Direktiva NIS 2 prinaša pomembne spremembe na področju kibernetske varnosti in vpliva na številne organizacije znotraj Evropske unije. Ne vpliva samo na subjekte, ki so že dolžni zavarovati svoje sisteme po Zakonu o informacijski varnosti (ZInfV), ampak tudi na številne nove, ki doslej niso imeli takšnih obveznosti. V tem članku odgovarjamo na ključna vprašanja, ki se pojavljajo v povezavi z direktivo NIS 2.
Ali sem zavezanec po direktivi NIS 2?
Če imate podjetje ali organizacijo v EU, je pomembno vedeti, ali direktiva NIS 2 velja tudi za vas. Zavezanost po direktivi je odvisna predvsem od velikosti vašega podjetja in sektorja, v katerem delujete.
Za mikro in majhna podjetja (manj kot 50 zaposlenih in letni promet manjši od 10 milijonov evrov) direktiva NIS 2 ne velja, razen če so ta podjetja ključnega pomena za delovanje družbe.
Srednje velika podjetja (med 50 in 250 zaposlenimi ter prometom nad 10 milijonov evrov) in velika podjetja (več kot 250 zaposlenih) so praviloma vključena v področje uporabe direktive. Če imate manj kot 50 zaposlenih ali letni promet pod 10 milijonov evrov, vam ni treba izpolnjevati obveznosti po tej direktivi.
Katere ukrepe moram sprejeti, če sem zavezanec?
Subjekti, ki so vključeni v direktivo NIS 2, morajo vzpostaviti vrsto ukrepov za varovanje kibernetske varnosti, med drugim:
- Vzpostavitev varnostnih politik in tehničnih rešitev za zaščito informacijskih sistemov.
- Ukrepi za hitro odzivanje na varnostne incidente.
- Obvezno poročanje o pomembnih varnostnih incidentih pristojnim organom.
Nespoštovanje teh zahtev lahko povzroči visoke kazni, zato je pomembno, da podjetja pravočasno vzpostavijo ustrezne rešitve.
Ali direktiva NIS 2 že velja?
Direktiva NIS 2 je že začela veljati, vendar mora biti prenesena v nacionalne zakonodaje držav članic. Rok za prenos v slovenski pravni red je bil 17. oktober 2024. Slovenija bo direktivo prenesla skozi nov zakon o informacijski varnosti (ZInfV-1), ki je trenutno v zaključnih fazah usklajevanja. Ko bo zakon sprejet, bo objavljen v Uradnem listu Republike Slovenije, kjer bo določen tudi rok za njegovo uveljavitev.
Ali se moram registrirati? Do kdaj?
Če ste zavezanec po direktivi NIS 2, boste morali izvesti samoregistracijo pri Uradu Republike Slovenije za informacijsko varnost (URSIV). Postopek registracije bo potrebno opraviti v roku 30 dni od nastopa okoliščin, na podlagi katerih postanete zavezanec, oziroma v roku šestih mesecev za subjekte, ki že izpolnjujejo pogoje ob uveljavitvi novega zakona ZInfV-1.
Zaključek
Direktiva NIS 2 ne velja za mikro in majhna podjetja (pod 50 zaposlenih in promet pod 10 milijonov evrov), medtem ko so srednja in velika podjetja vključena, če izpolnjujejo določene pogoje. Ključno je pravočasno ugotoviti, ali spadate med zavezance, in ustrezno pripraviti ukrepe za zaščito kibernetske varnosti v skladu z zahtevami direktive.
Za več informacij in podrobnosti o zavezancih po direktivi NIS 2 si preberite celoten dokument ali obiščite našo spletno stran.
Vir:Urad Vlade Republike Slovenije za informacijsko varnost
Foto: Image by Freepik