, spletnih iskalnikov in platform za družbena omrežja.

Do 31. marca 2025 je ACN na podlagi prijav, prejetih prek platforme, sestavila seznam ključnih in pomembnih subjektov.

V obdobju od 1. aprila 2025 do 15. aprila 2025 je ACN zadevnim subjektom sporočila, ali so bili uvrščeni na seznam ključnih ali pomembnih subjektov.

Do 15. aprila 2025 so morali subjekti, ki so prejeli obvestilo, s posebnim aktom imenovati subjekt, odgovoren za izpolnjevanje obveznosti iz odloka.

Po tem bodo subjekti, na katere se nanaša direktiva, morali izpolnjevati še dodatne zahteve:

do 1. januarja 2026; obveznost poročanja o incidentih
do 1. oktobra 2026; obveznosti v zvezi z upravnimi organi in varnostnimi ukrepi morajo biti izpolnjene

ACN bo vsako leto posodobil seznam zadevnih subjektov. Podjetja in javne uprave bodo imela možnost, da se vsako leto med januarjem in februarjem prijavijo, če menijo, da sodijo med zadevne subjekte.

Tveganja za podjetja, pa tudi priložnosti

Po začetku veljavnosti direktive NIS2 in opredelitvi zadevnih upravljavcev lahko pristojni organi izvajajo nadzor in naključne preglede, da preverijo njihovo skladnost z direktivo. V primeru neskladnosti bodo zadevnim podjetjem naložene kazni.

Kazni so zelo stroge: za velika podjetja do 10 milijonov evrov ali 2 % svetovnega prometa; za srednje velika podjetja do 7 milijonov evrov ali 1,4 % svetovnega prometa.

Čeprav upoštevanje predpisov od podjetij zahteva znatno prizadevanje in vlaganje, je treba priznati tudi, da si predpisi sami prizadevajo za učinkovito rešitev problema kibernetskih napadov, za katere so italijanska podjetja še vedno zelo dovzetna in ki jih pogosto skrivajo zaradi skrbi za svoj ugled. V gospodarskem smislu znaša ocenjena povprečna škoda za vsak posamezen kibernetski napad več kot 2 milijona evrov, ne glede na promet podjetja.

Kako lahko ERA pomaga pri upravljanju skladnosti z NIS2

Kljub vsemu navedenemu – kar bi lahko nakazovalo, da so podjetja izjemno zainteresirana in vključena v vprašanja kibernetske varnosti – ni redko, zlasti med malimi in srednjimi podjetji, da naletimo na podjetja, ki na tem področju niso storila skoraj ničesar in trenutno niso sposobna opredeliti svojega položaja glede tveganj, ki jim grozijo, tako s tehničnega vidika kot tudi z vidika skladnosti z različnimi veljavnimi predpisi.

Nekatera podjetja rešujejo vprašanje kibernetske varnosti z zavarovalnim kritjem. Vendar pa zavarovalnice pogosto oklevajo pri ponujanju te vrste zaščite podjetjem, ki na kibernetskem področju še niso sprejela konkretnih ukrepov. Razlog za to je, da ne obstaja zanesljiva metoda za natančno oceno škode, ki jo povzroči kibernetski napad. Zato se „paketi NIS2“ osredotočajo na storitve ocenjevanja kibernetskih tveganj, vendar prepuščajo podjetjem, da sprejmejo potrebne ukrepe za odpravo morebitnih pomanjkljivosti. ERA lahko ponudi bolj celovito storitev, saj se opira na mrežo visoko usposobljenih dobaviteljev pod zelo konkurenčnimi poslovnimi pogoji.

Natančneje; Podpora agencije ERA obsega:

Ocena organizacijske in tehnične strukture podjetja; s pomočjo vprašalnikov za samoocenjevanje, ki temeljijo na vnaprej določenih kazalnikih;
Tečaji za ozaveščanje in usposabljanje; vključno z osnovnimi tečaji za vse zaposlene ter naprednimi moduli za višje in srednje vodstvo; v skladu s smernicami NIS2;
Posebni in visoko strokovni testi na področju analize ranljivosti; obravnava primerov lažnega predstavljanja in ocena tveganja zaradi izsiljevalske programske opreme;
Podpora s strani strokovnih svetovalcev v fazi sanacije po opravljeni oceni;
Strokovna podpora s strani izkušenih svetovalcev za usmerjanje strateških odločitev na področju kibernetske varnosti.

Naša rešitev vključuje analizo skladnosti z uredbo NIS2, kar je nedvomno najbolj nujna naloga; poleg tega pa lahko stranki pomagamo tudi pri vodenju projekta v fazi odprave pomanjkljivosti, tj. v fazi, v kateri mora stranka odpraviti različne »pomanjkljivosti«, ugotovljene v procesu diagnostike; prav v tej fazi se najbolj jasno pokažejo težave nekaterih podjetij, tako glede notranjih kompetenc kot tudi razpoložljivosti časa in virov.