Direktiva (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti – direktiva NIS 2 in prihajajoči novi Zakon o informacijski varnosti – kaj morajo vedeti notranji revizorji in revizorji informacijskih sistemov

Konec leta 2022 sta Evropski parlament in Svet sprejela dve direktivi za zaščito t. i. kritičnih subjektov – organizacij, ki so ključne za vzdrževanje pomembnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja, varnosti in okolja. To sta Direktiva (EU) 2022/2555 – NIS 2, ki je osredotočena na doseganje visoke ravni kibernetske varnosti po celotni Evropski uniji, in Direktiva (EU) 2022/2557 – CER, ki krepi odpornost kritičnih subjektov na vseh drugih področjih. Ob pripravi tega prispevka je že v javni obravnavi tudi osnutek novega, na NIS 2 temelječega Zakona o informacijski varnosti (v nadaljevanju: ZInfV-1), ki bo zahteve direktive NIS 2 prenesel v slovensko okolje. Osnutek ZInfV-1 in direktiva NIS 2 razširjata obseg ukrepov za kibernetsko odpornost na več sektorjev, uvajata strožje zahteve za obvladovanje tveganj in poročanje o incidentih ter predvidevata višje kazni za kršitve. Ker je v času priprave prispevka novi ZInfv-1 šele v fazi osnutka, gre pričakovati, da se bodo nekatere določbe, ki jih predstavljamo, še spremenile. Ker pa je časa za prilagoditev zavezancev zahtevam NIS 2 zelo malo, je ključno, da čim prej začnejo ocenjevati vrzeli svojih obstoječih postopkov glede na zahteve novih predpisov s predpostavko, da se ZInfV-1 v končni objavi ne bo pomembno spremenil. Notranji revizorji in predvsem revizorji informacijskih sistemov imajo ključno vlogo pri podpiranju organizacij z oceno upravljanja tveganj kibernetske varnosti, preverjanjem pripravljenosti na nove zahteve oziroma skladnosti z osnutkom ZInfV-1 in direktivo NIS 2 ter priporočanjem ukrepov za izboljšanje kibernetske odpornosti.

Mag. Maja Hmelak, Uroš Žust*

SIR*IUS 3/2024