KIBERNETIČKA SIGURNOST

Potrebno je prilagoditi se NIS2

Potrebno je prilagoditi se NIS2
Nikola Dujmović, predsjednik Uprave Spana
Dražen Tomić / Tomich Productions

U siječnju 2023. godine stupila je na snagu Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti diljem Europske unije, poznata kao Direktiva NIS2. Ova nova zakonodavna mjera, poput svog prethodnika GDPR-a iz 2018. godine, privlači pažnju organizacija diljem svijeta, ne samo unutar Europskog ekonomskog područja (EEA).

Zakon o kibernetičkoj sigurnosti Sabor je već donio, a stupit će na snagu najkasnije do sredine veljače, a usklađenje s NIS2 direktivom kreće na godinu nakon što se dogodi Obavijest o kategorizaciji.

Direktiva NIS2 ima za cilj postizanje visoke zajedničke razine kibernetičke sigurnosti diljem Unije proširujući polje primjene u odnosu na prethodnu NIS direktivu. To znači da mnoga trgovačka društva i organizacije koje nisu bila obuhvaćena prijašnjim zakonom sada moraju ozbiljno razmišljati o unapređenju vlastite kibernetičke sigurnosti.

O važnosti sigurnosti i NIS2 govorili su Antonija Vojnović voditeljica tima za informacijsku sigurnost u Spanu i Vedran Benić, viši konzultant za informacijsku sigurnost u Spanu. Oni su pojasnili ključne stvari oko uvođenja NIS2, načina kako će se provoditi, ali i kažnjavati.

Jedna od ključnih mjera kibernetičke sigurnosti, koju moraju implementirati svi subjekti pod Direktivom NIS2, je upravljanje rizicima. Upravljanje rizicima postaje od presudne važnosti, s obzirom na širok spektar prijetnji koje mogu utjecati na poslovanje. Osim toga, sigurnost lanca opskrbe također igra ključnu ulogu - poznavanje i procjena kibernetičke sigurnosti dobavljača postaju nužnost.

Uz to, jedno od važnih pitanja koja se postavljaju u posljednje vrijeme odnosi se na rokove usklađivanja s odredbama Direktive NIS2. Direktiva je stupila na snagu u siječnju 2023. godine, no važno je napomenuti da se njezine odredbe ne primjenjuju izravno u državama članicama. Umjesto toga, države članice trebaju implementirati odredbe u nacionalno zakonodavstvo.

U Hrvatskoj, nacrt Zakona o kibernetičkoj sigurnosti, koji implementira odredbe Direktive NIS2, trenutno se nalazi u zakonodavnoj proceduri. Nakon završetka procedure i objave u Narodnim novinama, zakon će stupiti na snagu, pokrećući rok od godine dana za kategorizaciju subjekata.

Nakon primitka Obavijesti o kategorizaciji, subjekti imaju godinu dana za usklađivanje s odredbama novog Zakona o kibernetičkoj sigurnosti. Nakon tog razdoblja, provodi se postupak verifikacije sukladnosti tijekom dodatnih dvije godine, ovisno o kategorizaciji subjekta. Sve ove promjene zahtijevaju od organizacija ozbiljan pristup jačanju kibernetičke sigurnosti, a nedostatak usklađivanja može rezultirati visokim kaznama i reputacijskim gubicima.

Direktiva NIS2, ključno zakonodavstvo o kibersigurnosti na razini Europske unije, predstavlja važan korak prema osiguranju pravnih mjera za povećanje opće razine kibersigurnosti u EU-u. Inicijalna pravila o kibersigurnosti EU-a, uspostavljena 2016., ažurirana su s ulaskom Direktive NIS2 na snagu 2023. godine, kako bi se prilagodila povećanoj digitalizaciji i dinamičnom okruženju prijetnji kibersigurnosti.

Ovom modernizacijom pravnog okvira proširuje se područje primjene pravila na nove sektore i subjekte, što dodatno jača otpornost i kapacitete za odgovor na kibersigurnosne incidente javnih i privatnih subjekata, nadležnih tijela te EU-a u cjelini.

Direktivom NIS2 predviđene su pravne mjere koje uključuju pripravnost država članica, obvezujući ih da budu odgovarajuće opremljene, poput timova za odgovor na računalne sigurnosne incidente (CSIRT) i nadležnih nacionalnih tijela za mrežne i informacijske sustave (NIS). Također, postavljeni su temelji za suradnju među državama članicama putem osnivanja skupine za suradnju, koja će podržavati stratešku suradnju i razmjenu informacija.

Dodatno, uspostavljanjem kulture sigurnosti u ključnim sektorima poput energetike, prometa, vode, bankarstva, infrastrukture financijskog tržišta, zdravstvene skrbi i digitalne infrastrukture, Direktiva NIS2 postavlja temelje za održavanje visoke razine kibersigurnosti.

Poduzeća koja se smatraju operatorima ključnih usluga u navedenim sektorima moraju poduzeti odgovarajuće sigurnosne mjere i obavijestiti relevantna nacionalna tijela o ozbiljnim incidentima. Pružatelji ključnih digitalnih usluga, kao što su tražilice, usluge računalstva u oblaku i internetska tržišta, također su obvezni zadovoljiti zahtjeve sigurnosti i obavješćivanja propisane Direktivom.

U skladu s navedenim, Komisija je danas donijela izmjenu programa rada Digitalna Europa za 2024., alocirajući sredstva od 762,7 milijuna eura za podršku digitalnim rješenjima u korist građana, javnih uprava i poduzeća. Ova sredstva uključuju preostalih 214 milijuna eura za jačanje kolektivne otpornosti EU-a na kiberprijetnje, a Europski centar za stručnost u području kibersigurnosti će provoditi djelovanja financirana iz ovog programa rada. Izmijenjeni glavni program rada, s proračunom od gotovo 549 milijuna eura za 2024., usmjeren je na uvođenje projekata koji koriste digitalne tehnologije poput podataka, računalstva u oblaku i naprednih digitalnih vještina. Ovim programom podržava se neometana provedba višedržavnih projekata za digitalno desetljeće, uključujući potporu konzorcijima za europsku digitalnu infrastrukturu (EDIC). Osim toga, novim mjerama potiče se provedba Akta o umjetnoj inteligenciji i razvoj europskog ekosustava umjetne inteligencije, s posebnim naglaskom na potpori malim i srednjim poduzećima.