Što je direktiva NIS2 i da li vas to obvezuje?

Direktiva NIS2 ažurirana je verzija izvorne Direktive o mrežnoj i informacijskoj sigurnosti (NIS). To je prvi dio zakonodavstva o kibernetičkoj sigurnosti na razini cijele EU, čiji je cilj postizanje visoke zajedničke razine kibernetičke sigurnosti u svim državama članicama.

Direktiva NIS2 predložena je za rješavanje rastućih prijetnji koje predstavljaju digitalizacija i porast kibernetičkih napada. Jača sigurnosne zahtjeve, bavi se sigurnošću opskrbnih lanaca, pojednostavljuje obveze izvješćivanja i uvodi strože nadzorne mjere i strože zahtjeve za provedbu, uključujući usklađene sankcije diljem EU-a.

Opseg NIS2 je proširen kako bi se više subjekata i sektora obvezalo na poduzimanje mjera koje bi dugoročno pomogle u povećanju razine kibernetičke sigurnosti u Europi. Direktiva je stupila na snagu 16. siječnja 2023., a države članice sada imaju rok do 17. listopada 2024. za prenošenje njezinih mjera u nacionalno zakonodavstvo.

Koje su djelatnosti regulirane direktivom NIS2?

U kontekstu Direktive NIS2, poduzeća su klasificirana u dvije kategorije: osnovni subjekti (EE) i važni subjekti (IE), uključujući, ali ne ograničavajući se na:

Osnovni subjekti

  1. Digitalna infrastruktura (pružatelji digitalnih usluga kao što su tražilice, ISP-ovi i platforme za društveno umrežavanje),
  2. Energetski sektor (subjekti koji se bave proizvodnjom, prijenosom, distribucijom i opskrbom električnom energijom, naftom, plinom, vodikom i grijanjem),
  3. Zdravstveni sektor (bolnice i privatne klinike).
  4. Financijski sektor (bankarska i financijska tržišna infrastruktura).
  5. Sektor prometa (kontrola upravljanja prometom i druge prometne usluge),
  6. Opskrba i distribucija pitke vode,
  7. ICT (informacijska i komunikacijska tehnologija) upravljanje uslugama (upravljani pružatelji usluga),
  8. Javna uprava,

Važni subjekti

  1. Poštanske i kurirske službe,
  2. Svemirski sektor,
  3. Proizvodnja, prerada i distribucija hrane,
  4. Proizvodni sektor (uključuje proizvodnju određenih kritičnih proizvoda kao što su lijekovi, medicinski uređaji i kemikalije),
  5. Istraživački sektor,
  6. Sektor gospodarenja otpadom, te
  7. Sektor otpadnih voda.

Važno je napomenuti da konačnu klasifikaciju određuju nacionalna nadzorna tijela na temelju posebnih kriterija NIS2 Direktive.

Postoji li zahtjev veličine poduzeća za direktivu NIS2?

Da, svakako postoji, ali postoje iznimke od pravila koje nalažu propisi o nacionalnoj sigurnosti. NIS2 također uklanja mogućnost državama članicama da u određenim slučajevima prilagode zahtjeve.

Sva srednja i velika poduzeća moraju biti u skladu s direktivom NIS2

Prema preporuci Europske komisije o veličini poduzeća, svako poduzeće koje ima više od 50 zaposlenih i 10 milijuna eura prometa smatra se “većim od malog poduzeća”. Ove tvrtke moraju se pridržavati predloženih sigurnosnih pravila koje nalaže direktiva NIS2.

I neka mala poduzeća

Svaka tvrtka za koju se utvrdi da je u interesu nacionalne sigurnosti mora se pridržavati propisa NIS2, bez obzira na veličinu. Ovo je diskrecijska odluka tijela za nacionalnu sigurnost i žalba nije moguća.

Koje su kazne za nepoštivanje propisa?

Direktiva NIS2 utvrđuje posebne kazne za nepridržavanje.

Nenovčani pravni lijekovi

NIS2 nacionalnim nadzornim tijelima daje ovlasti za provedbu nenovčanih pravnih lijekova, uključujući naloge za usklađivanje, obvezujuće upute, naloge za provedbu sigurnosne revizije i naloge za obavještavanje o prijetnjama klijentima entiteta.

