Spodaj pošljite svoja vprašanja in na tej strani bomo javno objavili odgovore (brez razkritja vaših podatkov) ter vam z odgovorom poslali e-pošto.
Javno objavljamo le vprašanja in odgovore, ne da bi razkrili podatke o podjetju
Naša pogosta vprašanja se nenehno posodabljajo z najnovejšimi vprašanji, ki jih objavljate
Na katere sektorje vpliva NIS 2?
Cilj direktive NIS2 je okrepiti zagotavljanje kibernetske varnosti ključnih storitev in industrij v državah EU. Medtem ko se o posebnih mehanizmih za izvajanje te direktive odloča za vsako državo posebej (in zato vedno priporočamo, da poiščete navodila glede meril, vključitev, izključitev in sankcij v vaši državi), sektorji na katere vpliva NIS 2, bodo v veliki meri enotni v celotnem obsegu.
Bistvene in pomembne entitete: v čem je razlika?
NIS2 ločuje storitve in industrije v svoji pristojnosti na bistvene (sektorji visoke kritičnosti) in pomembne (drugi kritični sektorji). Pred uvedbo NIS 2 boste verjetno videli, da se omenjajo na oba načina.
V praksi je to razlikovanje med obema skupinama povezano z družbenim vplivom povezanih sektorjev in možnimi posledicami kibernetskega vdora ali napada. Pozneje je večja verjetnost, da bodo bistveni subjekti podvrženi strožjemu vladnemu nadzoru, da bi dosegli skladnost, s strožjimi sankcijami za neskladnost.
Katera podjetja so izvzeta iz NIS 2?
Čeprav je vredno upoštevati zahteve NIS 2 in dati prednost močni higieni kibernetske varnosti ne glede na velikost vašega podjetja, je pomembno razumeti, da niso vse organizacije in niti vse tiste, ki spadajo v spodnje sektorje, podvržene NIS 2 direktiva.
Na splošno bodo samo podjetja srednje velikosti ali več morala doseči skladnost z NIS 2.
Vendar upoštevajte, da čeprav so bili sektorji razvrščeni po splošnih merilih glede na njihovo velikost, če subjekt ne spada v zahteve teh mejnih vrednosti velikosti, se lahko še vedno šteje za pomembnega ali bistvenega (in glede na skladnost z NIS 2) v posebnih okoliščinah, na primer kadar je organizacija edini ponudnik svojih zadevnih storitev v svoji državi članici EU.
Mejne vrednosti velikosti
Za bistvene subjekte velja splošni prag velikosti, ki, čeprav se razlikuje glede na sektor, na splošno vključuje tiste organizacije z: 250+ zaposlenimi, letnim prometom 50 milijonov EUR ali več ali bilanco stanja 43 milijonov EUR ali več.
Tudi za pomembne entitete velja prag velikosti na podlagi istih meril, ki se spet razlikuje glede na sektor, vendar z nižjim pragom. To bo vključevalo tiste organizacije z: 50+ zaposlenimi, letnim prometom 10 milijonov EUR ali bilanco stanja 10 milijonov EUR ali več.
Na katere sektorje vpliva NIS 2?
Vse panoge in sektorji ne bodo predmet skladnosti z NIS 2.
Cilj direktive je okrepiti odpornost omrežij in informacijskih sistemov po vsej Evropski uniji, pri čemer se posebej osredotoča na ponudnike osnovnih (ali bistvenih in pomembnih) storitev. Njegov cilj je zagotoviti, da so skupni standardi kibernetske varnosti izpolnjeni v državah članicah ter da ključne storitve ostanejo močne in delujoče v primeru napada.
S tem v mislih bo NIS 2 vplival na naslednje sektorje, ki so bili razdeljeni na bistvene in pomembne:
Bistvene entitete (sektorji visoke kritičnosti)
Energija – elektrika, daljinsko ogrevanje in hlajenje, olje, plin, vodik
Transport – zračni, železniški, vodni, cestni
Bančništvo
Infrastrukture finančnega trga
zdravje
Voda – pitna voda, odpadna voda
Digitalna infrastruktura
Upravljanje storitev IKT (B2B)
Javna uprava
Vesolje
Pomembni subjekti (drugi kritični sektorji)
Poštne in kurirske storitve
Ravnanje z odpadki
Proizvodnja, proizvodnja in distribucija kemikalij
Proizvodnja, predelava in distribucija hrane
Proizvodnja – medicinski pripomočki, računalniški elektronski ali optični izdelki, stroji, vozila
Digitalni ponudniki
Raziskovanje
Direktiva NIS 2 postavlja nadzor in izvrševanje v jedro odgovornosti pristojnih organov ter določa skladen okvir za nadzorne in izvršilne dejavnosti v državah članicah.
