Nova EU Direktiva o kibernetičkoj sigurnosti – NIS2

Kibernetička sigurnost

Od 2016. godine kada je EU donijela  prvi zajednički zakon koji je jamčio visoku razinu kibernetičke sigurnosti za kritičnu infrastrukturu (DIREKTIVA (EU) 2016/1148 EUROPSKOG PARLAMENTA I VIJEĆA o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Network and Information Security, NIS)) dogodile se u se razne promjene (sam napredak tehnologije, COVID, rad od kuće, brza digitalna transformaciju i međupovezanost društva, među ostalim u prekogranične razmjene….), tehnologija je uvedena u svakodnevno poslovanje i život, ali istovremeno su se povećali i rizici i incidenti koji mogu ugroziti obavljanje gospodarskih djelatnosti na unutarnjem tržištu, uzrokovati financijski gubitak, narušiti povjerenje korisnika i nanijeti veliku štetu gospodarstvu i društvu Unije.

Sve navedeno pokazalo je da Direktiva više ne može učinkovito odgovoriti na aktualne i nove izazove u području kibersigurnosti.

Dana 14. prosinca 2022. donesena je  DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA.  o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjena Uredbe (EU) br. 910/ 2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2).

Direktiva je stupila na snagu 16. siječnja 2023. godine.

Rok za prijenos NIS2 u nacionalno zakonodavstvo

Rok za prijenos prava i obveza iz direktive u nacionalno zakonodavstvo što uključuje i usvajanje obveznih odredaba nacionalnog prava ili ukidanje odnosno izmjenu i dopunu postojećih propisa je 21 mjesec od dana stupanja direktive na snagu, odnosno do 17. listopada 2024. godine članice EU moraju usvojiti i objaviti mjere za usklađivanje s NIS 2 Direktivom.

Cilj same direktive NIS2, osim veće sigurnosti je i proširenje opsega primjene na nove sektore i nove dionike, jačanje nadzora sankcijama i kvalitetnija i učinkovitija suradnja među državama članicama.

Ključni događaji koji proizlaze iz NIS2 uključuju:

Šire područje primjene: NIS2 se primjenjuje na šire područje primjene sektora i subjekata od onih obuhvaćenih postojećom Direktivom NIS.

Osim sektora obuhvaćenih Direktivom NIS, NIS2 će obuhvaćati i organizacije koje djeluju u sljedećim sektorima:

  • Digitalna infrastruktura i pružatelji digitalnih usluga – uključujući pružatelje javnih elektroničkih komunikacijskih mreža ili usluga, platforme za usluge društvenih mreža i usluge podatkovnih centara
  • Gospodarenje otpadnim vodama i otpadom
  • Proizvodnja određenih ključnih proizvoda (kao što su lijekovi, medicinski proizvodi ili kemikalije)
  • Hrana
  • Poštanske i kurirske usluge
  • Javna uprava

Uvodi se gornja granicu veličine tako da svi srednji i veliki subjekti koji djeluju u sektorima obuhvaćenima novim tekstom moraju ispunjavati zahtjeve sadržane u NIS2.

NIS2 se primjenjuje na određene “važne” i “bitne” subjekte (bez obzira na njihovu veličinu) u posebnim okolnostima, kao što su:

  • subjekti koji pružaju određene javne elektroničke komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge
  • registri naziva domena najviše razine i davatelji usluga sustava naziva domena
  • subjekti koji nude usluge u kojima bi mogući poremećaji u tim uslugama mogli utjecati na javnu sigurnost, javnu sigurnost ili javno zdravlje
  • subjekti koji nude usluge u kojima bi mogući poremećaji u usluzi mogli izazvati sistemske rizike, posebno u sektorima u kojima bi poremećaj mogao imati prekogranični učinak

Nadzor i odgovornost “upravljačkog tijela”: NIS2 nameće izravne obveze “upravljačkim tijelima” u vezi s provedbom i nadzorom usklađenosti njihove organizacije sa zakonodavstvom, što potencijalno dovodi do novčanih kazni i privremene zabrane obnašanja upravljačkih funkcija, uključujući na razini C-Suite-a višeg rukovodstva.

Upravljačka tijela subjekata obuhvaćenih područjem primjene NIS2 mogu se smatrati odgovornima ako ti subjekti krše svoje obveze u okviru NIS2. U konačnici, prebacivanje odgovornosti za upravljanje rizicima u području kibersigurnosti na razinu upravljanja ključnim i važnim subjektima pokazuje sklonost osiguravanju da upravljanje rizicima u području kibersigurnosti bude odgovornost višeg rukovodstva. Upravljačka tijela imaju krajnju odgovornost i svako nepriznavanje koje bi moglo dovesti do ozbiljnih posljedica, uključujući odgovornost uprave i administrativne novčane kazne, kako je predviđeno provedbenim nacionalnim zakonodavstvom.

Mjere za upravljanje kiberrizicima

Mjere za upravljanje kiberrizicima – uključujući analizu lanca opskrbe: NIS2 zahtijeva od subjekata da provedu mjere upravljanja kiberrizičnim rizicima, koje uključuju zahtjeve za smanjenje sigurnosnog rizika i dubinsku analizu dobavljača / usluga trećih strana.

NIS2 navodi sedam ključnih mjera koje svi ključni i važni subjekti poduzimaju za upravljanje rizicima.

Te mjere su:

  • Politika analize rizika i sigurnosti informacijskog sustava
  • Rukovanje incidentima (prevencija, otkrivanje i odgovor na incidente)
  • Kontinuitet poslovanja i upravljanje krizama
  • Sigurnost lanca opskrbe – uključujući aspekte odnosa povezanih sa sigurnošću između svakog subjekta i i. njegovih dobavljača ili ii. pružatelja usluga (kao što su pružatelji usluga pohrane podataka i usluge obrade ili pružatelji upravljanih sigurnosnih usluga)
  • Nabava, razvoj i održavanje sigurnosti u mrežnim i informacijskim sustavima, uključujući rukovanje ranjivostima i otkrivanje
  • Politike i postupci za procjenu učinkovitosti mjera upravljanja kibersigurnosnim rizicima
  • Korištenje kriptografije i enkripcije

Novim mjerama kibersigurnosti od subjekata obuhvaćenih područjem primjene NIS2 zahtijeva se da ublaže sigurnosne rizike u lancu opskrbe svojim dobavljačima / pružateljima usluga, uključujući procjenu i uzimanje u obzir ukupne kvalitete proizvoda i praksi kibersigurnosti njihovih dobavljača i pružatelja usluga.

Prijava incidenata

Izmijenjeni zahtjevi za izvješćivanje o incidentima: NIS2 uvodi obveze obavješćivanja u fazama, uključujući početnu obavijest u roku od 24 sata od saznanja o određenim incidentima ili kiberprijetnjama (umjesto jednostavno “bez nepotrebnog odgađanja” kao u Direktivi NIS), “prijelazne” i “konačne” obveze izvješćivanja.

Novčane kazne i sankcije: državama članicama odobrava se diskrecijsko pravo da utvrde učinkovite, proporcionalne i odvraćajuće kazne za kršenje sustava NIS2, kao i administrativne novčane kazne za određene povrede u iznosu do 10 milijuna EUR ili 2 % ukupnog svjetskog prometa (ovisno o tome što je veće).

Vremenski okvir usvajanja i koraci koje treba poduzeti u ovom trenutku

Kao što smo naveli u uvodnom dijelu do 17. listopada 2024. godine članice EU moraju usvojiti i objaviti mjere za usklađivanje s NIS 2 Direktivom.

U ovoj fazi organizacije bi trebale razmotriti područje primjene sustava NIS2 i jesu li njihova poduzeća obuhvaćena tim područjem primjene. Ako organizacija zaključi da će vjerojatno biti obuhvaćena područjem primjene novog zakonodavstva, trebala bi razmotriti organizacijske, financijske i tehničke korake koji će biti potrebni za pripremu za poštivanje NIS2. Na primjer, iz perspektive potrošnje IKT-a Europska komisija očekuje da će se organizacije suočiti s maksimalnim povećanjem od 22 % u pogledu potrošnje za sigurnost IKT-a u prvih nekoliko godina nakon provedbe NIS2 (procjenjuje se maksimalno povećanje od 12 % za organizacije koje su već obuhvaćene područjem primjene postojeće Direktive NIS).” Organizacije u okviru područja primjene trebale bi pratiti kako se NIS2 provodi u ključnim jurisdikcijama EU-a u kojima djeluju.

Osim toga, organizacije koje nude proizvode/ usluge informacijske i mrežne sigurnosti također bi trebale biti spremne za dubinsku analizu od organizacija NIS2 u okviru područja primjene. Stoga bi te organizacije izvan područja primjene trebale osigurati uspostavu učinkovitih, dokumentiranih postupaka za upravljanje sigurnosnim rizicima povezanima s njihovom ponudom proizvoda / usluga u očekivanju takve dubinske analize.

Newsletter

Pretplatite se na naš Newsletter!

Izrada internetske stranice sufinancirana je sredstvima pomoći Operativnog programa „Konkurentnost i kohezija“ iz Europskog fonda za regionalni razvoj. Saznaj više

Krajnji primatelj financijskog instrumenta sufinanciranog iz Europskog fonda za regionalni razvoj u sklopu Operativnog programa Konkurentnost i kohezija 2014.-2020.”.