Direktiva o ukrepih za visoko skupno raven kibernetske varnosti (NIS 2): vprašanja in odgovori
Ali sem zavezanec po direktivi NIS 2?
Če imate podjetje ali organizacijo v EU, se morda sprašujete, ali direktiva NIS2 za vas velja. Odgovor je odvisen od različnih dejavnikov; velikosti podjetja, širšim družbenim pomenom vaše organizacije in sektorjem, v katerem poslujete. Sektorji so razdeljeni na tiste z visoko stopnjo kritičnosti in druge kritične sektorje.
Direktiva NIS 2 se uporablja za zasebne ali javne subjekte, ki veljajo za bistvene in pomembne. V skladu z direktivo je določitev, ali je subjekt bistven ali pomemben, odvisna od sektorja, v katerem deluje, in velikosti organizacije.
V področje uporabe direktive NIS 2 so vključene le srednje in velike organizacije, predvsem velika podjetja z več kot 250 zaposlenimi in srednje velika podjetja z od 50 do 250 zaposlenimi. Podjetja z manj kot 50 zaposlenimi ali letnim prometom, manjšim od 10 milijonov evrov, so izključena, razen če se šteje, da so ključnega pomena za družbo.
Ne glede na velikost pa je ključnega pomena izpolnjevanje zahtev direktive NIS 2. Direktiva NIS 2 bistveno razširja obseg zahtev za obvladovanje tveganj kibernetske varnosti, ki jih morajo subjekti upoštevati kot minimalni standard. Pripravlja tudi podlago za inšpekcijske preglede, ki lahko potekajo pred ali po nastanku pomembnih incidentov. Neupoštevanje direktive NIS 2 lahko privede do visokih kazni in škodi vašemu ugledu.
Ne glede na to, ali vaša organizacija spada na področje uporabe direktive NIS 2 ali ne, je pomembno, da ste obveščeni o zahtevah direktive in morebitnem vplivu na vaše poslovanje. S proaktivnim pristopom k upravljanju tveganj na področju kibernetske varnosti lahko zaščitite svoje podjetje ter ohranite zaupanje strank in zainteresiranih strani.
Ali direktiva NIS 2 že velja? Kako je z njenim prenosom v slovenski pravni red?
Direktiva NIS 2 sicer že velja vendar, kot to velja za direktive na splošno, ni neposredno uporabljiva, prenesti jo je namreč treba v nacionalne zakonodaje držav članic EU. Rok za njen prenos je bil 17. oktober 2024. Slovenija zakonodaje, potrebne za prenos direktive NIS 2, še ni sprejela, kot tudi še precej drugih držav članic EU.
Slovenija bo direktivo NIS 2 prenesla v nacionalno zakonodajo skozi nov zakon o informacijski varnosti (ZinfV-1). Zakon predvideva tako prenos določb direktive kot tudi vzpostavitev posebnih nacionalnih določb ob ohranitvi ali izboljšavi obstoječih določil, ki urejajo trenutni sistem kibernetske varnosti v Republiki Sloveniji.
Ali se bom moral registrirati? Do kdaj?
Zavezanci bodo morali preko obrazca za samoregistracijo sporočiti svoje podatke na URSIV in se s tem registrirati kot zavezanci. Postopek samoregistracije bodo morali opraviti (kot je to trenutno predvideno) v roku 30. dni od nastopa okoliščin, na podlagi katerih izpolnjujejo merila za obravnavo kot zavezanec po ZInfV-1. Zavezanci, ki bodo ob uveljavitvi zakona že izpolnjevali merila, pa bodo morali postopek samoregistracije (kot je to trenutno predvideno) opraviti v roku šestih mesecev od uveljavitve ZInfV-1.
ZInfV-1 je trenutno še v zaključnih fazah medresorskega usklajevanja. Ko ga bo zakonodajalec sprejel, bo objavljen v Uradnem listu Republike Slovenije. Po objavi bo začel teči rok za njegovo uveljavitev. Trenuten predlog za dolžino roka je 15 dni.
Predstavljene informacije v zvezi s prihodnjo zakonodajo ZinfV-1 vsebujejo mnenja in načrte Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) kot pristojnega nacionalnega organa za to vprašanje. Ta mnenja in načrti temeljijo na trenutno razpoložljivih informacijah. V okviru postopka priprave predloga ZInfV-1, ki ga Vlada pošlje zakonodajalcu, kot tudi še v samem zakonodajnem postopku, se namreč lahko predstavljene vsebine še spreminjajo.