NIS2
Pravni okvir koji propisuje mjere za ostvarivanje visoke razine kibernetičke sigurnosti i otpornosti na razini Europske unije.
Cyber Security
Cyber Security by
CarPen Rebuild
Naša stručnost u kibernetičkoj sigurnosti pomaže organizacijama da se suoče s izazovima modernog digitalnog svijeta. Specijalizirani smo za zaštitu podataka i mreža, smanjenje rizika od cyber napada te osiguranje integriteta i povjerljivosti informacija. Naš tim koristi najnovije tehnologije i metode kako bi vaši sustavi bili sigurni i otporni na prijetnje.
Podrška 0-24
Za tvrtke koje posluju u uvjetima gdje su brzina i pouzdanost bitne, podrška 0-24 postaje nezamjenjiv element uspješnog poslovanja
Cyber Security
Cyber Security by
CarPen Rebuild
Naša stručnost u kibernetičkoj sigurnosti pomaže organizacijama da se suoče s izazovima modernog digitalnog svijeta. Specijalizirani smo za zaštitu podataka i mreža, smanjenje rizika od cyber napada te osiguranje integriteta i povjerljivosti informacija. Naš tim koristi najnovije tehnologije i metode kako bi vaši sustavi bili sigurni i otporni na prijetnje.
NIS2
Pravni okvir koji propisuje mjere za ostvarivanje visoke razine kibernetičke sigurnosti i otpornosti na razini Europske unije.
Podrška 0-24
Za tvrtke koje posluju u uvjetima gdje su brzina i pouzdanost bitne, podrška 0-24 postaje nezamjenjiv element uspješnog poslovanja
KIBERNETIČKA SIGURNOSTI NA RAZINI EU
Zahtjevi NIS2 Direktive
Prilagodba vaše organizacije zahtjevima NIS2 direktive podrazumijeva sveobuhvatno poznavanje njezinih aspekata i uvjeta. Da bismo vam olakšali ovaj zahtjevan proces, proveli smo temeljitu analizu svih odredbi i preporuka. Izradili smo detaljan pregled ključnih značajki i zahtjeva NIS2 direktive, koji će vam pomoći u uspješnom usklađivanju.
Najopsežnija kibernetička direktiva u Europi.
NIS2 direktiva predstavlja dosad najopsežniju EU direktivu o kibernetičkoj sigurnosti. Uz pojačane zahtjeve za upravljanjem rizicima i izvještavanjem o incidentima, širu pokrivenost sektora i subjekata te visoke kazne za neusklađenost, stotine tisuća EU organizacija morat će ponovno procijeniti svoje stanje kibernetičke sigurnosti.
Sve što trebate znati o NIS2 direktivi
NIS2 Direktiva
S obzirom na rastuće prijetnje kibernetičkoj sigurnosti, Europska unija je uvela NIS2 direktivu (Direktiva o sigurnosti mrežnih i informacijskih sustava) kao nadopunu prethodnoj regulativi. Ova direktiva, koju je Europska komisija predložila 2020. godine, počela je s primjenom 16. siječnja 2023.
Osnovni cilj NIS2 direktive je osigurati visoku razinu zaštite mreža i informacijskih sustava koji su ključni za funkcioniranje društva i ekonomije. Time se nastoji smanjiti rizik od kibernetičkih prijetnji i poboljšati otpornost na kibernetičke napade u cijeloj Europi.
Direktiva postavlja strože zahtjeve i obaveze za pružatelje ključnih i važnih usluga, a države članice EU obvezne su sastaviti popis tih subjekata.
Glavna svrha NIS2 direktive je povećati otpornost europskih tvrtki na kibernetičke prijetnje, što se postiže uvođenjem obaveze poštivanja sigurnosnih standarda, obvezom prijave ozbiljnih kibernetičkih incidenata te jačanjem suradnje među državama članicama.
