Site Search Site Search

Učitavanje rezultata

Direktiva NIS 2

Postizanje visoke zajedničke razine kibernetičke sigurnosti u Europskoj uniji

Dana 27. prosinca 2022. godine u Službenom listu Europske unije objavljena je Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije (NIS 2 Direktiva).


Direktiva NIS 2 znatno proširuje opseg izvorne Direktive NIS, koja je na snazi od 2016. godine, jer je usmjerena na širi spektar sektora kako bi se unaprijedili i ojačali zahtjevi kibernetičke sigurnosti diljem EU-a. To uključuje naglasak na sigurnost opskrbnog lanca, pojednostavljivanje obveza izvještavanja i uvođenje strogih zahtjeva za provedbu. U suštini, NIS 2 mnogim organizacijama nalaže da uspostave sveobuhvatan okvir za upravljanje rizicima kibernetičke sigurnosti kako bi se poboljšala ukupna razina kibernetičke otpornosti unutar EU-a.

Stupanjem na snagu 16. siječnja 2023. godine Direktiva će se morati prenijeti u nacionalno zakonodavstvo do listopada 2024. godine. Ubrzo nakon toga, nadležna tijela država članica osigurat će nadzor usklađenosti i provoditi nacionalni provedbeni zakon, uključujući izricanje strogih administrativnih kazni i popravnih mjera kada je to potrebno.

Na koga se odnosi?

Prvi novi aspekt koji uvodi NIS 2 odnosi se na opseg direktive, koji je znatno širi u odnosu na prethodnu direktivu. Dok se izvorna Direktiva NIS odnosila samo na „operatore osnovnih usluga” (OES) i „pružatelje digitalnih usluga” (DSP), NIS 2 obuhvaća i „ključne” i „važne” subjekte unutar EU-a.

Ovi se subjekti smatraju ključnima za gospodarstvo i građane EU-a te obuhvaćaju pružatelje javnih elektroničkih komunikacijskih usluga, digitalnih usluga, upravljanje otpadnim vodama i gospodarenje otpadom, proizvodnju ključnih proizvoda, poštanske i kurirske usluge, kao i javnu upravu na središnjoj i regionalnoj razini.

Cyber security man working on a lot of computers

Interakcija s drugim zakonima o kibernetičkoj sigurnosti specifičnim za različite sektore

Ako zakonodavstvo koje se odnosi na za određeni sektor, poput Uredbe o digitalnoj operativnoj otpornosti (DORA), zahtijeva od ključnih ili važnih subjekata prema NIS-u 2 da provedu mjere upravljanja rizikom od kibernetičke sigurnosti ili prijave značajne incidente, tada se NIS 2 neće primjenjivati na te subjekte ako su zahtjevi specifični za sektor barem jednako učinkoviti kao obveze utvrđene u Direktivi NIS 2. 

Ako sektorsko zakonodavstvo ne obuhvaća sve subjekte u određenom sektoru koji su obuhvaćeni područjem primjene Direktive NIS 2, relevantne odredbe NIS-a 2 nastavit će se primjenjivati na one subjekte koji nisu obuhvaćeni sektorskim zakonodavstvom.

Kada će NIS 2 imati utjecaj na moju organizaciju?

Službenim usvajanjem NIS-a 2, mnoge će organizacije morati procijeniti, implementirati i ispuniti razne obvezujuće zahtjeve koji će stupiti na snagu nakon prijenosa direktive u nacionalno zakonodavstvo. 

Sljedeći vremenski okvir prikazuje ključne faze u razvoju i provedbi NIS-a 2.

Komisija je usvojila prijedlog izmijenjene Direktive o sigurnosti mrežnih i informacijskih sustava (NIS 2 Direktiva), koja zamjenjuje izvornu Direktivu NIS.

Nakon objave prijedloga, suzakonodavci – Europski parlament i Vijeće Europske unije – započeli su pregovore koji su doveli do političkog sporazuma u svibnju 2022. godine.

