This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.
KIBERNETIČKA SIGURNOSTI NA RAZINI EU
Zahtjevi NIS2 Direktive
Usklađenje vaše organizacije s zahtjevima NIS2 direktive zahtjeva dubinsko poznavanje svih aspekata i zahtjeva iste. Kako bi vam taj dugotrajni proces olakšali, proveli smo detaljnu analizu njenih odredbi i preporuka te pripremili sveobuhvatan pregled glavnih značajki i zahtjeva NIS2 direktive za vašu organizaciju.
Kontaktirajte nasNajopsežnija kibernetička direktiva u Europi.
NIS2 direktiva predstavlja dosad najopsežniju EU direktivu o kibernetičkoj sigurnosti. Uz pojačane zahtjeve za upravljanjem rizicima i izvještavanjem o incidentima, širu pokrivenost sektora i subjekata te visoke kazne za neusklađenost, stotine tisuća EU organizacija morat će ponovno procijeniti svoje stanje kibernetičke sigurnosti.
Sektori visoke kritičnosti
Prema NIS2 direktivi, sektori visoke kritičnosti su oni sektori koji su od ključnog značaja za društvo i ekonomiju te bi njihov poremećaj mogao imati značajan negativan utjecaj na gospodarstvo, javnu sigurnost, zdravlje i druge ključne funkcije.
-
Energetika
Pokriva ključne energetske sektore električne energije, nafte i plina, naglašavajući njihovu važnost u svakodnevnim funkcijama i potrebu za kibersigurnošću.
-
Transport
Fokusira se na glavne načine prijevoza: zračni, željeznički, pomorski i cestovni, ističući njihovu ulogu u povezivanju ljudi i mjesta.
-
Zdravstvo
Daje prioritet zaštiti zdravstvenih ustanova, uključujući javne bolnice i privatne klinike, s obzirom na njihovu ulogu u javnoj dobrobiti.
-
Javna administracija
Naglašava zaštitu javnih usluga, odražavajući obvezu Direktive da osigura nesmetane i sigurne administrativne funkcije.
-
Bankarstvo & financije
Bavi se okosnicom našeg financijskog sustava, ističući područja kao što su usluge plaćanja koje olakšavaju gospodarske aktivnosti.
-
Digitalna infrastruktura
Usmjeren na temeljne digitalne usluge, poput onih koje pružaju DNS i TLD registre, priznajući njihovu ulogu u digitalnom ekosustavu.
-
Voda i odvodnja
Fokusira se na očuvanje i sigurnost sustava pitke vode i otpadnih voda, koji su ključni za javno zdravlje.
-
Svemir
Prepoznaje strateški značaj svemirskog sektora, osiguravajući da ispunjava visoke standarde kibernetičke sigurnosti s obzirom na njegov utjecaj na različite tehnologije i usluge.
-
Upravljanje uslugama ICT-a
Ovaj sektor obuhvaća ICT tvrtke koje pružaju upravljanje usluge održavanja ili sigurnosne usluge tvrtkama iz privatnog sektora (B2B), kao i tvrtke posrednike za razmjenu elektroničkih računa.
Važni sektori
Važni sektori (ili sektori od velike važnosti) također uključuju kritičnu infrastrukturu, no razlikuju se od sektora visoke kritičnosti po tome što njihov poremećaj može imati značajan, ali ne nužno katastrofalan utjecaj na društvo i ekonomiju. Ovi sektori su važni za svakodnevno funkcioniranje i sigurnost, ali njihovo djelovanje može imati nešto manji utjecaj u usporedbi sa sektorima visoke kritičnosti.
-
Poštanske i kurirske usluge
Kao temelj za komunikacije i isporuku robe, ovaj sektor mora održavati jaku digitalnu sigurnost, osiguravajući kontinuirane i sigurne operacije.
-
Upravljanje otpadom
Zbrinjavanje svega, od sakupljanja do odlaganja, ključno je da ovaj sektor ostane siguran kako bi se osigurala zaštita okoliša i javnog zdravlja.
-
Kemijska industrija
Ovaj sektor, vitalan za industrijsku konkurentnost Europe, proteže se od proizvodnje do distribucije kemikalija, služeći kao temelj za inovativna rješenja.
-
Pružatelji digitalnih usluga
Obuhvaćajući široku spektar digitalnih usluga kao što su tražilice, internetska tržišta i društvene mreže, ovaj je sektor ključan u današnje vrijeme.
-
Prehrana
Pokrivajući cijeli segment od farme do stola, ovaj sektor osigurava da je svaka faza - od uzgoja i prerade do maloprodaje - sigurna.
