Direktiva NIS2 in novi zakon o informacijski varnosti

  • 24. jun. 2025

NIS2 je nova direktiva Evropske unije, ki prinaša pomembne spremembe na področju kibernetske varnosti, ki bodo vplivale na številne organizacije v Evropski uniji. Preberite, katere nove obveznosti in varnostne ukrepe uvaja direktiva ter kako se lahko podjetja pripravijo na te spremembe. Članek je namenjen vsem, ki želijo razumeti aktualne trende in okrepiti svojo kibernetsko in informacijsko varnost.

Zakaj se povečuje zanimanje za omrežno in informacijsko varnost

Direktiva NIS2, t. j. Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, je pravni akt EU, katerega cilj je izenačiti in izboljšati raven kibernetske varnosti v državah članicah zaradi vse večjega števila kibernetskih groženj in napadov.

Določa zahteve za varnost omrežij in informacijskih sistemov ter omrežij v različnih kritičnih sektorjih ter vključuje tehnične in organizacijske ukrepe, ki jih morajo sprejeti podjetja in organizacije, da zagotovijo ustrezno zaščito pred kibernetskimi grožnjami.

„Direktivo NIS2 kot zakonodajno spremembo ocenjujem zelo pozitivno. To je priložnost za podjetja, da okrepijo svojo zaščito pred kibernetskimi grožnjami. Rad jo primerjam z „nadležno“ obveznostjo nošenja čelade med kolesarjenjem. Kaj pa, če se mi zgodi kaj resnega? Z nošenjem čelade sem zmanjšal tveganje resne in/ali smrtne nesreče. Sistem NIS2 zagotavlja okvir, kako naj podjetje vzpostavi osnovno kibernetsko varnost,“ pravi Dan Albrecht, vodja poslovnega razvoja v podjetju Seyfor.


Zakon o informacijski varnosti

Zakon o informacijski varnosti (ZinfV-1)* je nacionalni predpis Republike Slovenije, ki določa obveznosti zavezancev, tj. izvajalcev bistvenih in pomembnih storitev, vključno s ponudniki digitalnih storitev, z obveznostjo poročanja o varnostnih incidentih in izvajanjem ustreznih varnostnih ukrepov.

Glavna povezava med NIS2 in Zakonom o informacijski varnosti je, da NIS2 določa minimalne zahteve in pravila, ki jih morajo države članice EU, torej tudi Slovenija, prenesti v svojo nacionalno zakonodajo. Zato je bilo treba slovenski zakon o informacijski varnosti posodobiti in prilagoditi, da je skladen z novimi in strožjimi zahtevami.


Zgodovina in razvoj direktive NIS2

Prva direktiva EU o varnosti omrežij in informacijskih sistemov (NIS) je začela veljati leta 2016 in je predstavljala prvi korak k enotni ravni kibernetske varnosti v EU, predvsem za ključno infrastrukturo držav članic. Sedaj naj bi direktiva NIS2 nadgradila in razširila obstoječi okvir NIS.

NIS2 je posodobljena različica direktive NIS, ki upošteva sodobne kibernetske grožnje in razširja obveznosti na več sektorjev in organizacij. Besedilo direktive NIS2 je bilo decembra 2022 objavljeno v Uradnem listu Evropske unije.

 

NIS in NIS2: glavne razlike

Ena od glavnih razlik med NIS in NIS2 je razširitev področja uporabe. Medtem ko je prva direktiva zavezovala predvsem velike organizacije, NIS2 vključuje tudi srednja in manjša podjetja, ki veljajo za pomembna za delovanje gospodarstva in družbe.

Druga pomembna sprememba je uvedba samoocenjevanja organizacij. To je začetni postopek, v katerem mora organizacija sama ugotoviti, ali spada med zavezance po NIS2.

 

Katere obveznosti uvaja NIS2?

Direktiva NIS2 je organizacije razdelila v dve skupini:

  • izvajalci bistvenih storitev (režim višjih obveznosti) in
  • izvajalci pomembnih storitev (režim nižjih obveznosti).

Glede  na pripadnost skupini morajo organizacije vzpostaviti ustrezne organizacijske in tehnične ukrepe, pri čemer imajo podjetja v režimu nižjih obveznosti opredeljenih manj potrebnih varnostnih ukrepov kot podjetja v režimu višjih obveznosti.

NASVET: Celoten pregled obveznosti, ki jih uvaja NIS2, vključno z navodili za samoocenjevanje organizacij, je na voljo tukaj.

 

Kaj NIS2 pomeni za podjetja in druge organizacije ter kakšne obveznosti prinaša

Direktiva bo vplivala na skoraj vsa srednja in velika podjetja, ki izvajajo katerega izmed 106 reguliranih storitev na trgih EU v 22 sektorjih. V Sloveniji bo zavezancev sprva malo, vendar je že zdaj mogoče domnevati, da se bo število reguliranih subjektov sčasoma povečalo.

