NIS2 direktiva

Iako je NIS2 stupila na snagu u januaru 2023. godine, a države članice EU imale rok za usklađivanje do 17. oktobra 2024, puna primena u praksi u mnogim zemljama odvija se tokom 2025. godine, što dodatno naglašava njen značaj kao budućeg referentnog standarda i za organizacije u Srbiji.

Zašto raste interesovanje za mrežnu i informacionu bezbednost?

Direktiva NIS2, što je skraćenica od Direktiva o mrežama i informacionim sistemima, je propis EU koji ima za cilj da uskladi i unapredi nivo informacione bezbednosti u državama članicama zbog sve većeg broja sajber pretnji i napada.

Ona postavlja zahteve za bezbednost mreža i informacionih sistema i mreža u različitim kritičnim sektorima i uključuje tehničke i organizacione mere koje kompanije i organizacije moraju da preduzmu kako bi obezbedile adekvatnu zaštitu od sajber pretnji.

„Na NIS2 direktivu kao na zakonsku promenu gledam veoma pozitivno. To je prilika za kompanije da ojačaju svoju zaštitu od sajber pretnji. Volim da to uporedim sa 'dosadnom' obavezom nošenja kacige tokom vožnje bicikla. Šta ako mi se desi nešto zaista ozbiljno? To što sam nosio kacigu smanjilo je rizik od teške ili čak fatalne povrede. NIS2 doživljavam kao okvir kako bi kompanija trebalo da postavi osnovni sistem sajber bezbednosti“,  kaže Dan Albreht, šef poslovnog razvoja u Seyforu. 

Zakon o informacionoj bezbednosti 

Glavna veza između NIS2 i Zakona o informacionoj bezbednosti je to što NIS2 postavlja minimalne zahteve i pravila koje zemlje članice EU, moraju da implementiraju u svoje nacionalno zakonodavstvo. To znači da će I domaći Zakon o informacionoj bezbednosti morati da se ažurira i dopuni kako bi bio u skladu sa novim i strožijim zahtevima.  

 

Istorijat i razvoj NIS2 direktive

Prva direktiva EU o bezbednosti mreža i informacija stupila je na snagu 2016. godine i predstavljala je prvi korak Evropske unije ka ujedinjenom evropskom povećanju informacione bezbednosti, posebno za kritičnu infrastrukturu država članica EU. Sada je NIS2 direktiva postavljena da originalni NIS okvir podigne na viši nivo.

NIS2 je ažurirana verzija direktive o NIS-u, koja odražava trenutne pretnje i proširuje obaveze na više sektora, a samim tim i na više pogođenih organizacija. Tekst NIS2 direktive objavljen je u Službenom listu Evropske unije u decembru 2022. godine.

 

NIS i NIS2: glavne razlike

Jedna od glavnih razlika između NIS-a i NIS2 jeste proširenje delokruga ove evropske direktive o sajber bezbednosti. Dok se NIS fokusirao prvenstveno na velike organizacije, NIS2 pokriva i srednja i mala preduzeća koja se smatraju važnim za funkcionisanje privrede i društva.

Druga promena u poređenju sa prvobitnom direktivom je definicija obaveza organizacije, takozvano 'organizaciona samoprocena'. Ovo je početni proces u kome organizacija mora sama da utvrdi da li na nju utiču ili ne obaveze koje proizilaze iz NIS2 Uredbe.

 

Koje obaveze uvodi sistem NIS2?

NIS2 će uticati na kompanije i podeliti ih u dve grupe, i to: 

• pružaoci regulisanih usluga po režimu viših obaveza i
• regulisanih pružalaca usluga po režimu nižih obaveza.

U zavisnosti od toga u koju grupu spada neka organizacija, preduzeća moraju u određenoj meri da uspostave organizacione i tehničke mere, pri čemu preduzeća u nižem režimu obaveza imaju manje definisanih neophodnih mera obezbeđenja od preduzeća u višem režimu obaveza.

 

SAVET: Kompletan pregled obaveza koje je uveo NIS2, uključujući uputstva za samoocenjivanje organizacija, možete pronaći OVDE.

 

Šta NIS2 znači za preduzeća i organizacije i kakve obaveze nosi

Direktiva će uticati na skoro sve srednje i velike kompanije koje pružaju neke od 106 regulisanih usluga na tržištima EU u 23 navedena sektora. Uzećemo za primer Češku u kojoj će promene uticati na više od 6.000 kompanija, što je bila početna procena Nacionalne kancelarije za sajber i informacionu bezbednost (NUCSIS). Međutim, već sada se može pretpostaviti da će se broj regulisanih subjekata vremenom povećavati.

Slika: 23 sektora zahvaćena sistemom NIS2.

 

Pravni subjekti moraju da uvedu odgovarajuće tehničke i organizacione mere za zaštitu svojih mreža i sistema.

