Kaj je direktiva NIS 2? Podroben in enostaven vodnik

Nova pravila kibernetske varnosti, ki jih ne smete spregledati

Direktiva NIS 2 (EU 2022/2555) določa minimalne standarde kibernetske varnosti za kritično infrastrukturo v EU. Stopi v veljavo 18. oktobra 2024 in razširja obseg regulacije na več sektorjev, uvaja strožje zahteve za poročanje o varnostnih incidentih ter večjo odgovornost vodstva organizacij. Kršitve lahko privedejo do kazni do 10 milijonov evrov ali 2 % letnega prometa.

NIS 2 postaja ključni evropski okvir za kibernetsko varnost, ki bo vplival tudi na globalne standarde.

---

Osnovni podatki o NIS 2

Povzetek direktive NIS 2

Direktiva “NIS 2”, ali preprosto “NIS2”, je direktiva Evropske unije, ki določa zahteve glede kibernetske varnosti, ki jih morajo izvajati podjetja v EU, ki veljajo za kritično infrastrukturo.

Njeno polno ime je “Direktiva (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji”, objavljena pa je bila 14. decembra 2022.

Ker je NIS2 direktiva, to pomeni, da bo vsaka država EU na podlagi NIS2 določila lastne zakone o kibernetski varnosti, pri čemer NIS2 določa minimalno raven kibernetske varnosti, ki jo je treba doseči. V praksi to pomeni, da bodo podjetja v nekaterih državah morala upoštevati le minimalne zahteve, ki jih določa NIS2, v drugih pa bodo morale izpolnjevati strožje določene zahteve nacionalnih zakonov.

Direktiva NIS2 nosi oznako “2”, ker nadomešča staro direktivo NIS.

Direktiva NIS2 bi lahko na področju kibernetske varnosti postala tisto, kar je GDPR postal za varstvo podatkov – svetovni standard, ki ga druge države uporabljajo kot najboljšo prakso za svojo zakonodajo.

Kaj je stara direktiva NIS in kako se NIS 2 razlikuje?

Stara direktiva NIS (Direktiva 2016/1148) je prav tako določala zahteve za kibernetsko varnost kritične infrastrukture, vendar ni uspela zagotoviti enotne ravni kibernetske varnosti v vseh državah članicah, kar je privedlo do razdrobljenega pristopa.

Nova direktiva NIS2 uvaja širši nabor panog (sektorjev), ki morajo biti skladni, boljše sodelovanje med državami članicami, nove roke za prijavo incidentov, večji poudarek na dobavnih verigah, odgovornost vrhnjega vodstva podjetij, strožjše kazni itd.

Direktiva NIS2 bo nadomestila staro direktivo NIS 18. oktobra 2024.

Kaj pomeni “NIS”?

Poln naslov stare direktive NIS je bil: “Direktiva (EU) 2016/1148 o ukrepih za visoko skupno raven varnosti omrežj in informacijskih sistemov v Uniji”.

Zato “NIS” pomeni “Network and Information Systems” (Omrežja in informacijski sistemi).

Zakaj je NIS 2 pomembna?

NIS 2 je pomembna, ker določa zelo stroge zahteve glede kibernetske varnosti za veliko število podjetij v Evropski uniji – po nekaterih ocenah bo moralo postati skladnih z NIS 2 več kot 100.000 podjetij v EU.

Čeprav NIS 2 ne velja za toliko podjetij kot npr. GDPR, bo zagotovo postala dejanski standard za kritično infrastrukturo, ki ga bodo posnemale tudi druge (neevropske) države – podobna situacija se je že zgodila v neevropskih državah pri regulaciji zasebnosti, ki je zelo podobna GDPR.

Kje lahko najdem celotno besedilo NIS 2?

Uradno besedilo lahko najdete tukaj: https://eur-lex.europa.eu/eli/dir/2022/2555.

Celotno besedilo je na voljo tudi tukaj, razdeljeno po poglavjih in členu, z možnostjo iskanja po ključnih besedah: Celotno besedilo direktive NIS 2.

Kdaj stopi NIS2 v veljavo?

NIS 2 bo stopila v veljavo 18. oktobra 2024 – to je tudi rok, do katerega morajo države EU sprejeti svoje zakone in predpise na podlagi NIS 2.

NIS 2 zahteve

Kdo mora upoštevati NIS2?

