DORA in NIS2: kaj se res spremeni za IT podjetja leta 2025
Leto 2025 je prelomno leto za skladnost na področju tehnologije: dve evropski uredbi, DORA (Uredba o digitalni operativni odpornosti) in NIS2 (Direktiva o varnosti omrežij in informacij), v celoti stopita v veljavo in preoblikujeta pravila igre za IT podjetja, ponudnike digitalnih storitev in organizacije, ki delujejo v kritičnih sektorjih.
Mnoga podjetja se danes sprašujejo: Kaj konkretno pomeni prilagoditi se DORA in NIS2? Katere obveznosti prinašajo? Kakšna tveganja se pojavijo v primeru neupoštevanja?
V tem članku bomo odgovorili na ta vprašanja, ponudili jasno pregledno sliko in praktične nasvete za tiste, ki se morajo soočiti s to izzivom.
I’m sorry, but it seems that the text you wanted to translate is missing. Could you please provide the text you would like to have translated into Slovenian?
DORA in NIS2: kratek povzetek
- DORA (Uredba EU 2022/2554) je zasnovana posebej za sektor finančnih storitev in vse njegove IT dobavitelje. Cilj je zagotoviti, da banke, zavarovalnice, fintech podjetja in tehnološki partnerji lahko prenesejo kibernetske incidente in delujejo neprekinjeno.
- NIS2 (Direktiva EU 2022/2555) ima širši obseg: si prizadeva dvigniti raven kibernetske varnosti v vseh kritičnih sektorjih (energija, transport, zdravstvo, digitalne infrastrukture, javna uprava) in nalaga obveznosti tudi dobaviteljem digitalnih storitev.
Skupaj te uredbe ustvarjajo veliko strožji okvir za kibernetsko varnost in operativno odpornost.
Please provide the text you would like to have translated to Slovenian.
Kdo je vključen
DORA
- Finančne institucije (banke, zavarovalnice, investicijska podjetja).
- Kritični IT ponudniki za finančni sektor (ponudniki oblačnih storitev, programske hiše, zunanje izvajalce).
NIS2
- Operaterji osnovnih storitev (bolnišnice, komunalne storitve, telekomunikacije).
- Dobavitelji digitalne infrastrukture (podatkovni centri, DNS, oblačne storitve).
- Podjetja srednje in velike velikosti, ki upravljajo s kritičnimi podatki ali občutljivimi storitvami.
👉 V praksi so skoraj vse IT podjetja, ki nudijo storitve velikim podjetjem ali javnim ustanovam, prizadeta vsaj z eno od obeh uredb.
I’m sorry, but it seems that the text you wanted to translate is missing. Could you please provide the text you would like me to translate to Slovenian?
Glavni obveznosti
1. Upravljanje in odgovornosti
Uprava (nadzorni odbor, C-level) postane ** neposredno odgovorna** za skladnost. Ni dovolj, da se to prenese na IT: odločitve morajo biti premišljene, dokumentirane in odobrene na ravni vodstva.
2. Upravljanje tveganj
- Nenehna identifikacija in ocena tveganj ICT.
- Sprejetje sorazmernih tehničnih in organizacijskih kontrol.
- Periodično posodabljanje registro tveganj.
3. Neprekinjeno poslovanje in obnova po nesrečah
- Obvezni načrt BCDR.
- Dokumentirani periodični testi (vsaj letni).
- Postopki obnove z merljivimi RTO/RPO.
4. Poročanje o incidentih
- Obveznost obveščanja o pomembnih incidentih v 24 urah.
- Končno poročilo z analizo vpliva in korektivnimi ukrepi.
5. Dobavna veriga in dobavitelji
- Pogodbe z dobavitelji morajo vključevati specifične klavzule o varnosti in revizijah.
- Nenehno spremljanje kritične dobavne verige.
6. Usposabljanje
- Periodično usposabljanje za zaposlene in vodstvo.
- Testiranje ozaveščenosti (simulacija phishinga, miza za razprave).
I’m sorry, but it seems like you haven’t provided the text you want to be translated. Please share the text, and I’ll be happy to help with the translation to Slovenian.
Rischi di non conformità
Le sankcije so pomembne:
- NIS2: do 10 milijonov evrov ali 2% svetovnega prometa.
