"Danes imamo opravka z 80 zavezanci, po novem jih bomo imeli več kot 1000," poudarja direktor urada vlade za informacijsko varnost Uroš Svete. Doslej so lahko pod prste gledali le najbolj pomembnim akterjem, zdaj se krog širi na podjetja iz 18 kritičnih in visoko kritičnih sektorjev: "Lahko bomo videli, kaj se skriva pod vrhom ledene gore."
Po novem bodo zavezanci zakona o informacijski varnosti vsa podjetja iz teh sektorjev, ki imajo vsaj 250 zaposlenih in letni promet vsaj 50 milijonov evrov. Ne glede na velikost podjetja bodo zavezanci med drugimi postali vsi registri domen, ponudniki javnih komunikacijskih omrežij ali storitev, ki imajo vsaj 50 zaposlenih in letni promet vsaj 10 milijonov evrov ter vsi subjekti javne uprave na državni ravni.
Kdo so novi zavezanci zakona?
Zavezanci bodo morali med drugim pripraviti oceno tveganj ter načrte za obvladovanje kibernetskih incidentov in za neprekinjeno poslovanje svojih bistvenih storitev. "Na eni strani bodo morali sami pri sebi urediti področje upravljanja z informacijskimi tehnologijami, na drugi pa bodo, če je takšna narava procesa, to zahtevali tudi od svojih dobaviteljev oz. zunanjih partnerjev," je povedal Svete.
"Mi smo kampanjo z ozaveščanjem začeli že pred dvema letoma. Čeprav so podjetja v zadnjih letih naredila veliko korak naprej, je dejstvo, da številnim podjetjem še veliko manjka, ko gre za informacijsko varnost. Širi se obseg zavezancev, poleg tega pa morajo smernicam slediti tudi njihovi dobavitelji. Spomnite se incidenta na HSE, tam se je vse začelo zaradi enega od njihovih dobaviteljev. Če bo želel recimo nekdo delati s Petrolom, bo moral imeti informacijsko infrastrukturo urejeno," pojasnjuje Mihael Nagel, predsednik sekcije za informacijsko varnost pri gospodarski zbornici.
Vlada je konec prejšnjega tedna potrdila predlog novega zakona o informacijski varnosti, s katerim želi tudi na podlagi evropske direktive NIS 2 okrepiti nacionalni sistem kibernetske varnosti. NIS 2 je direktiva, s katero želi Evropska unija doseči visoko raven kibernetske varnosti, dodatno izboljšati kibernetsko odpornost in odzivnost v primeru varnostnih incidentov v državah EU.
Informacijska varnost postaja odgovornost poslovodstva
Informacijska varnost teh podjetij z novim zakonom postaja odgovornost poslovodstva in ne več tehnikov, ki so bili doslej običajno odgovorni za morebitne krize. "To je naloga vodstva in zato imamo po zakonu predvideno izobraževanje poslovodstva. To pomeni, da dejansko želimo kibernetsko in informacijsko varnost vključiti v upravljanje podjetja," je dejal Svete.
"Odgovornost poslovodstva je v tem pogledu zelo pomembna," se strinja Nagel in dodaja: "Doslej se je pogosto zgodilo, da so bila opozorila inženirjev preslišana, saj so naložbe v informacijsko varnost zelo visoke. Če po novem zakonu podjetje ne bo sprejelo ukrepov, bo odgovarjal direktor."
Težko je oceniti, koliko denarja bodo morala ta podjetja nameniti za informacijsko varnost, ker je to odvisno od njihove velikosti, poudarja Svete in dodaja: "Mislim, da je minimum okoli deset odstotkov zneska, ki ga namenijo za informacijsko tehnologijo." Pri tem opomni, da so stroški, ki jih imajo podjetja danes z različnimi izpadi in reševanjem takšnih ali drugačnih težav s tega področja, bistveno višji, kot pa bo investicija v njihovo informacijsko varnost.
Država je zadnjo strategijo pripravila davnega leta 2016
Dejstvo je, da tudi država zelo zamuja, opozarja Nagel: "Zadnjo strategijo na tem področju smo dobili leta 2016 in od takrat se ni praktično nič spremenil. Ta zakon je s tega stališča velik napredek."
Poleg javne uprave na državni ravni bodo zavezanke tega zakona postale tudi mestne občine. Na uradu ocenjujejo, da bo imela vsaka okoli 120 tisoč evrov stroškov s prilagajanjem zahtevam novemu zakonu.
Stari zavezanci, torej tisti, ki so morali že doslej izpolnjevati pogoje, bodo imeli 12 mesecev časa, da se prilagodijo zahtevam države, novi zavezanci pa pol leta dlje. Urad za informacijsko varnost pa mora v treh mesecih objaviti še strategijo kibernetske varnosti, kjer bodo zahteve natančneje popisane.
Zakon bo ponudil pravno podlago, da bodo lahko zavezancem v primeru velikih kibernetskih incidentov ponudili tehnične skupine za pomoč. "Vključili jih bomo v situacijski center kibernetske obrambe, ki ga gradimo skupaj z ministrstvom za obrambo in bo del urada za informacijsko varnost," je povedal. Investicija je težka 40 milijonov evrov.
Nova platforma za samoregistracijo zavezancev
Velika novost je vzpostavitev platforme za samoregistracijo zavezancev in enotne platforme za prijavo incidentov oziroma varno izmenjavo informacij. Za to bo skrbel urad za informacijsko varnost, ob čemer je direktor urada zagotovil, da bodo zavezancem kar se da olajšali administrativne postopke.
Vsa podjetja, ki izpolnjujejo oba pogoja – torej velikost in sektor, ki je določen v zakonu – se morajo samoregistrirati. Za to so odgovorna podjetja sama, poudarja Svete: "Že stari Rimljani so rekli, da nepoznavanje prava škoduje. Zavezanci bodo za to odgovorni sami. Če se, denimo, podjetje ne registrira in ne pošlje podatkov, ki jih bomo zahtevali, se sicer ne bo zgodilo nič, dokler ne bo imelo težav in ga ne odkrije inšpekcija. Takrat pa sledijo globe."
Sprejeti ukrepi so namenjeni boljši pripravljenosti na kibernetske napade, ki so postali vsakdanja grožnja, pri čemer je izobraževanje direktorjev še najmanj. Res pa je predpisovanje osnovnega znanja nečesar, kar bi moralo biti za gospode in gospe, ki vodijo velika podjetja… ...prikaži več samoumevno, bolj, ali manj neproduktivno. Tisti, ki jih na položaje državnih podjetij brez ustreznih izkušenj v gospodarskem sektorju imenuje politika bodo delali škodo v vsakem primeru.
Še Sekolca naj povabijo. Pa ono njegovo sogovornico.... Oba ta lep primer, kaj pomeni pomanjkanje zdrave pameti in koruptivnost, ki ju ne ozdravi nikakršno izobraževanje. Ja, in pa 'varnostni dogodki', ki jih je vsak dan več. Mi bi pa še… ...prikaži več kar naprej prenašali vodo v situ, hitreje in še hitreje, da v situ ostane kaka kaplja več...pa smo tako iznašli novo, še modernejšo, metodo za prenašanje vode. Butale.
Če tega ne znajo, naj dajo odpoved.