Uvedba zahtev direktive NIS 2 v nacionalno zakonodajo z novelo Zakona o informacijski varnosti (ZInfV-1) prinašajo večjemu številu podjetjem – zavezancem in njihovim dobaviteljem nove zahteve glede ukrepov kibernetske varnosti, med njimi tudi drugačno odgovornost poslovodstvu. Kako se lotiti sprememb, ki jih prinaša novela Zakona o informacijski varnosti (ZInfV-1) je bila osrednja tema dogodka v Sekciji za kibernetsko varnost ZIT GZS.
Nedavni dogodek » Kaj morajo podjetja vedeti o NIS-2 in noveli ZInfV-1?« je naslovil številna vprašanja razlogov in ključnih zahtev, ki jih prinaša spremenjena zakonodaja, še posebej pa vprašanja, kako se praktično lotiti doseganja skladnosti z novo zakonodajo.
Številna podjetja - dobavitelji se že srečujejo z vprašanji svojih naročnikov o ukrepih kibernetske varnosti, še posebej tista, ki so vpeta v dobaviteljske verige znotraj EU. Stopnja kibernetskih tveganj se ne zmanjšuje, predvsem zaradi večje kompleksnosti, povečanja obsega digitalizacije in uporabe umetne inteligence tudi na strani napadalcev ter dosežene stopnje implementiranih ukrepov kibernetske varnosti v podjetjih. Na podlagi naših izkušenj, je povedal Milan Gabor, etični heker, Viris d.o.o, na nedavnem dogodku so v približno 30 do 40 odstotkih vseh opravljenih pregledov odkrili kritične ranljivosti, kot so možnost dostopa brez avtentikacije, ranljive verzije programske opreme ali neučinkovita segmentacija omrežij. V večini preostalih pregledov, torej v več kot 80 odstotkih primerov, smo odkrili vsaj srednje kritične ranljivosti, ki lahko ob verižni zlorabi povzročijo resne varnostne incidente. Te številke potrjujejo, da redno preverjanje varnosti informacijskih sistemov ni zgolj priporočljivo, temveč nujno za zagotavljanje varnega poslovanja.
Čeravno je nedavna raziskava v evropskem prostoru pokazala nezadostno stopnjo vključenosti vodstva v implementacijo zahtev NIS 2, lokalno beležimo bistveno povečanje udeležbe na dogodkih v povezavi z implementacijo NIS 2, ki kaže na vse večje zavedanje odgovornosti, ki jo nova direktiva nalaga vodstvu organizacije. Ta zaostruje odgovornost poslovodnih organov pri zagotavljanju kibernetske varnosti je povedala Ivana Žolgar Olenik iz Telekoma Slovenije d.d. Če je bilo v preteklosti varovanje informacijskih sistemov pogosto prepuščeno zgolj IT in varnostnim ekipam, nova pravila jasno določajo, da je to strateška naloga, za katero so neposredno odgovorne osebe pravnih oseb oziroma člani poslovodnih organov. Po NIS 2 so odgovorne osebe bistvenih in pomembnih subjektov dolžne izvajati in nadzirati ukrepe za obvladovanje tveganj za kibernetsko varnost. To pomeni, da ne morejo več zgolj delegirati teh odgovornosti strokovnim ekipam, temveč morajo aktivno sodelovati pri upravljanju kibernetskih tveganj. Poleg tega morajo odgovorne osebe formalno odobriti ukrepe za obvladovanje tveganj, ki jih organizacija sprejema za izpolnjevanje zakonskih obveznosti. Njihova vloga je torej dvojna: poleg sprejemanja strateških odločitev morajo tudi zagotoviti, da se ti ukrepi izvajajo učinkovito in skladno z zakonodajo. Ena izmed pomembnih novosti je tudi obveznost rednega usposabljanja. Člani poslovodnih organov se morajo izobraževati oziroma usposabljati na področju obvladovanja tveganj kibernetske varnosti in njihovega vpliva na dejavnosti oziroma storitve, ki jih izvaja subjekt. To vključuje zavedanje o vplivu morebitnih varnostnih incidentov na storitve in poslovanje podjetja.
NIS 2 torej spreminja kibernetsko varnost iz tehničnega vprašanja v poslovno odgovornost najvišjega vodstva. S tem se povečuje zahtevana stopnja zavzetosti poslovodnih organov pri obvladovanju tveganj, obenem pa se uvajajo strožji nadzorni mehanizmi in sankcije za neizpolnjevanje obveznosti. Prej so bile sankcije večinoma usmerjene v podjetje, ne posameznike. NIS 2 uvaja strožje sankcije, ki lahko vključujejo visoke denarne kazni v odvisnosti od prometa ter osebno odgovornost članov poslovodstva. V primeru hujših in ponavljajočih se kršitev pa se odgovorni osebi lahko izreče celo začasna prepoved opravljanja vodstvenih funkcij.
»Tveganje ni konec poti, je začetek priložnosti«, je povedal Marko Zavadlav iz podjetja PRO.Astec. Ocenjevanje tveganj izvajajo nosilci procesov. Odvisno od organizacijske strukture so lahko tudi sami odgovorni za izvajanje ustreznih ukrepov in kontrol, končno pa je za upravljanje tveganj vedno odgovorno poslovodstvo. Ustrezno upravljanje tveganj, kar pomeni, da mora biti tako uspešno kot učinkovito, je ključno za zagotavljanje delovanja vsake organizacije, še pomembneje pa je to pri zavezancih po direktivi NIS 2, saj njihovo delovanje pomembno vpliva na celotno okolje, v katerem delujejo. Ukrepi, ki izhajajo iz analize tveganj, morajo biti učinkoviti, pa naj bodo proaktivni ali reaktivni, hkrati mora biti njihova uspešnost merljiva. Veliko ukrepov je povezanih s stroški, zato je s stališča organizacije njihova ustreznost neposredno povezana s poslovnimi rezultati. Predavatelj je še posebej osvetlil tveganja, ki so povezana z dobavno verigo, ki so bila v preteklosti pogosto zanemarjena in jih NIS 2 še posebej izpostavlja.
Ker pa se navkljub uveljavljenim ukrepom žal vedno ne izide brez incidentov, je potrebno biti pripravljen na ukrepanje v primeru kibernetskega napada. Poleg monitoringa sistema s katerim se lahko skrajša čas, ko je v sistemu prisotno škodljivo dogajanje, je pomemben vzpostavljen in preverjen proces odzivanja na incidente in obnovitev delovanja, ki ga je podrobno predstavil Uroš Lesjak iz podjetja Inovis IT. V primeru kibernetskega napada je ključno imeti vnaprej pripravljen in preizkušen načrt za odzivanje na incidente, ki naj vključuje aktivacijo odzivne ekipe, ukrepe za zajezitev napada, zbiranje dokazov, obveščanje, obnovitev sistemov in analizo ter poročanje.
Hitrost okrevanja je konkurenčna prednost – vsak dan nedelovanja pomeni konkretne stroške in škodo ugledu. Za hitrejše okrevanje je pomemben načrt za obnovo z dokumentiranimi postopki za obnovo, redne in preverjane varnostne kopije, pripravljen načrt komuniciranja in ustrezne vaje, ki vključujejo tudi vodilne.
Predavanje so spremljala številna praktična vprašanja, kar je dober pokazatelj zavedanja zavezancev in spodbuda k hitrejšem ukrepanju za dosego skladnosti z normativno ureditvijo, kar pomeni tudi zmanjšanje tveganj in verjetnosti izgub zaradi groženj v digitalnem svetu.