Kaj je ZInfV-1 in kaj pomeni za podjetja v Sloveniji?
Znanje
• INFORMACIJSKA VARNOST • KIBERNETSKA VARNOST • ZINFV-1 •
ZInfV-1 je predlog novega Zakona o informacijski varnosti, ki ga pripravlja Urad vlade RS za informacijsko varnost (URSIV). Zakon bo v slovenski pravni red prenesel evropsko Direktivo (EU) 2022/2555, znano kot NIS 2, katere cilj je povečati kibernetsko odpornost v EU. Namen ZInfV-1 je posodobiti obstoječi pravni okvir, da bi sledil vse večji digitalizaciji in novim grožnjam kibernetske varnosti.
Kdo bo zavezan k novim pravilom?
ZInfV-1 bo veljal za podjetja iz sektorjev, navedenih v prilogah I in II, ki imajo vsaj 50 zaposlenih in letne prihodke ali letno bilančno vsoto vsaj 10 milijonov evrov. Obstajajo tudi izjeme, kjer se zakon uporablja za subjekte ne glede na število zaposlenih ali letne prihodke, če gre za ponudnike pomembne digitalne infrastrukture. Navedeni v prilogi I postanejo bistveni subjekti, če imajo vsaj 250 zaposlenih in letne prihodke vsaj 50 milijonov evrov oziroma bilančno vsoto vsaj 43 milijonov evrov. Obstajajo določene izjeme, kjer se subjekt šteje kot bistven, tudi če ne izpolnjuje omenjenih pogojev.
Kaj bodo podjetja morali storiti?
Podjetja bodo morala izpolnjevati zahteve glede varnostnih ukrepov, kot so:
-
Načrtovanje varnostnih ukrepov glede na kontekst organizacije, stopnjo tveganja in vpliva na poslovanje.
-
Vzpostavitev minimalnih varnostnih ukrepov za obvladovanje tveganj.
-
Priglasitev kibernetskih incidentov pristojnim organom.
-
Sodelovanje pri nadzoru in izvajanju ukrepov za izboljšanje kibernetske varnosti.
Kateri so največji izzivi za podjetja?
Največji izzivi za podjetja, zlasti mala in srednja, bodo:
-
Pomanjkanje strokovnega kadra.
-
Omejeni finančni viri.
-
Časovne omejitve pri uvajanju kompleksnih varnostnih rešitev.
-
Razumevanje novih obveznosti in vodenje ustrezne dokumentacije.
Kaj morajo podjetja vedeti o NIS-2 in noveli ZInfV-1?
Podjetja naj se obrnejo na zanesljive in izkušene partnerje na področju kibernetske varnosti, ki lahko ponudijo celosten nabor tehničnih rešitev za izpolnjevanje zahtev ZInfV-1.
- Uvedba zahtev NIS 2 z novelo ZInfV-1
Uvedba evropske direktive NIS 2 v slovensko zakonodajo z novelo Zakona o informacijski varnosti (ZInfV-1) prinaša nove zahteve za podjetja in njihove dobavitelje. Zakon uvaja strožja pravila za obvladovanje kibernetskih tveganj in odgovornost vodstva podjetij. To pomeni, da bo poslovodstvo postalo neposredno odgovorno za kibernetsko varnost, kar vključi ne le tehnične ukrepe, temveč tudi strateške odločitve.
- Povečanje odgovornosti vodstva
Nekaj ključnih sprememb, ki jih prinaša NIS 2, je obveznost, da poslovodstvo prevzame aktivno vlogo pri obvladovanju kibernetskih tveganj. Prej so bile odgovornosti pogosto prepuščene IT in varnostnim ekipam, zdaj pa so postale strateška naloga. Vodstvo mora odobriti varnostne ukrepe in zagotoviti, da se ukrepi izvajajo v skladu z zakonodajo. To vključuje tudi formalno usposabljanje za obvladovanje kibernetskih tveganj in razumevanje vpliva varnostnih incidentov na poslovanje.
- Povečana vloga varnostnih pregledov
Po mnenju strokovnjakov, kot je Milan Gabor iz podjetja Viris d.o.o., varnostni pregledi razkrivajo resne ranljivosti, ki lahko povzročijo škodo. V 30-40 % pregledov so odkrili kritične ranljivosti, kot so dostop brez avtentikacije ali zastarela programska oprema. Pomanjkanje rednega preverjanja varnosti lahko resno ogrozi poslovanje, zato podjetja ne smejo zanemariti teh postopkov.
- Sankcije za neizpolnjevanje zahtev
NIS 2 uvaja strožje sankcije za podjetja, ki ne izpolnijo obveznosti, in to vključuje tudi osebno odgovornost članov poslovodstva. Kazni so lahko visoke in vključujejo tudi prepoved opravljanja vodstvenih funkcij v primeru hudih kršitev. To pomeni, da bodo podjetja morala izboljšati svojo pripravljenost na kibernetske grožnje, da se izognejo morebitnim kaznim.
- Povečana pozornost na dobavne verige
NIS 2 še posebej poudarja pomembnost varnosti dobavnih verig, ki so v preteklosti pogosto zanemarjene. Podjetja morajo biti pozorna na tveganja, ki izhajajo iz sodelovanja z dobavitelji in partnerji. Ta tveganja lahko vplivajo na celotno organizacijo, zato je nujno, da podjetja izvajajo ustrezne ukrepe za obvladovanje teh tveganj.
- Pomen pripravljenosti na incidente
Tudi ob uvedbi najboljših varnostnih ukrepov, ni mogoče popolnoma preprečiti kibernetskih napadov. Zato je ključnega pomena, da podjetja vzpostavijo in preizkusijo načrte za odzivanje na incidente. To vključuje pripravo odzivnih ekip, ukrepe za zajezitev napada, zbiranje dokazov, obveščanje ter obnovo sistemov. Hitro okrevanje po napadu je konkurenčna prednost, saj vsak dan nedelovanja povzroči stroške in škodo ugledu podjetja.
- Usposabljanje in stalno izpopolnjevanje
Za uspešno implementacijo NIS 2 bodo morali člani poslovodnih organov redno izpopolnjevati svoje znanje o kibernetskih tveganjih in njihovem vplivu na poslovanje podjetja. To vključuje tudi usposabljanje na področju obvladovanja tveganj kibernetske varnosti ter pripravo na različne scenarije varnostnih incidentov.
Zadnje raziskave kažejo, da je zavedanje o teh spremembah v Sloveniji vse večje, saj podjetja hitreje sprejemajo nujnost ukrepanja v skladu z novo zakonodajo.