NIS2 nova je direktiva Europske unije koja donosi velike promjene u području kibernetičke sigurnosti koje će utjecati na brojne organizacije u Europskoj uniji. Pročitajte koje nove obveze i sigurnosne mjere uvodi direktiva te kako se tvrtke mogu pripremiti za ove promjene. Članak je namijenjen svima koji žele razumjeti trenutačne trendove i ojačati svoju kibernetičku i informacijsku sigurnost.
Zašto raste interes za mrežnu i informacijsku sigurnost?
NIS2 direktiva, koja se odnosi na mrežne i informatičke sustave, jest uredba EU-a čiji je cilj uskladiti i poboljšati razinu kibernetičke sigurnosti u državama članicama zbog sve većeg broja kibernetičkih prijetnji i napada.
Direktiva postavlja zahtjeve za sigurnost mreža i informacijskih sustava, kao i za mreže u različitim kritičnim sektorima te uključuje tehničke i organizacijske mjere koje tvrtke i organizacije moraju poduzeti kako bi osigurale odgovarajuću zaštitu od kibernetičkih prijetnji.
„NIS2 direktivu kao zakonodavnu promjenu ocjenjujem vrlo pozitivno. To je prilika za tvrtke da ojačaju svoju zaštitu od kibernetičkih prijetnji. Volim ju usporediti s obvezom nošenja kacige tijekom bicikliranja. Što ako mi se dogodi nešto ozbiljno? Nošenjem kacige smanjujem rizik od ozbiljne i/ili fatalne nesreće. NIS2 direktiva pruža okvir kako tvrtka treba uspostaviti osnovnu kibernetičku sigurnost“, kaže Dan Albrecht, voditelj poslovnog razvoja u tvrtki Seyfor.
Zakon o kibernetičkoj sigurnosti
U Republici Hrvatskoj odgovornosti subjekata u području kibernetičke sigurnosti propisane su Zakonom o kibernetičkoj sigurnosti (NN 14/2024), koji se primjenjuje na ključne i važne subjekte definirane istim zakonom. Obuhvaćene organizacije obvezne su implementirati propisane sigurnosne mjere, prijavljivati incidente NSKS-u (Nacionalnom središtu za kibernetičku sigurnost) te procjenjivati rizike i otpornost svojih sustava.
Glavna poveznica između NIS2 direktive i Zakona o kibernetičkoj sigurnosti jest ta da NIS2 postavlja minimalne zahtjeve i pravila koja države članice EU, uključujući Hrvatsku, moraju prenijeti u svoje nacionalno zakonodavstvo.
U Hrvatskoj je novi Zakon o kibernetičkoj sigurnosti usklađen s NIS2 direktivom te je stupio na snagu 1. veljače 2024. godine (NN 14/2024).
Povijest i razvoj NIS2 direktive
Prva direktiva EU o sigurnosti mreža i informacijskih sustava stupila je na snagu 2016. godine i predstavljala je prvi korak Europske unije prema jedinstvenom europskom pristupu jačanja kibernetičke sigurnosti, prvenstveno za kritičnu infrastrukturu država članica EU. Sada bi NIS2 direktiva trebala podići taj izvorni okvir na sljedeću razinu.
NIS2 direktiva ažurirana je verzija NIS direktive koja odražava trenutačne prijetnje i proširuje obveze na veći broj sektora, čime zahvaća i više organizacija. Tekst NIS2 direktive objavljen je u Službenom listu Europske unije u prosincu 2022. godine.
NIS i NIS2: glavne razlike
Jedna od glavnih razlika između NIS i NIS2 je proširenje područja primjene ove europske direktive o kibernetičkoj sigurnosti. Dok se direktiva NIS prvenstveno fokusirala na velike organizacije, NIS2 obuhvaća i srednje te manje tvrtke koje se smatraju ključnima za funkcioniranje gospodarstva i društva.
Druga važna promjena u odnosu na izvornu direktivu odnosi se na određivanje obveza organizacija putem tzv. „samoprocjene organizacije“. Riječ je o početnom postupku u kojem organizacija samostalno mora utvrditi odnose li se na nju obveze koje proizlaze iz NIS2 direktive ili ne.
Prema Zakonu o kibernetičkoj sigurnosti u Hrvatskoj, svi potencijalni subjekti dužni su samostalno provesti procjenu i prijaviti svoju obvezu nadležnom tijelu – NSKS-u, sukladno članku 7. stavku 2. Zakona.
