Ali vaša organizacija spada v obseg NIS 2?
Ali vaša organizacija spada v obseg NIS 2? Ali vaša organizacija spada v obseg NIS 2? Leta 2016 se je prvotna direktiva NIS sklicevala na 7…
Ocenjena podjetja, na katera bo NIS 2 vplival in bodo morala postati skladna
Najvišja globa za neskladnost z NIS 2 za vsa podjetja, ki so revidirana na leto na podjetje
Število sektorjev, zajetih v Direktivi NIS 2. Če vaše podjetje deluje v opredeljenem sektorju, mora biti skladno z NIS 2
Direktiva NIS 2, posodobljeno pravilo EU o kibernetski varnosti, uvedeno za odpravo vrzeli v primerjavi s predhodnikom NIS, ima širši obseg in zajema več sektorjev kot prej. Njegov cilj je poenotiti standarde kibernetske varnosti po vsej EU in uvesti strožje kazni za tiste, ki jih ne upoštevajo.
Direktiva poudarja pristop, ki temelji na tveganju, kar pomeni, da bi morale organizacije zaščititi svoje sisteme pred morebitnimi grožnjami. Sodelovanje je ključnega pomena, saj NIS 2 spodbuja izmenjavo informacij med deležniki. Poleg tega zahteva celovito poročanje o incidentih, da bi lažje razumeli nastajajoče grožnje in se zoperstavili njim.
Direktiva NIS 2 razširja pokritost s prvotnih 7 sektorjev v okviru direktive NIS in dodaja še 8 novih za skupno 15 sektorjev. Za dostop do informacij NIS 2, specifičnih za posamezni sektor, preprosto kliknite enega od sektorjev, navedenih spodaj.
NIS 2 razvršča organizacije med »bistvene subjekte« (EE) ali »pomembne subjekte« (IE). Javni ali zasebni subjekti v teh sektorjih z več kot 50 zaposlenimi in letnim prometom nad 10 milijonov morajo določiti svojo skupino in upoštevati povezana pravila.
NIS 2 razvršča organizacije med »bistvene subjekte« (EE) ali »pomembne subjekte« (IE). Javni ali zasebni subjekti v teh sektorjih z več kot 50 zaposlenimi in letnim prometom nad 10 milijonov morajo določiti svojo skupino in upoštevati povezana pravila.
Energija
Pokriva ključne energetske sektorje, kot so elektrika, nafta in plin, ter poudarja njihov pomen pri vsakodnevnih funkcijah in potrebo po kibernetski varnosti.
Transport
Osredotoča se na glavne načine prevoza: zračni, železniški, pomorski in cestni ter poudarja njihovo vlogo pri povezovanju ljudi in krajev.
Skrb za zdravje
Prednost daje zaščiti zdravstvenih ustanov, ki zajema tako javne bolnišnice kot zasebne klinike, glede na njihovo vlogo v javnem blagostanju.
Javna uprava
Poudarja zaščito javnih storitev, ki odraža zavezo direktive, da zagotovi neprekinjene in varne upravne funkcije.
Infrastruktura bančništva in finančnega trga
Obravnava hrbtenico našega finančnega sistema in izpostavlja področja, kot so plačilne storitve, ki spodbujajo gospodarske dejavnosti.
Digitalne infrastrukture
Cilja na temeljne digitalne storitve, kot so tiste, ki zagotavljajo registre DNS in TLD, ob priznavanju njihove vloge v digitalnem ekosistemu.
Oskrba z vodo
Osredotoča se na ohranjanje in varnost sistemov pitne vode in odpadne vode, ki sta ključnega pomena za javno zdravje.
Vesolje
Osvetljuje strateški pomen vesoljskega sektorja in zagotavlja, da izpolnjuje visoke standarde kibernetske varnosti glede na njegov vpliv na različne tehnologije in storitve.
Javni ponudniki telekomunikacij in ISP
Tisti, ki ponujajo javno dostopna komunikacijska omrežja in storitve, kot so telekomunikacijska podjetja in ponudniki internetnih storitev.
Ponudniki storitev zaupanja
Subjekti, ki ponujajo storitve digitalnega zaupanja, ki zagotavljajo pristnost elektronskih transakcij in komunikacij.