Obstajajo trije kriteriji, ki določajo, katera podjetja (NIS2 jih imenuje “bistveni subjekti” in “pomembni subjekti”) morajo biti skladna z NIS2:

1. Lokacija – če zagotavljajo storitve ali opravljajo dejavnosti v katerikoli državi Evropske unije (ne glede na to, ali imajo sedež v EU ali ne);
2. Velikost – če imajo več kot 50 zaposlenih in letni prihodek več kot 10 milijonov evrov;
3. Industrija – če delujejo v enem od naslednjih sektorjev:
   • Energija
   • Promet
   • Bančništvo
   • Infrastrukture finančnih trgov
   • Zdravstvo
   • Pitna voda
   • Odpadna voda
   • Digitalna infrastruktura
   • Upravljanje IKT storitev (poslovni trg)
   • Javni sektor
   • Vesolje
   • Poštne in kurirske storitve
   • Ravnavanje z odpadki
   • Proizvodnja, predelava in distribucija kemikalij
   • Proizvodnja, predelava in distribucija hrane
   • Proizvodnja
   • Digitalni ponudniki
   • Raziskave

Kakšne so glavne zahteve NIS2?

Podjetja, ki spadajo pod NIS2, morajo izpolnjevati naslednje zahteve:

• Uvesti ustrezne ukrepe za upravljanje tveganj na področju kibernetske varnosti
• Sprejeti varnostne ukrepe za zaščito omrežij in informacijskih sistemov
• Prijavljati varnostne incidente ustreznim organom
• Zagotoviti nadzor in odgovornost vrhnjega vodstva za varnostne ukrepe
• Izvajati redna testiranja in preverjanja skladnosti

Kaj so osnovni in pomembni subjekti ter kakšna je razlika?

Pojma “osnovni subjekti” in “pomembni subjekti” v direktivi NIS 2 označujeta podjetja in druge organizacije, ki morajo upoštevati njene zahteve.

Osnovni subjekti so:

• Podjetja z več kot 250 zaposlenimi ali 50 milijoni evrov prihodkov, ki delujejo v enem od naslednjih sektorjev:
  • Energija, transport, bančništvo, finančne tržne infrastrukture, zdravstvo, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje IKT storitev (poslovanje med podjetji), javna uprava ali vesolje
• Ponudniki storitev zaupanja
• Ponudniki DNS storitev
• Javna elektronska komunikacijska omrežja
• Subjekti javne uprave
• Vsak kritični subjekt v skladu z Direktivo o odpornosti kritičnih subjektov (CER) (EU) 2022/2557
• Drugi subjekti, ki jih določijo države članice

Pomembni subjekti so vse druge organizacije, ki ne sodijo med osnovne subjekte, vendar še vedno spadajo v okvir treh meril, navedenih v prejšnjem razdelku.

Struktura direktive NIS 2

Direktiva NIS 2 se začne s preambulo, ki v 144 točkah pojasnjuje ozadje ter podaja smernice za glavni del direktive.

Glavni del direktive NIS 2 vsebuje 46 členov, ki so razdeljeni v naslednja poglavja:

• Poglavje I — Splošne določbe
• Poglavje II — Usklajeni okviri kibernetske varnosti
• Poglavje III — Sodelovanje na ravni Unije in mednarodno sodelovanje
• Poglavje IV — Ukrepi upravljanja kibernetskih tveganj in obveznosti poročanja
• Poglavje V — Pristojnost in registracija
• Poglavje VI — Izmenjava informacij
• Poglavje VII — Nadzor in izvrševanje
• Poglavje VIII — Delegirani in izvedbeni akti
• Poglavje IX — Končne določbe

Poleg tega direktiva vsebuje tudi tri priloge:

• Priloga I — Sektorji z visoko kritičnostjo
• Priloga II — Drugi kritični sektorji
• Priloga III — Korelacijska tabela med NIS 2 in NIS

Glavne zahteve glede kibernetske varnosti v NIS 2

Presenetljivo je, da le Poglavje IV, imenovano “Ukrepi upravljanja kibernetskih tveganj in obveznosti poročanja”, določa, kaj morajo osnovni in pomembni subjekti storiti za skladnost z NIS 2. Vsa druga poglavja se nanašajo predvsem na obveznosti držav članic EU in vladnih agencij pri izvajanju direktive.

