Pregled evropskih predpisov in zagotavljanje skladnosti z ZInfV-1 in NIS-2


Pregled evropskih predpisov in zagotavljanje skladnosti z ZInfV-1 in NIS-2

Pregled evropskih predpisov in zagotavljanje skladnosti z ZInfV-1 in NIS-2

Znanje

• INFORMACIJSKA VARNOST • ZINFV-1 • NIS2 •

Evropski pravni okvir za kibernetsko varnost določa jasna pravila, ki veljajo za vse države članice in različne zavezance. Med ključnimi predpisi so:

  • Direktiva NIS2

  • Akt o kibernetski varnosti (EU 2019/881)

  • Akt o kibernetski odpornosti (EU 2024/2847)

  • Akt o kibernetski solidarnosti (EU 2025/38)

Ti predpisi določajo obveznosti organizacij pri obvladovanju kibernetskih tveganj, poročanju incidentov in uvajanju učinkovite varnostne politike. Zlasti za podjetja, ki morajo izpolnjevati ZInfV-1 ali NIS-2, je ključno, da začnejo z celovitim IT pregledom in oceno obstoječih varnostnih ukrepov.

Akt o kibernetski varnosti (EU 2019/881)

Uredba Evropskega parlamenta in Sveta z dne 17. aprila 2019 določa delovanje Agencije Evropske unije za kibernetsko varnost (ENISA) in okvir za certificiranje informacijske in komunikacijske tehnologije na področju kibernetske varnosti. Namen uredbe je zagotoviti visoko raven kibernetske varnosti, odpornosti in zaupanja v Uniji ter preprečiti razdrobljenost notranjega trga. Uredba določa cilje, naloge in organizacijske okvire agencije ENISA ter vzpostavitev evropskih certifikacijskih shem za IKT izdelke, storitve in postopke.

Uredba o vzpostavitvi Evropskega kompetenčnega centra (EU 2021/887)

Ta uredba določa vzpostavitev Evropskega industrijskega, tehnološkega in raziskovalnega kompetenčnega centra za kibernetsko varnost ter mrežo nacionalnih koordinacijskih centrov. Uredba določa pravila za imenovanje nacionalnih koordinacijskih centrov in vzpostavitev kompetenčne skupnosti, ki koordinira razvoj kibernetske varnosti po celotni EU.

Direktiva NIS2 (EU 2022/2555)

Direktiva NIS2 določa ukrepe za zagotavljanje visoke skupne ravni kibernetske varnosti v Uniji in standardizacijo praks za 18 kritičnih sektorjev. Med ključnimi obveznostmi so sprejem nacionalnih strategij za kibernetsko varnost, imenovanje pristojnih organov, vzpostavitev skupin za odzivanje na incidente, obvladovanje tveganj ter poročanje in izmenjava informacij o kibernetski varnosti. Namen direktive je zaščititi bistveno infrastrukturo pred kibernetskimi grožnjami in povečati odpornost organizacij.

Uredba EUIBAs (EU 2023/2841)

Uredba določa ukrepe za visoko raven kibernetske varnosti v institucijah, organih, uradih in agencijah Unije. Obsega notranje okvire za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti, poročanje, izmenjavo informacij ter organizacijo medinstitucionalnih in operativnih teles za kibernetsko varnost.

Akt o kibernetski odpornosti (EU 2024/2847)

Ta uredba določa horizontalne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi. Glavna cilja uredbe sta: (1) zagotoviti, da so na trg postavljeni varni izdelki strojne in programske opreme z zmanjšano ranljivostjo ter (2) omogočiti uporabnikom varno uporabo teh izdelkov. Uredba določa štiri specifične cilje: izboljšanje varnosti že v fazi zasnove in razvoja, vzpostavitev skladnega okvira kibernetske varnosti, izboljšanje preglednosti varnostnih lastnosti izdelkov in podporo podjetjem in uporabnikom pri varni uporabi digitalnih produktov.