V ta namen zagotavlja minimalni seznam nadzornih ukrepov za pristojne organe za okrepitev njihovega nadzora nad bistvenimi in pomembnimi subjekti za učinkovito skladnost. Ti ukrepi vključujejo:
redna in ciljno usmerjena revizija
pregled na kraju samem in zunaj njega
prošnja za informacije
dostop do dokumentov ali dokazov.
Poleg tega NIS 2 vzpostavlja razlikovanje nadzornih režimov med bistvenimi in pomembnimi subjekti, da se zagotovi pravično ravnovesje obveznosti.
NIS 2 prav tako uvaja skladen okvir za sankcije po vsej Uniji, da bo izvrševanje učinkovito. V razširitev tega predstavlja minimalni seznam upravnih sankcij za kršitev obveznosti glede upravljanja s tveganji kibernetske varnosti in poročanja, vključno z:
Obvezujoča navodila.
Naročilo za izvajanje priporočil varnostne revizije.
Odredba za uskladitev varnostnih ukrepov z zahtevami NIS.
Upravne globe.
Poleg tega NIS 2 razlikuje med bistvenimi in pomembnimi subjekti za upravne globe:
Bistveni subjekti: največ najmanj 10.000.000 € ali 2% celotnega svetovnega letnega prometa v prejšnjem poslovnem letu, kar je višje.
Pomembni subjekti: največ najmanj 7.000.000 € ali vsaj 1,4% celotnega svetovnega letnega prometa v prejšnjem poslovnem letu, kar je višje.
Pristojni organi bi morali pri izvajanju izvršilnih pooblastil upoštevati posebne podrobnosti vsakega primera, vključno z naravo in resnostjo kršitve ter kakršno koli nastalo škodo ali izgubo. Direktiva NIS 2 prav tako določa, da so fizične osebe na višjih vodstvenih položajih znotraj zajetih subjektov odgovorne za ukrepe kibernetske varnosti.
Direktiva NIS 2 je povezana z direktivo CER in DORA, dvema drugima politikama EU.
Direktivi NIS2 in CER sta bili usklajeni tako, da celovito obravnavata fizično in kibernetsko odpornost kritičnih subjektov. Za kritične subjekte, opredeljene v skladu z direktivo CER, bodo prav tako veljale obveznosti kibernetske varnosti iz direktive NIS 2.
Pristojni nacionalni organi v skladu z obema direktivama morajo sodelovati in redno izmenjevati informacije o tveganjih in incidentih.
Skupina za sodelovanje NIS 2 se bo redno srečevala s skupino za odpornost kritičnih subjektov. DORA velja za obvladovanje tveganja kibernetske varnosti finančnega sektorja in obveznosti poročanja ter omogoča sodelovanje v skupini za sodelovanje NIS ter posvetovanje in izmenjavo informacij s SPOC in CSIRT NIS2.
NIS 2 bo okrepil in poenostavil zahteve glede kibernetske varnosti za zajete subjekte, tako da bo od vseh podjetij zahteval, da v svojih politikah obvladovanja tveganja kibernetske varnosti obravnavajo osnovni sklop 10 minimalnih zahtev.
Ti elementi vključujejo obravnavanje incidentov, varnost dobavne verige, obravnavanje ranljivosti in razkritje ter uporabo kriptografije. Direktiva NIS 2 vključuje tudi večstopenjski pristop k poročanju o incidentih, ki vzpostavlja ravnotežje med hitrim poročanjem za preprečevanje širjenja incidentov in poglobljenim poročanjem za pridobitev dragocenih izkušenj.