Razlike između NIS2 i NIS Direktive
Prvotna NIS direktiva pružala je samo okvir za kibernetičku sigurnost, koji su organizacije koristile za razvijanje vlastitih sigurnosnih mjera. Iako je bila usmjerena na poboljšanje kibernetičke zaštite u Europskoj uniji, njena primjena bila je otežana, s različitim razinama resursa i implementacije među državama članicama. Kao rezultat, kibernetička otpornost varirala je, s nekim državama koje su napredovale brže od drugih.
NIS2 direktiva ispravlja ove nedostatke postavljanjem strožih zahtjeva za kibernetičku sigurnost, uvodi znatno veće kazne za prekršitelje te proširuje broj sektora na koje se primjenjuje.
NIS2 Direktiva u Hrvatskoj
U skladu s obvezom usklađivanja s europskom direktivom 2022/2555 o kibernetičkoj sigurnosti, u Hrvatskoj je donesen novi Zakon o kibernetičkoj sigurnosti (NN 14/2024). Ovaj zakon predstavlja značajan korak prema jačanju zaštite informacijskih sustava unutar nacionalne infrastrukture.
Zakon naglašava da organizacije trebaju uzeti u obzir ranjivosti svojih dobavljača i pružatelja usluga, kao i opću kvalitetu proizvoda i sigurnosne prakse. Također, potrebno je razmotriti rezultate procjene rizika ključnih lanaca opskrbe ICT uslugama, sustavima ili proizvodima, koju je provela Skupina za suradnju uz podršku Europske komisije i ENISA-e.
Osnovni zahtjevi za kibernetičku obranu u EU
Kako bi se osigurala visoka razina kibernetičke zaštite unutar Europske unije, definirani su ključni zahtjevi koje moraju ispuniti obuhvaćeni subjekti. Ti zahtjevi uključuju:
- Upravljanje rizicima
- Korporativnu odgovornost
- Obvezu izvještavanja
- Kontinuitet poslovanja
Ispunjavanje ovih zahtjeva ključno je za postizanje minimalne razine kibernetičke sigurnosti koja se traži NIS2 direktivom. Svaki od ovih zahtjeva podrazumijeva specifične mjere za usklađivanje.
Upravljanje rizicima
Organizacije su obvezne provoditi procjene rizika te razviti odgovarajuće sigurnosne politike i mjere. Cilj je identificirati, ocijeniti, obraditi i na kraju smanjiti kibernetičke rizike.
Mjere koje organizacije trebaju primijeniti uključuju upravljanje incidentima, jačanje sigurnosti lanca opskrbe, poboljšanje sigurnosti mreže, bolju kontrolu pristupa i enkripciju podataka.
Korporativna odgovornost
Uprava tvrtke mora imati visoku razinu svijesti o rizicima i zaštitnim mjerama. Ona je odgovorna za sigurnost informacijskih sustava kako bi osigurala pravilno nadgledanje, odobravanje i implementaciju mjera kibernetičke zaštite.
Obveze izvještavanja
Jedan od ciljeva direktive je poboljšanje suradnje među državama članicama. Zbog toga se od ključnih i važnih subjekata traži objavljivanje informacija o sigurnosnim incidentima koji značajno utječu na opskrbu uslugama ili korisnike usluga. Direktivom su propisane smjernice, sadržaj i raspored izvještavanja, čime se stvara okvir za proces izvještavanja.
Brzo izvještavanje o sigurnosnim incidentima omogućava organizacijama i relevantnim tijelima da se pripreme za kibernetičke prijetnje i poduzmu potrebne mjere zaštite. Utvrđeni su specifični rokovi za izvještavanje kako bi se osigurala brza reakcija i smanjila potencijalna šteta.
Kontinuitet poslovanja
Ključni i važni subjekti moraju imati planove za kontinuitet poslovanja kako bi mogli nastaviti pružati važne usluge i procese tijekom i nakon kibernetičkih incidenata. U tim planovima potrebno je definirati timove za krizno upravljanje, kao i razmotriti sigurnosne procedure i oporavak sustava nakon nastanka incidenata.
