Direktiva NIS2 (Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji) je posodobljena zakonodaja Evropske unije, ki nadomešča prvotno direktivo NIS iz leta 2016. Njen namen je znatno izboljšati kibernetsko varnost v celotni EU s krepitvijo odpornosti in odzivnih zmogljivosti tako javnih kot zasebnih subjektov.
To je najbolj celovita zakonodaja EU o kibernetski varnosti do danes. Cilj direktive je določiti smernice za organizacije, ki zagotavljajo bistvene in pomembne storitve, tako da vedo kako se odzvati v primeru kibernetske grožnje. Direktiva tudi želi izboljšati sodelovanje med državami članicami EU, ko gre za vprašanja kibernetske varnosti.
Ključne novosti direktive NIS2:
1. Direktiva NIS2 širi obseg reguliranih subjektov. Medtem ko je prvotna direktiva NIS zajemala predvsem operaterje bistvenih storitev, nova direktiva vključuje tudi digitalne storitve, kot so ponudniki oblačnih storitev, ponudniki podatkovnih centrov in podjetja, ki nudijo upravljanje omrežij. To pomeni, da bo širši spekter podjetij moral izpolnjevati iste stroge varnostne standarde.
2. NIS2 okrepi obveščanje o incidentih. Organizacije bodo morale poročati o kibernetskih dogodkih v krajšem časovnem okviru, kar omogoča hitrejši odziv in izmenjavo pomembnih informacij med državami članicami. Nove zahteve vključujejo tudi obvezno poročanje o morebitnih ranljivostih, preden pride do dejanskih napadov.
3. Direktiva NIS2 uvaja strožje sankcije za neizpolnjevanje zahtev. Podjetja, ki ne bodo vzpostavila ustreznih varnostnih ukrepov, se bodo soočila s precejšnjimi denarnimi kaznimi. Namen teh sankcij je spodbujanje kibernetske varnosti na vseh ravneh in zagotavljanje, da so vse organizacije motivirane za zaščito svojih sistemov.
4. Direktiva daje večjo vlogo nacionalnim organom za kibernetsko varnost, ki bodo imeli večjo pristojnost za izvajanje nadzora in vplivanja na varnostne prakse v svojih državah. Nacionalne strategije kibernetske varnosti bodo tako bolje usklajene s skupnimi evropskimi cilji.
5. Poudarek je na mednarodnem sodelovanju in izmenjavi informacij. Evropske države bodo tesneje sodelovale pri izmenjavi informacij o kibernetskih grožnjah in najboljših praksah, kar bo prispevalo k boljši celoviti zaščiti evropskega digitalnega prostora.
V skladu z direktivo NIS 2 bi morale organizacije izvajati vsaj naslednje ukrepe:
- Politike analize tveganja in varnosti informacijskega sistema.
- Obvladovanje incidentov.
- Neprekinjenost poslovanja.
- Varnost dobavne verige.
- Osnovne prakse kibernetske higiene in usposabljanje o kibernetski varnosti.
- Postopki v zvezi z uporabo kriptografije in šifriranja.
- Varnost človeških virov, politike nadzora dostopa in upravljanje premoženja.
- Uporaba avtentikacije z več faktorji (MFA), neprekinjene rešitve za preverjanje pristnosti in varni komunikacijski sistemi.
Direktiva NIS2 je pomemben korak naprej v prizadevanjih za okrepitev kibernetske varnosti v Evropi. Z njenim uveljavljanjem bodo podjetja in organizacije bolje pripravljene na soočanje z izzivi sodobnega digitalnega sveta.