Edini ponudniki kritičnih storitev
Edinstveni subjekti, ki so edini vir specifičnih, vitalnih storitev, ki so ključne za vsakodnevno delovanje ali infrastrukturo.
Registri TLD in ponudniki DNS
Organizacije, ki upravljajo sezname domen najvišje ravni, in sistemi, ki usmerjajo internetni promet na prave naslove.
Registrarji domen
Podjetja, ki nadzorujejo rezervacijo imen internetnih domen in zagotavljajo, da je vsako edinstveno in pravilno dodeljeno.
Subjekti, ki so ključni za varnost, varnost ali zdravje
Pomembne organizacije, katerih motnje bi lahko ogrozile javno varnost, varnostne ukrepe ali zdravstvene rezultate.
Subjekti centralne ali regionalne javne uprave
Glavni vladni organi na centralni ali regionalni ravni, ki igrajo ključno vlogo pri javnem upravljanju in administraciji.
Vsi drugi subjekti, če:
Subjekt je edini ponudnik v državi članici storitve, ki je bistvena za vzdrževanje ključnih družbenih ali gospodarskih dejavnosti;
Motnja storitve, ki jo zagotavlja subjekt, bi lahko pomembno vplivala na javno varnost, javno varnost ali javno zdravje;
Motnja storitve, ki jo zagotavlja subjekt, bi lahko povzročila znatno sistemsko tveganje, zlasti za sektorje, kjer bi imela takšna motnja čezmejni učinek;
Subjekt je kritičen zaradi svojega posebnega pomena na nacionalni ali regionalni ravni za določen sektor ali vrsto storitve ali za druge soodvisne sektorje v državi članici;“
Če je država članica ta subjekt opredelila kot "kritični subjekt" v skladu z Direktivo (EU) 2022/2557 o odpornosti kritičnih subjektov (CER)
Digitalni ponudniki
Ta sektor, ki zajema široko paleto digitalnih storitev, kot so iskalniki, spletne tržnice in družbena omrežja, je ključnega pomena v današnjem medsebojno povezanem svetu.
hrana
Ta sektor pokriva celoten spekter od kmetije do vilic in zagotavlja, da je vsaka stopnja – od kmetovanja in predelave do prodaje na drobno – varna in robustna.
Poštne in kurirske storitve
Kot rešilna bilka za komunikacije in dostavo blaga mora ta sektor podpirati okrepljeno digitalno obrambo, ki zagotavlja dosledno in varno delovanje.
Raziskovalne organizacije
Kot središče inovacij in napredka je ta sektor ključnega pomena, saj spodbuja znanstvene dosežke, hkrati pa je potencialna tarča kibernetskih groženj.
Kemikalije
Ta sektor, ključnega pomena za evropsko industrijsko konkurenčnost, se razteza od ustvarjanja do distribucije kemikalij in služi kot temelj za inovativne rešitve.
Proizvodnja
Široko področje, ki vključuje izdelavo predmetov, kot so medicinski pripomočki, elektronika, stroji, vozila in transportna oprema, je v središču evropskih proizvodnih zmogljivosti.
Organizacije v okviru NIS 2 morajo proaktivno izvajati politike in ukrepe za zmanjšanje groženj kibernetski varnosti.
To vključuje osrednji nabor ukrepov, ki zajemajo analizo tveganja, odziv na incidente, šifriranje, izboljšan nadzor dostopa in obravnavanje ranljivosti v njihovi dobavni verigi IKT. Poleg tega morajo subjekti izvajati ocene ranljivosti, da zagotovijo, da so ukrepi usklajeni z izpostavljenostjo subjekta morebitnim tveganjem ter možnim družbenim in ekonomskim vplivom takih groženj.
Poslovna odgovornost
NIS2 poudarja, da so upravni organi subjektov, ki so vključeni v raziskavo, odgovorni za nadzor in odobritev ukrepov za obvladovanje tveganj kibernetske varnosti. Pričakuje se, da se bodo redno usposabljali za prepoznavanje in ocenjevanje tveganj kibernetske varnosti in njihovega možnega vpliva na storitve. Poleg tega lahko kršitve privedejo do odgovornosti uprave, kar poudarja večjo odgovornost podjetij v skladu s to direktivo.