Poglavje IV vključuje naslednje člene:

• Člen 20 – Upravljanje
• Člen 21 – Ukrepi za upravljanje kibernetskih tveganj
• Člen 22 – Skupne ocene varnostnih tveganj kritičnih dobavnih verig na ravni EU
• Člen 23 – Obveznosti poročanja
• Člen 24 – Uporaba evropskih shem certificiranja kibernetske varnosti
• Člen 25 – Standardizacija

Obveznosti poročanja za osnovne in pomembne subjekte

Osnovni in pomembni subjekti morajo ob pomembnih incidentih poslati obvestila naslednjim naslovnikom:

• Ekipi za odzivanje na kibernetske incidente (CSIRT) ali pristojnemu organu
• Prejemnikom svojih storitev

Subjekti morajo CSIRT-ju predložiti več vrst poročil:

• Zgodnje opozorilo
• Obvestilo o incidentu
• Vmesno poročilo
• Končno poročilo
• Poročilo o napredku

Kako implementirati kibernetsko varnost v skladu z NIS 2

Za skladnost z NIS 2 je najboljša praksa za osnovne in pomembne subjekte, da sledijo naslednjim korakom implementacije:

1. Zagotovite podporo vodstva.
2. Vzpostavite projektno vodenje.
3. Izvedite začetno usposabljanje.
4. Pripravite temeljno politiko varnosti informacijskih sistemov.
5. Določite metodologijo za upravljanje tveganj.
6. Opravite oceno in obravnavo tveganj.
7. Pripravite in odobrite načrt obravnave tveganj.
8. Izvedite ukrepe za kibernetsko varnost.
9. Vzpostavite varnost dobavne verige.
10. Vzpostavite ocenjevanje učinkovitosti kibernetske varnosti.
11. Vzpostavite sistem obveščanja o incidentih.
12. Uvedite stalno usposabljanje na področju kibernetske varnosti.
13. Izvajajte redne notranje revizije.
14. Izvajajte redne preglede s strani vodstva.
15. Izvajajte korektivne ukrepe.

Globe in vloga države pri NIS 2

Kakšne so globe in odgovornosti v skladu z NIS 2?

Podjetja, ki niso skladna z NIS 2, so lahko kaznovana z naslednjimi globami:

• Osnovni subjekti – do 10 milijonov evrov ali 2 % celotnega letnega prometa.
• Pomembni subjekti – do 7 milijonov evrov ali 1,4 % celotnega letnega prometa.

Člen 20 določa, da mora višje vodstvo osnovnih in pomembnih subjektov odobriti ukrepe za upravljanje kibernetskih tveganj in nadzorovati njihovo izvajanje. Poleg tega člen 21 določa, da je vodstvo lahko osebno odgovorno, če podjetje ne izpolnjuje zahtev NIS 2.

Certificiranje po NIS 2

Direktiva NIS 2 ne zahteva, da bi osnovni in pomembni subjekti pridobili certifikate.

Vendar lahko države članice ali Evropska komisija zahtevajo, da ti subjekti uporabljajo določene IT-produkte ali storitve, ki so certificirani v skladu z evropsko shemo certificiranja kibernetske varnosti, določeno v Uredbi o kibernetski varnosti (EU) 2019/881.

Katere vladne institucije določa NIS 2?

Direktiva NIS 2 opredeljuje več ključnih vladnih organov, ki imajo različne naloge pri zagotavljanju kibernetske varnosti:

• Države članice – Države Evropske unije, ki morajo sprejeti lastne zakone in predpise o kibernetski varnosti na podlagi NIS 2.
• Pristojni organi – Organi, ki jih imenujejo države članice za nadzor osnovnih in pomembnih subjektov ter njihovo skladnost z NIS 2 in lokalnimi predpisi.
• Enotne kontaktne točke – Organi, ki jih države članice vzpostavijo za čezmejno sodelovanje med različnimi pristojnimi organi.
• Organi za upravljanje kibernetskih kriz – Pristojni organi, ki jih države članice imenujejo za upravljanje obsežnih kibernetskih incidentov in kriz.
• Ekipe za odzivanje na kibernetske incidente (CSIRT) – Organi, ki jih države članice imenujejo za obravnavo varnostnih incidentov po določenih postopkih.
• Evropska mreža za usklajevanje odzivanja na kibernetske krize (EU-CyCLONe) – Organ, ki podpira usklajeno upravljanje obsežnih kibernetskih incidentov in kriz na ravni EU.
• Skupina za sodelovanje – Organ, ki spodbuja strateško sodelovanje in izmenjavo informacij med državami članicami.
• Agencija Evropske unije za kibernetsko varnost (ENISA) – Organ, ki vzdržuje bazo ranljivosti, pripravlja bienalno poročilo o stanju kibernetske varnosti v EU, vodi register subjektov s posebnim statusom ter pripravlja smernice glede tehničnih področij in obstoječih standardov.

