NIS2

Kratki vodič kroz NIS2 direktivu i Zakon o kibernetičkoj sigurnosti

NIS2 direktiva

S obzirom na rastuću ovisnost društva o informacijsko-komunikacijskim tehnologijama (IKT), kibernetički incidenti mogu imati dalekosežne posljedice za nacionalnu sigurnost, gospodarstvo i društvo u cjelini. U tom kontekstu, novom se NIS2 direktivom nastoji osigurati visoka razina kibernetičke sigurnosti unutar država članica EU.

NIS2 direktiva (EU) 2022/2555 predstavlja reviziju i proširenje prethodne NIS direktive o sigurnosti mrežnih i informacijskih sustava. Nova direktiva proširuje područje koje se smatra ključnim za društvo i gospodarstvo, uvodi strože zahtjeve za sigurnost i izvještavanje o incidentima te naglašava potrebu za jačanjem nacionalnih kapaciteta za kibernetičku sigurnost i promicanjem suradnje unutar Europske unije.

Zakon o kibernetičkoj sigurnosti

Novi Zakon o kibernetičkoj sigurnosti (NN 14/2024) na snagu je stupio 7. veljače 2024. godine i usmjeren je na usklađivanje nacionalnog zakonodavstva s NIS2 direktivom. Zakon definira obveze subjekata ključnih usluga i pružatelja digitalnih usluga u pogledu prevencije, detekcije, reagiranja na kibernetičke incidente i izvještavanja o njima. Također, uspostavlja nacionalni sustav za upravljanje kibernetičkom sigurnošću, čime se teži osigurati visoku razinu zaštite za građane, poduzeća i javne institucije.

Koji su sektori obuhvaćeni?

Popis sektora koji imaju obvezu uskladiti se:

  • Energetika
  • Promet
  • Bankarstvo
  • Infrastruktura financijskog tržišta
  • Zdravstvo
  • Voda za ljudsku potrošnju
  • Otpadne vode
  • Gospodarenje otpadom
  • Poštanske i kurirske usluge
  • Izrada, proizvodnja i distribucija kemikalija
  • Proizvodnja, prerada i distribucija hrane
  • Proizvodnja medicinskih proizvoda
  • Proizvodnja računala te elektroničkih i optičkih proizvoda
  • Proizvodnja električne opreme
  • Proizvodnja strojeva i uređaja
  • Proizvodnja motornih vozila, prikolica i poluprikolica
  • Proizvodnja ostale opreme za prijevoz
  • Pružatelji digitalnih usluga
  • Digitalna infrastruktura
  • Upravljanje uslugama IKT-a (B2B)
  • Istraživanje
  • Svemir
  • Sustav obrazovanja
  • Javni sektor

Kategorizacija sektora

Zakon definira dvije kategorije sektora:

  1. Sektori visoke kritičnosti (ovi sektori su od najveće važnosti za nacionalnu sigurnost i dobrobit)
  2. Drugi kritični sektori (ovi sektori su i dalje važni, ali se smatraju da predstavljaju manji rizik od sektora visoke kritičnosti)

Kriteriji za svrstavanje sektora u određenu kategoriju navedeni su u Prilogu I Zakona o kibernetičkoj sigurnosti.

Kategorizacija subjekata

Zakon također definira dvije kategorije subjekata:

  • Ključni subjekti (subjekti koji spadaju u područje kritične infrastrukture)
  • Važni subjekti (subjekti koji ne spadaju u područje kritične infrastrukture)

Kritične infrastrukture su sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.

U primjeru javnog sektora to izgleda ovako... 

  1. U kategoriju ključnih subjekata razvrstavaju se, neovisno o njihovoj veličini tijela državne uprave i druga državna tijela i pravne osobe s javnim ovlastima, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.
  2. U kategoriju ključnih subjekata razvrstavaju se, neovisno o njihovoj veličini privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu kojim se uređuje državna informacijska infrastruktura.
  3. U kategoriju važnih subjekata razvrstavaju se, neovisno o njihovoj veličini jedinice lokalne i područne (regionalne) samouprave, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.

Što je potrebno poduzeti?

Ključni i važni subjekti dužni su provoditi odgovarajuće i razmjerne mjere upravljanja kibernetičkim sigurnosnim rizicima.