- DORA: kazni so spremenljive, a sorazmerne s resnostjo incidenta in velikostjo organizacije.
Poleg kazni je največje tveganje izguba ugleda in morebitna izključitev iz razpisov ali javnih/finančnih pogodb.
I’m sorry, but it seems that the text you wanted to translate is missing. Could you please provide the text you’d like me to translate into Slovenian?
Kako se pripraviti: praktičen pristop
Korak 1 – Prvotna ocena
- Analiza zahtev DORA in NIS2.
- Analiza vrzeli v primerjavi s trenutnim stanjem.
- Določitev prioritet ukrepanja.
Korak 2 – Upravljanje in politike
- Ustvarjanje ali posodabljanje politik ICT, varnosti in upravljanja tveganj.
- Določitev vlog in notranjih odgovornosti.
Korak 3 – Tehnična implementacija
- Posodobitev varnostnih ukrepov (firewall, IAM, spremljanje).
- Avtomatizacija kontrol nad skladnostjo.
- Orodja SIEM in SOC za odkrivanje incidentov v realnem času.
Korak 4 – Testi in simulacije
- Miza za vaje z vodstvom.
- Simulacije kibernetskih napadov.
- Dokumentirani testi operativne kontinuitete.
Korak 5 – Neprekinjeno spremljanje
- KPI-ji varnosti (povprečni čas odkrivanja incidentov, povprečni čas reševanja).
- Periodična poročila upravnemu odboru.
- Posodobitev postopkov ob vsaki spremembi predpisov.
I’m sorry, but it seems that the text you wanted to translate is missing. Could you please provide the text you would like me to translate into Slovenian?
Študija primera: IT ponudnik za bančni sektor
Podjetje za programsko opremo, ki zagotavlja rešitve italijanskim bankam, se je soočilo z usklajevanjem DORA/NIS2 s tem postopkom:
- Ocena: identificirati 25 vrzeli v skladnosti.
- Odpravljanje: posodobitev politik, uveden centraliziran sistem beleženja, opredeljen načrt BCDR.
- Usposabljanje: delavnica za upravni odbor in operativno usposabljanje za IT ekipo.
- Testiranje: simulacija napada ransomware z izmerjenimi časi odziva.
Rezultati:
- Čas odziva na incidente zmanjšan za 45%.
- Opravljena zunanja revizija brez resnih neskladnosti.
- Večje zaupanje bankirskih strank, ki zdaj vključujejo podjetje med “trusted” dobavitelje.
I’m sorry, but it seems that the text you wanted to translate is missing. Please provide the text you’d like translated to Slovenian, and I’ll be happy to assist you!
Zaključek
DORA in NIS2 nista preprosta “izpolnjevanje predpisov”, temveč orodja, ki spodbujajo podjetja k strukturiranju bolj trdnih in odpornih procesov.
Za IT dobavitelje predstavljajo izziv, a tudi priložnost: tisti, ki se pravočasno prilagodijo, pridobijo konkurenčno prednost, kredibilnost in zaupanje.
Leto 2025 označuje nov standard: več ni dovolj zaščititi sisteme, treba je dokazati, da se lahko upremo, opomoremo in dokumentiramo vsako dejanje.
I’m sorry, but it seems that the text you wanted to translate is missing. Could you please provide the text you’d like me to translate into Slovenian?
➡️ Želiš razumeti, kako pripeljati svoje podjetje v skladnost z DORA in NIS2? Kontaktiraj me za prilagojen pregled.
Povezani članki
Copilot za Microsoft 365: kaj lahko resnično stori za podjetja in razvijalce
Copilot je nov AI asistent, vgrajen v Microsoft 365: odkrijte, kaj ponuja poslovnim uporabnikom in razvijalcem, med produktivnostjo, avtomatizacijo in prilagoditvijo.
Razvoj programske opreme, podprt z AI: kaj se resnično spremeni v delu razvijalcev
L’AI spreminja način, kako pišemo in upravljamo programsko opremo. Tukaj je, kako se življenje razvijalcev spreminja, kateri so konkretni koristi in omejitve, ki jih je treba poznati.
SharePoint Framework v 2025: nove možnosti za razvoj
SPFx ostaja srce sodobnega razvoja na SharePoint Online. Tukaj so najnovejše novosti, najboljše prakse in priložnosti za razvijalce in podjetja.