Blog

Rudolf Urban
Rudolf Urban

Kako morajo podjetja v kritičnih sektorjih zaščititi obdelavo podatkov?

Podjetja danes brez elektronske obdelave podatkov ne morejo opravljati svojih storitev. Podatki so dragoceni, saj preko njih stopajo v kontakt s kupci, izvajajo posle in jih zajamejo v knjigovodstvo. Baze podatkov so odločilnega pomena za uspeh podjetij.

Pri tem je kibernetska varnost, angleško bi temu rekli cyber-security, ključnega pomena. Rizikov in groženj je veliko. Skoraj dnevno nam poročajo o varnostnih incidentih, o napadih zlonamernih hekerjev, o vlomih v računalniške sisteme, o izgubi podatkov zaradi sistemskih težav, človeških napak ali pa zaradi naravnih nesreč.

Evropski parlament in Evropski svet sta 14.12.2022 sprejela Direktivo o ukrepih za visoko skupno raven kibernetske varnosti EU (NIS2), ki je stopila v veljavo 16.01.2023. Glavni cilj direktive je zvišanje varnosti omrežij in informacijskih sistemov. Avstrijski zakonodajalec mora navodila direktive s posebnim zakonom prenesti v domači pravni red. Rok za sklep in objavo zakona je 17.10.2024.

Izguba informacijske varnosti se lahko odraža v nedopustni objavi ali spremembi podatkov, torej v izgubi zaupnosti, celovitosti in razpoložljivosti. Ker lahko izpadi obdelave podatkov negativno vplivajo na delovanje države in njen gospodarski razvoj, je država obvezana, da na tem področju zagotovi večjo varnost. Sprejeti mora na primer posebno tozadevno nacionalno varnostno strategijo. NIS2 je naslednjica direktive NIS iz leta 2016, ki se je nanašala na najbolj ključne gospodarske sektorje kot so energija, promet, bančništvo, finančni trgi, zdravstvo ali pa digitalna infrastuktura. V novi direktivi so zajeti dodatni sektorji kot so zdravstvo, odplake, javna uprava, pošta in kurirske službe, upravljanje odpadkov, kemija, živila ali pa tudi proizvodnja. 

NIS2 direktiva zajema sektorje z visoko kritičnostjo in sektorje z drugo kritičnostjo, ki so podrobno razčlenjeni v prilogi I (bistveni subjekti) in v prilogi II (pomebni subjekti). Za pregled in določitev, ali neko podjetje spada pod direktivo NIS2, je treba upoštevati panogo in tri kriterije, in sicer število zaposlenih, višino ustvarjenenga letnega prometa in bilančno vsoto.

NIS2 določa, da morajo ustanove in podjetja, ki opravljajo storitve v eksponiranih sektorjih, sprejeti posebne varnostne ukrepe, da minimirajo tveganje na področju obdelave informacij. Med varnostnimi ukrepi so na primer potreba po izdelavi analize tveganj in varnosti informacijskih sistemov, načrt za upravljanje z varnostnimi incidenti, neprekinjeno poslovanje in krizno upravljanje, varnost dobavne verige, uvajanje kriptografije ali pa upoštevanje kibernetske higiene.

Varnostni ukrepi naj so ustrezni in sorazmerni, upoštevajo naj stanje tehnike in stroške implementacije, izpostavljenost tveganju, velikost podjetja in verjetnost ter težo incidentov.

Za upravljanje tveganj in za ustrezno pripravo ukrepov ter dokumentacije je priporočljivo, da se podjetja poslužijo strokovne pomoči in da upoštevajo standarde kot je na primer mednarodni standard ISO/IEC 27001, ki se nanaša na sisteme za upravljanje informacijske varnosti (ISMS).

NIS2 predvideva, da so podjetja v primeru večjega varnostnega incidenta obvezana poročati nadzornemu organu. Sem spada incident, ki ima znaten vpliv na zagotavljanje storitev in ki bi lahko povzročil resno motnjo v delovanju ali finančno izgubo, lahko bi pa tudi negativno vplival na fizične ali pravne osebe in povzročil znatno premoženjsko ali nematerialno škodo.

Za prvo opozorilo nadzorstvu je časovni rok samo 24 ur po ugotovitvi, da se je zgodil incident zaradi nezakonitega ali zlonamernega dejanja. Za splošno poročilo je na razpolago 72 ur, zaključno poročilo mora biti predloženo v teku enega meseca. Institucija, ki jo bo treba obvestiti je Computer Emergency Response Team Austria (CERT).

Odgovornost za ustrezno upoštevanje pravnega okvira leži pri vodstvu podjetja. Vendar ni potrebno, da je direktor/-ica sam/-a strokovnjak/-inja za kibernetsko varnost. Nujno je, da odobri ukrepe za obvladovanje tveganja. Nadzorovati mora izvajanje ukrepov in skrbeti mora za usposabljanje zaposlenih, da so v stanju prepoznati tveganja in obvladovati rizike za kibernetsko varnost.

Postopek prilagajanja podjetij novemu zakonu, ki ga mora avstrijski parlament sicer šele sprejeti, se mora začeti pravočasno. Potrebnih bo verjetno kar nekaj dopolnil v tehničnem in organizatoričnem konceptu firme. Vsako predolgo odlašanje lahko onemogoči pravočasni zaključek projekta.

Podjetja naj sprva preverijo, ali spadajo pod direktivo. To je, kot rečeno, v največji meri odvisno od panoge. V primeru, da je prilagoditev potrebna, naj se načrtujejo potrebna sredstva, določijo odgovornosti, pripravi analiza tveganja in izdelava ustreznih načtov.

Za pomoč podjetjem Koroška gospodarska zbornica (WKK) v okviru Cyber-Security-Experts-Group pripravlja posebno skupino strokovnih svetovalcev, ki bodo podjetjem predvidoma od meseca maja 2024 naprej v pomoč pri osnovnih vprašanjih. Povabljen sem bil k sodelovanju in rad pomagam tudi v slovenskem jeziku.

 

Avtor:
Mag. Rudolf Urban, MSc
podjetniški svetovalec
DE Dataexpert e.U.
E: rudolf.urban@expertgruppe.at
W: www.expertgruppe.at