Program usposabljanja za upravljanje
Uvesti obvezno usposabljanje o kibernetski varnosti za vodstvo podjetja, da se poveča ozaveščenost o kibernetskih tveganjih, najboljših praksah in organizacijskih politikah kibernetske varnosti.
Odbor za nadzor kibernetske varnosti
Oblikujte odbor na izvršni ravni za nadzor ukrepov kibernetske varnosti, razvoj politik in upravljanje proračunov za kibernetsko varnost.
Poročanje o tveganjih in ublažitev
Razvijte strukturiran mehanizem za upravljanje za redno poročanje o tveganjih kibernetske varnosti, ranljivostih in strategijah ublažitve.
Kazni in spodbude
Vzpostavite okvir kazni za neskladnost in spodbude za proaktivno obvladovanje tveganja kibernetske varnosti.
Revizije skladnosti kibernetske varnosti
Redno izvajajte revizije, da ocenite spoštovanje politik kibernetske varnosti s strani vodstva in določite področja za izboljšave.
Obveznosti poročanja
Subjekti, ki jih obravnava, so pooblaščeni za takojšnje poročanje o pomembnih incidentih. To vključuje "zgodnje opozorilo" v 24 urah po obvestilu, ki mu sledi celovito obvestilo o incidentu v 72 urah pristojnim nacionalnim organom. Prizadete uporabnike je treba tudi nemudoma obvestiti, s čimer se zagotovi robusten in pregleden komunikacijski proces med kibernetskimi incidenti.
Platforma za poročanje o incidentih
Uporabite sisteme, ki dobaviteljem, prodajalcem in strankam omogočajo učinkovito poročanje o vseh vrstah incidentov kibernetske varnosti.
Samodejna obvestila o incidentih
Vzpostavite avtomatiziran sistem za stopnjevanje opozoril in obvestil ustreznim deležnikom, vključno z regulativnimi organi, v predpisanih časovnih okvirih.
Smernice za klasifikacijo incidentov
Razvijte jasne smernice za kategorizacijo incidentov glede na resnost in vpliv, da zagotovite dosledno poročanje in učinkovite protokole odzivanja.
Dokumentiranje incidentov in postopek poročanja
Vzpostavite podroben postopek za dokumentiranje podrobnosti incidenta, odzivov in analize po incidentu, da izboljšate organizacijsko učenje in izboljšate odziv.
Ekipe za ukrepanje ob incidentih
Oblikujte specializirane ekipe, opremljene s potrebnimi orodji in strokovnim znanjem za hitro obravnavo in zadrževanje incidentov kibernetske varnosti.
Neprekinjeno poslovanje
Ob večjih kibernetskih incidentih se od organizacij pričakuje, da imajo načrt neprekinjenega poslovanja. To vključuje strategije za obnovitev sistema, postopke v sili in vzpostavitev skupine za odzivanje na krizne situacije. Poudarek je na zagotavljanju nemotenega poslovanja in hitrega okrevanja po pomembnih kibervarnostnih dogodkih.
Redundanca in varnostno kopiranje
Izvedite strategije redundance podatkov in varnostnega kopiranja, da ohranite razpoložljivost podatkov in odpornost sistema med kibernetskimi incidenti in po njih.
Ocena učinka na poslovanje
Izvedite temeljite ocene za identifikacijo ključnih sistemov in procesov, ki so kritični za delovanje med kibernetskimi incidenti.
Načrt odzivanja na kibernetske incidente
Razvijte obsežen načrt, ki podrobno opisuje postopke za upravljanje kibernetskih incidentov, vključno s komunikacijskimi strategijami, taktikami okrevanja in vlogami ekip za krizno odzivanje.
Usposabljanje za ozaveščanje o kibernetski varnosti
Zagotovite usposabljanje za celotno organizacijo o načrtu neprekinjenega poslovanja in vlogah zaposlenih pri zmanjševanju motenj med kibernetskimi incidenti.
Redno testiranje načrta in vaje
Občasno testirajte in izvajajte simulirane vaje načrta neprekinjenega poslovanja, da prepoznate vrzeli, izboljšate odzivno učinkovitost in zagotovite stalno učinkovitost načrta.
