NIS 2 direktiva zahteva od zavezancev vrsto ukrepov in prilagoditev za izboljšanje kibernetske varnosti. Tukaj so glavne zahteve:
1. Kibernetska varnostna politika in organizacija
- Uvedba varnostne politike: Subjekti morajo vzpostaviti, vzdrževati in izvajati ustrezno kibernetsko varnostno politiko.
- Organizacija: Določiti morajo odgovorne osebe za izvajanje varnostnih ukrepov.
2. Tehnični in operativni ukrepi
- Ocenjevanje tveganj: Redno ocenjevati tveganja in izvajati ukrepe za njihovo zmanjšanje.
- Tehnične zaščite: Implementirati tehnične varnostne ukrepe za zaščito pred kibernetskimi napadi.
- Sistem za odkrivanje incidentov: Namestiti sisteme za zaznavanje in obvladovanje kibernetskih incidentov.
3. Obveznosti poročanja
- Poročanje o incidentih: Zavezanci morajo nemudoma poročati o pomembnih kibernetskih incidentih ustreznim organom.
- Obveščanje: Obveščanje strank in partnerjev v primeru dogodkov, ki bi lahko vplivali nanje.
4. Usposabljanje in ozaveščanje
- Redna usposabljanja: Izvajati redna usposabljanja za zaposlene o kibernetski varnosti in tveganjih, povezanih s kibernetskimi grožnjami.
- Ozaveščanje: Povečevati ozaveščenost o kibernetski varnosti znotraj organizacije.
5. Odgovornost vodstva
- Odgovornost: Poslovodstvo je odgovorno za zagotovitev ustrezne ravni kibernetske varnosti in spoštovanje zahtev NIS 2 direktive.
- Nadzor in skladnost: Periodično preverjanje skladnosti z direktivo in prilagajanje ukrepov glede na spremembe v tveganjih.
6. Sodelovanje in izmenjava informacij
- Okrepljeno sodelovanje: Sodelovanje z drugimi subjekti in deležniki za izmenjavo informacij o grožnjah in najboljših praksah.
- Nacionalni in mednarodni okvirji: Aktivno sodelovanje v nacionalnih in mednarodnih varnostnih okvirjih.