Koje obveze uvodi NIS2 direktiva?
NIS2 će utjecati na tvrtke i podijeliti ih u dvije skupine, i to na:
- pružatelje reguliranih usluga u okviru režima viših obveza i
- izvršitelje reguliranih usluga u okviru režima nižih obveza.
Ovisno o tome kojoj skupini pripada organizacija, tvrtke su dužne u određenom obujmu uspostaviti organizacijske i tehničke mjere, pri čemu su zahtjevi za sigurnosne mjere kod režima nižih obveza manji nego kod režima viših obveza.
U Republici Hrvatskoj subjekti su klasificirani kao "ključni subjekti" i "važni subjekti", kako je propisano člankom 6. Zakona o kibernetičkoj sigurnosti.
SAVJET: Cjelovit pregled obveza koje uvodi NIS2, uključujući upute za samoprocjenu organizacija, saželi smo OVDJE.
Što NIS2 direktiva znači za tvrtke i organizacije te koje obveze donosi?
Direktiva će utjecati na gotovo sve srednje i velike tvrtke koje pružaju neke od 106 reguliranih usluga na tržištima EU unutar 22 navedena sektora. U Republici Hrvatskoj provedbena tijela su Zavod za sigurnost informacijskih sustava (ZSIS) i Nacionalno središte za kibernetičku sigurnost (NSKS), koji su ovlašteni za identifikaciju ključnih i važnih subjekata sukladno Zakonu o kibernetičkoj sigurnosti (NN 14/2024). Procjene govore da će broj obveznika u Hrvatskoj također biti značajan, a broj reguliranih subjekata može se očekivano povećavati s daljnjom analizom i primjenom kriterija.
Slika: sektori na koje utječe sustav NIS2
Subjekti na koje se direktiva odnosi moraju uspostaviti odgovarajuće tehničke i organizacijske mjere za zaštitu svojih mreža i informacijskih sustava.
To uključuje, na primjer:
- postavljanje vatrozida (firewall),
- enkripciju podataka,
- redovito ažuriranje softvera te
- druge sigurnosne tehnologije.
Vodstvo i zaposlenici unutar organizacije moraju redovito prolaziti edukacije i biti informirani o aktualnim prijetnjama i sigurnosnim praksama. Organizacije moraju imati pouzdane planove za upravljanje rizicima i oporavak u slučaju kibernetičkih napada. Navedeno uključuje prepoznavanje potencijalnih prijetnji, procjenu rizika, prijavu incidenata te provođenje mjera za smanjenje njihova utjecaja.
U Hrvatskoj je provođenje ovih mjera obvezno za sve ključne i važne subjekte, a sigurnosne obveze propisane su člancima 12. i 13. Zakona o kibernetičkoj sigurnosti.
Kazne i visoke globe za nepoštivanje NIS2 direktive
Neispunjavanje obveza koje propisuje NIS2 direktiva može tvrtkama i organizacijama donijeti ozbiljne posljedice – ne samo u obliku visokih novčanih kazni, već i narušavanja ugleda, što dugoročno može negativno utjecati na poslovanje.
Pojedinci na vodećim pozicijama snosit će izravnu odgovornost za usklađenost s propisima. U slučaju kršenja, predviđene su značajne novčane kazne, a u najtežim situacijama čak i smjena odgovornih osoba ili uprave.
Tvrtke koja ne ispune obveze propisane novim Zakonom o kibernetičkoj sigurnosti mogu se suočiti s dugoročnim posljedicama kao što su gubitak klijenata, pravni problemi te ograničene mogućnosti za rast. Stoga je u njihovom najboljem interesu da ispune sve zahtjeve koje propisuje NIS2 direktiva.
U Republici Hrvatskoj nadzor, kaznene odredbe i izricanje upravnih mjera uređeni su člancima 27. do 33. Zakona o kibernetičkoj sigurnosti, a kazne se kreću do 10 milijuna eura ili 2 % ukupnog godišnjeg prometa.
Odnosi li se novi Zakon o kibernetičkoj sigurnosti i na Vas?
Organizacije na koje se odnosi NIS2 direktiva moraju osigurati da njihov sustav upravljanja kibernetičkom sigurnošću ispunjava sve zahtjeve propisane direktivom. Kako to postići? Za usklađenost su odgovorni zakonski zastupnici organizacije, koji su dužni poduzeti mjere zaštite od kibernetičkih prijetnji.
