Nova evropska pravila za visoko skupno raven kibernetske varnosti (NIS 2) in predlog novega zakona o informacijski varnosti (ZInf-1), ki je bil do sredine marca v javni obravnavi, močno širijo krog zavezancev. Med panogami, ki bodo morale spoštovati zakonska določila o kibernetski varnosti, so naštete farmacevtska, kemična, živilska industrija, proizvodnja strojev, električnih naprav, motornih vozil …
Novi zakon o informacijski varnosti, s katerim bomo v slovenski pravni red prenesli direktivo EU o ukrepih za visoko skupno raven kibernetske varnosti (NIS 2), prinaša veliko sprememb na področju kibernetske varnosti. Ne vpliva le na subjekte, ki so že zavezanci po zakonu o informacijski varnosti (ZInfV) in morajo varovati svoje informacijske sisteme v skladu z veljavnim zakonom in podzakonskimi predpisi, ampak tudi na veliko število subjektov (organov v javnem sektorju in podjetij), ki doslej niso bili dolžni izpolnjevati nobenih obveznosti ter so kibernetske incidente priglašali prostovoljno, pravijo v uradu vlade za informacijsko varnost (URSIV), kjer so pripravili osnutek novih zakonskih pravil.
Velika in srednja podjetja
»Z novo zakonodajo bomo okrepili skupno situacijsko zavedanje in kolektivno sposobnost odzivanja na kibernetske napade v Evropski uniji. Razširja se področje uporabe ter odpravlja razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev z uvedbo splošnega merila velikosti oziroma vključitvijo srednjih in velikih podjetij. Ob tem smo dolžni opozoriti, da direktiva NIS 2 pomeni minimalno stopnjo harmonizacije, ki državam članicam ne preprečuje, da na nacionalnih ravneh sprejmejo še dodatne ukrepe za dvig odpornosti proti kibernetskim incidentom,« poudarjajo v uradu vlade za informacijsko varnost (URSIV).
Zavezanci, ki jih bo zajela nova zakonodaja, so navedeni v prilogah 1 in 2. Gre za subjekte z več kot 50 zaposlenimi in letno prodajo ali letno bilančno vsoto več kot 10 milijonov evrov. Z nekaterimi izjemami so izključena mala in mikro podjetja (z manj kot 50 zaposlenimi in letno prodajo – ali letnim skupnim bilančnim izkazom – manj kot 10 milijonov evrov). Bistveni subjekti so velika podjetja v sektorjih visoke kritičnosti. Za veliko podjetje se šteje tisto z vsaj 250 zaposlenimi in letno prodajo vsaj 50 milijonov evrov ali letnim skupnim bilančnim izkazom vsaj 43 milijonov evrov.
Kaj čaka zavezance iz industrije
Kot na podlagi preliminarne analize ocenjujejo v URSIV, bo nova zakonodaja zajela okoli tisoč zavezancev, od katerih bo okoli 800 subjektov iz gospodarstva.
In katere spremembe na področju skrbi za informacijsko varnost zaradi nove zakonodaje čakajo nove zavezance iz industrije? »Zavezanci bodo morali za zagotavljanje visoke ravni informacijske in kibernetske varnosti ter odpornosti svojih omrežnih in informacijskih sistemov vzpostaviti in vzdrževati dokumentiran sistem upravljanja varovanja informacij ter sistem upravljanja neprekinjenega poslovanja, ki temeljita na pristopu upoštevanja vseh nevarnosti.
Jasno sta določena upravljanje in odgovornost za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost.
Predpisani so ukrepi za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov. Zavezanci morajo pristojni skupini CSIRT brez nepotrebnega odlašanja po predpisanem postopku priglasiti vse incidente, ki imajo pomemben vpliv na zagotavljanje njihovih storitev, ali finančne izgube.