Novi zakon o informacijski varnosti so pripravili v vladnem uradu za informacijsko varnost. Eden glavnih namenov zakona je prenos področne evropske direktive, bolj znane pod imenom NIS2, v slovenski pravni red. Med bistvenimi spremembami, ki jih prinaša nova zakonodaja, je širitev kroga zavezancev. Po novem so zavezanci po zakonu subjekti iz enega od 18 sektorjev, ki jih direktiva opredeljuje kot kritične.
Med zavezance sodijo vsi javni ali zasebni subjekti iz teh sektorjev, ki imajo vsaj 50 zaposlenih in letni promet ali letno bilančno vsoto vsaj 10 milijonov evrov.
Obstajajo tudi izjeme. Tako so zavezanci po zakonu ne glede na njihovo velikost ali letni promet med drugim tudi ponudniki javnih elektronskih komunikacijskih omrežij ter subjekti, ki so edini ponudnik storitve, ki je bistvena za ohranjanje kritičnih družbenih ali gospodarskih dejavnosti v državi.
Ukrepi podjetij za večjo kibernetsko varnost
Slovenska podjetja se na novo zakonodajo že pripravljajo. Med njimi tudi Kansai Helios Slovenija, ki je del mednarodne skupine Kansai Helios. Kot so v podjetju pojasnili za STA, se na novo zakonodajo pripravljajo že dalj časa, saj so z uvedbo direktive NIS2 in njenih zahtev začeli posodabljati njihov pristop k informacijski varnosti že pred njeno vključitvijo v nacionalno zakonodajo.
Med drugim so vzpostavili notranji odbor za informacijsko varnost, posodobili interne varnostne politike in smernice, izvajajo redne ocene tveganj ter uvajajo tehnične in organizacijske ukrepe v skladu z najboljšimi praksami. Pripravljajo se tudi na nove zahteve glede poročanja incidentov, dokumentiranja varnostnih ukrepov ter izobraževanja vodstva, kot jih določa zakon.
Že pred tem so v podjetju izvedli obsežen nabor ukrepov, ki vključuje tehnične, organizacijske in kadrovske rešitve ter je del celostne strategije podjetja, ki je skladna tudi z direktivo NIS2. Tako so uvedli politike in smernice za varstvo podatkov, varnost sistemov in odzivanje na incidente, pri čimer uporabljajo napredne tehnične rešitve in sisteme za zaznavanje groženj. Te politike vključujejo tudi oblikovanje kataloga odobrenih programskih rešitev za uporabo v poslovnem okolju.
Posebno pozornost namenjajo tudi izobraževanju in ozaveščanju zaposlenih. To poteka vse leto in v različnih oblikah, kot so spletne delavnice, interna obvestila in simulacije phishing napadov. Pri tem so posebej pozorni na posamezne skupine zaposlenih, ki so bolj izpostavljene (npr. vodstvo, finance ter raziskave in razvoj).
Pojasnili so, da so uvedli in razvijajo interne modele umetne inteligence, s čimer zagotavljajo nadzor in varnost uporabe. Za zaposlene pripravljajo tudi usposabljanja o varni in odgovorni uporabi umetne inteligence.
V novomeški farmacevtski družbi Krka je medtem uprava imenovala posebno projektno skupino za nadgradnjo kibernetske in informacijske varnosti. Skupina se osredotoča na zmanjševanje tveganj na področju neprekinjenosti poslovanja, in sicer predvsem v okviru dobavne verige ter zagotavljanja minimalnega obsega poslovanja v primeru uresničitve najbolj kritičnih groženj, so pojasnili v Krki.
V skladu z novo različico zakona o informacijski varnosti so pripravili tudi predloge posodobitve politik in smernic, ki urejajo področja, kot sta komuniciranje in neprekinjenost poslovanja.
"V Krki redno nadgrajujemo in posodabljamo operacijske, varnostne in druge sisteme, spremljamo dogajanja na področju kibernetske varnosti in odpravljamo ranljivosti, izvajamo penetracijska testiranja, nemudoma ukrepamo v primeru odkritih ranljivosti ter uvajamo napredne sisteme, podprte z umetno inteligenco," so zapisali.
Kot so pojasnili, je okolje informacijskih tehnologij segmentirano, uveljavljeni pa so tudi številni drugi ukrepi in tehnologije, kot na primer redna ocena tveganj informacijskih sistemov in storitev ter dvostopenjska avtentikacija.
Za zaposlene prav tako organizirajo redna izobraževanja s področja informacijske varnosti, pri čemer posebno pozornost namenjajo novim kadrom.
Izvajajo tudi phishing testiranja in na letni ravni pripravljajo oceno tveganja informacijskih virov v vseh Krkinih procesih, v posameznih organizacijskih enotah pa izvajajo tudi redne notranje presoje in revizije s področja informacijske varnosti, so še pojasnili.
V podjetju A1 pozdravljajo novi zakon, saj menijo, da bo prispeval k dvigu ravni informacijske in kibernetske varnosti v celotnem gospodarstvu.
Kot so pojasnili za STA, so na področju kibernetske varnosti že pred časom uvedli številne ukrepe, med drugim napredne tehnične rešitve in sisteme zaznave groženj ter redno posodabljanje varnostnih politik in smernic. Obenem izvajajo notranje presoje in redno preverjajo skladnost z najboljšimi praksami na področju informacijske varnosti.
"Tesno sodelujemo tudi z dobavitelji opreme in tehnološkimi partnerji, s katerimi redno preverjamo, ali naše rešitve ustrezajo najnovejšim varnostnim zahtevam," so zapisali.
Veliko pozornosti obenem posvečajo izobraževanju zaposlenih. Tako vsako leto izvajajo strukturirana in vodena izobraževanja za vse zaposlene. Prek internih komunikacijskih kanalov jih poleg tega redno obveščajo o aktualnih varnostnih temah in novih tveganjih ter tako krepijo varnostno kulturo in ozaveščenost v celotni organizaciji.
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.