Kibernetičke mjere prema NIS2 Direktivi
NIS2 direktiva propisuje kibernetičke mjere koje imaju za cilj smanjiti razlike u otpornosti organizacija obuhvaćenih ovom regulativom. U skladu s člankom 21. Direktive (EU) 2022/2555, organizacije su obvezne implementirati operativne, tehničke i organizacijske mjere koje uključuju:
Politike analize rizika i informacijske sigurnosti: Organizacije moraju razviti jasne politike za upravljanje rizicima i osiguranje informacijske sigurnosti.
Kriptografija i enkripcija: Ove mjere su obavezne i za njih je potrebno imati definirane politike i procedure.
Planiranje aktivnosti nakon incidenta: Organizacije moraju definirati aktivnosti i mjere koje će poduzeti nakon što dođe do incidenta, upravljati sigurnosnim kopijama i utvrditi postupke za krizno upravljanje. To uključuje mjere poput određivanja vremena oporavka (RTO), točke oporavka (RPO), kao i plan pristupa resursima i njihovim funkcijama. Ove aktivnosti predstavljaju značajan izazov za operativne tvrtke, poput onih koje se bave distribucijom električne energije ili opskrbom pitke vode, jer mnoge od njih nemaju jasno definirane postupke za upravljanje incidentima.
Procesi za upravljanje incidentima: Organizacije moraju uspostaviti procedure koje će im pomoći da učinkovito otkriju, odgovore na i oporave se od sigurnosnih incidenata.
Zaštita lanca opskrbe: U skladu s propisima, potrebno je identificirati ključne dobavljače, analizirati rizike koji proizlaze iz odnosa s njima te razumjeti njihov utjecaj na poslovanje.
Kibernetička higijena i edukacija: Organizacije trebaju razviti procedure za očuvanje kibernetičke higijene te redovitu edukaciju zaposlenika o cyber sigurnosti.
Osiguranje komunikacijskih kanala: Potrebno je osigurati da komunikacijski kanali budu zaštićeni od prisluškivanja ili presretanja. To uključuje korištenje višefaktorske autentifikacije ili rješenja za kontinuiranu autentifikaciju, kao i osiguravanje sigurnih glasovnih, video i tekstualnih komunikacija.
Sigurnost ljudskih resursa: Uključuje politike kontrole pristupa i upravljanje imovinom.
Sigurnost informacijskih sustava: Trebaju se primijeniti sigurnosne mjere tijekom usvajanja, razvoja i održavanja informacijskih sustava, uključujući postupke za upravljanje ranjivostima.
Evaluacija mjera upravljanja rizicima: Organizacije trebaju uspostaviti politike i procedure za procjenu učinkovitosti svojih mjera za upravljanje kibernetičkim rizicima.
Prema Zakonu o kibernetičkoj sigurnosti, organizacije su obvezne uzeti u obzir ranjivosti svojih dobavljača i pružatelja usluga, kao i njihovu opću kvalitetu proizvoda i sigurnosne prakse. Također, moraju razmotriti rezultate procjene rizika ključnih lanaca opskrbe ICT uslugama, sustavima ili proizvodima, koje su provele Skupina za suradnju, Europska komisija i ENISA.
Osim navedenih zahtjeva, Zakon o kibernetičkoj sigurnosti također propisuje dodatne specifične zahtjeve za upravljanje podacima o registraciji naziva domena. Ovi zahtjevi definiraju obaveze registrara i registra vršnih nacionalnih internetskih domena.
Kategorije važnih i ključnih subjekata prema NIS2 direktivi
NIS2 direktiva propisuje kriterije za identifikaciju ključnih i važnih subjekata koji pružaju usluge neophodne za funkcionalnost društva. Određivanje specifičnih kriterija za kategorizaciju prepušteno je nacionalnim zakonodavstvima zemalja članica EU. U tom kontekstu, Zakon o kibernetičkoj sigurnosti definira ključne i važne subjekte na temelju veličine poduzeća i sektora u kojem djeluju.
