Zahtjevi NIS2 Direktive

Ključni ciljevi NIS2 direktive su povećati opću razinu kibernetičke sigurnosti u EU poboljšanjem praksi upravljanja rizikom za subjekte s kritičnom infrastrukturom, promicanjem suradnje između članica i strožim zahtjevima za izvještavanje o incidentima.

Izvor: NN 14/2024 članak 1., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

NIS2 direktiva se odnosi na sve ključne i važne subjekte koji pružaju usluge potrebne za normalno funkcioniranje društva, gospodarstva i unutarnjeg tržišta.

Izvor: NN 14/2024 čl. 1., st. 4, https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Glavne promjene uključuju proširenje obuhvata na više sektora, propisivanje kazni za prekršitelje, uvođenje novih zahtjeva za sigurnost te jačanje suradnje i mehanizama obavještavanja o incidentima.

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članci 21, 23, 34 i Prilog I i II, https://eur-lex.europa.eu/eli/dir/2022/2555

Razlika između ključnih i važnih subjekata je primarno u veličini entiteta i opsegu utjecaja incidenata na društvo i ekonomiju. Poremećaj ili prekid u ključnim sektorima može dovesti do ozbiljnih posljedica, uključujući ekonomsku nestabilnost, opasnost po javnu sigurnost i značajne društvene poremećaje, dok bi kod važnih subjekata utjecaj tih posljedica i dalje postojao, ali bi bio značajno manji.

Pod ključne subjekte ubrajamo sve privatne i javne tvrtke koje djeluju u sektorima energetike, prometa, bankarstva, infrastrukture financijskog tržišta, zdravstva, vode za ljudsku potrošnju, otpadnih voda, digitalne infrastrukture, upravljanja ICT uslugama (B2B), svemira i javnog sektora.
U važne subjekte ubrajamo sve privatne i javne tvrtke koje se bave poštanskim i kurirskim uslugama, gospodarenjem otpadom, izradom proizvodnjom i distribucijom kemikalija, proizvodnjom (strojeva, medicinskih proizvoda, električne opreme,...), proizvodnjom, preradom i distribucijom hrane, pružanjem digitalnih usluga, istraživanjem te sustavom obrazovanja.

Izvor: NN 14/2024, Prilog 1 i 2, https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Ne nužno. Organizacija koja nije obuhvaćena kriterijima za kategorizaciju ključnih i važnih subjekata može i dalje biti uključena u ove kategorije:

• ako je jedini pružatelj usluge ključne za društvene ili gospodarske djelatnosti,
• ako bi poremećaj u pružanju usluge ili djelatnosti subjekta imao veliki utjecaj na javnu sigurnost, javnu zaštitu ili javno zdravlje,
• ako bi poremećaj u pružanju usluge ili djelatnosti subjekta uzrokovao sistemske rizike,
• ako je značajna za sektor, uslugu ili međuovisne sektore u RH.


Izvor: NN 14/2024, članak 11., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Ključni subjekti su sve organizacije koje prelaze gornje granice za srednje subjekte maloga gospodarstva. Te granice su 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura.
Subjekti koji podliježu posebnim kriterijima mogu biti kategorizirani kao ključni čak i ako ne ispunjavaju kriterij veličine organizacije.

Izvori:
NN 14/2024, članak 9., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
HGK, hgk.hr, "Vodič za definiciju malog i srednjeg poduzetništva u natječajima za dodjelu sredstava iz fondova EU", Stranica 3, https://www.hgk.hr/documents/vodiczadefinicijumalogisrednjegpoduzetnistvaunatjecajimazadodjelusredstavaizfondovaeuhgkanaliza0120144457b5747dec0a7.pdf

Važni subjekti su svi s 50 do 250 zaposlenika i godišnjim prometom manjim ili jednakim 50 milijuna eura i bilancom manjom ili jednakom 43 milijuna eura ili koje prelaze te gornje granice, a bave se važnim uslugama.
U njih također spadaju i svi subjekti koji imaju 50 do 250 zaposlenih, godišnji promet manji ili jednak 50 milijuna eura i bilancu manju ili jednaku 43 milijuna eura, koji nisu kategorizirani kao ključni, ali djeluju u ključnim sektorima.
Ovi kriteriji nisu u potpunosti isključivi. Subjekti koji podliježu posebnim kriterijima mogu biti kategorizirani kao važni čak i ako ne zadovoljavaju kriterij veličine organizacije.