Pridobite minimalne ukrepe kibernetske varnosti za skladnost z NIS 2
Podjetja, ki ne bodo spoštovala direktive NIS 2, se lahko soočijo s strogimi kaznimi, ki segajo od nedenarnih sankcij do znatnih upravnih kazni. Poleg tega je lahko najvišje vodstveno osebje osebno odgovorno za neskladnost, kar poudarja pomen odgovornosti za kibernetsko varnost na organizacijski ravni.
NIS2 razlikuje med bistvenimi in pomembnimi subjekti v zvezi z upravnimi globami. Pomembni subjekti bi lahko prejeli globe v višini 10.000.000 € ali 2% svojih globalnih letnih prihodkov, odvisno od tega, kaj je višje. Po drugi strani pa se pomembni subjekti soočajo z globami do 7.000.000 € ali 1,4% njihovega globalnega letnega prometa, spet odvisno od tega, kateri znesek je višji.
V skladu z NIS 2 lahko nacionalni nadzorni organi uveljavljajo različne nedenarne kazni. Ti lahko vključujejo odredbe o skladnosti, zavezujoča navodila, odredbe za varnostne revizije in pooblastila za obveščanje o grožnjah strankam subjekta.
NIS 2 poskrbi, da je najvišje vodstvo osebno odgovorno, odgovornost pa se prenaša le z oddelkov IT. V primerih neskladnosti lahko organi objavijo kršitve, identificirajo odgovorno osebje, poslovodstvo naložijo odgovornemu za kršitev svojih dolžnosti in, za bistvene subjekte, posameznikom po ponavljajočih se kršitvah začasno prepovejo opravljanje vodstvenih položajev.
Začetek poti usklajevanja z NIS 2 zahteva strukturiran pristop. Tukaj je pet bistvenih korakov, ki vodijo vaše podjetje do uspešnega upoštevanja.
Ugotovite, ali NIS 2 vpliva na vašo organizacijo. Razumevanje njegove pomembnosti za vaše podjetje vam zagotavlja, da se osredotočite na tisto, kar je resnično pomembno. Označite in razporedite po prednosti ključne storitve, procese in sredstva vaše organizacije za ciljno usmerjen pristop.
Zagotovite si podporo najvišjega vodstva z ozaveščanjem o sankcijah in globah NIS 2. To vključuje namenske programe usposabljanja za vodstvo o obvladovanju tveganj kibernetske varnosti in pomenu kibernetske kulture.
Implementacija sistema za upravljanje tveganj in varnosti informacij (ISMS). Pregled in prilagoditev 10 obveznih ukrepov za obvladovanje tveganja kibernetske varnosti NIS 2. To vključuje poenostavitev poročanja o incidentih, izboljšanje varnosti dobavne verige in vzpostavitev robustnega načrta neprekinjenega poslovanja.
Ustrezno načrtujte in pripravite proračun ter se osredotočite na področja z največjimi kibernetskimi tveganji. To vključuje dodelitev zadostnih finančnih sredstev za prizadevanja na področju kibernetske varnosti, pri čemer je treba upoštevati strožje kazni, ki jih NIS 2 uvaja za neskladnost.
Spodbujajte kulturo nenehnega izboljševanja. Redno ocenjujte in zapravljajte varnostne vrzeli, bodite obveščeni o pričakovanih varnostnih kontrolah in po potrebi izkoristite strokovno vodstvo. Poskrbite, da bo vaša organizacija ostala agilna in prilagodljiva na poti zagotavljanja skladnosti.
Srečaj se z Mattom in rezerviraj a brezplačno 15 min pokličite spodaj, da boste bolje razumeli, kako uvesti skladnost z NIS 2 v vašem podjetju
Ta stran, ki jo je pripravil NIS2Compliant.org, ponuja informacije iz javnih virov o vsem, kar je povezano s prihajajočo direktivo NIS2. Predstavljeno na jasen in jedrnat način za enostavno uporabo.
Zavrnitev odgovornosti
Informacije na tem spletnem mestu so namenjene samo izobraževalnim in informativnim namenom. Vsebina ni namenjena nadomestilu za strokovni nasvet ali kakršno koli drugo pravno svetovanje, storitev itd. Skrbniki in sodelavci spletnega mesta ne dajejo nobenih zagotovil ali jamstev glede informacij na spletnem mestu. Vsakršno zanašanje na takšne informacije je torej izključno na lastno odgovornost.
Avtorske pravice Nis2Compliant.org
