Direktiva NIS2 je začela veljati v začetku leta 2025, v Sloveniji pa je bila prenesena v Zakon o informacijski varnosti (ZinfV-1). Kako se nanjo pripraviti?
Prvi korak je samopresoja, s katero boste ugotovili, ali vas direktiva in njene obveznosti zadevajo. V naslednjem koraku preverite, ali vaša organizacija spada v režim nižjih ali višjih obveznosti, saj to določa obseg varnostnih ukrepov in ukrepov upravljanja tveganj na področju informacijske varnosti, ki jih boste morali uvesti. S pomočjo Seyforjevega kalkulatorja lahko hitro preverite, katere zaveze vam nalaga NIS2.
Ali moje podjetje spada pod NIS2?
Opredelitev sistema NIS2 in predviden začetek uporabe
Direktiva o ukrepih za visoko skupno raven informacijske varnosti v Uniji (NIS2) je evropski pravni akt, katerega cilj je zagotoviti višjo raven informacijske varnosti v Evropski uniji. Nadomešča prejšnjo direktivo NIS1, ki jo ustrezno posodablja in razširja njeno področje uporabe in obveznosti.
Nasvet: Če želite izvedeti več o direktivi NIS2, preberite naš uvodnik.
Ker gre za direktivo, jo je treba prenesti v nacionalni pravni red. V Sloveniji je bil sprejet nov Zakon o informacijski varnosti (ZinfV-1), ki bo določil konkretne obveznosti za podjetja. Kljub temu, da se bo preverjala skladnost z zakonom šele konec leta 2026, se morajo organizacije začeti pripravljati že zdaj, saj implementacija ustreznega sistema upravljanja informacijske varnosti zahteva čas.
Kako začeti priprave na NIS2? Dva ključna koraka
Korak 1: Samopresoja - ugotovite, ali NIS2 velja za vas
Prvi korak je ugotoviti, ali vaša organizacija spada med zavezance. To je ključnega pomena, saj boste le tako vedeli, ali ste dolžni vzpostaviti ustrezne varnostne ukrepe in ukrepe upravljanja tveganj.
NIS2 uvaja novo odgovornost subjektov – vsaka organizacija mora sama presoditi, ali zanjo velja NIS2.
Kako pravilno pristopiti k samopresoji?
Organizacija mora preveriti naslednja merila:
1. Sektor dejavnosti
Preverite, ali delujete v sektorju, ki ga direktiva opredeljuje kot bistvenega ali pomembnega. V direktivi NIS2 in predpisih ZinfV-1 je določenih 22 sektorjev, vključno z energetiko, zdravjem, javno upravo, digitalnimi storitvami itd.
Nasvet: Seznam sektorjev najdete TUKAJ.
2. Velikost podjetja
Določite velikost svoje organizacije v skladu s Priporočilom Evropske komisije 2003/361/ES. Ugotovite, ali spadate v kategorijo mikro, malih, srednjih ali velikih podjetij.
Pri določanju števila zaposlenih se upoštevajo:
- zaposleni za polni delovni čas,
- zaposleni s krajšim delovnim časom,
- začasni in sezonski delavci.
Ne upoštevajo se: pripravniki, študenti in zaposleni na porodniškem ali starševskem dopustu.
Osnovno število zaposlenih je izraženo v letnih delovnih enotah (AWU). Ena enota se šteje kot oseba, ki je bila v podjetju ali v njegovem imenu zaposlena za polni delovni čas v celotnem referenčnem letu. Osebe, ki so delale s krajšim delovnim časom, sezonski delavci in osebe, ki niso delale celo leto, se štejejo kot deleži AWU.
Pri ocenjevanju izpolnjevanja finančnih kazalnikov lahko podjetje izbere kazalnik, ki je zanj ugodnejši. Hkrati je treba upoštevati, ali ste:
- neodvisno podjetje
- partnersko podjetje
- povezano podjetje
Upoštevati je treba vsa razmerja, ki jih ima podjetje z drugimi podjetji, tj. neposredna in posredna.
