top of page
    • Oct 19, 2023

Povečan obseg v okviru NIS2

Evropska direktiva NIS2 (polno ime "Direktiva o ukrepih za visoko skupno raven kibernetske varnosti po vsej Uniji") se trenutno uveljavlja v državah članicah EU in naj bi bila uveljavljena najkasneje do oktobra 2024 v nacionalni zakonodaji. Elementi direktive bodo vplivali tudi na sosednje države, ki morda niso članice EU (še). To je široko prepoznavno kot "Bruseljski učinek," za bolje ali slabše.


Odhajajoča: NIS1


Veljaven režim NIS1 je bil uveljavljen v 7 sektorjih, ki so bili označeni za ključne za gospodarstvo in družbo ter se močno zanašajo na informacijsko-komunikacijsko tehnologijo, kot so energija, promet, bančništvo, finančne tržne infrastrukture, pitna voda, zdravstvo in digitalna infrastruktura.


Organizacije, ki so jih države članice označile kot operaterje bistvenih storitev (OES) v teh sektorjih, morajo izvesti oceno kibernetskega tveganja in sprejeti ustrezne in sorazmerne varnostne ukrepe. Dolžne so tudi obvestiti pristojne organe o resnih incidentih.


Tukaj je NIS2: razširjeni sektorji


Nova in prihajajoča direktiva NIS2 bistveno razširja obseg sektorjev, vendar uvaja prag velikosti za določitev, katera podjetja spadajo v njen obseg in so dolžna poročati o pomembnih kibernetskih incidentih pristojnim nacionalnim organom za nadzor.

NIS2 odpravlja razliko med operaterji bistvenih storitev in ponudniki digitalnih storitev iz NIS1. Namesto tega določa nov seznam sektorjev, razdeljenih na 2 skupini: visoko kritični in drugi kritični sektorji. Tako to zdaj izgleda:

Visoko kritični:

  • Energija (elektrika, daljinsko ogrevanje in hlajenje, plin, nafta, vodik)

  • Promet (zrak, železnica, voda, cesta)

  • Bančništvo (kreditne ustanove)

  • Finančne tržne infrastrukture

  • Zdravstvo (zdravstveni ponudniki in farmacevtska podjetja)

  • Pitna voda (dobavitelji in distributerji)

  • Digitalna infrastruktura (DNS, registri TLD, telekomunikacijski ponudniki, ponudniki podatkovnih centrov, itd.)

  • Ponudniki ICT storitev (B2B): MSSP-ji in upravljalci storitev

  • Javna uprava (centralne in regionalne vladne ustanove, kot jih določi posamezna država članica)

  • Prostor

Drugi kritični sektorji:

  • Pošta in kurirske storitve

  • Upravljanje odpadkov

  • Kemična proizvodnja in distribucija

  • Proizvodnja in distribucija hrane

  • Proizvodnja: medicinske naprave, računalniki, električna oprema, vozila in prometna oprema

  • Digitalni ponudniki: spletni iskalniki, tržnice, družabna omrežja

  • Raziskovalne organizacije

NIS2: razširjen obseg sektorjev

Da, toda kdo točno bo prizadet?


NIS2 določa algoritem za določitev organizacij, ki bodo morale upoštevati - natančen seznam organizacij. Vendar bo nekaj diskrecije ostalo pri vsaki državi: od države članice je odvisno, kako bo določila postopek vpisa in razvrščanja na seznam, zato bomo to videli razjasnjeno v vsaki državi med postopkom izvajanja zakona.


Sedaj je jasno naslednje: na podlagi zgoraj navedenih sektorjev NIS2 določa 2 nekoliko različna regulativna režima, odvisno od kategorije določenih subjektov: "bistven" ali "pomemben" subjekt. To so bistveni subjekti:

  • organizacije, ki delujejo v zgoraj navedenih "zelo kritičnih" sektorjih, vendar le tiste, ki presegajo definicijo srednje velikih podjetij (SME definicija temelji na definiciji EU Komisije - glej tukaj). To običajno velja za podjetja z več kot 250 zaposlenimi in bodisi 50 milijoni evrov prihodkov ali 43 milijoni evrov bilančnih sredstev.

  • Vendar za telekomunikacijska podjetja velja tudi za tista, ki se uvrščajo med srednje velika podjetja.

  • Ne glede na velikost: kvalificirani ponudniki storitev zaupanja in registri imen najvišjega nivoja, pa tudi ponudniki DNS storitev.

  • Ne glede na velikost: kateri koli kritični subjekt, ki spada v obseg Direktive o odpornosti kritičnih subjektov (CER) - ta mora biti določen s strani držav članic (očitno bodo morale države članice določiti kritične subjekte za sektorje, navedene v Direktivi CER, do 17. julija 2026).

  • Kateri koli "operater bistvenih storitev", že določen v državi članici v okviru NIS1.

  • Dodatno, subjekt, ki deluje v katerem koli od zgoraj navedenih kritičnih sektorjev, lahko po presoji države članice prizna, da je bistven za družbo ali gospodarstvo.

  • Nekatere centralne in regionalne ravni javnih upravnih subjektov, kot jih določi vsaka država članica.

Vsi drugi subjekti, ki ne izpolnjujejo zgornjih meril, se štejejo za pomembne subjekte. To so dejansko subjekti na seznamu "Drugi kritični sektorji", navedenem zgoraj.



Koliko je "srednje veliko" (pomemben prag v okviru NIS2)? To je odvisno. Vir: Vodnik EU Komisije o opredelitvi MSP

Kakšna je razlika med "bistvenim" in "pomembnim"?


Oba tipa subjektov morata upoštevati enake ukrepe upravljanja tveganj. Vendar so subjekti, razvrščeni kot "bistveni," podvrženi proaktivnemu nadzoru. Medtem ko bodo subjekti, razvrščeni kot "pomembni," nadzirani šele po prijavi neskladja, bodo subjekti, razvrščeni kot "bistveni," deležni povečanega pritiska, vključno z: inšpekcijskimi pregledi na kraju samem in nadzorom na daljavo, naključnimi pregledi, rednimi in izrednimi revizijami, varnostnimi pregledi, zahtevami za dostop do podatkov - in še več.


Če nadzor in izvrševanje ne prineseta rezultatov, NIS2 gre tako daleč, da dovoljuje oblastem, da začasno suspendirajo operacije in storitve, ki jih izvaja bistven subjekt, ter prepovejo članom upravnega odbora izvajanje upravljalskih funkcij v tem subjektu.


Ni jasno, ali bodo države članice EU uspele nadzorovati in izvajati NIS2 v okviru tako razširjenega obsega regulativnih pooblastil. V vsakem primeru je jasno, da bodo prizadete organizacije (še posebej tiste, ki veljajo za "bistvene"), soočene z večjim regulatornim pritiskom in dodatnimi obremenitvami. Čas je, da se pripravite.

Latest news

bottom of page