Direktiva NIS2 se primenjuje od kraja 2024. godine. Kako se pripremiti za nju?
Prvi korak je samoprocena koja će vam pomoći da utvrdite da li su direktiva i obaveze koje sa sobom nosi primenljive na vašu organizaciju. Sledeći korak je da utvrdite da li vaša organizacija potpada pod niži ili viši nivo obaveza, što utiče na obim bezbednosnih mera koje je potrebno primeniti.
Sa specijalnim Seyfor kalkulatorom možete lako da saznate koje obaveze (više ili manje) vam NIS2 nameće.
Da li se NIS2 odnosi na vas?
Definisanje sistema NIS2 i očekivani datum njegove primene
Direktiva o bezbednosti mreža i informacija (NIS2) je zakonodavni okvir Evropske unije čiji je cilj podizanje nivoa sajber bezbednosti na nivou cele Unije. Ona predstavlja dopunjenu i proširenu verziju prve NIS direktive iz 2016. godine, čime se širi njen obuhvat i pooštravaju obaveze subjekata.
Savet: Da biste saznali više o NIS2 direktivi, pročitajte ukratko.
NIS2 je nova direktiva Evropske unije koja značajno proširuje obaveze u oblasti sajber bezbednosti u odnosu na prethodnu NIS direktivu iz 2016. godine. Njome se uvode stroža pravila, veće kazne i širi krug organizacija koje moraju da primenjuju mere bezbednosti. Direktiva obuhvata ključne javne i privatne sektore, uključujući energetiku, zdravstvo, finansije, saobraćaj, proizvodnju hrane i digitalne usluge. Iako Srbija nije članica EU, NIS2 utiče i na domaće organizacije, što je već podstaklo izradu novog Zakona o informacionoj bezbednosti.
Kako početi sa pripremama za NIS2? 2 važna koraka za početak
Korak 1: Samoprocena – saznajte da li se NIS2 odnosi na vas
Prvi korak u postizanju usaglašenosti sa NIS2 jeste da utvrdite da li vaša kompanija ili organizacija potpada pod ovu regulativu. To je ključno za određivanje da li treba da primenite specifične mere sajber bezbednosti. Ovo je ujedno i jedna od glavnih promena u odnosu na prethodnu verziju iz 2016. godine.
Dok je ranija regulativa unapred određivala koje organizacije potpadaju pod obaveze, sada svaka kompanija mora da sprovede sopstvenu analizu na osnovu određenih kriterijuma kako bi utvrdila da li i u kojoj meri podleže regulativi. Kako to učiniti?
Svaka organizacija procenjuje kriterijume i na osnovu njih određuje svoju kategoriju. Postoje dva glavna kriterijuma – sektor i veličina organizacije, a za pojedine sektore postoje i dodatni specifični kriterijumi.
Kako izgledaju kriterijumi?
Tri kriterijuma za utvrđivanje obaveza prema NIS2 direktivi
1. Sektor
Saznajte da li vaša organizacija posluje u sektoru koji je obuhvaćen direktivom. Radi lakšeg razumevanja, postoje 8 ključnih i 3 važna sektora, pri čemu se pojedini podsektori dodatno razrađuju u nacionalnim propisima.
Savet: za vas smo saželi pojedinačne sektore OVDE.
2. Veličina kompanije
Veličina organizacije se određuje u skladu sa Preporukom Evropske komisije 2003/361/EC, na osnovu broja zaposlenih i finansijskih pokazatelja (promet ili bilans stanja). Saznajte da li spadate u kategoriju mikro, malih, srednjih ili velikih preduzeća.
Pri određivanju broja zaposlenih uzimaju se u obzir:
- lica zaposlena sa punim radnim vremenom
- lica zaposlena na pola radnog vremena
- privremeni i sezonski radnici
Studente na praksi, pripravnike i zaposlene na porodiljskom/roditeljskom odsustvu nije neophodno uključivati.
Osnovni broj zaposlenih izražen je u godišnjim radnim jedinicama (GRJ). Jednom jedinicom smatra se lice koje je bilo zaposleno sa punim radnim vremenom u ili u ime preduzeća tokom cele poslovne godine. Osobe koje su radile sa skraćenim radnim vremenom, sezonski radnici i osobe koje nisu radile punu godinu računaju se proporcionalno u okviru GRJ.
Pri proceni finansijskih pokazatelja, preduzeće može izabrati povoljniji indikator. Istovremeno, važno je razmotriti da li ste:
- nezavisna organizacija
- partnerska
- povezana sa drugim pravnim licem
Moraju se uzeti u obzir svi odnosi koje kompanija ima sa drugim kompanijama, direktni i indirektni.
VAŽNO: Ukoliko premašite broj zaposlenih ili finansijski prag, bićete svrstani u višu kategoriju.
Primer
Ako preduzeće ima 125 zaposlenih (srednje preduzeće) i godišnji promet od oko 8 miliona evra (malo preduzeće), biće klasifikovano kao srednje.