Ključni subjekti
Općenito, ključni subjekti uključuju organizacije koje imaju više od 250 zaposlenih, godišnji promet veći od 50 milijuna eura, te bilančnu svotu veću od 43 milijuna eura. Međutim, ovi kriteriji mogu varirati ovisno o sektoru u kojem subjekt posluje. Na primjer, organizacije čiji prekid usluga može ugroziti zdravlje i sigurnost klasificiraju se kao ključni subjekti bez obzira na navedene kriterije.
Prema NIS2 direktivi, ključni subjekti uključuju organizacije koje djeluju u sljedećim sektorima:
- Energetika: nafta, prirodni plin, vodik, opskrba električnom energijom, centralizirano grijanje i hlađenje.
- Promet: zračni, željeznički, cestovni i pomorski promet.
- Bankarstvo: osim središnjih banaka.
- Infrastruktura financijskog tržišta.
- Zdravstvo: uključujući proizvodnju farmaceutskih proizvoda i cjepiva.
- Svemir.
- Opskrba vodom: pitka i otpadna voda.
- Digitalna infrastruktura: pružatelji DNS usluga, registri vršnih domenskih imena, internetske točke umrežavanja, pružatelji podatkovnih centara, usluga računarstva u oblaku, mreža za prijenos sadržaja i javne elektroničke komunikacijske mreže.
- Upravljanje ICT uslugama.
- Javne uprave: središnje, regionalne i lokalne vlasti, ako se članica EU odluči na to.
Važni subjekti
Važni subjekti također podliježu varijabilnim kriterijima ovisno o sektoru. U ovu kategoriju spadaju organizacije koje imaju između 50 i 250 zaposlenih, godišnji promet manji ili jednak 50 milijuna eura, te bilančnu svotu manju ili jednaku 43 milijuna eura. Ovi subjekti nisu kategorizirani kao ključni, ali djeluju u ključnim sektorima.
Uz to, važne subjekte čine i sve tvrtke s 50 ili više zaposlenih, godišnjim prometom i aktivom većom od 10 milijuna eura, koje pružaju važne usluge.
U ovu kategoriju također spadaju pružatelji usluga povjerenja i javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu kategorizirani kao ključni subjekti.
Važni subjekti uključuju organizacije koje se bave sljedećim uslugama:
- Poštanske i kurirske usluge.
- Upravljanje otpadom.
- Kemikalije: proizvodnja i distribucija.
- Prehrambena industrija: proizvodnja, prerada i distribucija.
- Proizvodnja medicinskih uređaja: može postati ključna usluga u slučaju ugroze javnog zdravlja.
- Proizvodnja računala, elektroničkih i optičkih proizvoda, električne opreme, strojeva i transportnih vozila.
- Pružatelji digitalnih usluga: internetska tržišta, tražilice i platforme za društvene mreže.
- Obrazovanje: privatni i javni subjekti.
- Istraživanje.
VAŽNO: Kriteriji za veličinu organizacije nisu isključivi; subjekt može biti obuhvaćen direktivom ako ispunjava posebne kriterije navedene u Zakonu o kibernetičkoj sigurnosti, primjerice, ako je jedini pružatelj kritične ili važne usluge.
Okruženje prije uvođenja NIS2
Digitalna transformacija poslovanja, ubrzana pandemijom Covid-19, dovela je do dramatičnog porasta kibernetičkih prijetnji. Sustavi koji prije nisu bili povezani s mrežama postali su ovisni o ICT tehnologiji, što ih je učinilo privlačnim metama za napade iz raznih izvora, kako unutar tako i izvan Europske unije. Uspješni kibernetički napadi mogu uzrokovati prekid rada sustava, što dovodi do značajnih šteta za organizacije i društvo u cjelini.
Nedostaci NIS direktive
Iako je NIS direktiva postavila okvir za implementaciju kibernetičke sigurnosti, promjene u cyber okruženju istaknule su potrebu za njenom revizijom. Prethodna verzija NIS direktive bila je podložna konstantnim revizijama. Tijekom jedne od tih revizija primijećeno je da države članice različito primjenjuju odredbe, što je rezultiralo time da su tvrtke u nekim zemljama uživale dobru zaštitu od kibernetičkih prijetnji, dok su druge ostale nezaštićene.