Prizadeta podjetja imajo 24 ur časa za oddajo zgodnjega opozorila, 72 ur za oddajo obvestila o incidentu in en mesec za oddajo končnega poročila. To bo pomagalo zmanjšati dodatno breme za podjetja, ki delujejo v več državah članicah, in zagotovilo, da vsa podjetja izpolnjujejo potrebne zahteve glede kibernetske varnosti.
Namen direktive NIS 2 je odpraviti pomanjkljivosti prejšnjih pravil, jih prilagoditi potrebam časa in narediti primerne za prihodnost. V ta namen:
Direktiva NIS 2 razširja pravila kibernetske varnosti na nove digitalizirane in med seboj povezane sektorje.
Odpravlja razlikovanje med operaterji osnovnih storitev in ponudniki digitalnih storitev.
Direktiva poenostavlja zahteve glede varnosti in poročanja s pristopom obvladovanja tveganja in natančnejšimi določbami o poročanju o incidentih.
Obravnava tveganja kibernetske varnosti v dobavnih verigah in krepi kibernetsko varnost dobavne verige za ključne informacijske in komunikacijske tehnologije na evropski ravni.
Direktiva krepi nadzorne ukrepe in sodelovanje med državami članicami, vključno z usklajevanjem režimov sankcij in vzpostavitvijo osnovnega okvira za usklajeno razkrivanje ranljivosti.
Krepi operativno sodelovanje znotraj mreže CSIRT in vzpostavlja evropsko mrežo organizacij za stike v kibernetskih krizah (EU-CyCLONe).
NIS2 ustvarja zbirko podatkov o ranljivosti EU, ki jo upravlja in vzdržuje Agencija EU za kibernetsko varnost (ENISA).
Ti elementi vključujejo obravnavanje incidentov, varnost dobavne verige, obravnavanje ranljivosti in razkritje ter uporabo kriptografije. Direktiva NIS 2 vključuje tudi večstopenjski pristop k poročanju o incidentih, ki vzpostavlja ravnotežje med hitrim poročanjem za preprečevanje širjenja incidentov in poglobljenim poročanjem za pridobitev dragocenih izkušenj.
Prizadeta podjetja imajo 24 ur časa za oddajo zgodnjega opozorila, 72 ur za oddajo obvestila o incidentu in en mesec za oddajo končnega poročila. To bo pomagalo zmanjšati dodatno breme za podjetja, ki delujejo v več državah članicah, in zagotovilo, da vsa podjetja izpolnjujejo potrebne zahteve glede kibernetske varnosti.
Direktiva NIS 2 predlaga izboljšanje obvladovanja kibernetskega tveganja z uvedbo jasnih odgovornosti, ustreznega načrtovanja in povečanega sodelovanja EU.
NIS 2 od držav članic zahteva, da imenujejo nacionalne organe, odgovorne za obvladovanje kibernetskih kriz, uvaja nacionalne načrte za obsežne kibernetske varnostne incidente in krizne odzive ter vzpostavlja evropsko mrežo povezovalnih organizacij za kibernetske krize (EU-CYCLONe) za podporo usklajenemu upravljanju obsežnih incidenti in krize na področju kibernetske varnosti.
Omrežje EU-CYCLONe je ključni sestavni del okvira EU za upravljanje kibernetskih kriz, ki ga je Komisija začrtala leta 2017 in prispeva k usklajenemu odzivu na obsežne incidente in krize.
Srečaj se z Mattom in rezerviraj a brezplačno 15 min pokličite spodaj, da boste bolje razumeli, kako uvesti skladnost z NIS 2 v vašem podjetju
Ta stran, ki jo je pripravil NIS2Compliant.org, ponuja informacije iz javnih virov o vsem, kar je povezano s prihajajočo direktivo NIS2. Predstavljeno na jasen in jedrnat način za enostavno uporabo.
Zavrnitev odgovornosti
Informacije na tem spletnem mestu so namenjene samo izobraževalnim in informativnim namenom. Vsebina ni namenjena nadomestilu za strokovni nasvet ali kakršno koli drugo pravno svetovanje, storitev itd. Skrbniki in sodelavci spletnega mesta ne dajejo nobenih zagotovil ali jamstev glede informacij na spletnem mestu. Vsakršno zanašanje na takšne informacije je torej izključno na lastno odgovornost.
Avtorske pravice Nis2Compliant.org