UPOZORENJE: Neke organizacije potpadaju pod NIS2 bez obzira na veličinu ako pružaju strateški važne usluge (npr. javna uprava, energetika, transport) ili su ključni dobavljači u lancu snabdevanja.
3. Specifični kriterijumi
Postoje i dodatni sektorski kriterijumi koji mogu uticati na obaveze. Oni su navedeni u implementacionim aktima i razlikuju se po delatnostima.
Primeri:
- U energetskom sektoru važni mogu biti kapacitet elektrane ili dozvola za proizvodnju
- U zdravstvenom sektoru broj akutnih kreveta može uticati na klasifikaciju
Pored toga, drugi propisi (npr. GDPR, DORA, EECC) mogu takođe uticati ili imati prednost u odnosu na NIS2, u zavisnosti od sektora. Zato je važno proveriti da li se na vas primenjuju dodatne regulative.
Primeri povezanih propisa na nivou EU:
- Finansijski sektor: DORA (Digital Operational Resilience Act)
- Energetika: Uredba o spremnosti na rizik + Uredba (EU) 2017/1938
- Saobraćaj: regulative za vazdušni i pomorski transport
- Elektronske komunikacije: EECC (Evropski kodeks elektronskih komunikacija)
Kako biste brzo proverili da li vaša organizacija potpada pod NIS2 i koje obaveze imate, pripremili smo poseban kalkulator za procenu usklađenosti.
Korak 2: Odredite da li ste subjekat sa višim ili nižim obavezama
Pored pomenutog procesa samoprocene, NIS2 takođe deli organizacije u dve grupe:
- subjekti u režimu viših obaveza (essential entities) i
- subjekti u režimu nižih obaveza (important entities).
Na osnovu ove podele, organizacije moraju u određenoj meri da sprovode organizacione i tehničke mere, pri čemu subjekti u nižem režimu obaveza primenjuju manji obim mera od subjekata sa višim režimom obaveza. Na osnovu samoprocene, moći ćete da odredite koje obaveze se odnose na vas. Na primer:
Preduzeće u prerađivačkoj industriji (proizvođač mašina) sa približno 280 zaposlenih i prometom od 45 miliona evra
U ovom sektoru moguće je identifikovati delatnost koja potpada pod NIS2 – npr. Proizvodnja mašina i opreme (NACE 28). Pošto se radi o velikom preduzeću (više od 250 zaposlenih), može se zaključiti da će biti obuhvaćeno NIS2 direktivom, ali u režimu nižih obaveza, u skladu sa implementacionim aktima.
Preduzeće koje posluje u prerađivačkoj industriji ima 25 zaposlenih i godišnji promet od milion evra.
Ovde se potencijalni sektor može identifikovati u okviru kategorije prerađivačke industrije, ali veličina preduzeća (malo preduzeće) ne potpada pod NIS2, jer ne ispunjava pragove definisane za obuhvat direktive. Takvo preduzeće neće biti predmet primene NIS2 regulative, osim ako ne pruža kritične usluge kroz lanac snabdevanja.
Zdravstvena ustanova akutne nege sa 50 kreveta, 520 zaposlenih i godišnjim prometom od 8 miliona evra.
U ovom slučaju moguće je identifikovati obuhvaćenu uslugu u okviru zdravstvenog sektora – npr. pružanje zdravstvene zaštite. Preduzeće se može svrstati u kategoriju velikih subjekata po broju zaposlenih (više od 250). Iako ne ispunjava specifičan sektorski kriterijum od najmanje 270 kreveta za akutnu negu, na osnovu veličine organizacije može se zaključiti da potpada pod režim viših obaveza u skladu sa NIS2.
Ovo su neki primeri kako možete samostalno da procenite obaveze i definišete svoju poziciju.
Seyfor vam pomaže u samoproceni i ispunjavanju bezbednosnih zahteva.
Priprema za NIS2 direktivu je ključna za osiguranje sajber bezbednosti vaše organizacije. Budite proaktivni i uverite se da ste spremni za zahteve koje NIS2 donosi i koji se konkretno odnose na vas. Ako vam je potrebna potvrda da li se direktiva primenjuje na vašu organizaciju i na koji način, kontaktirajte nas. Primena odgovarajućih bezbednosnih mera je od suštinskog značaja za zaštitu vaših sistema i podataka od rastućih sajber pretnji.
Ne čekajte poslednji trenutak – počnite da se pripremate sada i iskoristite alate koji su vam na raspolaganju, kao što je naš specijalni kalkulator.
Idi na kalkulator.
Ceo tekst je pisan iz ugla NIS2 direktive koja je važeća u zemljama Evropske unije, a ne u Srbiji. Zakon o informacionoj bezbednosti koji je važeći u Srbiji nismo uzimali u obzir prilikom pisanja ovog teksta.
Autorica članka: Ing. Kateřina Menšíková
Usluge pruža Seyfor, a.s., Češka republika.
