NIS2 (Network and Information Security Directive 2) postavlja strože zahtjeve za kibernetičku sigurnost i upravljanje rizicima za gospodarske subjekte u EU, uključujući one u Hrvatskoj.
Tvrtke u obuhvaćenim sektorima (energetika, transport, zdravstvo, financije, IT, upravljanje vodama i drugi) morat će uskladiti interne sigurnosne politike, provesti procjene rizika, implementirati tehničke i organizacijske mjere zaštite te osigurati brzu prijavu incidenata. Kazne za neusklađenost su visoke, stoga je ključno odmah započeti s analizom usklađenosti i planiranjem implementacije sigurnosnih mjera.
Međutim, NIS2 ne odnosi se samo na tvrtke u kritičnim sektorima poput energetike, zdravstva, financija, transporta i IT-a, već i na njihove poslovne partnere i dobavljače, čime se proširuje obuhvat na cijeli supply chain ključnih i kritičnih subjekata.
Direktiva uvodi podjelu obveznika u dvije kategorije: ključne (essential entities) i važne (important entities), (Article 3) pri čemu ključni subjekti podliježu strožem nadzoru i regulatornim zahtjevima, dok važne entitete nadzor pogađa u slučaju incidenata ili sumnje na neusklađenost. Tvrtke koje ne osiguraju usklađenost s NIS2 riskiraju visoke kazne i upravne mjere, uključujući mogućnost osobne odgovornosti menadžmenta.
NIS2 zahtijeva niz tehničkih i organizacijskih mjera za jačanje sigurnosti, uključujući implementaciju višefaktorske autentifikacije (MFA), segmentaciju mreže, enkripciju podataka u prijenosu i mirovanju, redovito sigurnosno kopiranje (backup) te naprednu detekciju prijetnji i odgovore na incidente (EDR/XDR sustavi). Organizacijske mjere obuhvaćaju izradu i testiranje planova odgovora na incidente, edukaciju zaposlenika o kibernetičkoj sigurnosti, definiranje sigurnosnih politika i postupaka te osiguranje kontinuiteta poslovanja putem odgovarajućih kriznih planova.
Povezanost NIS2 i RH Zakona o kibernetičkoj sigurnosti (ZKS)
- NIS2 kao temeljni EU okvir
NIS2 (Network and Information Security Directive 2) je direktiva Europske unije koja postavlja zajedničke standarde za kibernetičku sigurnost ključnih i važnih subjekata diljem EU. NIS2 obvezuje države članice da prenesu njezine odredbe u nacionalno zakonodavstvo, čime se osigurava harmonizacija sigurnosnih zahtjeva i pravila unutar Unije. - Zakon o kibernetičkoj sigurnosti (ZKS) kao nacionalna implementacija NIS2
Hrvatski Zakon o kibernetičkoj sigurnosti (ZKS) donesen je radi transpozicije NIS2 direktive u nacionalno zakonodavstvo. ZKS definira koje su organizacije obveznici, postavlja sigurnosne zahtjeve, regulira nadležna tijela i postupke nadzora te propisuje obveze prijave incidenata. Drugim riječima, ZKS je pravni okvir kojim se NIS2 provodi u Hrvatskoj. - Uredba kao operativna provedba
Uredba o provedbi Zakona o kibernetičkoj sigurnosti donosi konkretne tehničke i organizacijske zahtjeve koje subjekti moraju ispuniti. Dok ZKS postavlja opće obveze, Uredba razrađuje detalje poput metodologije procjene rizika, standarda za tehničke mjere zaštite (MFA, enkripcija, backup), rokova za izvještavanje o incidentima i postupaka nadzora. Uredba osigurava da se ZKS dosljedno provodi i prilagođava potrebama različitih sektora.
Ukratko
NIS2 → EU okvir koji države članice moraju prenijeti u svoje zakonodavstvo.
ZKS → Nacionalni zakon koji provodi NIS2 u Hrvatskoj.
Uredba → Detaljna pravila i tehnički zahtjevi koji omogućuju provedbu ZKS-a u praksi.