NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.
NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive.
Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:
- višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovog Nacrta) te
- promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.
Stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata – obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika. Ovakav pristup provodi se prvi put na razini EU na cjelovit način i u svrhu sustavne regulacije kibernetičke sigurnosti. Takav pristup uvodi odgovarajuće obveze kibernetičke sigurnosti za sve subjekte obveznike, ali istovremeno otvara gospodarski potencijal na razini EU-a za sve hrvatske tvrtke koje imaju sposobnosti u području kibernetičke sigurnosti
Obvezujuća područja za procjenu kibernetičkih sigurnosnih rizika obuhvaćaju niz područja kao što su primjerice: postupanje s incidentima, kontinuitet poslovanja, sigurnost lanaca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga, kao i mnoga druga područja.
Zakonom je, radi potpunog prijenosa NIS2 direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskih akata, uredbe Vlade Republike Hrvatske, kojom se detaljnije uređuju područja iz ovog Zakona, te nacionalnog plana za upravljanje kibernetičkim krizama, kao i nacionalnog plana razvoja kibernetičke sigurnosti, s akcijskim planom za njegovu provedbu. Dodatno je, u svrhu pune funkcionalnosti transpozicije, potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj. Rok za potpuni prijenos NIS2 direktive u opisanom smislu je 17. listopada 2024. godine.
Najveće novčane kazne su predviđene u iznosu od 10.000,00 eura do 10.000.000,00 eura ili u iznosu od 0,5% do najviše 2% ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći. Postoje i slučajevi manjih kazni.
SEKTORI VISOKE KRITIČNOSTI:
- Energetika
- Električna energija
- centralizirano grijanje i hlađenje
- plin
- vodik
- Promet
- Zračni promet
- željeznički promet
- vodeni promet
- cestovni promet
- Bankarstvo
- Infrastruktura financijskog tržišta
- Zdravstvo
- pružatelji zdravstvene zaštite
- referentni laboratoriji
- subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova
- subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke
- subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja
- Voda za ljudsku potrošnju
- dobavljači i distributeri vode namijenjene za ljudsku potrošnju, isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda
- Otpadne vode
- poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, sanitarne otpadne vode ili industrijske otpadne vode, isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti
- Digitalna infrastruktura
- pružatelji središta za razmjenu internetskog prometa
- pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva
- pružatelji usluga računalstva u oblaku
- pružatelji usluga podatkovnog centra
- pružatelji mreže za isporuku sadržaja
- pružatelji usluga povjerenja
- pružatelji javnih elektroničkih komunikacijskih mreža
- pružatelji javno dostupnih elektroničkih komunikacijskih usluga
- Upravljanje uslugama IKT-a (B2B)
- pružatelji upravljanih usluga
- Javni sektor
- tijela državne uprave
- druga državna tijela i pravne osobe s javnim ovlastima
- privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu koji uređuje državnu informacijsku infrastrukturu, neovisno o njihovoj veličini
- tijela jedinica lokalne i područne (regionalne) samouprave
DRUGI KRITIČNI SEKTORI:
- Poštanske i kurirske usluge
- davatelji poštanskih usluga
- pružatelji kurirskih usluga
- Gospodarenje otpadom
- Izrada, proizvodnja i distribucija kemikalija
- Proizvodnja, prerada i distribucija hrane
- Prema članku 3. točki 2. Uredbe (EZ) br. 178/2002 pojam „poduzeće za poslovanje s hranom” znači bilo koje poduzeće, bez obzira na to ostvaruje li dobit ili ne i je li javno ili privatno, u sklopu kojeg se izvršavaju poslovi vezani za bilo koju fazu proizvodnje, prerade i distribucije hrane.
- Proizvodnja
- proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda
- proizvodnja računala te elektroničkih i optičkih proizvoda
- proizvodnja električne opreme (djelatnosti iz područja C odjeljka 27. Nacionalne klasifikacije djelatnosti 2007. – NKD 2007.)
- proizvodnja strojeva i uređaja
- proizvodnja motornih vozila, prikolica i poluprikolica
- proizvodnja ostalih prijevoznih sredstava
- Pružatelji digitalnih usluga
- pružatelji internetskih tržišta
- pružatelji internetskih tražilica
- pružatelji platformi za usluge društvenih mreža
- Istraživanje
- istraživačke organizacije
- Sustav obrazovanja
- privatni i javni subjekti iz sustava obrazovanja