Što je NIS2 direktiva?

Cilj Direktive

NIS2 je europska direktiva koja podiže razinu kibernetičke sigurnosti, širi obuhvat subjekata i uvodi strože obveze upravljanja rizicima i prijave incidenata; pravovremena procjena opsega i gap‑analiza ključni su za usklađenost.

Važno je znati kako NIS2 zamjenjuje prvu NIS‑direktivu i postavlja jedinstveniji okvir za otpornost mrežnih i informacijskih sustava u EU.

Cilj je smanjiti razlike u razini kibernetičke otpornosti među državama članicama i osigurati bržu razmjenu informacija o incidentima.

 

Koga obuhvaća NIS2 direktiva?

NIS2 proširuje popis sektora i tipova subjekata koji su obuhvaćeni: energetika, transport, zdravstvo, digitalna infrastruktura, javna uprava i mnogi pružatelji ključnih usluga. Države članice identificiraju ključne i važne entitete te ih obvezuju na specifične mjere i nadzor.

Direktiva dijeli obuhvaćene subjekte u dvije kategorije: 

1. Ključni subjekti uključuju organizacije u sektorima poput energetike, prometa, bankarstva, zdravstva, vodoprivrede, digitalne infrastrukture, ICT upravljanja uslugama, javne uprave i svemira.
2. Važni subjekti pak pokrivaju područja poput poštanskih usluga, gospodarenja otpadom, kemijske industrije, proizvodnje hrane, proizvodnje općenito, digitalnih pružatelja usluga i istraživačkih organizacija.

Veličina tvrtke obično određuje jeste li obuhvaćeni. Općenito, srednje organizacije (s više od 50 zaposlenih ili prometom većim od 10 milijuna €) i velike organizacije (s više od 250 zaposlenih ili prometom većim od 50 milijuna €) ulaze u opseg.

Međutim, postoje i iznimke koje dovode subjekte u opseg bez obzira na veličinu – primjerice, ako ste jedini pružatelj usluge u svom području, ako vaše poslovanje može utjecati na javnu sigurnost ili ako ste označeni kao kritični.

Neki sektori su izuzeti, uključujući obranu, nacionalnu sigurnost, javnu sigurnost, tijela za provedbu zakona i pravosuđe.

Važno je naglasiti – čak i ako vaša tvrtka nije smještena u EU, i dalje morate voditi računa o NIS2 kad poslujete s EU tvrtkama zbog zahtjeva u lancu nabave. EU organizacije će pomno pregledavati svoje dobavljače izvan EU i možda će od vas tražiti ugovorne sigurnosne obveze.

 

NIS2 u Hrvatskoj

Hrvatska je provela NIS2 kroz novi Zakon o kibernetičkoj sigurnosti (NN 14/2024) koji je stupio na snagu 15. veljače 2024. i definira obveze, nadležna tijela i mehanizme nadzora.

Države članice imale su obvezu prenijeti odredbe NIS2 u nacionalno zakonodavstvo, a proces implementacije uključuje faze prilagodbe i nadzora.

 

Ključne obveze i tehničke mjere 

Organizacije moraju uspostaviti sustav upravljanja rizicima, provoditi tehničke i organizacijske mjere (enkripcija, segmentacija mreže, backup), redovito testirati sustave i imati definirane procedure za prijavu incidenata u propisanim rokovima. Također je obvezna procjena ranjivosti dobavljača i upravljanje rizicima u lancu opskrbe.

 

Praktični koraci za usklađivanje

1. Procjena opsega: utvrdite status (ključni/važan entitet).
2. Gap analiza: mapirajte postojeće mjere i identificirajte prioritetne nedostatke.
3. Plan upravljanja rizicima: definirajte odgovornosti i resurse.
4. Tehnička implementacija: enkripcija, segmentacija, backup, redoviti testovi i vježbe.
5. Dokumentacija i obuka: politike, evidencije i edukacija zaposlenika.
6. Suradnja s dobavljačima: ugovorne klauzule i procjene trećih strana.

Svaki korak treba biti dokumentiran i podržan od strane uprave.

 

Nadzor, kazne i rizici 

NIS2 uvodi strože nadzorne mehanizme i mogućnost sankcija za neusklađenost; financijske i reputacijske posljedice mogu biti značajne, stoga je pravovremena priprema isplativa investicija u kontinuitet poslovanja.

Kazne predviđene NIS2 su stroge i imaju cilj potaknuti ozbiljan pristup sigurnosti. Osim novčanih sankcija, nadležna tijela mogu izreći korektivne mjere, privremene zabrane ili obveze za ispravak nedostataka. Najbolji način da se izbjegnu kazne jest proaktivno djelovanje: dokumentiranje svih sigurnosnih aktivnosti, redovito testiranje i transparentna komunikacija s nadležnim tijelima.