Primeri sektorskih EU aktov za kibernetsko varnost

Poleg krovnih aktov obstajajo tudi specifični sektorski predpisi, ki dopolnjujejo evropske zahteve za kibernetsko varnost:

  1. Omrežni kodeks za elektroenergetska podjetja Delegirana uredba (EU) 2024/1366 določa organizacijske in tehnične ukrepe za obravnavo incidentov v elektroenergetskem sektorju. Namenjena je zagotavljanju varnosti čezmejnih pretokov električne energije, vključno z minimalnimi zahtevami, načrtovanjem, spremljanjem, poročanjem in kriznim obvladovanjem.

  2. Evropski odbor za sistemska tveganja (finance) Priporočila ESRB iz leta 2021 in uredba DORA (2022) vzpostavljajo vseevropski okvir za usklajevanje ob sistemskih kibernetskih incidentih v finančnem sektorju, kar omogoča digitalno odpornost in krizno koordinacijo.

  3. Evropski zdravstveni podatkovni prostor (EHDS) Predlog uredbe COM(2022) 197 uvaja pravni in tehnični okvir za varno primarno in sekundarno uporabo zdravstvenih podatkov, interoperabilnost zdravstvenih sistemov ter koordinacijo organov za varstvo podatkov in kibernetsko odpornost.

  4. Notranji trg za plin in vodik (ENNOH) Uredba (EU) 2024/1789 vzpostavlja mrežo operaterjev vodikove infrastrukture in določa minimalne zahteve za kibernetsko varnost čezmejnih tokov plina in vodika, vključno s kriznim načrtovanjem in integracijo z obstoječimi energetskimi omrežji.

  5. Letalstvo Uredbi (ES) 300/2008 in (EU) 2018/1139 določata enotne standarde za varnost civilnega letalstva in vzpostavitev Agencije Evropske unije za varnost v letalstvu (EASA), ki nadzira tehnično skladnost, usposabljanje osebja in krizni odziv.

  6. RED Direktiva (Telekomunikacije, radijska oprema) Delegirana uredba (EU) 2022/30 nadgrajuje RED direktivo z jasnimi kibernetskimi zahtevami za radijsko opremo, ki je povezana z internetom, obdeluje osebne podatke ali omogoča finančne transakcije, s čimer krepi varnost omrežij, zasebnost podatkov in zaščito uporabnikov.

Realnost v Sloveniji je takšna: več kot 90 odstotkov podjetij, ki bi morala izpolniti obveznosti ZInfV-1, tega še ni storilo. Pregledi s strani URSIV so neizogibni, kazni pa so visoke. Organizacije, ki nimajo politike kibernetske varnosti ali certifikata ISO 27001, morajo ukrepati takoj.

Naše storitve vključujejo:

  • Celovite IT preglede za ugotavljanje skladnosti z ZInfV-1 in NIS-2

  • Usposabljanje zaposlenih za obvladovanje kibernetskih incidentov

  • Pomoč pri implementaciji in dokumentiranju varnostnih ukrepov, tako da jih organizacija lahko učinkovito pokaže pri inšpekcijskih pregledih

Naši programi so posebej prilagojeni podjetjem, ki delujejo v sektorjih, kjer NIS-2 določa obveznosti, in vsem organizacijam, ki želijo doseči skladnost z ZInfV-1. Zagotovimo, da varnostni ukrepi niso le zapisani, temveč dejansko izvajani, kar povečuje odpornost organizacije in zmanjšuje tveganje pri inšpekcijah.

Pripravite svoje sisteme in ekipe danes s strokovnim IT pregledom in ciljno usmerjenim usposabljanjem za kibernetsko varnost. Če želite, da vaša organizacija izpolnjuje zakonske obveznosti po ZInfV-1, kontaktirajte nas za predstavitev programa.

Kontaktirajte nas še danes in si zagotovite termin.

Info: Kljucne politike EU na podrocju kibernetske varnosti


𝕏   Facebook   Viber


clanek023

Znanje

Prijava kibernetskih incidentov in skladnost z zakonodajo

Znanje

Ekskluzivno izobraževanje za vodstvo: zaščita pred prevarami

Znanje

Kaj je prevara z elektronsko pošto dobaviteljev (VEC) in lažno predstavljanje dobaviteljev (VIF)

Znanje

Pentest (Penetracijsko testiranje)

Storitve

Podjetja izgubljajo bitko z AI napadi – zaščitite se zdaj!