To uključuje, na primer:

• postavljanje zaštitnih barijera,
• šifrovanje podataka,
• redovno ažuriranje softvera i
• druge bezbednosne tehnologije.

Menadžment i zaposlene treba redovno obučavati i informisati o aktuelnim pretnjama i sigurnosnim praksama. Organizacije moraju da poseduju planove za upravljanje rizicima i oporavak od sajber napada. Ovo uključuje identifikovanje potencijalnih pretnji, procenu rizika, prijavljivanje incidenata i sprovođenje mera za smanjenje njihovog uticaja.

Kazne i visoke novčane kazne za nepoštovanje direktiva NIS2

Nepoštovanje direktive NIS2 može rezultirati visokim kaznama i kaznama za kompanije i organizacije. To može uključivati ne samo finansijske kazne, već i reputaciju, što može imati dugoročne negativne posledice po kompaniju. 

Pojedinci na rukovodećim pozicijama biće direktno odgovorni za poštovanje pravila. Kršenje pravila može rezultirati visokim novčanim kaznama i, u ekstremnim slučajevima, otpuštanjem organizacije ili odgovornog pojedinca.

Kompanije koje ne budu u skladu sa zahtevima u vidu novog zakona o sajber bezbednosti mogu se suočiti sa dugoročnim posledicama, kao što su gubitak kupaca, pravni problemi i ograničene mogućnosti rasta. Stoga je u njihovom najboljem interesu da ispoštuju sve zahteve koje nameće NIS2.

 

Da li se nova direktiva NIS2 primenjuje na vas?

Organizacije koje potpadaju pod NIS2 moraju da obezbede da njihov sistem upravljanja sajber bezbednošću ispunjava sve zahteve direktive. Kako? Pravni zastupnici su odgovorni za obezbeđivanje usklađenosti i dužni su da preduzmu mere za zaštitu od sajber pretnji.

Dizajnirali smo poseban kalkulator koji će vam pomoći da lako utvrdite da li se zakon odnosi na vas, uključujući i određivanje nivoa vaših obaveza. Probajte sami: DA LI SE NIS2 ODNOSI NA NAŠU KOMPANIJU?

 

Seyfor kao pouzdan partner u oblasti sajber bezbednosti

Kompanije mogu da koriste usluge eksternog provajdera za savete i saradnju sa stručnjacima za informacionu bezbednost kako bi osigurale usaglašenost sa svim zahtevima nove direktive i povećale svoju zaštitu od sajber pretnji.

„Svaka oblast informacione bezbednosti je veoma specifična i obimna kao i celokupna informaciona tehnologija. Seyfor nudi kompanijama sveobuhvatnu pomoć u oblasti sajber bezbednosti – od analize trenutne situacije do sprovođenja neophodnih tehničkih i organizacionih mera. Pružamo konsultacije, razvoj smernica za mrežnu bezbednost, dizajniranje rešenja i reagovanje na incidente, uključujući obnavljanje infrastrukture i ulogu u komunikaciji,“ ističe Dan Albrecht, opisujući ulogu kompanije Seyfor u obezbeđivanju mrežne i informacione bezbednosti.

Seyfor nudi sveobuhvatne usluge upravljanja informacionom bezbednošću, koje uključuju reviziju postojećih mera, primenu novih tehnologija i redovnu obuku osoblja.

 

NIS2 kao put ka boljoj informacionoj bezbednosti u EU

Kako tehnologija nastavlja da napreduje i pretnje se povećavaju, te je jasno da će informaciona bezbednost i novo zakonodavstvo i dalje biti ključno pitanje. Kompanije koje ulažu u informacionu bezbednost biće bolje pripremljene za izazove budućnosti i zaštitiće svoje osetljive informacije i infrastrukturu.

Pravila u novoj direktivi NIS2 biće važan korak ka uniformnoj i robusnoj informacione bezbednosti u EU. Kompanije moraju preduzeti odgovarajuće mere da zaštite svoje mreže i sisteme, redovno obučavaju svoje zaposlene i budu spremne za potencijalne sajber napade.

ŽELIM DA UČESTVUJEM U NIS2 PROJEKTU

Koristan materijal o NIS2

Preuzmite direktivu NIS2

Nova NIS2 direktiva Evropske unije i njen tekst su sada dostupni ovde i pružaju detaljne informacije o novim zahtevima i standardima informacione bezbednosti za države članice EU.

 

 

---

Ceo tekst je pisan iz ugla NIS2 direktive koja je važeća u zemljama Evropske unije, a ne u Srbiji. Zakon o informacionoj bezbednosti koji je važeći u Srbiji nismo uzimali u obzir prilikom pisanja ovog teksta.

 

Autorica članka: Ing. Kateřina Menšíková

Usluge pruža Seyfor, a.s., Češka republika.