Slika: 22 sektorjev, na katere vpliva sistem NIS2.


Zavezanci morajo vzpostaviti ukrepe, kot so:

  • namestitev požarnih zidov,
  • šifriranje podatkov,
  • redno posodabljanje programske opreme,
  • redno usposabljanje zaposlenih in
  • vzpostavitev načrtov za odzivanje na incidente.

Vodstvo in osebje subjektov je treba redno usposabljati in obveščati o trenutnih grožnjah in varnostnih praksah. Organizacije morajo imeti zanesljive načrte za obvladovanje tveganj in okrevanje po kibernetskih napadih. To vključuje prepoznavanje morebitnih groženj, ocenjevanje tveganj, poročanje o incidentih in izvajanje ukrepov za odpravo posledic. 

 

Kazni in globe za neizpolnjevanje zahtev

Neizpolnjevanje zahtev NIS2 lahko prinese visoke globe, pa tudi škodo za ugled podjetja. 

Kršitve lahko privedejo do visokih denarnih kazni ali v skrajnih primerih do odgovornosti zakonitih zastopnikov in drugih vodilnih kadrov.

Podjetja, ki ne bodo izpolnjevala zahtev v novega zakona, se lahko soočijo z dolgoročnimi posledicami, kot so izguba strank, pravne težave in omejene možnosti za rast. Zato je v njihovem najboljšem interesu izpolnitev vseh zahtev NIS2.


Ali novi zakon o informacijski varnosti velja tudi za vas?

Organizacije, ki sodijo med zavezance, morajo zagotoviti ustrezen sistem upravljanja informacijske varnosti. Za to so odgovorni zakoniti zastopniki, ki so dolžni sprejeti ustrezne ukrepe za zaščito pred kibernetskimi grožnjami.

Poseben kalkulator vam lahko pomaga preveriti, ali vas zakon zadeva.

Preizkusite ga sami.

 

Seyfor kot zanesljiv partner na področju informacijske varnosti

Podjetja lahko sodelujejo z zunanjimi strokovnjaki, kot je Seyfor Češka, za zagotavljanje skladnosti in povečanje ravni kibernetske varnosti.

„Vsako področje kibernetske varnosti je zelo specifično in enako obsežno kot celotna informacijska tehnologija. Seyfor podjetjem ponuja celovito pomoč na področju informacijske varnosti - od analize trenutnega stanja do uvedbe potrebnih tehničnih in organizacijskih ukrepov. Zagotavljamo svetovanje, razvoj smernic za varnost omrežij, oblikovanje rešitev in odzivanje na incidente, vključno z obnovo infrastrukture in komunikacij,“ pojasnjuje Dan Albrecht in opisuje vlogo podjetja Seyfor v okviru varnosti omrežij in informacij. 

 

Seyfor nudi celovite storitve upravljanja kibernetske varnosti, ki vključujejo revizijo obstoječih ukrepov, uvajanje novih tehnologij in redno usposabljanje osebja.

 

NIS2 kot priložnost za okrepitev kibernetske varnosti v EU

Tehnologija napreduje, grožnje pa se množijo – zato bosta kibernetska varnost in zakonodaja ostali ključni področji.

Nova pravila bodo prispevala k boljši in enotni ravni kibernetske varnosti v EU. Podjetja morajo pravočasno sprejeti ukrepe, usposobiti zaposlene in biti pripravljena na morebitne napade.

Skladnost z NIS2 in novim Zakonom o informacijski varnosti je priložnost, ne zgolj obveznost.

Potrebujem pomoč pri projektu NIS2

 

Uporabno gradivo o NIS2 in ZinfV-1:

Nov Zakon o informacijski varnosti ZinfV-1 prinaša celovite spremembe in krepitev obstoječih ukrepov, da bi ključne storitve in digitalne infrastrukture postale bolj odporne na kibernetske grožnje.

Nova direktiva Evropske unije NIS2 in njeno besedilo sta zdaj na voljo tukaj in vsebujeta podrobne informacije o novih zahtevah in standardih informacijske varnosti za države članice EU.

 

Avtorica članka: Ing. Kateřina Menšíková

 

Storitve izvaja Seyfor, a.s., Češka republika.

 

Nazaj na vsebine

Podobne vsebine

Več vsebin
image

Na koga bo vplival sistem NIS2? Uporabite naš kalkulator

  • 11. jul. 2025
Preberi
image

Kako se pripraviti na NIS2: začnite s samopresojo in določite svojo stopnjo odgovornosti

  • 20. jun. 2025
Preberi
Več vsebin