Na ravni EU je pripravljena nova, razširjena Direktiva o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov, poimenovana NIS2. Direktiva zavezuje vse, ki so vključeni v NIS1, dodatno pa ji bodo podvrženi naslednji sektorji:
- ponudniki javnih elektronskih komunikacij, omrežij in strežnikov,
- ponudniki digitalnih storitev, kot so družbena omrežja in podatkovni centri,
- vesoljske tehnologije,
- podjetja za upravljanje z odpadnimi vodami in odpadki,
- proizvodnja nekaterih kritičnih produktov (farmacija, medicinski pripomočki, kemična industrija),
- poštne in dostavne storitve,
- prehrambna industrija in
- javna uprava.
Po novi direktivi bodo organizacije med drugim dolžne v roku 24 ur poročati o zaznanem varnostnem incidentu ter v roku enega meseca oddati končno poročilo, v katerem morajo biti poleg podatkov o incidentu in vzroku vključeni tudi vpeljani in načrtovani ukrepi za odpravljanje tveganj.
Neskladnost z določili direktive bo sankcionirana s finančnimi globami v določenem odstotku letnega prometa. Najvišja določena kazen znaša 2 % letnega prometa oz. 10 milijonov EUR, kar je višje. Poleg tega bo moral kršitelj sledici zavezujočim navodilom iz izrečene sankcije, vpeljati priporočila iz poročila varnostnega pregleda ter vpeljati varnostne mehanizme, ki bodo skladni z Direktivo NIS2.
Nova direktiva bo stopila v veljavo 20 dni po objavi v Uradnem listu EU. Nato bodo imele države članice 21 mesecev časa, da njena določila vključijo v lokalno zakonodajo.
Ne odlašajte predolgo s prilagoditvami na novo zakonodajo. Bodite obveščeni o spremembah, ki zadevajo vašo panogo in dvignite raven kibernetske varnostih svojih procesov in sistemov na zahtevano raven.
Kot specialisti za penetracijska testiranja vam lahko pri doseganju skladnosti pomagamo s penetracijskimi testi in svetovanjem za trajnostno upravljanje kibernetske varnosti.
Več informacij glede nove direktive najdete na spletnih straneh Evropske komisije in Evropskega parlamenta.