Katere zakone so države EU objavile na podlagi NIS 2? (Transpozicija NIS 2)

Države članice EU morajo do 17. oktobra 2024 objaviti lokalne zakone in predpise v povezavi z direktivo NIS 2 – ta postopek sprejemanja nacionalne zakonodaje na podlagi direktive EU se imenuje “transpozicija”.

Na dan pisanja tega članka je le ena država članica že prenesla direktivo NIS 2 v svojo nacionalno zakonodajo.

Povezava z drugimi okviri

Kako je NIS 2 povezan z ISO 27001?

NIS 2 ne zahteva uvedbe ISO 27001; vendar v preambuli omenja serijo ISO/IEC 27000 kot način za izvajanje ukrepov upravljanja kibernetskih tveganj, glavni del NIS 2 pa spodbuja uporabo mednarodnih standardov.

Pri natančnejši primerjavi NIS 2 z ISO 27001 postane jasno, da ISO 27001 zagotavlja odličen okvir za izpolnjevanje zahtev NIS 2 glede upravljanja kibernetskih tveganj. ISO 27001 ponuja jasna navodila o tem, kako opredeliti postopek upravljanja tveganj, kako združiti tehnično implementacijo z usposabljanjem in drugimi kadrovskimi vidiki, kako vključiti višje vodstvo itd.

Kakšna je razlika med NIS 2 in EU GDPR?

Polni naslov EU GDPR je “Uredba (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)”.

Čeprav se tako NIS 2 kot GDPR osredotočata na varstvo podatkov, sta si precej različna:

	NIS 2	EU GDPR
Vrsta	Direktiva (podjetja morajo upoštevati lokalno zakonodajo, ki je sprejeta)	Uredba (neposredno zavezujoča za podjetja)
Velja za	Organizacije, ki so opredeljene kot osnovni in pomembni subjekti	Vsako organizacijo, ki obdeluje osebne podatke
Zaščita	Ukrepi kibernetske varnosti se uporabljajo za vse podatke znotraj podjetja	Ukrepi kibernetske varnosti se nanašajo le na osebne podatke; poleg tega obstaja tudi pravni vidik varstva osebnih podatkov
Uveljavitev	18. oktober 2024	28. maj 2018

Kakšna je razlika med NIS 2 in Direktivo o odpornosti kritičnih subjektov (CER)?

Polni naslov CER je “Direktiva (EU) 2022/2557 o odpornosti kritičnih subjektov”.

Čeprav sta bila NIS 2 in CER (kot tudi DORA) objavljena istega dne (27. decembra 2022), se osredotočata na različna področja:

	NIS 2	CER
Vrsta	Direktiva (podjetja morajo upoštevati lokalno zakonodajo, ki je sprejeta)	Direktiva (podjetja morajo upoštevati lokalno zakonodajo, ki je sprejeta)
Velja za	Organizacije, ki so opredeljene kot osnovni in pomembni subjekti	Organizacije, ki so opredeljene kot kritični subjekti na podlagi odločitve države članice
Zaščita	Ukrepi kibernetske varnosti se uporabljajo za vse podatke znotraj podjetja	Poudarek na odpornosti in poslovni kontinuiteti
Uveljavitev	18. oktober 2024	18. oktober 2024; kritični subjekti pa morajo postati skladni v roku 10 mesecev od dneva, ko so bili označeni kot kritični

---

Če vas zanima pridobitev standarda DORA in potrebujete pomoč pri tem procesu, se lahko obrnete na Advisero, ki je strokovnjak na tem področju in vam lahko zagotovi celovito podporo.

Mi, Actioma, smo poslovni partner Advisere in z veseljem delimo njihovo strokovno vsebino. Če želite izvedeti več o standardu DORA ali imate dodatna vprašanja, nas kontaktirajte in usmerili vas bomo k pravim virom.