Izvori:

NN 14/2024, članak 10., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html,
HGK, hgk.hr, "Vodič za definiciju malog i srednjeg poduzetništva u natječajima za dodjelu sredstava iz fondova EU", Stranica 3, https://www.hgk.hr/documents/vodiczadefinicijumalogisrednjegpoduzetnistvaunatjecajimazadodjelusredstavaizfondovaeuhgkanaliza0120144457b5747dec0a7.pdf

Ako je vaša organizacija razvrstana u obje kategorije na nju se primjenjuju zahtjevi koji vrijede za ključne subjekte

Izvor: NN 14/2024, članak 16., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Nadležna tijela u državama članicama nadziru subjekte te u okviru toga imaju ovlasti provjeravati sukladnost subjekta s NIS2 direktivom na sljedeće načine:

• inspekcijama na licu mjesta i nadzorom izvan mjesta, te provjerama stručnjaka na temelju slučajnog uzorka,
• redovitim i ciljanim sigurnosnim revizijama (jednom u roku od 3-5 godina),
• vanrednim revizijama u slučaju kada se dogodi sigurnosni incident ili se prekrše odredbe direktive,
• sigurnosnim skeniranjima,
• provjerom politike kibernetičke sigurnosti, usklađenosti s obvezama obavještavanja nadležnih tijela te zahtjevom za dostavljanje informacija koje subjekt prikuplja za procjenu mjera upravljanja kibernetičkim rizicima,
• traženjem pristupa podacima, dokumentima i informacijama koji su potrebni za nadzor subjekta,
• zahtjevima za dostavu dokaza da su provedene mjere za zaštitu kibernetičke sigurnosti (rezultati revizija ovlaštenih neovisnih revizora)

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 32., stavak 2, https://eur-lex.europa.eu/eli/dir/2022/2555

Nadležna tijela mogu provoditi mjere nadzora nad važnim subjektima na isti način uz jednu iznimku. Dok se provjere ključnih subjekata provode bilo kada, inspekcije i revizije za važne subjekte mogu se provoditi na zahtjev nadležnog tijela samo nakon što dođe do pojave značajnog sigurnosnog incidenta ili kršenja mjera kibernetičke sigurnosti.

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 33., stavak 2, https://eur-lex.europa.eu/eli/dir/2022/2555

Prema Zakonu o kibernetičkoj sigurnosti svi subjekti koji pružaju ključne i važne usluge dužni su obavještavati nadležna tijela (CERT, ZSIS,...) o svim incidentima koji utječu na kontinuitet usluga koje pružaju.
U slučaju nastupanja incidenta ključni i važni subjekti dužni su u roku od 24h dostaviti inicijalnu obavijest o incidentu s opisom incidenta i procjenom njegovog prekograničnog utjecaja. Nakon toga u roku od 72 sata su dužni dostaviti prijelazno izvješće o incidentu u kojem opisuju incident te u roku 30 dana završno izvješće o incidentu u kojem određuju ozbiljnost i utjecaj incidenta, vrstu i uzrok prijetnje, primijenjene mjere za ublažavanje te prekogranični utjecaj incidenta.

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 23. https://eur-lex.europa.eu/eli/dir/2022/2555

Važni elementi NIS2 direktive su da:

• klasificira subjekte na ključne ili važne te uklanja razliku između operatora ključnih usluga i pružatelja digitalnih usluga,
• jača zahtjeve vezane uz sigurnost i izvještavanje s jasnim odredbama vezanim uz sadržaj izvještaja i rokove za dostavu izvještaja nadležnim tijelima
• zahtjeva sigurnost u lancima nabave i odnosima s dobavljačima,
• uvodi strože mjere nadzora, zahtjeve za provedbu i harmonizaciju sankcija među državama članicama,
• poboljšava ulogu NIS kooperativne grupe, potiče dijeljenje informacija i operativnu suradnju unutar CSIRT mreže čime se poboljšava upravljanje kibernetičkim krizama.
• Uspostavlja EU-CyCLON mrežu za upravljanje značajnim kibernetičkim incidentima i krizama.
• postavlja okvir za koordinirano otkrivanje ranjivosti diljem EU-a i uspostavljanje baze podataka o ranjivostima kojom upravlja ENISA

Izvor: digital-strategy.ec.europa.eu, „What are key elements of the NIS2 Directive?“, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

