NIS2 je najopsežnija EU regulativa koja mijenja pristup kibernetičkoj sigurnosti, a GAP analiza kao prvi korak u usklađivanju s direktivom NIS2 sve kako bi se izbjegle vsoke kazne i reputacijski rizik za tvrtke koje ne ispunjavaju NIS2 zahtjeve
Jedan od prioritetnih koraka koji bi tvrtke trebale napraviti je provođenje GAP analize kako bi se utvrdilo zatečeno stanje u odnosu na zahtjeve direktive NIS2, a sama analiza identificira potrebne mjere za usklađivanje, pojašnjava za ICTbusiness.info Siniša Staničić, direktor odjela ICT prodaje i rješenja u A1 Hrvatska.
Prema njegovim riječima radi se o do sada najopsežnijoj EU regulativi, koja za cilj ima povećati sigurnost mreža i informacijskih sustava odnosno smanjiti rizik od kibernetičkih prijetnji i povećati otpornost organizacija diljem Europe na kibernetičke napade.
Implementacija sigurnosnih mjera zahtijeva početna ulaganja, kako u tehnologiju, tako i u procese i edukaciju zaposlenika, međutim, dugoročno gledano, ovakva ulaganja predstavljaju stratešku prednost, zaključuje Staničić.
Kako NIS2 direktiva mijenja pristup kibernetičkoj sigurnosti u EU?
NIS2 direktiva propisuje strože zahtjeve za upravljanje rizicima te obveze izvještavanja o incidentima, a predviđa i visoke kazne za neusklađenost. Radi se o do sada najopsežnijoj EU regulativi, koja za cilj ima povećati sigurnost mreža i informacijskih sustava odnosno smanjiti rizik od kibernetičkih prijetnji i povećati otpornost organizacija diljem Europe na kibernetičke napade.
NIS2 proširuje popis sektora i subjekata koji podliježu propisima. Obuhvaća tvrtke u energetici, transportu, zdravstvu, financijama, digitalnim uslugama i mnogim drugim sektorima, pri čemu primjena mjera ovisi o tome radi li se o ključnim subjektima ili pak o važnim subjektima.
Za poduzetnike u Hrvatskoj direktiva podrazumijeva poboljšanje kibernetičke sigurnosti, odnosno implementaciju mjera poput jačanja sigurnosti mreža, upravljanja incidentima kao i povećanja kontrole pristupa podacima. Regulativa predviđa visoke novčane kazne za neusklađenost, što može značajno utjecati na poslovanje tvrtki, posebice onih koje posluju u sektorima ključnima za funkcioniranje društva i gospodarstva.
Koje su glavne obveze organizacija prema NIS2 direktivi?
Jedan od prioritetnih koraka koji bi tvrtke trebale napraviti je provođenje GAP analize kako bi se utvrdilo zatečeno stanje u odnosu na zahtjeve direktive. Sama analiza identificira potrebne mjere za usklađivanje. Potom je tu i A1 Sigurnosni operativni centar koji korisnicima omogućuje nadzor krajnjih točaka, ali i kvalitetnu reakciju u slučaju napada.
Poduzetnici u Hrvatskoj trenutno zaprimaju obavijest o kategorizaciji te imaju period od godinu dana da se usklade s NIS2 direktivom i krenu s izvještavanjem o incidentima i to od trenutka zaprimanja kategorizacije. Osim financijskih sankcija koje sam spomenuo, ne treba zanemariti da neusklađenost s direktivom može dovesti i do gubitka povjerenja klijenata i poslovnih partnera. Naime, prema direktivi tvrtke moraju javno izvještavati o sigurnosnim incidentima koji značajno utječu na pružanje njihovih usluga, što može narušiti reputaciju.
Kako A1 Hrvatska pomaže organizacijama u ispunjavanju zahtjeva NIS2 direktive?
Korisnicima nudimo širok spektar sigurnosnih rješenja, poput firewalla, data centra i multifaktorske autentifikacije, koja im omogućuju učinkovitu prilagodbu NIS2 direktivi. Među njima se izdvaja A1 Sigurnosni operativni centar (SOC), koji osigurava kontinuirani nadzor IT sustava i zaštitu od kibernetičkih prijetnji. Ovo rješenje nudi neprekidan nadzor svih komponenti IT sustava, uključujući mrežni promet, servere i aplikacije, kao i naprednu detekciju svih vrsta prijetnji. U sklopu SOC-a, A1 redovito ispostavlja sigurnosne izvještaje s preporukama za poboljšanje zaštite te daje stručne preporuke i stalnu, 24/7 podršku za poboljšanje sigurnosne strategije.