Pritom se pri procjeni proporcionalnosti mjera u obzir uzimaju:

  • Stupanj izloženosti subjekta rizicima
  • Veličina subjekta
  • Vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući 
    njihov mogući društveni i gospodarski učinak

To znači da će veće i značajnije organizacije, kao i organizacije koje obrađuju veliku količinu podataka ili osjetljive podatke, morati provoditi jače mjere informacijske / kibernetičke sigurnosti.

Organizacije koje spadaju pod djelokrug novog Zakona o kibernetičkoj sigurnosti moraju poduzeti niz mjera kako bi se uskladile s njegovim zahtjevima. Ove mjere uključuju, ali nisu ograničene na:

  • Risk management: Procjene rizika i sigurnosti informacijskih sustava 
  • Incident management: Postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
  • Kontinuitet poslovanja: Upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata, te krizno upravljanje
  • Sigurnost lanca opskrbe: Sigurnosni aspekti u odnosima s izravnim dobavljačima ili pružateljima usluga
  • Sigurnost u nabavi, razvoju i održavanju: Sigurnosni aspekti u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući otkrivanje i uklanjanje ranjivosti
  • Praćenje djelotvornosti: Politike i postupci za procjenu djelotvornosti sustava upravljanja kibernetičkom sigurnošću
  • Provođenje sigurnosnih mjera i osposobljavanje: Osnovne prakse  kibernetičke higijene i osposobljavanje osoblja o kibernetičkoj sigurnosti
  • Kriptografija: Politike i postupci u pogledu kriptografije
  • Sigurnost resursa: Sigurnost ljudskih resursa, politike kontrole pristupa i upravljanja programskom i sklopovskom imovinom, uključujući i redovito ažuriranje popisa ove imovine
  • Sigurna autentikacija: Korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti
  • Sigurna komunikacija: Korištenje zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.

Kakve su sankcije za neprovođenje zakona?

Za neprovođenje odredbi Zakona o kibernetičkoj sigurnosti predviđene su značajne kazne, od upozorenja i novčanih kazni do zabrane obavljanja djelatnosti. Novčane kazne za organizacije kreću se od 2000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći. Novčane kazne za odgovorne fizičke osobe u subjektu kreću se od 200,00 do 3000,00 eura.

Zaključak

Važno je napomenuti da se stupanj zaštite (opseg sigurnosnih mjera) može razlikovati ovisno o tipu sektora i veličini entiteta. Detaljnije upute pružit će relevantna nacionalna tijela za kibernetičku sigurnost navedena u Zakonu o kibernetičkoj sigurnosti. Obavijesti o svrstavanju će se najvjerojatnije dostavljati prvom polovicom 2025. godine, dok će krajnji rok za provođenje mjera u tom slučaju biti prva polovica 2026. godine.

Jedan od ključnih koraka usklađenja je identificirati resurse organizacije, a osobito sve ključne resurse bez kojih bi poslovanje bilo otežano ili onemogućeno. Na osnovu toga potrebno je provesti procjenu rizika kibernetičke sigurnosti kako biste identificirali ranjivosti i odredili potrebne mjere zaštite. Usklađivanje s novim Zakonom o kibernetičkoj sigurnosti zahtijeva stručan i sveobuhvatan pristup te kontinuirano vršenje zadaća kako bi se održala usklađenost. Organizacije bi trebale razmotriti angažiranje stručnjaka za informacijsku / kibernetičku sigurnost kako bi usklađenje bilo obavljeno što je brže i stručnije moguće.

Jasno je da novi Zakon o kibernetičkoj sigurnosti donosi brojne izazove za organizacije. Međutim, kibernetička sigurnost je ključna za zaštitu podataka i održavanje kontinuiteta poslovanja . Ovaj pravni okvir zasniva se na sigurnosnim praksama koje su sastavni dio svakog standarda informacijske sigurnosti i imaju potencijal značajno smanjiti rizike od kibernetičkih prijetnji kako bi osigurali nesmetani rad ključnih sektora i digitalnih usluga.

Trebate usklađenje? Pogledajte našu uslugu usklađenja!

Napisao: Dragan Podvorec
Datum: 04.03.2024
DPA - vaši podaci zaslužuju najbolju zaštitu