Vijeće je NIS 2 28. studenoga 2022. godine usvojilo, nakon što je Europski parlament 10. studenoga izglasao taj akt.

 

Dana 16. siječnja 2023. godine stupile su na snagu Direktiva  o mjerama za visoku zajedničku razinu kibernetičke sigurnosti u Uniji („Direktiva NIS 2”) i Direktiva  o otpornosti kritičnih subjekata („Direktiva CER”).

Do 17. listopada 2024. godine, države članice moraju usvojiti i objaviti mjere za transpozicija u nacionalno zakonodavstvo radi usklađivanja s Direktivom NIS 2, koja će se primjenjivati od 18. listopada 2024. godine.

 

Kako NIS 2 utječe na vašu organizaciju?

Iako nacionalne provedbene zakone tek treba izraditi i usvojiti, Direktiva NIS 2 jasno naglašava tri glavna stupa u kojima će se organizacije morati dodatno potruditi kako bi osigurale usklađenost.

Sveobuhvatno upravljanje rizicima na području kibernetičke sigurnosti

NIS 2 od organizacija zahtijeva da zauzmu proaktivan, a ne reaktivan pristup upravljanju rizicima uvođenjem snažnih politika informacijske sigurnosti kako bi se osigurala sustavna i sveobuhvatna analiza rizika.

Općenito, te bi se politike trebale izraditi na temelju pristupa koji uključuje sve opasnosti i koji je proporcionalan riziku, veličini, trošku, učinku i ozbiljnosti incidenata s kojima se pojedinačne organizacije suočavaju. 

Imajući na umu ovo načelo proporcionalnosti, od organizacija se očekuje da implementiraju najsuvremenije mjere kibernetičke sigurnosti koje su prihvaćene u sektoru, odnosno u sljedećim domenama.

Prevencija, otkrivanje i odgovaranje na incidente

NIS 2 nalaže da ključni i važni subjekti uspostave čvrst okvir za upravljanje incidentima (IMF) koji se redovito testira i priopćava svim relevantnim stranama. Nadalje, nova direktiva zahtijeva od organizacija da provedu jasne procedure za sprječavanje napada, istraže temeljne uzroke i usvoje mjera za ublažavanje posljedica.

Kontinuitet poslovanja i upravljanje kriznim situacijama

NIS 2 zahtijeva da ključni i važni subjekti osiguraju kontinuitet poslovanja u slučaju ozbiljnog (kibernetičkog) incidenta. U tu svrhu, organizacije moraju implementirati sveobuhvatan okvir otpornosti koji obuhvaća kontinuitet poslovanja, oporavak od katastrofe i upravljanje kriznim situacijama, kako bi se poremećaji sveli na minimum.

Sigurnost lanca opskrbe

NIS 2 zahtijeva da ključni i važni subjekti osiguraju kontinuitet poslovanja u slučaju ozbiljnog (kibernetičkog) incidenta. U tu svrhu, organizacije moraju implementirati sveobuhvatan okvir otpornosti koji obuhvaća kontinuitet poslovanja, oporavak od katastrofe i upravljanje kriznim situacijama, kako bi se poremećaji sveli na minimum.

Prijava incidenata i nadzor

Prijava incidenata

NIS 2 zahtijeva da ključni i važni subjekti, bez nepotrebnog odgađanja, prijave svaki incident koji značajno utječe na pružanje njihovih usluga svojim nacionalnim timovima za odgovor na računalne sigurnosne incidente (CSIRT) ili nadležnom nacionalnom tijelu.