Kako biste lakše utvrdili odnosi li se zakon i na vaše poslovanje, pripremili smo poseban kalkulator. Uz pomoć kalkulatora jednostavno možete provjeriti jeste li obveznik zakona i koja razina obveza se na vas primjenjuje. Isprobajte sami: ODNOSI LI SE NIS2 NA VAS?
Seyfor kao pouzdan partner u području kibernetičke sigurnosti
Tvrtke mogu angažirati vanjskog pružatelja usluga za savjetovanje i suradnju sa stručnjacima za kibernetičku sigurnost kako bi osigurale usklađenost sa svim zahtjevima novog zakona te povećale zaštitu od kibernetičkih prijetnji.
„Svako područje kibernetičke sigurnosti izuzetno je specifično i jednako obuhvatno kao i cjelokupna informacijska tehnologija. Seyfor nudi tvrtkama sveobuhvatnu podršku – od analize trenutačnog stanja, pa sve do provedbe potrebnih tehničkih i organizacijskih mjera. Pružamo savjetovanje, razvoj sigurnosnih smjernica za mreže, izradu sigurnosnih rješenja te odgovor na incidente, uključujući obnovu infrastrukture i komunikacijskih sustava,“ ističe Dan Albrecht, opisujući ulogu tvrtke Seyfor u osiguravanju mrežne i informacijske sigurnosti.
Tvrtka Seyfor nudi cjelovite usluge upravljanja kibernetičkom sigurnošću koje uključuju reviziju postojećih mjera, implementaciju novih tehnologija te redovitu edukaciju osoblja.
Za vanjske pružatelje usluga koji obrađuju osobne podatke ili upravljaju informacijskom infrastrukturom ključnog ili važnog subjekta u Republici Hrvatskoj vrijede posebne sigurnosne obveze, propisane člankom 18. i člankom 23. Zakona o kibernetičkoj sigurnosti (NN 14/2024), uključujući obvezu ugovornog uređenja sigurnosnih zahtjeva i suradnju s tijelima nadzora.
NIS2 kao put prema boljoj kibernetičkoj sigurnosti u EU
Kako tehnologija nastavlja s ubrzanim razvojem, a prijetnje postaju sve složenije, jasno je da će kibernetička sigurnost i nova zakonska regulativa ostati jedno od ključnih pitanja. Tvrtke koje će ulagati u kibernetičku sigurnost bit će bolje pripremljene za izazove budućnosti te će učinkovitije zaštititi svoje osjetljive podatke i infrastrukturu.
Savjet: Saznajte koji je kibernetički napad bio najskuplji za tvrtke.
Pravila iz novog Zakona o kibernetičkoj sigurnosti predstavljat će važan korak prema jedinstvenoj i snažnoj kibernetičkoj sigurnosti u EU. Tvrtke moraju poduzeti odgovarajuće mjere za zaštitu svojih mreža i sustava, redovito educirati svoje zaposlenike i biti spremne na moguće kibernetičke napade.
U Republici Hrvatskoj te mjere uključuju i izradu plana upravljanja kibernetičkim incidentom, procjenu učinka sigurnosnog incidenta te održavanje registra prijetnji, kako je propisano Uredbom o kibernetičkoj sigurnosti (NN 135/2024).
Korisni materijali o NIS2 i Zakonu o kibernetičkoj sigurnosti:
Poveznica na novi Zakon o kibernetičkoj sigurnosti
Novi Zakon o kibernetičkoj sigurnosti donosi sveobuhvatne promjene i jačanje postojećih mjera s ciljem povećanja otpornosti ključnih usluga i digitalne infrastrukture na kibernetičke prijetnje. U Hrvatskoj je konačna verzija Zakona o kibernetičkoj sigurnosti objavljena u „Narodnim novinama“ br. 14/2024, dostupna ovdje.
Preuzmite NIS2 direktivu
Nova direktiva Europske unije NIS2 – sada je dostupna ovdje te sadrži detaljne informacije o novim zahtjevima i standardima kibernetičke sigurnosti koje države članice EU trebaju primijeniti.
Autorica članka: Ing. Kateřina Menšíková
Usluge pruža Seyfor, a.s., Češka republika.
