Ta spletna stran hrani piškotke, da bi vam zagotovili boljšo uporabniško izkušnjo in popolno funkcionalnost te strani.

Analitične piškotke uporabljamo s storitvijo Google Analytics, samo z vašo privolitvijo. Sprejemam Zavrnitev Več informacij
Pojdi na vsebino

četrtek, 03. oktober 2024

NT TREND RADAR: Priročnik za upravljanje informacijske varnosti | SoftwareOne

Vse o NIS2 direktivi ter brezplačen priročnik upravljanju informacijske varnosti v organizacijah.

Kibernetska in informacijska varnost postajata za organizacije vse pomembnejši. Na to nakazuje tudi prihajajoča NIS2 direktiva, ki je nadaljevanje trenutno veljavne direktive NIS (o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacijskih sistemov v EU) in razširja njeno področje uporabe zaradi vse intenzivnejše digitalizacije. Z novo direktivo bo moralo skladno poslovati več kot 160.000 organizacij v Evropi, države članice EU pa jo morajo najkasneje do 17. oktobra 2024 sprejeti v svojo nacionalno zakonodajo.

Bistvena sprememba v primerjavi z NIS direktivo je predvsem v dojemanju tveganja in kibernetskih groženj. Medsebojna povezanost delovanja družbe kot celote in organizacij (podjetij) v njej je že tako velika, da praktično ni panoge, v kateri informacijski sistemi ne bi imeli pomembne vloge. Zato tudi direktiva NIS2 ne išče več sistemov, ki so pomembni za podjetje, temveč zahteva, da se zavaruje vse, kar je povezano z zagotavljanjem storitev, potrebnih za njegovo delovanje.

Direktiva NIS2 torej prinaša številne spremembe na področju kibernetske varnosti in bistveno razširja število organizacij, ki bodo na novo urejene.

Kakšni so cilji NIS2 direktive?

  • Razširiti regulacijo na subjekte, ki opravljajo storitve, pomembne za delovanje države.
  • Povečati raven kibernetske varnosti in odpornosti.
  • Skupna komunikacija in usklajevanje pri obravnavi kibernetske varnosti v EU.
  • Izboljšanje zmožnosti zavezancev za odzivanje na incidente v zvezi s kibernetsko varnostjo.
  • Izboljšanje zmogljivosti zavezanih subjektov za pripravo in odzivanje v primeru obsežnega incidenta ali krize.

Kako veste, ali je nova direktiva veljavna za vašo organizacijo?

Organizacija spada pod ureditev direktive NIS2, če izpolnjuje naslednja dva pogoja:

  • Zagotavlja vsaj eno regulirano storitev, navedeno v prilogah k direktivi NIS2.
  • Je srednje ali veliko podjetje. Glede na velikost organizacije in pomembnost regulirane storitve bodo zanjo veljale višje ali nižje obveznosti.

Nova uredba bo torej vplivala na širok krog subjektov, ki jim bo prinesla precejšnje finančno in upravno breme. Zato je vsekakor primerno, da se čim prej začnete ukvarjati s finančnim načrtovanjem, ki bo upoštevalo izpolnjevanje obveznosti, ki jih daje predlagani zakon o kibernetski varnosti.

Zavezanci bodo morali sprejeti tehnične in organizacijske ukrepe za obvladovanje varnostnih tveganj. Tehnični ukrepi so lahko na primer uporaba ustrezne programske opreme (npr. protivirusne), spremljanje ranljivosti in segmentacija omrežja, uvedba večfaktorske avtentikacije. Organizacijski ukrepi pomenijo oblikovanje dokumentacije - pravil za notranje postopke (npr. postopek uvajanja novega zaposlenega, vzpostavitev računov, upravljanje varnostnih incidentov itd.)

Zavezanci morajo izpolnjevati merila, določena v predlaganem odloku. Podjetja morajo po novem opraviti t. i. samoidentifikacijo = ugotoviti, ali so obvezni subjekt reguliranih storitev in v katero kategorijo obveznosti po novem spadajo.

E-KNJIGA: Priročnik za upravljanje informacijske varnosti

Evropska direktiva NIS2 prinaša pravila in postopke za upravljanje informacijske varnosti v slovenskih državnih in zasebnih organizacijah. Ali veste, ali prihajajoča uredba velja tudi za vas, na kaj se mora vaše podjetje pripraviti in kako zagotoviti njeno celovito zaščito?