Uprava mora biti uključena u donošenje odluka i osiguranje resursa. Kultura sigurnosti, redovita obuka i jasni protokoli za incident response ključni su za održivu usklađenost.

 

Zahtjevi NIS2 direktive

NIS2 ne postavlja samo opće principe, već zahtijeva konkretne korake u upravljanju rizicima i operativnoj sigurnosti. Organizacije moraju formalizirati procese za identifikaciju i procjenu rizika, uspostaviti planove za kontinuitet poslovanja i definirati odgovornosti za sigurnost informacija na razini uprave.

Direktiva također naglašava potrebu za redovitim testiranjem i vježbama, uključujući simulacije incidenta i provjere spremnosti timova za odgovor na krize.

 

Minimalne sigurnosne mjere 

Minimalne mjere obuhvaćaju tehničke kontrole poput enkripcije podataka u mirovanju i prijenosu, segmentacije mreže radi ograničavanja lateralnog kretanja napadača, redovitih sigurnosnih kopija i provjera integriteta podataka te implementacije sustava za otkrivanje i prevenciju upada. Organizacije trebaju imati i organizacijske mjere: politike pristupa temeljene na najmanjim privilegijama, procedure za upravljanje ranjivostima, evidenciju događaja i jasne protokole za eskalaciju i komunikaciju u slučaju incidenta.

 

Rokovi za usklađivanje s NIS2 

Iako su rokovi za implementaciju varirali među državama članicama, opći princip je da su organizacije trebale započeti procese usklađivanja odmah nakon nacionalne objave implementacijskog zakona.

U praksi to znači da planiranje, gap‑analiza i prioritetne tehničke intervencije trebaju biti završeni u roku od nekoliko mjeseci, dok potpuna usklađenost s kompleksnijim zahtjevima može zahtijevati do 12 mjeseci ili više, ovisno o veličini i složenosti organizacije.

Trajanje procesa usklađivanja s NIS2 direktivom ovisi o razini pripremljenosti organizacije, veličini organizacije, njenom trenutnom stanju sigurnosti, složenosti operacija i drugim faktorima. Prema procjenama stručnjaka prosječno vrijeme za potpuno usklađivanje za većinu subjekata je 12 mjeseci.

 

NIS2 i sigurnost lanca opskrbe 

NIS2 posebno ističe važnost upravljanja rizicima u lancu opskrbe. Organizacije moraju procijeniti sigurnost svojih dobavljača ICT usluga i ugraditi sigurnosne zahtjeve u ugovore. To uključuje provjere sigurnosnih praksi dobavljača, zahtjeve za obavještavanjem o incidentima i klauzule koje omogućuju reviziju sigurnosnih mjera trećih strana.

 

Praktični primjer implementacije

Zamislite srednje veliko poduzeće u sektoru logistike koje je identificirano kao važan entitet. Nakon gap‑analize, tvrtka je prioritetno uvela segmentaciju mreže, automatizirano upravljanje ranjivostima i sustav za centralizirano evidentiranje događaja. U roku od šest mjeseci smanjili su vrijeme detekcije incidenata za 60 % i uspostavili procedure za prijavu koje su zadovoljile zahtjeve nadležnog tijela. Trošak inicijalne implementacije vratio se kroz smanjenje operativnih zastoja i izbjegavanje potencijalnih sankcija.

 

NIS2 kao prilika, a ne samo obveza

Usklađenost s NIS2 donosi i pozitivne poslovne učinke: povećano povjerenje partnera i klijenata, bolja kontrola nad IT rizicima, brže oporavljanje od incidenata i često i smanjenje osiguranja troškova.

Dugoročno, organizacije koje sustavno upravljaju sigurnošću lakše se prilagođavaju novim tehnologijama i poslovnim modelima.

 

NIS2 nije samo regulatorni teret; to je prilika za jačanje otpornosti i povjerenja u digitalne usluge. Organizacije koje pristupe usklađivanju strateški, s jasnim planom, podrškom uprave i fokusom na upravljanje rizicima, bit će bolje pozicionirane za sigurniji i stabilniji rast.

Što se želi postići? U osnovi, NIS2 nastoji pojačati sigurnosne zahtjeve, riješiti ranjivosti u lancu opskrbe, pojednostaviti proces izvještavanja, uvesti jači nadzor i stvoriti ujednačene kazne na području cijele EU.

 

Pripremio: Ivan VIDAS, mag. oec.

 

Sadržaj je isključivo informativne prirode. Saop ne pruža pravne, porezne ili računovodstvene savjete. Za dodatne informacije obratite se nadležnim institucijama ili ovlaštenim stručnjacima.