POZOR: Ob preseganju katerikoli od mejnih vrednosti (zaposleni ali finančni prag) boste uvrščeni v višjo kategorijo.
Kaj to pomeni v praksi?
Če ima podjetje 125 zaposlenih (kategorija srednje velikih podjetij) in letni promet v višini približno 8 milijonov EUR (kategorija malih podjetij), bo razvrščeno v kategorijo srednje velikih podjetij.
OPOZORILO: Za nekatere organizacije velja sistem NIS2 ne glede na njihovo velikost, če bodo predstavljale strateško pomembno storitev (javna uprava, energetika, promet itd.), ali bodo določene kot pomemben dobavitelj v razmerju med dobaviteljem in stranko ter bo stranka nanje prenesla odgovornosti in pravila sistema informacijske varnosti.
3. Posebna merila
Določena so v izvedbenih predpisih (v Sloveniji ZinfV-1 in podzakonski akti). Na primer:
- v energetiki: moč elektrarne in licenca,
- v zdravstvu: število postelj za akutno oskrbo.
Dodatno preverite sektorske predpise (npr. GDPR in ZVOP-2, DORA, posebne uredbe za energetiko, promet itd.), saj imajo lahko prednost pred NIS2.
Povzetek sektorskih predpisov:
- Finančni sektor: Uredba DORA
- Energetika: Uredba o pripravljenosti na tveganja, Uredba (EU) 2017/1938
- Promet: Sektorske uredbe
- Elektronske komunikacije: Evropski zakonik o elektronskih komunikacijah (EECC), v Sloveniji Zakon o elektronskih komunikacijah (ZEKom-2)
Za preverjanje lahko uporabite naš kalkulator za samopresojo.
Korak 2: Ugotovite, ali ste ponudnik reguliranih storitev v okviru nižjih ali višjih obveznosti
Poleg že omenjenega postopka samoodločanja NIS2 organizacije deli tudi v dve skupini:
- bistveni subjekti - ponudniki reguliranih storitev v režimu višjih obveznosti in
- pomembni subjekti - izvajalci reguliranih storitev v režimu nižjih obveznosti.
Na podlagi samopresoje boste ugotovili, v katero skupino spadate.
Primeri:
Podjetje v predelovalni industriji: 280 zaposlenih, promet 45 mio EUR
- Spada v sektor 7.3 – proizvodnja strojev
- Kategorija: subjekt pomembnega pomena (nižji režim obveznosti)
Malo podjetje: (25 zaposlenih, 1 mio EUR)
- NIS2 ne velja, saj podjetje ne dosega pragov in ni strateško pomembno.
Zdravstvena ustanova: 50 postelj za akutno oskrbo, 520 zaposlenih, 8 mio EUR
- Sektor: zdravstveno varstvo
- Veliko podjetje (več kot 250 zaposlenih)
- Kljub neizpolnjevanju posebnega merila (270 postelj) spada med subjekte bistvenega pomena, saj šteje velikost podjetja.
To je bilo nekaj primerov, kako ravnati pri samoodločanju in opredelitvi svojega podjetja.
Kako vam lahko Seyfor pomaga?
Priprava na NIS2 je ključna za zagotavljanje ustrezne ravni informacijske varnosti vaše organizacije. Bodite proaktivni in preverite, ali vas direktiva zadeva ter katero stopnjo zavez morate izpolnjevati.
Če potrebujete pomoč pri presoji ali uvajanju ukrepov, se obrnite na nas. Izvajanje ustreznih varnostnih ukrepov je bistvenega pomena za zaščito vaših sistemov in podatkov pred vse večjimi kibernetskimi grožnjami.
Naš kalkulator samopresoje vam lahko pomaga pri določanju vaše stopnje zavez.
Ne čakajte – začnite priprave že danes!
Avtorica članka: Ing. Kateřina Menšíková
Storitve izvaja Seyfor, a.s., Češka republika.