Ne zatiskajte si oči pred informacijsko in kibernetsko varnostjo in prelistajte naš praktični priročnik, v katerem boste našli povzetek vseh informacij in priporočil, ki jih morate poznati!

>>> Prenesite si priročnik za upravljanje informacijske varnosti <<<

 Nove odgovornosti za vašo organizacijo

Obvezni subjekti se bodo morali osredotočiti na:

  • Obvezno izobraževanje najvišjega vodstva organizacije in večjo odgovornost vodstva za zagotavljanje kibernetske varnosti v organizaciji. Če se najvišje vodstvo regulirane organizacije dosledno izogiba izpolnjevanju zakonskih obveznosti, ki izhajajo iz predloga zakona o kibernetski varnosti in njegovih izvedbenih predpisov, lahko regulator odredi začasni odvzem vodstvene funkcije.
  • Obveznost odobritve ukrepov za obvladovanje tveganj za kibernetsko varnost.
  • Analiza tveganj in politika informacijske varnosti.
  • Obvladovanje incidentov.
  • Neprekinjeno izvajanje dejavnosti (tj. neprekinjeno poslovanje), medtem ko direktiva to področje dodatno razvija s primerom varnostnega kopiranja, obnovitve (disaster recovery) in kriznega upravljanja.
  • Varnost dobavne verige.
  • Varnost pri naročanju, razvoju in vzdrževanju sistemov.
  • Politike in postopki za ocenjevanje učinkovitosti varnostnih ukrepov (npr. revizija).
  • Osnovne prakse računalniške higiene in izobraževanje o kibernetski varnosti.
  • Pravila in postopki glede uporabe kriptografije in po potrebi šifriranja.
  • Varnost človeških virov, upravljanje dostopa in sredstev ter uporaba večfaktorske avtentikacije.
  • Za neizpolnjevanje obveznosti bodo subjekti kaznovani z globami.

Načelo izvajanja teh varnostnih ukrepov je, da se organizacija usmeri k temu, da kartira svoje okolje, opredeli vse, kar potrebuje za zagotavljanje delovanja svoje regulirane storitve, oceni tveganja (ne le kibernetska), ki lahko ogrozijo storitev, in izvede ustrezne ukrepe, s katerimi bo ta tveganja zmanjšala na sprejemljivo raven.

Kako vam lahko pomaga SoftwareOne?

  • S spremljanjem prihajajočih sprememb slovenske zakonodaje na področju kibernetske varnosti ter pojasnjevanjem sprememb in obveznosti, ki iz njih izhajajo.
  • Z razlago obveznosti, ki izhajajo iz njih, na ključnih področjih, kot so načrt neprekinjenega poslovanja, upravljanje dobavne verige, obvladovanje tveganj, obvladovanje incidentov.
  • Z revizijo varnostne dokumentacije, notranjih predpisov in zadevnih procesov.
  • Z upravljanjem tveganj in pomočjo pri inšpekcijskih pregledih ter zastopanjem v postopkih pred nadzornimi organi.

Pripravite se zgodaj ter povečajte svojo pripravljenost in konkurenčnost

Ne glede na to, ali vas NIS2 direktiva zadeva ali ne, je naložba v informacijsko in kibernetsko varnost vaše organizacije manjša od izgub zaradi vpliva morebitnega kibernetskega incidenta na delovanje in ugled podjetja.

>>> Rezervirajte spoznavni sestanek z nami <<< 

Zakaj SoftwareOne?

  • Smo strokovnjaki za organizacijsko in tehnično varnost.
  • Pomagamo vam pri varnosti procesov in priporočamo ustrezne tehnologije za vašo organizacijo.
  • V našem portfelju so upoštevani Zakon o kibernetski varnosti, NIS2, DORA, GDPR, standardi ISO, standardi računalništva v oblaku in drugi.
  • Vemo, kaj prihaja - pa naj gre za posodobitve zakonodaje ali najnovejše tehnološke trende.
  • Zagotavljamo rešitve, ki vam bodo koristile dolgo časa.
  • Storitve zagotavljamo na razumljiv način, prilagojen potrebam vaše ekipe.

Odkrijte naše storitve za celovite rešitve kibernetske varnosti.

Avtorica: Iveta Sáblíková | Information Security Consultant | SoftwareOne

Za več informacij nam pišite na e-naslov info@ntk.si ter se nam pridružite na naših družbenih medijih Facebook, Instagram, Twitter, YouTube in LinkedIn.