Također, identificirano je da su organizacije u određenim državama imale nedovoljnu kibernetičku otpornost na potencijalne napade i nisu mogle održati kontinuitet svojih poslovnih procesa tijekom i nakon incidenata. Takvi incidenti često su rezultirali katastrofalnim posljedicama zbog nepostojanja adekvatnih procesa za upravljanje incidentima i krizama.
Dodatno, situaciju je pogoršavalo nedostatno razumijevanje trenutnih prijetnji i izazova, kao i slaba razmjena informacija među članicama EU. To je sve ukazalo na hitnu potrebu za uvođenjem NIS2 direktive.
NIS2 kao nasljednica NIS direktive
NIS2 je uvedena s ciljem rješavanja nedostataka prethodne NIS direktive i postizanja više zajedničke razine kibernetičke sigurnosti u zemljama članicama EU. Cilj ove direktive je osigurati da organizacije imaju snažnu otpornost na kibernetičke napade i da nastave s poslovanjem čak i u slučaju napada na svoje procese i infrastrukturu.
Ova direktiva označava početak intenzivnije borbe protiv kibernetičkog kriminala. Deseterostruko je povećan broj ključnih i važnih subjekata obuhvaćenih regulativom, a zahtjevi koje moraju zadovoljiti postroženi su, čime se dodatno jača sigurnosna mreža unutar Europske unije.
Rokovi za NIS2
NIS2 direktiva počela je s primjenom u siječnju 2023. godine. Države članice Europske unije imaju rok do 17. listopada 2024. da implementiraju njezine odredbe u svoje nacionalne zakone i uspostave kriterije za kategorizaciju subjekata.
Nakon objave kriterija za kategorizaciju, članice su obvezne sastaviti popis svih subjekata obuhvaćenih direktivom te pravovremeno obavijestiti te subjekte. Kada prime obavijest o svojoj kategorizaciji, ključni i važni subjekti morat će u roku koji će biti utvrđen nacionalnim zakonima provesti sve zahtjeve.
Za proces usklađivanja s NIS2 direktivom predviđeno je prosječno 12 mjeseci, što znači da preostaje malo vremena. Stoga je ključno planirati organizacijske, tehničke i financijske aktivnosti kako bi se osigurala pravovremena priprema za NIS2 direktivu.
Rokovi za ZKS
Hrvatski sabor usvojio je zahtjeve Direktive (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti, integrirajući ih u Zakon o kibernetičkoj sigurnosti (NN 14/2024). Zakon je objavljen 7. veljače 2024. godine u Narodnim novinama i na snazi je od 15. veljače 2024.
Nakon stupanja na snagu Zakona, bit će doneseni i popratni podzakonski propisi koji će detaljno definirati mjere kibernetičke sigurnosti koje subjekti moraju provoditi. Ti propisi i njihovi rokovi uključuju:
- Nacionalni program upravljanja kibernetičkim krizama: bit će objavljen tri mjeseca nakon ZKS-a i odredit će upravljanje incidentima velikih razmjera.
- Provedbeni propis Vlade RH o kategorizaciji subjekata: uključuje vođenje popisa ključnih i važnih subjekata i posebnog registra, a bit će objavljen devet mjeseci nakon stupanja na snagu ZKS-a.
- Plan provedbe vježbi kibernetičke sigurnosti: plan će biti usvojen 12 mjeseci nakon ZKS-a.
- Srednjoročni akt strateškog planiranja: bit će usvojen dvije godine nakon ZKS-a.
Za tvrtke je najvažniji provedbeni propis Vlade RH o kategorizaciji subjekata. Nakon objave propisa, nadležna tijela obavijestit će obuhvaćene subjekte o njihovoj kategorizaciji do 15. veljače 2025. Kategorizirani subjekti moraju u roku od godine dana implementirati mjere definirane u ZKS-u.
