Od 2016. godine kada je EU donijela prvi zajednički zakon koji je jamčio visoku razinu kibernetičke sigurnosti za kritičnu infrastrukturu (DIREKTIVA (EU) 2016/1148 EUROPSKOG PARLAMENTA I VIJEĆA o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Network and Information Security, NIS)) dogodile se u se razne promjene (sam napredak tehnologije, COVID, rad od kuće, brza digitalna transformaciju i međupovezanost društva, među ostalim u prekogranične razmjene….), tehnologija je uvedena u svakodnevno poslovanje i život, ali istovremeno su se povećali i rizici i incidenti koji mogu ugroziti obavljanje gospodarskih djelatnosti na unutarnjem tržištu, uzrokovati financijski gubitak, narušiti povjerenje korisnika i nanijeti veliku štetu gospodarstvu i društvu Unije.
Sve navedeno pokazalo je da Direktiva više ne može učinkovito odgovoriti na aktualne i nove izazove u području kibersigurnosti.
Dana 14. prosinca 2022. donesena je DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjena Uredbe (EU) br. 910/ 2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2).
Direktiva je stupila na snagu 16. siječnja 2023. godine.
Rok za prijenos prava i obveza iz direktive u nacionalno zakonodavstvo što uključuje i usvajanje obveznih odredaba nacionalnog prava ili ukidanje odnosno izmjenu i dopunu postojećih propisa je 21 mjesec od dana stupanja direktive na snagu, odnosno do 17. listopada 2024. godine članice EU moraju usvojiti i objaviti mjere za usklađivanje s NIS 2 Direktivom.
Cilj same direktive NIS2, osim veće sigurnosti je i proširenje opsega primjene na nove sektore i nove dionike, jačanje nadzora sankcijama i kvalitetnija i učinkovitija suradnja među državama članicama.
Ključni događaji koji proizlaze iz NIS2 uključuju:
Šire područje primjene: NIS2 se primjenjuje na šire područje primjene sektora i subjekata od onih obuhvaćenih postojećom Direktivom NIS.
Osim sektora obuhvaćenih Direktivom NIS, NIS2 će obuhvaćati i organizacije koje djeluju u sljedećim sektorima:
- Digitalna infrastruktura i pružatelji digitalnih usluga – uključujući pružatelje javnih elektroničkih komunikacijskih mreža ili usluga, platforme za usluge društvenih mreža i usluge podatkovnih centara
- Gospodarenje otpadnim vodama i otpadom
- Proizvodnja određenih ključnih proizvoda (kao što su lijekovi, medicinski proizvodi ili kemikalije)
- Hrana
- Poštanske i kurirske usluge
- Javna uprava
Uvodi se gornja granicu veličine tako da svi srednji i veliki subjekti koji djeluju u sektorima obuhvaćenima novim tekstom moraju ispunjavati zahtjeve sadržane u NIS2.
NIS2 se primjenjuje na određene “važne” i “bitne” subjekte (bez obzira na njihovu veličinu) u posebnim okolnostima, kao što su:
- subjekti koji pružaju određene javne elektroničke komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge
- registri naziva domena najviše razine i davatelji usluga sustava naziva domena
- subjekti koji nude usluge u kojima bi mogući poremećaji u tim uslugama mogli utjecati na javnu sigurnost, javnu sigurnost ili javno zdravlje
- subjekti koji nude usluge u kojima bi mogući poremećaji u usluzi mogli izazvati sistemske rizike, posebno u sektorima u kojima bi poremećaj mogao imati prekogranični učinak
Nadzor i odgovornost “upravljačkog tijela”: NIS2 nameće izravne obveze “upravljačkim tijelima” u vezi s provedbom i nadzorom usklađenosti njihove organizacije sa zakonodavstvom, što potencijalno dovodi do novčanih kazni i privremene zabrane obnašanja upravljačkih funkcija, uključujući na razini C-Suite-a višeg rukovodstva.
Upravljačka tijela subjekata obuhvaćenih područjem primjene NIS2 mogu se smatrati odgovornima ako ti subjekti krše svoje obveze u okviru NIS2. U konačnici, prebacivanje odgovornosti za upravljanje rizicima u području kibersigurnosti na razinu upravljanja ključnim i važnim subjektima pokazuje sklonost osiguravanju da upravljanje rizicima u području kibersigurnosti bude odgovornost višeg rukovodstva. Upravljačka tijela imaju krajnju odgovornost i svako nepriznavanje koje bi moglo dovesti do ozbiljnih posljedica, uključujući odgovornost uprave i administrativne novčane kazne, kako je predviđeno provedbenim nacionalnim zakonodavstvom.