Uz to, pružamo i uslugu Automatskog penetracijskog testiranja, koje identificira ranjivosti i aktivno pokušava iskoristiti otkrivene sigurnosne slabosti, uz simulaciju. Za razliku od klasičnih testova ranjivosti, koji samo pronalaze sigurnosne propuste i daju preporuke za njihovo otklanjanje, ovo rješenje ide korak dalje te provodi dubinsku analizu sigurnosnih pravila i alata unutar sustava.
Testiranje se provodi brzo i jednostavno, bez potrebe za dodatnim prilagodbama sustava, a nakon završetka korisnicima su odmah dostupni detaljni izvještaji s prioritetnim preporukama za otklanjanje ranjivosti. Također, platforma se kontinuirano ažurira kako bi mogla detektirati i najsuvremenije prijetnje, čime se osigurava visoka razina zaštite.
Kako se organizacije mogu zaštititi od rastućih kibernetičkih prijetnji?
Temeljita analiza i testiranje sigurnosti kompanije, poput automatskog penetracijskog testiranja, prvi je korak jer organizacijama omogućuju da identificiraju i adresiraju ranjivosti te da poduzmu mjere zaštite od kibernetičkih prijetnji. Nakon uspostavljanja sigurnosnih politika nužno je osigurati i redovite sigurnosne provjere, uspostaviti kontrolirani pristup i zaštitu podatkovnih centara, odnosno infrastrukture. Naravno, organizacije ne smiju zanemariti ni ljudski faktor, odnosno kontinuiranu edukaciju zaposlenika.
Sigurnosni rizici ovise o sektoru. Upravo zato A1 Sigurnosni operativni centar nudi analizu postojeće IT infrastrukture i sigurnosnih zahtjeva, nakon čega se prilagođava specifičnim potrebama i postojećim sustavima korisnika, bez ometanja poslovanja. Po završetku implementacije, A1 SOC odmah preuzima aktivno praćenje i odgovara na incidente, a redovitim provođenjem testova osigurava se potpuna operativnost i učinkovitost sustava. Brzo izvještavanje o sigurnosnim incidentima omogućuje organizacijama da se bolje pripreme za kibernetičke prijetnje i poduzmu potrebne mjere zaštite, odnosno osiguravaju brzu reakciju i smanjuju potencijalnu štetu.
Kakav je dugoročni utjecaj NIS2 direktive na poslovnu zajednicu?
Implementacija sigurnosnih mjera zahtijeva početna ulaganja, kako u tehnologiju, tako i u procese i edukaciju zaposlenika. Međutim, dugoročno gledano, ovakva ulaganja predstavljaju stratešku prednost. Naime, govorimo o sustavnom smanjenju kibernetičkih rizika, boljoj zaštiti podataka i osiguravanju kontinuiteta poslovanja. NIS2 direktivu tako se može promatrati i kao priliku jer će ona omogućiti organizacijama da pokažu visoku razinu otpornosti, koja je u sektorima poput financija i zdravstva ključna. Tu ne treba ni zanemariti da će organizacije koje već danas počnu graditi kulturu kibernetičke sigurnosti biti u boljoj poziciji za prilagodbu budućim zahtjevima.
Kako NIS2 direktiva mijenja ulogu uprave tvrtke u osiguravanju kibernetičke sigurnosti, i koje su potencijalne posljedice za upravu u slučaju nepoštivanja direktive?
NIS2 traži da Uprava društva bude uključena u upravljanje rizicima, što podrazumijeva i mogućnost individualne odgovornosti u slučaju ozbiljnih propusta. Uprava će morati odobravati mjere za upravljanje rizicima te nadgledati njihovu provedbu. Ukratko, kibernetička sigurnost postaje temeljni dio upravljanja, odnosno dio šire poslovne strategije.
Jedan od prioritetnih koraka koji bi tvrtke trebale napraviti je provođenje GAP analize kako bi se utvrdilo zatečeno stanje u odnosu na zahtjeve direktive NIS2, a sama analiza identificira potrebne mjere za usklađivanje, pojašnjava za ICTbusiness.info Siniša Staničić, direktor odjela ICT prodaje i rješenja u A1 Hrvatska.
Arm tvrdi da njegova Neoverse platforma postaje arhitektura izbora za cloud, s obzirom da kompanije kao AWS, Google Cloud, Microsoft Azure i drugih potiču širi pomak od x86 u podatkovnim centrima.
Operateri podatkovnih centara suočavaju se s izazovima ubrzano razvijajućim okruženjima u kojima postojeće IT aplikacije sve više koegzistiraju uz računalstvo visoke gustoće koje se implementira za podršku umjetnoj inteligenciji.
