NIS2- direktiva: što je to?

NIS2-Drektiva se odnosi na kibernetičku sigurnost mrežnih i informacijskih sustava. Ova direktiva ima za cilj povećati razinu kibernetičke otpornosti unutar Europske unije. NIS2- Direktiva zamjenjuje prethodnu NIS-Direktivu iz 2016. godine i proširuje područje primjene, zahtjeva i sankcija. Sve europske države članice EU moraju implementirati NIS2 u nacionalni zakon do 2024.

Hrvatski Zakon o kibernetičkoj sigurnosti i implementaciji NIS2

7. veljače 2024. godine, stupio je na snagu Zakon o kibernetičkoj sigurnosti kojim se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije. Zakon je usklađen s direktivom Europske komisije NIS2, odnosi se na subjekte iz 19 različitih sektora i zahvatit će tri do četiri puta više tvrtki u Hrvatskoj nego što je to do sada bio slučaj.

Cilj je ovoga zakona osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.

Klasifikacija NIS2

Dobra vijest je da provedba NIS2 nije raketna znanost. Potrebno je pridržavati se sigurnosnih standarda i procesa koji bi već trebali biti poznati kao najbolje prakse u tvrtkama. Oni koji su posljednjih godina pazili da svoje tvrtke ojačaju prema važećim standardima ne trebaju puno više napora kako bi ispunili zahtjeve. Nova EU direktiva i njezina hrvatska zakonodavna implementacija potiču tvrtke da sveobuhvatno implementiraju minimalne sigurnosne zahtjeve i najbolje prakse.
Tvrtke i institucije koje prvi put padaju pod NIS2 sada se suočavaju s novim izazovima, posebno ako su dosad zanemarivale temu kibernetičke sigurnosti. Bez profesionalne procjene, savjetovanja unaprijed i kompetentnog partnera koji će pratiti proces implementacije, lako je zalutati u tehničkim detaljima. Na putu prema usklađenosti s NIS2, preporučuje se angažiranje stručnog partnera. Taj partner pomaže u procjeni, pruža savjete i može izraditi koncept upravljanja sigurnošću i rizikom temeljen na važećim sigurnosnim standardima.

Rado ćemo vas savjetovati

Top 5 informacija o NIS2 za tvrtke

  • djelokrug

    1. Opseg

    Opseg se odnosi na područje primjene. Prema NIS2, razlikovat ćemo ključne subjekte, važne subjekte i državne ustanove. Glavni kriteriji uključuju pripadnost određenom gospodarskom sektoru (18 sektora), broj zaposlenih (više od 50 zaposlenih) i prihod u prethodnoj godini (više od deset milijuna)

  • Kibernetička sigurnost

    2. Kibernetička sigurnost

    Pogođene tvrtke moraju implementirati odgovarajuće mjere za zaštitu kibernetičke sigurnosti, obučiti zaposlenike, implementirati enkripciju te poduzeti mjere za upravljanje kontinuitetom poslovanja, upravljanje rizicima i sigurnost opskrbnog lanca, kao i redovito provoditi penetracijske testove. Isto tako, incidente treba prijaviljivati.

  • Na vidiku

    3. Nadzor

    Die staatliche Aufsicht, vor allem durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA), erweitert Registrierungs- und Meldepflichten, Nachweise sowie einen verbindlichen Informationsaustausch.

  • Sankcijska odgovornost

    4. Sankcije i odgovornosti

    Prekršaji se kažnjavaju kaznama do deset milijuna eura ili do dva posto prodaje, pri čemu je odlučujući faktor ukupna svjetska prodaja u prethodnoj poslovnoj godini.

  • rok

    5. Rok

    NIS2 je donesen krajem prosinca 2022. Države članice imaju rok od 21 mjeseca (do listopada 2024.) za pretvorbu direktive u nacionalni zakon.

Na koga utječe NIS2?

U EU će se ubuduće za tvrtke primjenjivati ​​jedinstveni pragovi. Pravi se razlika ovisno o veličini poduzeća i važnosti dotičnog gospodarskog područja (sektora). Pogođene tvrtke podijeljene su na ključne i važne subjekte prema sektorima, a zatim na “srednje” i “velike” tvrtke prema veličini.

Srednje velike tvrtke imaju od 50 do 249 zaposlenih i prošlogodišnji promet od deset do 50 milijuna eura ili godišnju bilancu manju od 43 milijuna eura. Velike tvrtke zapošljavaju najmanje 250 ljudi ili su prijavile prodaju od najmanje 50 milijuna eura u prethodnoj godini ili bilancu od 43 milijuna eura ili više. Trenutno je pogođeno ukupno 19 sektora:

Analiza utjecaja: Utječe li NIS2 na vašu tvrtku?