Kako bi ispunile ove obveze izvještavanja, organizacije moraju dostaviti sljedeće:

  • Rano upozorenje: Izdaje se bez nepotrebnog odgađanja i najkasnije 24 sata od saznanja o incidentu, uz naznaku smatra li se da je događaj posljedica nezakonite ili zlonamjerne aktivnosti ili bi mogao imati prekogranične posljedice.
  • Obavijest o incidentu: Izdaje se bez nepotrebnog odgađanja i najkasnije 72 sata od saznanja o incidentu, te se ažuriraju informacije iz ranog upozorenja i preliminarno procjenjuje ozbiljnost i utjecaj incidenta.
  • Privremeno izvješće: Dostavlja se na zahtjev CSIRT-a ili nadležnog nacionalnog tijela te pruža ključne informacije o statusu incidenta i aktivnostima upravljanja krizom.
  • Konačno izvješće: Mora se dostaviti u roku od mjesec dana od obavijesti o incidentu i treba sadržavati detaljan opis incidenta, uključujući njegov temeljni uzrok, primijenjene strategije ublažavanja posljedica te sve prekogranične učinke.

 

 

 

Nadzorni okvir

U usporedbi s prethodnom verzijom, Direktiva NIS 2 donosi strogi okvir za provedbu kako bi se postigla viša razina usklađenosti s propisima. 

Prije svega, nadležna nacionalna tijela na raspolaganju će imati pouzdan okvir za provedbu i istrage, čija primjena ovisi o klasifikaciji vaše organizacije.

  • Ključni subjekti: Podložni strogom, ex ante nadzoru, koji uključuje ovlasti nacionalnih tijela za provođenje nasumičnih inspekcija, obavljanje (ad hoc) revizija sigurnosti kao i zahtijevanje određenih informacija i dokaza o usklađenosti. 
  • Važni subjekti: Podložni blažem, ex post nadzoru, koji se primjenjuje u slučaju postojanja dokaza i/ili indikacija o neusklađenosti

Odgovornost za provedbu i upravljanje

Odgovornost uprave

U skladu s Direktivom NIS 2, upravljačka tijela ključnih i važnih subjekata moraju odobravati mjere za upravljanje rizicima na području kibernetičke sigurnosti, nadgledati njihovu provedbu te ih njihova organizacija može pozvati na odgovornost za povrede.

U tom smislu , svi članovi upravljačkih tijela također će morati redovito pohađati osposobljavanja kako bi stekli dovoljno znanja i vještina za prepoznavanje rizika i procjenu praksi upravljanja rizicima na području kibernetičke sigurnosti, kao i utjecaj tih rizika na usluge koje njihova organizacija pruža.

Provedba

Prema Direktivi NIS 2, države članice moraju osigurati da nadležna nacionalna tijela imaju ovlasti za izricanje značajnih novčanih kazni organizacijama koje se ne pridržavaju nacionalnih zakona o transpoziciji Direktive. 

  • Ključni subjekti: najmanje 10 milijuna eura ili 2% godišnjeg prometa na svjetskoj razini, ovisno o tome koji iznos je viši
  • Važni subjekti: najmanje 7 milijuna eura ili 1,4% godišnjeg prometa na svjetskoj razini, ovisno o tome koji iznos je viši

Kako PwC može pomoći vašoj organizaciji?

PwC može pružiti podršku vašoj organizaciji tijekom čitavog procesa jačanja otpornosti i postizanja usklađenosti s Direktivom NIS 2. Pomoću našeg Okvira za procjenu spremnosti za usklađivanje s regulativom (RRAF), možemo vas savjetovati u procjeni vaše postojeće razine spremnosti i pomoći vam u provedbi mjera potrebnih za ispunjavanje zahtjeva Direktive NIS 2. 

S obzirom na to da je Direktiva NIS 2 sada službeno usvojena, svi subjekti obuhvaćeni njezinim područjem primjene moraju izraditi plan aktivnosti i pratiti nadolazeće nacionalne mjere za prijenos Direktive. Pravovremenu priprema omogućuje vam prepoznavanje područja koja zahtijevaju veća ulaganja i pravilno postavljanje prioriteta.

Iako NIS 2 nastoji uskladiti regulatorne zahtjeve koji se odnose na upravljanje rizicima na području kibernetičke sigurnosti i izvještavanje, brojne obveze su već uvedene u prethodnoj verziji Direktive i prisutne su u postojećoj nacionalnoj regulativi i međunarodnim standardima koji se odnose na kibernetičku sigurnost i zaštitu podataka. 