Mjere za upravljanje kiberrizicima – uključujući analizu lanca opskrbe: NIS2 zahtijeva od subjekata da provedu mjere upravljanja kiberrizičnim rizicima, koje uključuju zahtjeve za smanjenje sigurnosnog rizika i dubinsku analizu dobavljača / usluga trećih strana.
NIS2 navodi sedam ključnih mjera koje svi ključni i važni subjekti poduzimaju za upravljanje rizicima.
Te mjere su:
- Politika analize rizika i sigurnosti informacijskog sustava
- Rukovanje incidentima (prevencija, otkrivanje i odgovor na incidente)
- Kontinuitet poslovanja i upravljanje krizama
- Sigurnost lanca opskrbe – uključujući aspekte odnosa povezanih sa sigurnošću između svakog subjekta i i. njegovih dobavljača ili ii. pružatelja usluga (kao što su pružatelji usluga pohrane podataka i usluge obrade ili pružatelji upravljanih sigurnosnih usluga)
- Nabava, razvoj i održavanje sigurnosti u mrežnim i informacijskim sustavima, uključujući rukovanje ranjivostima i otkrivanje
- Politike i postupci za procjenu učinkovitosti mjera upravljanja kibersigurnosnim rizicima
- Korištenje kriptografije i enkripcije
Novim mjerama kibersigurnosti od subjekata obuhvaćenih područjem primjene NIS2 zahtijeva se da ublaže sigurnosne rizike u lancu opskrbe svojim dobavljačima / pružateljima usluga, uključujući procjenu i uzimanje u obzir ukupne kvalitete proizvoda i praksi kibersigurnosti njihovih dobavljača i pružatelja usluga.
Izmijenjeni zahtjevi za izvješćivanje o incidentima: NIS2 uvodi obveze obavješćivanja u fazama, uključujući početnu obavijest u roku od 24 sata od saznanja o određenim incidentima ili kiberprijetnjama (umjesto jednostavno “bez nepotrebnog odgađanja” kao u Direktivi NIS), “prijelazne” i “konačne” obveze izvješćivanja.
Novčane kazne i sankcije: državama članicama odobrava se diskrecijsko pravo da utvrde učinkovite, proporcionalne i odvraćajuće kazne za kršenje sustava NIS2, kao i administrativne novčane kazne za određene povrede u iznosu do 10 milijuna EUR ili 2 % ukupnog svjetskog prometa (ovisno o tome što je veće).
Vremenski okvir usvajanja i koraci koje treba poduzeti u ovom trenutku
Kao što smo naveli u uvodnom dijelu do 17. listopada 2024. godine članice EU moraju usvojiti i objaviti mjere za usklađivanje s NIS 2 Direktivom.
U ovoj fazi organizacije bi trebale razmotriti područje primjene sustava NIS2 i jesu li njihova poduzeća obuhvaćena tim područjem primjene. Ako organizacija zaključi da će vjerojatno biti obuhvaćena područjem primjene novog zakonodavstva, trebala bi razmotriti organizacijske, financijske i tehničke korake koji će biti potrebni za pripremu za poštivanje NIS2. Na primjer, iz perspektive potrošnje IKT-a Europska komisija očekuje da će se organizacije suočiti s maksimalnim povećanjem od 22 % u pogledu potrošnje za sigurnost IKT-a u prvih nekoliko godina nakon provedbe NIS2 (procjenjuje se maksimalno povećanje od 12 % za organizacije koje su već obuhvaćene područjem primjene postojeće Direktive NIS).” Organizacije u okviru područja primjene trebale bi pratiti kako se NIS2 provodi u ključnim jurisdikcijama EU-a u kojima djeluju.
Osim toga, organizacije koje nude proizvode/ usluge informacijske i mrežne sigurnosti također bi trebale biti spremne za dubinsku analizu od organizacija NIS2 u okviru područja primjene. Stoga bi te organizacije izvan područja primjene trebale osigurati uspostavu učinkovitih, dokumentiranih postupaka za upravljanje sigurnosnim rizicima povezanima s njihovom ponudom proizvoda / usluga u očekivanju takve dubinske analize.
