Direktiva NIS2 in kibernetska varnost

Direktiva NIS2 je posodobljena zakonodaja EU, ki nadomešča prvotno direktivo NIS. Njen glavni cilj je dvigniti raven kibernetske varnosti v vseh državah članicah in okrepiti zaščito infrastrukture kritičnih in pomembnih organizacij.

Slovenija je direktivo NIS2 prenesla v nacionalno zakonodajo z Zakonom o informacijski varnosti (ZInfV-1), ki je bil objavljen 4. junija 2025 in je začel veljati 19. junija 2025. Zakon nadomešča prejšnji Zakon o informacijski varnosti iz leta 2018. Pristojna nadzorna oblast je URSIV (Urad Vlade Republike Slovenije za informacijsko varnost). Organizacije, ki izpolnjujejo merila zakona, se morajo registrirati pri URSIV in v roku enega leta od registracije uvesti vsa zahtevana varnostna ukrepa.

Koga zadeva direktiva NIS2?

V primerjavi s prvotno direktivo NIS se področje uporabe bistveno razširja. Nova direktiva zajema širši nabor sektorjev: zdravstvo, promet, energetiko, ravnanje z odpadki in vodami, finančne in digitalne storitve. Nanaša se tudi na ponudnike storitev v oblaku in spletne trge. Prizadet je tudi proizvodni sektor: proizvajalci medicinskih pripomočkov, strojev, elektronskih naprav, motornih vozil in drugih prevoznih sredstev. Direktiva NIS2 zadeva organizacije v ključnih in pomembnih sektorjih po vsej Sloveniji, tako v zasebnem kot javnem sektorju.

Katere obveznosti morajo organizacije izpolniti?

• Zaznati, identificirati in evidentirati varnostne incidente.
• Pripraviti postopke za obravnavo incidentov, vključno z načrtom za okrevanje in zagotavljanje neprekinjenosti poslovanja.
• Izvesti celovito analizo tveganj.
• Določiti osebo, odgovorno za kibernetsko varnost.
• Zagotoviti redna usposabljanja zaposlenih na vseh ravneh.

Kdaj začne NIS2 veljati?

ZInfV-1 je v Sloveniji začel veljati 19. junija 2025. Organizacije, ki jih zakon zadeva, se morajo registrirati pri URSIV in nato v roku enega leta od registracije uvesti vse zahtevane varnostne ukrepe.

Sankcije za kršitve obveznosti

Neizpolnjevanje zahtev direktive NIS2 lahko povzroči visoke finančne sankcije. Upravljavcem bistvenih storitev grozi kazen do 10 milijonov EUR ali 2 % čistega letnega prometa, odvisno od tega, kateri znesek je višji. Za upravljavce standardnih storitev je zgornja meja 7 milijonov EUR ali 1,4 % prometa. Nadzorni organ lahko izreče ponavljajočo se sankcijo do dvakratnika teh omejitev.

Vpliv NIS2 na mala in srednja podjetja

Čeprav se NIS2 osredotoča predvsem na velike organizacije in ključne ponudnike storitev, bo zadevala tudi mala in srednja podjetja v določenih sektorjih in dobaviteljskih verigah.

Z usklajevanjem z direktivo je smiselno začeti čim prej. Kibernetska varnost je danes nujnost in vsaka organizacija z 50 ali več zaposlenimi bi jo morala obravnavati najprej v lastnem interesu, ne le zaradi regulativne obveznosti.

Sektorji, ki jih direktiva zadeva

• zdravstvo
• promet
• energetika
• bančništvo
• finančni trgi
• digitalna infrastruktura
• upravljanje storitev IKT
• javna uprava
• vesolje
• voda in ravnanje z odpadki
• proizvodnja (izbrani sektorji)
• raziskave
• kemična industrija
• živilska industrija
• digitalne storitve
• poštne in kurirske storitve

Kaj konkretno mora izpolniti vsak sektor?

Organizacije v navedenih sektorjih so dolžne prijaviti se pri NBÚ (Nacionalni varnostni urad), identificirati in evidentirati varnostne incidente, pripraviti postopke za njihovo obravnavo skupaj z načrtom okrevanja, izvesti analizo tveganj in uvesti ustrezne varnostne ukrepe. Potrebna sta tudi pooblaščena odgovorna oseba in redno usposabljanje zaposlenih.

Najpogostejša varnostna tveganja

Največja tveganja za organizacije so: pomanjkanje omrežne segmentacije, nezadostna zaščita perimetra, nezavarovan dostop do interneta, šibka zaščita e-poštnih storitev in nizka varnost končnih točk.

Med drugimi kritičnimi slabostmi so prekomerne pravice navadnih uporabnikov, odsotnost večfaktorske avtentikacije, šibka gesla, nedelujoč cikel upravljanja identitet, zastarela strojna in programska oprema z znanimi ranljivostmi ter slaba vidljivost omrežnega prometa.

Na koncu te verige je slabo ali odsotno upravljanje dnevniških zapisov, nezadostno varnostno kopiranje in odsotnost načrtov za okrevanje ter hitro odzivanje na incidente.

Posebno tveganje ostaja nezadostno usposobljeni zaposleni. Prav pri rutinskem delu nastaja prostor za kibernetski incident. Preizkušen pristop je koncept Zero Trust, ki predpostavlja, da noben uporabnik, naprava ali omrežje ni samodejno zaupanja vreden, niti znotraj interne infrastrukture podjetja. Organizacije bi se morale osredotočiti tudi na centralno upravljanje identitet, vključno s privilegiranimi računi.

Kibernetska varnost je kompleksno področje brez univerzalne rešitve. Vedno gre za kombinacijo ljudi, procesov in tehnologij. Direktiva NIS2 ne prinaša bistveno novih konceptov izhaja iz preverjenih varnostnih načel, ki bi morala biti standard vsake odgovorne organizacije.