Podijelite s nama vaš zahtjev, osigurati ćemo vam odgovarajućeg sugovornika iz naše mreže od 16.000 stručnjaka.

Kontaktirajte nas

5 koraka kako već sada tvrtke mogu djelovati

Analiza utjecaja

Prvi korak je utvrditi je hoće li vaša tvtka biti biti pogođena novim NIS2 zakonodavstvom. Ovdje još uvijek postoji velika neizvjesnost među tvrtkama i institucijama. Korisna pitanja uključuju: Zadovoljava li moja tvrtka službene pragove u pogledu prodaje ili broja zaposlenika? Tada NIS2 ne treba zanemariti. Ali unatoč tome vrijedi testirati sigurnosne koncepte i ostati u tijeku. ICT stručnjaci poput Axiansa mogu pružiti podršku s procjenom.





                                                        

                                                    
                                                                                                                                                                                                                

                                            

                                                                            

                                

                                                                                                                
                                                                

                                    

                                                                                    

                                                                                                                            

                                              

                                                                                                            
Procjena rizika dobavljača

                                                    
                                                                                                            

                                                            


Ne samo vaše vlastito poduzeće, već i opskrbni lanac igra središnju ulogu u obveznoj procjeni rizika. Jesu li moji dobavljači NIS2 relevantni? Isporučuju li komponente, uređaje ili usluge koje utječu na kritičnu infrastrukturu? U tom su slučaju sustavi za otkrivanje prijetnji nužni. Više nije pitanje hoće li tvrtke biti napadnute, nego kada. Međutim, tehnologije kao što su sigurnosne informacije i upravljanje događajima (SIEM), otkrivanje i odgovor krajnje točke (DER), upravljano otkrivanje i odgovor (MDR), prošireno otkrivanje i odgovor) XDR ili arhitektura vođena modelom (MDA) često nedostaju, posebno kod malih i srednjih tvtki. Koje je rješenje najbolje ovisi, između ostalog, o tome je li tvrtka strukturirana više s krajnjim točkama ili s mrežom. Također je važno definirati područja koja su posebno vrijedna zaštite i procijeniti slabe točke. Naši stručnjaci vam razjasniti ova i druga pitanja.










                                                        

                                                    
                                                                                                                                                                                                                

                                            

                                                                            

                                

                                                                                                                
                                                                

                                    

                                                                                    

                                                                                                                            

                                              

                                                                                                            
Uvođenje sustava upravljanja informacijskom sigurnošću (ISMS)

                                                    
                                                                                                            

                                                            
Tvrtke ne bi trebale prvenstveno razmišljati o IT sigurnosnim sustavima koji se sastoje od hardvera i softvera. Axians preporučuje Sustav upravljanja informacijskom sigurnošću (ISMS), koji se koristi za uspostavljanje procedura i pravila unutar organizacije koji kontinuirano definiraju, upravljaju, nadziru, održavaju i kontinuirano poboljšavaju informacijsku sigurnost. Uvođenje ISMS-a opisano je u relevantnim standardima (ISO/IEC 27001) i može pomoći u dokumentiranju napretka u poboljšanju sigurnosti i njezinoj prilagodbi novim prijetnjama i propisima.


                                                        

                                                    
                                                                                                                                                                                                                

                                            

                                                                            

                                

                                                                                                                
                                                                

                                    

                                                                                    

                                                                                                                            

                                              

                                                                                                            
Izrada koncepta kibernetičke sigurnosti temeljenog na važećim standardima

                                                    
                                                                                                            

                                                            
Kao rezultat prethodnih analiza mogu se razviti konkretni sigurnosni koncepti. Službeni sigurnosni standardi kao što su ISO 2700x kao i arhitektura nultog povjerenja (zero trust) mogu pomoći u tome. Iznad svega, orijentacija na Basic Protection Compendium je velika pomoć, jer već daje vrlo detaljne preporuke za implementaciju BSI Basic Protection.


                                                        

                                                    
                                                                                                                                                                                                                

                                            

                                                                            

                                

                                                                                                                
                                                                

                                    

                                                                                    

                                                                                                                            

                                              

                                                                                                            
Procjena rizika kibernetičke sigurnosti

                                                    
                                                                                                            

                                                            








Na temelju procjene rizika kibernetičke sigurnosti lako je odrediti gdje tvrtke mogu značajno poboljšati svoju sigurnost uz malo truda i uz koja organizacijska i tehnička sredstva. Fokus promišljanja NIS2 je revizija postojećih procesa ili uvođenje novih, razumnih procesa i rješenja kako bi organizacije pravovremeno mitigirale identificirane neprihvatljivo visoke rizike kibernetičke sigurnosti.












                                                        

                                                    
                                                                                                                                                                                                                

                                            

                                                                            

                                

                                                                        

                


                
                                    

                        

                        

                    

                
                
                                    

                
            

        

    










  


    
    

      

      

    



    
    
    
                        
  • 
            
    Zašto odabrati Axians za implementaciju NIS2?
    
            
    
              
    Axians nudi opsežan portfelj u području kibernetičke sigurnosti. To uključuje usluge procjene i savjetovanja, kao i sigurnosna rješenja i proizvode. Axians kao pružatelj ICT usluga upoznat je s uobičajenim certifikatima, ima stručnost u upravljanju rizikom te nudi i sigurnosne usluge u upravljanom modelu. Podržat će vaše  uvođenje ISMS-a i razviti upravljiv koncept kibernetičke sigurnosti koji je siguran u budućnost – neovisno odnosi li se na oblak, uređaje, mreže, korisnike ili mobilne uređaje. Time se uspješno rasterećuju interni IT odjeli. Tvrtke koje su na početku svog puta usklađivanja s NIS2 u mogućnosti su dobiti individualne  savjete.
    

    Novim zahtjevima nisu pogođeni samo IT odjeli, već i OT okruženja koja su često dio kritične infrastrukture tvrtki koje potpadaju pod regulativu NIS2 direktive. Axians također može pružiti podršku u OT području sa OT stručnjacima i zaposlenicima svoje sestrinske tvrtke Actemium u rješavanju ovog zadatka.
    

            
    
          
    • 
                                
  • 
            
    Zašto je NIS2 uopće bitan?
    
            
    
              
    Prijetnje kibernetičkoj sigurnosti ne utječu samo na infrastrukturu tvrtki. Sigurnosni incidenti mogu utjecati na gospodarstvo svake države članice EU-a, ali i drugih država članica. Zaštitu europskih sektora i opskrbnih lanaca stoga treba regulirati jedinstveno, ali i učinkovito provoditi i nadzirati. Međutim, tvrtke ne bi trebale biti motivirane samo prijetnjom kaznama. Umjesto toga, NIS2 je dobra prilika za općenitije razmišljanje o tome što tvrtke i institucije u našoj zemlji mogu učiniti za povećanje sigurnosti. Prije svega radi se o novom procesnom razmišljanju, a ne o uvođenju tehničkih rješenja.
    

            
    
          
    • 
                                
  • 
            
    Primjeri kibernetičkih napada:
    
            
    
              
    Kibernetički ​​napadi na klinike postaju sve popularniji među hakerima, obično motivirani isplatom iznude. Oštećeni objekti često su spremni platiti, jer se ne ucjenjuje samo objavljivanje podataka, nego i funkcije opskrbne službe, au najgorem slučaju pitanje je života ili smrti. U klinikama, pogotovo velikim, gotovo je sve digitalizirano. U slučaju napada jednim se potezom može paralizirati cijela operacija, od kirurške robotike do obroka pacijenata. Osim toga, financijska uska grla u mnogim bolnicama također utječu na njihovu kibernetičku sigurnost.
    

    Vlasti opetovano postaju žrtve kibernetičkih napada. Sigurnosni incident u svibnju 2023. pogodio je gradsku upravu Bad Langensalza (Türingen). Zaposlenici više nisu mogli pristupiti svom sustavu. Službe općina kao i web-stranice gradova i državnih vlada opetovano su napadnute – iz Njemačke i inozemstva. Mjesec dana ranije, hakeri su pokušali dobiti pristup državnom Ministarstvu unutarnjih poslova i policiji, također u Türingen-u. Prema Uredu državnog ureda u Erfurtu, oba su napada uspješno odbijena.
    

    2021. hakeri u američkoj državi Floridi pokušali su zatrovati vodu u javnoj opskrbnoj mreži. Manipulirali su upravljačkim sustavima postrojenja za pročišćavanje vode. Napadači su htjeli povećati udio kaustične sode u vodi za 100 puta. Prijetnju je primijetio informatičar u vodovodu. Više nije mogao kontrolirati pokazivač dok je kliktao kroz izbornik tehnologije obrade. Čim je ponovno imao pristup sustavu, ispravio je izmanipulirane vrijednosti – i digao uzbunu. Kibernetički ​​napad je otkriven i odbijen na vrijeme
    

            
    
          
    • 
                                
  • 
            
    Rizik od kibernetičkih napada sve je veći
    
            
    
              
    Situacija s prijetnjama u hrvatskom  kibernetičkom prostoru kritičnija je nego ikad prije. Konkretno, nastavile su se povećavati iznude putem ransomwarea s šifriranim podacima, isplate otkupnine i prikrivenog novca te broj žrtava čiji su podaci objavljeni zbog neplaćanja.Ranjivosti u softverskim proizvodima također nastavljaju rasti, povećavši se za deset posto u 2021. Više od polovice njih ocijenjeno je visokim, a 13 posto kritičnim. U 2022. primijećeno je više napada na vatrozid ili usmjerivače. Njima se može pristupiti izravno s interneta, relativno su slabo zaštićeni i stoga ih je lakše napasti.Ubrzana digitalizacija u svim područjima svakodnevnog života zahtijeva i promjenu vremena kada je u pitanju kibernetička sigurnost. Nepredviđeni događaji i kolateralna šteta od prijetnji u susjednim zemljama mogu imati izravan utjecaj na hrvatsku infrastrukturu. Preventivne IT sigurnosne mjere u obliku NIS2 direktive učinkovito se bore protiv ovih prijetnji.
    

            
    
          
    • 
                                
  • 
            
    Europski NIS2 u usporedbi s američkim Zakonom o kibernetičkoj otpornosti
    
            
    
              
    Cyber ​​​​Resilience Act u SAD-u ima za cilj osigurati proizvodne procese proizvoda – prvenstveno se radi o lancima nabave softvera i hardvera – dok se EU NIS2 fokusira na osnovnu sigurnost samih tvrtki. Dvije uredbe stoga koegzistiraju na komplementaran način. Na primjer, tvrtke mogu koristiti proizvode i rješenja koji su usklađeni s Cyber ​​​​Resilience Act unutar svoje vlastite infrastrukture bez straha od kompromisa.
    

            
    
          
    • 
              
    


  















    


        
        

                                


                    

                

                    
Kontrolni popis: Koje mjere trebate poduzeti ukoliko ste pogođeni?


    

  1. Procjena rizika: sustavna identifikacija prijetnji kibernetičkoj sigurnosti, postojećih ranjivosti u organizacijskim i tehničkim sigurnosnim mjerama te utjecaja ostvarenja rizika na izvršavanje poslovnih procesa
    2. 

  2. Razvoj sigurnosnih politika i procedura: definiranje učinkovitih politika, procedura i odgovornosti za upravljanje kibernetičkom sigurnošću usklađenih sa regulatornim, sigurnosnim i poslovnim zahtjevima organizacije
    3. 

  3. Upravljanje incidentima: prevencija, otkrivanje i upravljanje cyber incidentima
    4. 

  4. Kontinuitet poslovanja: BCM s upravljanjem sigurnosnom kopijom, DR, upravljanje kriznim situacijama
    5. 

  5. Lanac opskrbe: sigurnost u lancu opskrbe do sigurnog razvoja
    6. 

  6. Nabava: sigurnost u nabavi IT i mrežnih sustava
    7. 

  7. Učinkovitost: specifikacije za mjerenje kibernetičkih mjera i mjera rizika
    8. 

  8. Obuka: higijena kibernetičke sigurnosti
    9. 

  9. Kriptografija: specifikacije za kriptografiju i, gdje je moguće, enkripciju
    10. 

  10. Osoblje: Sigurnost ljudskih resursa
    11. 

  11. Kontrola pristupa
    12. 

  12. Upravljanje imovinom
    13. 

  13. Autentikacija: Korištenje višefaktorske autentifikacije i SSO
    14. 

  14. Komunikacija: Korištenje sigurne glasovne, video i tekstualne komunikacije
    15. 

  15. Komunikacija u hitnim slučajevima: Korištenje sigurnih komunikacijskih sustava u hitnim slučajevima
    16. 



                

            

        
                  

            Podržavamo vas u implementaciji
          

        
    

  









            

                            
                    

        

        
        

            
Zatražite savjet o NIS2 direktivi!

            

        


         
                            
                

                        

							
"*" indicates required fields

                        

                        
 
 
 

                            
                        
ZAŠTITA PODATAKA*
 
This field is for validation purposes and should be left unchanged.