Prema članku 37. Zakona o kibernetičkoj sigurnosti, nakon što prime obavijest o kategorizaciji, ključni i važni subjekti na popisu moraju u roku od 30 dana početi obavještavati nadležni CSIRT (Computer Incident Response Team) o sigurnosnim incidentima.
Subjekti bi već sada trebali planirati kako će se uskladiti s Zakonom i njegovim podzakonskim propisima. Vrijeme za usklađivanje neprestano teče, a svaki dan bez akcije predstavlja rizik za subjekte koji nisu započeli pripreme za primjenu odredbi Zakona. Brza reakcija je ključna kako bi se izbjegle sankcije i osigurala stabilnost poslovanja. Rokovi ne čekaju nikoga, stoga je nužno odmah pristupiti usklađivanju.
Kazne prema NIS2 Direktivi
Prema NIS2 direktivi (Direktiva (EU) 2022/2555), prekršitelji se suočavaju s ozbiljnim kaznama koje su proporcionalne težini prekršaja. Zakon o kibernetičkoj sigurnosti Republike Hrvatske preuzima ove kazne iz NIS2 direktive, koje se mogu podijeliti u nekoliko kategorija:
Korektivne mjere
Svaka država članica EU ima svoje središnje tijelo nadležno za sektor u kojem subjekt djeluje, koje može propisati nenovčane kazne, uključujući:
- Upozorenja o povredama zakona.
- Obvezujuće upute ili nalozi koji zahtijevaju otklanjanje utvrđenih nedostataka ili povreda Zakona.
- Izdavanje naloga za provođenje sigurnosnih revizija primijenjenih kibernetičkih mjera.
- Objavljivanje informacija o povredama kibernetičke sigurnosti.
Zakon o kibernetičkoj sigurnosti dodaje još dvije korektivne mjere:
- Nalog nadležnog tijela da se prestane s aktivnostima koje krše Zakon.
- Nalog za provedbu preporuka iz izvješća o provedenoj reviziji kibernetičke sigurnosti ili analize sigurnosti.
Novčane kazne
Direktiva također predviđa znatne novčane kazne. Države članice EU imaju autonomiju u određivanju iznosa ovih kazni, pod uvjetom da se pridržavaju minimalnih granica maksimalnih kazni definiranim NIS2 direktivom.
Maksimalne kazne za ključne subjekte trebaju iznositi najmanje 10 milijuna eura ili 2 % globalnog godišnjeg prihoda, ovisno o tome koja je od tih vrijednosti veća.
Za važne subjekte, maksimalna kazna mora iznositi barem 7 milijuna eura ili 1,4 % globalnog godišnjeg prihoda, također ovisno o tome koja je vrijednost veća.
Sankcije za upravu društva
Prema članku 20. Direktive (EU) 2022/2555, uprave važnih i ključnih subjekata obvezne su odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati njihovu provedbu te redovito sudjelovati u obukama kako bi stekle potrebna znanja i vještine za procjenu i upravljanje rizicima. Ukoliko organizacija ne ispoštuje ove obveze, članovi uprave mogu biti osobno odgovorni, što uključuje mogućnost privremene zabrane obavljanja upravljačkih funkcija.
Uprave društava mogu biti osobno odgovorne za svaki incident koji se dogodi unutar organizacije. Stoga je ključno da osiguraju visoku razinu kibernetičke otpornosti u svim osjetljivim dijelovima organizacije.
U slučaju nepoštivanja zahtjeva NIS2 direktive, članovi uprave mogu se suočiti s zabranom obavljanja dužnosti u svojoj industriji ili biti obvezni objaviti informacije o kršenju direktive, uključujući popis odgovornih osoba.
Odaberite
CarPen Rebuild
kao Vašeg pouzdanog IT partnera
Naša tvrtka se fokusira na pružanje vrhunskih informatičkih rješenja, koja su pouzdana, sigurna i usmjerena na vaše poslovne ciljeve. S našim iskustvom i stručnim znanjem, možemo vam pomoći da optimizirate svoje poslovanje i postignete konkurentske prednosti na tržištu.
Tražite kvalitetna IT poslovna rješenja?
Inovativna rješenja za moderne izazove