Nova evropska pravila za visoko skupno raven kibernetske varnosti (NIS 2) in predlog novega zakona o informacijski varnosti (ZInf-1), ki je bil do sredine marca v javni obravnavi, močno širijo krog zavezancev. Med panogami, ki bodo morale spoštovati zakonska določila o kibernetski varnosti, so naštete farmacevtska, kemična, živilska industrija, proizvodnja strojev, električnih naprav, motornih vozil …
Novi zakon o informacijski varnosti, s katerim bomo v slovenski pravni red prenesli direktivo EU o ukrepih za visoko skupno raven kibernetske varnosti (NIS 2), prinaša veliko sprememb na področju kibernetske varnosti. Ne vpliva le na subjekte, ki so že zavezanci po zakonu o informacijski varnosti (ZInfV) in morajo varovati svoje informacijske sisteme v skladu z veljavnim zakonom in podzakonskimi predpisi, ampak tudi na veliko število subjektov (organov v javnem sektorju in podjetij), ki doslej niso bili dolžni izpolnjevati nobenih obveznosti ter so kibernetske incidente priglašali prostovoljno, pravijo v uradu vlade za informacijsko varnost (URSIV), kjer so pripravili osnutek novih zakonskih pravil.
Velika in srednja podjetja
»Z novo zakonodajo bomo okrepili skupno situacijsko zavedanje in kolektivno sposobnost odzivanja na kibernetske napade v Evropski uniji. Razširja se področje uporabe ter odpravlja razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev z uvedbo splošnega merila velikosti oziroma vključitvijo srednjih in velikih podjetij. Ob tem smo dolžni opozoriti, da direktiva NIS 2 pomeni minimalno stopnjo harmonizacije, ki državam članicam ne preprečuje, da na nacionalnih ravneh sprejmejo še dodatne ukrepe za dvig odpornosti proti kibernetskim incidentom,« poudarjajo v uradu vlade za informacijsko varnost (URSIV).
Zavezanci, ki jih bo zajela nova zakonodaja, so navedeni v prilogah 1 in 2. Gre za subjekte z več kot 50 zaposlenimi in letno prodajo ali letno bilančno vsoto več kot 10 milijonov evrov. Z nekaterimi izjemami so izključena mala in mikro podjetja (z manj kot 50 zaposlenimi in letno prodajo – ali letnim skupnim bilančnim izkazom – manj kot 10 milijonov evrov). Bistveni subjekti so velika podjetja v sektorjih visoke kritičnosti. Za veliko podjetje se šteje tisto z vsaj 250 zaposlenimi in letno prodajo vsaj 50 milijonov evrov ali letnim skupnim bilančnim izkazom vsaj 43 milijonov evrov.
Kaj čaka zavezance iz industrije
Kot na podlagi preliminarne analize ocenjujejo v URSIV, bo nova zakonodaja zajela okoli tisoč zavezancev, od katerih bo okoli 800 subjektov iz gospodarstva.
In katere spremembe na področju skrbi za informacijsko varnost zaradi nove zakonodaje čakajo nove zavezance iz industrije? »Zavezanci bodo morali za zagotavljanje visoke ravni informacijske in kibernetske varnosti ter odpornosti svojih omrežnih in informacijskih sistemov vzpostaviti in vzdrževati dokumentiran sistem upravljanja varovanja informacij ter sistem upravljanja neprekinjenega poslovanja, ki temeljita na pristopu upoštevanja vseh nevarnosti.
Jasno sta določena upravljanje in odgovornost za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost.
Predpisani so ukrepi za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov. Zavezanci morajo pristojni skupini CSIRT brez nepotrebnega odlašanja po predpisanem postopku priglasiti vse incidente, ki imajo pomemben vpliv na zagotavljanje njihovih storitev, ali finančne izgube.
Prav tako morajo priglasiti pomemben incident, ki vpliva ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
Zavezanci so dolžni opraviti samoregistracijo pri pristojnem nacionalnem organu za informacijsko varnost. V ta namen bo vzpostavljena platforma za samoregistracijo.
Bistveni subjekti so dolžni izvesti oceno skladnosti sprejetih ukrepov za obvladovanje tveganj kibernetske varnosti najmanj enkrat na dve leti. Pomembni subjekti pa morajo izvesti samooceno skladnosti najmanj enkrat na dve leti,« naštevajo v vladnem uradu za informacijsko varnost.
Kako se pripraviti na nove obveznosti
»Vsem potencialnim novim zavezancem, ki niso izvajali ukrepov, predpisanih s trenutnim zakonom o informacijski varnosti, pa tudi preostalim gospodarskim subjektom, ki ne bodo zavezanci, predlagamo, naj v okolju pospešene digitalizacije namenijo področju kibernetske varnosti ustrezne kadrovske, finančne in organizacijske vire.
Pri tem naj spremljajo in ocenjujejo kibernetska tveganja, uporabljajo močna gesla in avtentikacijo z dvofaktorskim preverjanjem, redno posodabljajo programsko opremo, povečujejo ozaveščenost in izobražujejo zaposlene o kibernetskih grožnjah, namestijo in pravilno konfigurirajo požarne zidove, varnostne naprave in sisteme za odkrivanje vdorov, opravljajo redne varnostne preglede in preizkuse penetracije, zagotovijo varno shranjevanje in redno kopiranje podatkov, omejujejo dostop do občutljivih informacij le na pooblaščene uporabnike ter spremljajo in se prilagajo spremembam v okolju.
Pri povečevanju odpornosti naj si pomagajo z uporabo ustreznih standardov, na primer ISO/IEC 27001:2022, ISO/IEC 31000:2018, NIST CSF in podobno.
Medtem naj sprejmejo ustrezne operativne postopke za odzivanje na kibernetske incidente, ki naj vključujejo tudi prostovoljno priglasitev incidentov. Pomembno je, da se odgovorne osebe zavedajo svojih nalog in odgovornosti na področju informacijske in kibernetske varnosti,« glede priprav na nove obveznosti v URSIV svetujejo novim zavezancem iz proizvodnega sektorja.
Tudi javna obravnava predloga zakona
Predlog zakona o informacijski varnosti bo za medresorsko usklajevanje ministrstev in vladnih služb nared v aprilu. Ob tem načrtujejo tudi njegovo krajšo javno obravnavo.
Kakšen pa je bil odziv v javni obravnavi osnutka zakona, ki se je končala 18. marca? »Z odzivom in prispelimi pripombami v postopku javne obravnave smo zadovoljni. Ocenjujemo, da bodo nekateri predlogi pozitivno vplivali na jasnost zakonskih določb. Tu mislimo predvsem na področje varnostne dokumentacije bistvenih in pomembnih subjektov, ukrepe za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov, certificiranje ter področje pristojnosti in teritorialnosti. Ob tem moramo upoštevati, da smo zavezani k prenosu direktive EU in ne smemo sprejeti rešitev, ki bi nasprotovale določbam direktive. Z nekaterimi subjekti smo že stopili v kontakt in opravili uskladitev. Več subjektov je predlagalo, da bi zakon preimenovali v zakon o kibernetski varnosti. Ob dejstvu, da direktiva NIS 2 zahteva pristop upoštevanja vseh nevarnosti, menimo, da je sedanji naslov zakona ustrezen.«