Administrativne novčane kazne

NIS2 direktiva pažljivo razlikuje osnovne od važnih entiteta. Za osnovne subjekte zahtijeva od država članica da osiguraju maksimalnu razinu novčane kazne od najmanje 10.000.000 € ili 2% globalnog godišnjeg prihoda, ovisno o tome što je više. Za važne subjekte, NIS2 zahtijeva od država članica da kazne subjekte u iznosu od najviše 7.000.000 € ili 1,4% globalnog godišnjeg prihoda, što god je veće.

Kaznene sankcije

NIS2 uključuje nove mjere kojima se najviše rukovodstvo smatra osobno odgovornim za grubi nemar u slučaju sigurnosnog incidenta. Konkretno, NIS2 dopušta tijelima država članica da upravitelje organizacija smatraju osobno odgovornima ako se nakon kibernetičkog incidenta dokaže grubi nemar. To uključuje naredbu da organizacije objave kršenja usklađenosti, davanje javnih izjava u kojima se identificira fizička i pravna osoba(e) odgovorna za kršenje i njegovu prirodu, a ako je organizacija ključni subjekt, privremena zabrana obnašanja rukovodećih pozicija u slučaju ponovljena kršenja.

Kako ispuniti zahtjeve direktive NIS2?

Kako bi se uskladili s direktivom NIS2, poduzeća prvo moraju utvrditi spadaju li u njezin opseg. Zatim bi trebala procijeniti svoje trenutne sigurnosne mjere i planirati usklađenost s NIS2, što uključuje provedbu mjera za smanjenje kibernetičkih rizika (upravljanje incidentima, jača sigurnost opskrbnog lanca, poboljšana sigurnost mreže, bolja kontrola pristupa i enkripcija). Tvrtke također moraju imati uspostavljene procese za brzo izvješćivanje o sigurnosnim incidentima i planirati kontinuitet poslovanja u slučaju većih kibernetičkih incidenata.

Osim nabrojanog, NIS2 od korporativnog menadžmenta zahtijeva da nadzire, odobrava i bude obučen o mjerama kibernetičke sigurnosti subjekta te da se bavi kibernetičkim rizicima. Ostali koraci uključuju implementaciju sigurnosnih politika za informacijske sustave, jačanje sigurnosti oko sustava nabave, rukovanje i izvješćivanje o ranjivostima, implementaciju politika pristupa za osjetljive podatke, provođenje obuke i podizanje svijesti menadžmenta i osoblja, osiguranje financiranja kibernetičke sigurnosti i provođenje procjene rizika u vezi s mrežom i informacijskih sustava. Važno je započeti što prije kako biste izbjegli kašnjenja te konzultirati se s nacionalnim tijelima ili pravnim savjetnicima kako biste razumjeli obveze prema NIS2.

NIS2 u Republici Hrvatskoj

U Hrvatskoj je provedba Direktive NIS2 centralizirani model koji ključne odgovornosti dodjeljuje Sigurnosno-obavještajnoj agenciji (SOA), dok postojeće institucije još uvijek zadržavaju nadzorne i/ili pomoćne uloge.

Nacionalni centar za kibernetičku sigurnost (NCKS) u okviru SOA-e postaje zadani nadzornik za većinu sektora NIS2, osim za tzv. autonomne i poluautonomne sektore. NCKS će postati glavno nadležno tijelo koje će definirati i voditi popis bitnih i važnih subjekata NIS2.

Autonomne sektore poput bankarstva, financijskih tržišta i zračnog prometa i dalje će nadzirati njihova trenutna regulatorna tijela: Hrvatska narodna banka (HNB), Agencija za nadzor financijskih usluga (HANFA) i Hrvatska agencija za civilno zrakoplovstvo (HACZ).

Poluautonomni sektori, u kojima postoji neka postojeća regulativa o kibernetičkoj sigurnosti, treba „nadograditi” na NIS2. To uključuje javnu upravu, znanstveno istraživanje i obrazovanje, pružatelje telekomunikacijskih usluga i kvalificirane pružatelje usluga certifikacije. Ove će sektore nadzirati njihova nadležna tijela.

Hrvatska akademska i istraživačka mreža – CARNET, pružatelj informatičkih usluga za obrazovne i istraživačke institucije, zadržat će ulogu nacionalnog CERT-a, primarno usmjerenog na potrebe privatnog sektora i građana. Međutim, oni će također voditi centralizirano izvješćivanje o incidentima.

Kako vam Rein Global može pomoći u implementaciji NIS2?