U suštini, postoje tri glavna koraka koja su ključna za usklađivanje s NIS2. Prvi korak odnosi se na razumijevanje opsega organizacije koji se odnosi na pitanje koje usluge, lokacije tvrtke i IT/OT imovina su obuhvaćeni zahtjevima NIS2 regulative i ukoliko organizacija nije obuhvaćena direktivom je li neki od klijenata ili dobavljača obuhvaćen što će utjecati na potrebu da se primjene neke od mjera kibernetičke zaštite.
Drugi korak je utvrditi koja je imovina podložna kojim rizicima te na temelju saznanja iz procjene rizika, odrediti koje mjere i kontrole je potrebno primijeniti da bi se rizici vezani uz tu imovinu reducirali.
Treći korak odnos se na generiranje dokumentacije koja će tijekom postupka revizije biti dokaz da su kontrole koje su bile određene kao potrebne u drugom koraku zaista i primijenjene.

Izvor: ISO 27001:2022, Poglavlja 4.3, 6. i 7.5, https://www.iso.org/standard/27001

Spremnost za NIS2 može se procijeniti ispunjavanjem GAP upitnika radi usporedbe trenutnog stanja kibernetičke sigurnosti naprema zahtjevima propisanima unutar NIS2 direktive. Upitnik za provjeru usklađenosti sa zahtjevima NIS2 direktive možete pronaći na našim web stranicama.

NIS2 ne nalaže koliko često je potrebno provoditi reviziju kibernetičke sigurnosti nego je taj zadatak preusmjerila na nacionalne zakone država članica.
Prema Zakonu o kibernetičkoj sigurnosti ključni subjekti moraju jednom u dvije godine provesti reviziju kibernetičke sigurnosti koju vrši nezavisni revizor. Važni subjekti su dužni obaviti samoprocjenu kibernetičke sigurnosti jednom u dvije godine. Na zahtjev nadležnog tijela od ključnih i važnih subjekata može se tražiti da naprave izvanrednu reviziju koja se zasebno provodi.

Izvor: NN 14/2024, Članak 32. Revizori kibernetičke sigurnosti, 34. i 35. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Nadležna tijela će do najkasnije 15. veljače 2025. godine obavijestiti obuhvaćene subjekte da se Zakon o kibernetičkoj sigurnosti primjenjuje na njih, te će subjekti već nakon 30 dana od primitka obavijesti morati obavještavati o incidentima dok će za usklađivanje s ostalim zahtjevima imati rok od 12 mjeseci.

Izvor: NN 14/2024, čl. 110. st. 1. i čl. 26. st. 5. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Trajanje procesa usklađivanja s NIS2 direktivom ovisi o razini pripremljenosti organizacije, veličini, organizacije, njenom trenutnom stanju sigurnosti, složenosti operacija i drugim faktorima. Prema procjenama stručnjaka prosječno vrijeme za potpuno usklađivanje za većinu subjekata je 12 mjeseci.

Izvori:

schellman.com, "Factors that affect ISO 27001 certification process", https://www.schellman.com/blog/iso-certifications/factors-that-affect-iso-27001-certification-process
nis2directive.eu, "NIS 2 requirements", https://nis2directive.eu/nis2-requirements/

Kazne za ključne subjekte koji se ogluše na zahtjeve direktive mogu sezati do 10.000.000 eura ili 2 % globalnog godišnjeg prihoda ovisno o tome koji je iznos veći.
Za važne subjekte propisane kazne su do 7 milijuna eura ili 1,4 % globalnog godišnjeg prihoda ovisno o tome koji je iznos veći.

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 34, stavak 4. https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27

Osim novčanih kazni propisane su korektivne mjere koje nadležno tijelo provodi nakon uočavanja nepravilnosti te privremene suspenzije i zabrane obavljanja djelatnosti za odgovorne osobe koje su trebale pokrenuti i poticati usklađenje s direktivom.

Izvor: NN 14/2024, čl. 83. i 84. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Iako direktiva ne propisuje specifične certifikate ili standarde, prilikom pisanja tehničkih i organizacijskih mjera ove direktive uzimale su se u obzir dobre prakse definirane u standardima vezanima uz IT sigurnost. U skladu s time, organizacije mogu odabrati usvojiti relevantne standarde ili certifikate iz područja cyber sigurnosti kako bi pokazale usklađenost.
Postoji više standarda koji osiguravaju usklađenost s NIS2 direktivom te odabir standarda ovisi o industriji u kojoj organizacija djeluje. Primjer takvih standarada koje organizacije mogu implementirati su ISO 27001 i ISA/IEC 62443.

Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 25, stavak 1, https://eur-lex.europa.eu/eli/dir/2022/2555