Međutim, kao i uvijek, ključni su detalji. Svi subjekti obuhvaćeni područjem primjene Direktive NIS 2 morat će provesti procjenu postojećih nedostataka i osmisliti strategiju za postizanje potpune usklađenosti tijekom 21-mjesečnog prijelaznog razdoblja.

Kako možemo pomoći

Možemo vam pomoći u izradi sigurne digitalne strategije povezivanjem ofenzivnih i obrambenih usluga na području kibernetičke sigurnosti, koje smo grupirali u pet glavnih stupova:

Naše usluge:

  • Izrada i implementacija kibernetičke strategije
  • Upravljanje kibernetičkom sigurnošću i rizicima
  • Izrada i pregled okvira za politike 
  • Procjene usklađenosti s regulativom i savjetovanje (DORA, NIS 2, MFSA ICT, GDPR) 
  • Procjene nedostataka na području kibernetičke sigurnosti prema standardima PCI-DSS, ISO 27001, kontrolama CIS-a i drugim standardima kibernetičke sigurnosti
  • Procjene razine zrelosti kibernetičke sigurnosti prema standardima NIST CSF, CMMC, CMMI i drugim standardima kibernetičke sigurnosti
  • Implementacija standarda ISO 27001 i okvira za kibernetičku sigurnost
  • Procjene i atestiranja prema SWIFT-ovom programu CSP 
  • Procjena kibernetičkih rizika, izvještavanje i komunikacija
  • Upravljanje rizicima povezanim s trećim stranama/dobavljačima i dubinska analiza kibernetičke sigurnosti (upravljanje rizicima na području kibernetičke sigurnosti u lancu opskrbe)
  • Poslovne transakcije na području kibernetičke sigurnosti i dubinska analiza
  • Edukacija za podizanje svijesti o kibernetičkoj sigurnosti

Naše usluge: 

  • Prikupljanje podataka o prijetnjama i modeliranje
  • Spremnost na incidente i odgovaranje na incidente
  • Penetracijsko testiranje
  • Upravljanje kriznim situacijama
  • Forenzika i provođenje istraga 
  • Procjena spremnosti na ucjenjivački softver (ransomware)
  • Procjena spremnosti na ucjenjivački softver (ransomware)

Naše usluge:

  • Strategija privatnosti, regulativa i usklađenost
  • Upravljanje informacijama i upravljanje zapisima 
  • Otkrivanje podataka 
  • Revizije zaštite podataka 
  • Rukovanje incidentima i povredama povezanim sa zaštitom podataka
  • Razvoj/izrada procjene učinka na zaštitu podataka (DPIA)
  • Periodični pregled internih politika i ugovora između voditelja i izvršitelja obrade podataka
  • Edukacija i podizanje svijesti zaposlenika 
  • Rukovanje zahtjevima za pristup osobnim podacima (DSAR)

Naše usluge:

  • Upravljanje identitetom i pristupom 
  • Sigurnosna arhitektura poduzeća i sigurnost mreže/infrastrukture (ZT, IoT, OT)
  • Sigurnost podataka u računalnom oblaku
  • Operacije vidljivosti i sigurnosti poduzeća (SIEM/SOAR/Fusion)

Naše usluge:

  • Otkrivanje i rješavanje prijetnji 
  • Upravljanje ranjivostima
  • Operacije identifikacije i pristupanja
  • Upravljanje, rizici i usklađenost (GRC) 
  • Upravljanje uređajima i usklađenost s propisima

Kontaktirajte nas

Zatražite ponudu

Kontaktirajte nas

Bruno Čurčija

Bruno Čurčija

Direktor, Odjel rizika informacijskih usluga, PwC Croatia

Linkedin Follow Email
Igor Hitrec

Igor Hitrec

Viši menadžer, Odjel rizika informacijskih usluga, PwC Croatia

Linkedin Follow Email
Ostanimo povezani: