NIS2 direktiva: Kaj pričakovati in kako se pripraviti?

NIS2 direktiva je že nekaj mesecev pod medijsko lupo in je ena od osrednjih razprav v javnem prostoru. Cilj NIS2 (ang. Network and Information Security) je dvigniti skupno raven kibernetske varnosti po vsej Evropski uniji. Vendar mnogi (upravičeno) sprašujejo, zakaj potrebujemo NIS2, če je Direktiva NIS veljavna že od leta 2016. 

V primerjavi s prejšnjo verzijo NIS2 bistveno širi področje uporabe. Direktiva bo prinesla tudi veliko višje kazni v primeru neskladnosti. To pomeni, da bo znaten del združenj, organizacij in trgovskih družb – ki doslej niso bili zajeti z NIS uredbo – prisiljen preveriti (in nenehno preverjati) raven lastne kibernetske varnosti. Toda pojdimo lepo po vrsti. 

Kaj je NIS2? 

NIS2 je napovedana direktiva Evropske unije, katere cilj je dodatno povečanje ravni kibernetske varnosti na ravni Evropske unije. NIS2 direktiva zavezuje vse države članice k sprejetju ustreznih nacionalnih zakonov in politik za implementacijo njenih smernic oziroma zahtev. Kot njena predhodnica NIS, tudi NIS2 zahteva povečano sodelovanje med državami članicami za izmenjavo informacij in koordinirane odzive na kibernetske napade. 

Kdaj NIS2 stopi v veljavo? 

Evropska unija od vseh subjektov, zajetih z direktivo NIS2, zahteva implementacijo predpisanih smernic do 18. oktobra 2024. 

Na koga se nanaša NIS2? 

Za razliko od NIS direktive, ki je določila obveznosti za ponudnike ključnih storitev in digitalnih ponudnikov storitev ter nekaj drugih organizacij, NIS2 bistveno širi obseg delovanja. Poleg organizacij, povezanih z zagotavljanjem digitalnih storitev ali storitev podatkovnih centrov in javnih elektronskih komunikacijskih omrežij, se bodo nove obveznosti iz NIS2 nanašale tudi na javni sektor in del zasebnega. Direktivi NIS2 se bo moralo prilagoditi 11 sektorjev. 

Kateri sektorji se bodo morali prilagoditi direktivi NIS2? 

Med sektorje, ki bodo zajeti pod ukrepi, določenimi z direktivo NIS2, sodijo zdravstveni sektor, organizacije, odgovorne za oskrbo z vodo in energenti, podjetja, katerih fokus delovanja je ravnanje z odpadki, javna podjetja, ki se ukvarjajo z odvajanjem in kanalizacijo, ter prometni sektor. 

Kot je že bilo rečeno, NIS2 razširja seznam dejavnosti tudi na zasebni sektor, tako da bo nova direktiva zajela tudi finančni sektor in podjetja, ki se ukvarjajo s proizvodnjo hrane. Poleg njih NIS2 določa ukrepe tudi za druge proizvajalce kritičnih izdelkov, pa tudi poštne in dostavne službe. 

Katere ukrepe predpisuje NIS2 za zavezance? 

Kot je že omenjeno, je cilj NIS2 direktive dodatno okrepiti raven kibernetske varnosti na ravni Evropske unije. Z direktivo se želi okrepiti odpornost na spletne in nespletne grožnje, pa tudi dodat no zaščititi vse organizacije, zajete z uredbo. Pri tem ne bo pomembno, ali gre za javno ali zasebno podjetje. 

V skladu s tem bodo vse podjetja morala implementirati procese in politike za boljše upravljanje tveganj. Podjetja bodo hkrati imela obveznost pravočasnega in transparentnega obveščanja javnosti in vseh pristojnih institucij o kibernetskih napadih in njihovih posledicah – kadar in če do njih pride. 

Po sprejetju NIS2 direktive se od srednjih in velikih organizacij pričakuje kontinuirano izvajanje varnostnih politik nad informacijskim sistemom. Podjetja bodo morala izvesti analizo tveganj in definirati kontinuitet poslovanja pri upravljanju tveganj. Od organizacij se prav tako pričakuje implementacija praks za zaznavanje in upravljanje ranljivosti, kot tudi kontinuirano testiranje ravni kibernetske varnosti podjetja. Dodatne obveznosti vključujejo uporabo kriptografskih praks in večfaktorske avtentikacije ter izvedbo varne video, glasovne in tekstovne komunikacije. 

Kako se pripraviti? 

Na trgu obstaja cel niz rešitev, ki organizacijam lahko pomagajo pri prilagajanju prihajajoči direktivi NIS2. Med njimi se posebej izpostavljajo tiste iz portfelja Thales, saj nudijo celovito zaščito podatkov in usklajenost z vsemi zahtevami, ki izhajajo iz NIS2. 

Zaščita transakcij in podatkov v mirovanju 

Thales CipherTrust Manager, Luna Hardware Security Modules (HSM) in Data Protection on Demand (DPoD) omogočajo organizacijam centralizirano upravljanje šifrirnih ključev in prinašajo niz rešitev za šifriranje, tokenizacijo in maskiranje podatkov za zaščito transakcij in osebnih podatkov na ravni datotek, map, aplikacij in baz podatkov v oblaku in čez hibridna okolja. 

Šifriranje finančnih in osebnih podatkov v gibanju 

Rešitve Thales High Speed Encryptors (HSE) organizacijam prinašajo edinstveno platformo za šifriranje podatkov v prenosu na vseh ravneh – od omrežnega prometa med podatkovnimi centri in centralo do rezervnih centrov, bodisi lokalno ali v oblaku. 

Razvoj in vzdrževanje varnih sistemov in aplikacij 

Rešitve na kraju samem Thales Luna HSM in Luna Cloud HSM na DPoD, rešitve v oblaku, omogočajo organizacijam, da varno shranjujejo ”signing” materiale na hardverskih napravah, s čimer zagotavljajo avtentičnost in integriteto vseh datotek aplikacijske kode. 

Izvajanje močnih ukrepov za nadzor dostopa 

Rešitve Thales CipherTrust se lahko uporabljajo za enostaven, večfaktorski dostop do vseh administrativnih sistemov – na kraju samem in v oblaku. SafeNet Trusted Access omogoča centralno upravljanje uporabniških identitet, in sicer na podlagi politik avtentikacije, ki temeljijo na tveganjih, in odobravanja/razveljavitve dostopa do sistemov čez hibridni IT sistem. 

Nadzor in spremljanje vseh dostopov do občutljivih informacij 

Paket rešitev Thales za zaščito varnosti podatkov je zasnovan z namenom zagotavljanja skladnosti. Rešitve organizacijam pomagajo pri spremljanju in nadzoru dostopa do podatkov. Na primer, rešitve iz portfelja Thales CipherTrust omogočajo ustvarjanje revizijskih zapisov, ki beležijo življenjski cikel šifrirnih ključev (ustvarjanje/brisanje/rotacija/razveljavitev) in drugih administrativnih funkcij, ki se lahko uporabijo za rekonstrukcijo dogodkov.