Kako zadostiti zahtevam novega zakona o informacijski varnosti (ZInfV-1)

Novi zakon o informacijski varnosti (ZInfV-1), ki je še v fazi osnutka, bo v skladu z evropsko direktivo o kibernetski varnosti NIS 2 precej zaostril pravila na področju kibernetske varnosti. Število zavezancev, za katere bodo nova pravila veljala, se bo zelo povečalo.

Za koga veljajo pravila

Pravila veljajo za podjetja iz sektorjev, navedenih v prilogah I in II, ki imajo vsaj 50 zaposlenih in letne prihodke ali letno bilančno vsoto vsaj 10 milijonov evrov. Obstajajo pa izjeme, kjer se zakon uporablja tudi za subjekte ne glede na število zaposlenih ali letne prihodke, če gre za ponudnike pomembne digitalne infrastrukture. Navedeni v prilogi I postanejo bistveni subjekti, če imajo vsaj 250 zaposlenih in letne prihodke vsaj 50 milijonov evrov oziroma bilančno vsoto vsaj 43 milijonov evrov. Obstajajo določene izjeme, kjer se subjekt šteje kot bistven, tudi če ne izpolnjuje omenjenih pogojev.

 

Na kaj je treba biti pozoren

Organizacije morajo biti pozorne predvsem na poglavje o ukrepih za obvladovanje tveganj in priglasitve incidentov, ki se nanašajo na minimalne varnostne ukrepe oziroma njihovo vzpostavitev, svetuje Branko Miličević, vodja razvoja poslovanja za varnost v podjetju NIL, ki je del skupine Conscia. Pozorne morajo biti tudi na dodatne zahteve, ki jih morajo izvajati v primerih višjih ocen ogroženosti kibernetske varnosti v Republiki Sloveniji, ter na poglavje o nadzoru, kjer je podrobneje opisan postopek nadzora.

Branko Miličević, vodja razvoja poslovanja za varnost v podjetju NIL, del skupine Conscia: »Pri naslavljanju zahtev direktive NIS 2 se obrnite na zanesljivega in izkušenega partnerja na področju kibernetske varnosti.«

Branko Miličević, Vodja razvoja poslovanja za varnost, NIL, del skupine Conscia

Največji izzivi in kako jih rešiti

Največji izzivi, zlasti za mala in srednja podjetja, bodo po Miličevićevih besedah pomanjkanje strokovnega kadra, omejeni finančni viri, časovne omejitve pri uvajanju kompleksnih varnostnih rešitev, pri marsikom pa tudi samo razumevanje novih obveznosti in vodenja ustrezne dokumentacije.

Miličević svetuje, naj se zato organizacije pri naslavljanju zahtev direktive NIS 2 obrnejo na zanesljivega in izkušenega partnerja na področju kibernetske varnosti. Podjetje NIL ponuja celosten nabor tehničnih rešitev, ki izpolnjujejo zahteve osnutka ZInfV-1. Naštevamo sklope ključnih rešitev, pri katerih izbiri in implementaciji je treba upoštevati kontekst posamezne organizacije.

  • Storitve upravljane zaznave in odziva (MDR/SOC): Te napredne rešitve vključujejo odkrivanje in odzivanje na kibernetske grožnje v realnem času. Z njihovo vpeljavo lahko zadostimo več zahtevam. V osnovi MDR ponuja zaščito pred zlonamerno programsko kodo, zaznava poskuse vdorov in preprečuje incidente. Z integracijo dodatnih modulov upravljanega odkrivanja ranljivosti in upravljanega beleženja oziroma zagotavljanja in ohranjanja dnevniških zapisov naslovimo še dve dodatni zahtevi zakonodaje.
  • Zagotavljanje in ohranjanje dnevniških zapisov: NIL ponuja tudi samostojno rešitev za zbiranje, hrambo in obdelavo dnevniških zapisov. To omogoča zavezancem izpolnjevanje zahteve po ohranjanju sledljivosti delovanja omrežnih in informacijskih sistemov.
  • Varnostni pregledi omrežja in informacijskih sistemov: NIL ponuja storitve celostnih varnostnih pregledov, ki vključujejo preverjanje ranljivosti, ocenjevanje tveganj in ugotavljanje morebitnih varnostnih pomanjkljivosti. Ti pregledi pomagajo organizacijam prepoznati šibke točke na infrastrukturi in vzpostaviti ustrezne ukrepe za njihovo zaščito.
  • Obnova in vnovična vzpostavitev delovanja (Disaster Recovery): NIL zagotavlja rešitve za izvedbo obnove in vnovične vzpostavitve delovanja informacijskih sistemov po incidentih, ki povzročijo prekinitev delovanja. Vključujejo implementacijo izoliranih, vendar tudi sinhroniziranih varnih lokacij ter avtomatizirane postopke za hitro in učinkovito obnovitev kritičnih sistemov in podatkov – s tem dosežemo čim krajše izpade in nemoteno nadaljevanje poslovanja. Avtomatizirani postopki omogočajo tudi načrtovane preklope med lokacijami, bodisi v celoti ali granularno na nivoju posamezne aplikacije, skupka aplikacij ali okolja.
  • Spremljanje omrežnega prometa in zaznavanja anomalij: NIL ponuja uvajanje rešitev za celostno spremljanje omrežnega prometa, katerih cilj je odkrivanje anomalij in nenavadnih aktivnosti, ki lahko nakazujejo tudi na kibernetske incidente.
  • Izvajanje in upravljanje varnostnih kopij podatkov: NIL organizacijam zagotavlja visoko stopnjo zaščite in integritete podatkov z rešitvami za varnostno kopiranje podatkov z nespremenljivimi kopijami in dodatno zaščito s šifriranjem. To omogoča obnovitev iz zaupanja vrednih podatkov, kar organizacijam zagotavlja, da se učinkovito zaščitijo pred izgubo podatkov ter hitro in varno obnovijo podatke v primerih incidentov.
  • Preverjanje identitete uporabnika in upravljanje pooblastil za dostop: NIL ponuja rešitve IAM, PAM ter MFA, ki skrbijo za učinkovito preverjanje identitete uporabnikov in upravljanje pooblastil, kar zmanjša tveganje nepooblaščenih dostopov.

Vir publikacije: Časnik Finance