-
Proizvodnja
Široko područje koje uključuje izradu predmeta i proizvoda poput medicinskih uređaja, elektronike, strojeva, vozila i transportne opreme, ono je u srcu europskih proizvodnih mogućnosti.
-
Istraživačke organizacije
Kao središte inovacija i napretka, ovaj je sektor ključan, pospješujući znanstvena otkrića, dok je potencijalna meta kibernetičkih prijetnji.
-
Obrazovanje
Sektor obuhvaća privatni i javne subjekte iz sustava obrazovanja koji pružaju kritične digitalne usluge ili daju infrastrukturnu podršku drugim sektorima.
NIS2 Direktiva vodič
Uskladite se već danas
Preuzmite vodič kroz NIS2 direktivu kako biste dobili sažetu analizu iste te saznali kako vas poboljšanje sigurnosti može dovesti do usklađenosti.
Saznajte višePreuzmite vodič kroz NIS2 direktivu
Unesite podatke i poslat ćemo vodič na vaš email.
Česta pitanja
Ovdje ćete pronaći odgovore na uobičajena pitanja vezana uz NIS2 direktivu. Bez obzira tražite li pojašnjenje o zahtjevima za usklađenost ili uvide u njezine implikacije za vašu organizaciju, mi smo ovdje kako bismo vam pružili podršku koja vam je potrebna. Pročitajte kako biste bolje razumjeli NIS2 direktivu te kako ona utječe na vaše poslovanje.
-
Ključni ciljevi NIS2 direktive su povećati opću razinu kibernetičke sigurnosti u EU poboljšanjem praksi upravljanja rizikom za subjekte s kritičnom infrastrukturom, promicanjem suradnje između članica i strožim zahtjevima za izvještavanje o incidentima.
Izvor: NN 14/2024 članak 1., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
NIS2 direktiva se odnosi na sve ključne i važne subjekte koji pružaju usluge potrebne za normalno funkcioniranje društva, gospodarstva i unutarnjeg tržišta.
Izvor: NN 14/2024 čl. 1., st. 4, https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Glavne promjene uključuju proširenje obuhvata na više sektora, propisivanje kazni za prekršitelje, uvođenje novih zahtjeva za sigurnost te jačanje suradnje i mehanizama obavještavanja o incidentima.
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članci 21, 23, 34 i Prilog I i II, https://eur-lex.europa.eu/eli/dir/2022/2555 -
Razlika između ključnih i važnih subjekata je primarno u veličini entiteta i opsegu utjecaja incidenata na društvo i ekonomiju. Poremećaj ili prekid u ključnim sektorima može dovesti do ozbiljnih posljedica, uključujući ekonomsku nestabilnost, opasnost po javnu sigurnost i značajne društvene poremećaje, dok bi kod važnih subjekata utjecaj tih posljedica i dalje postojao, ali bi bio značajno manji.
-
Pod ključne subjekte ubrajamo sve privatne i javne tvrtke koje djeluju u sektorima energetike, prometa, bankarstva, infrastrukture financijskog tržišta, zdravstva, vode za ljudsku potrošnju, otpadnih voda, digitalne infrastrukture, upravljanja ICT uslugama (B2B), svemira i javnog sektora.
U važne subjekte ubrajamo sve privatne i javne tvrtke koje se bave poštanskim i kurirskim uslugama, gospodarenjem otpadom, izradom proizvodnjom i distribucijom kemikalija, proizvodnjom (strojeva, medicinskih proizvoda, električne opreme,...), proizvodnjom, preradom i distribucijom hrane, pružanjem digitalnih usluga, istraživanjem te sustavom obrazovanja.
Izvor: NN 14/2024, Prilog 1 i 2, https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Ne nužno. Organizacija koja nije obuhvaćena kriterijima za kategorizaciju ključnih i važnih subjekata može i dalje biti uključena u ove kategorije:
• ako je jedini pružatelj usluge ključne za društvene ili gospodarske djelatnosti,
• ako bi poremećaj u pružanju usluge ili djelatnosti subjekta imao veliki utjecaj na javnu sigurnost, javnu zaštitu ili javno zdravlje,
• ako bi poremećaj u pružanju usluge ili djelatnosti subjekta uzrokovao sistemske rizike,
• ako je značajna za sektor, uslugu ili međuovisne sektore u RH.
Izvor: NN 14/2024, članak 11., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Ključni subjekti su sve organizacije koje prelaze gornje granice za srednje subjekte maloga gospodarstva. Te granice su 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura.
Subjekti koji podliježu posebnim kriterijima mogu biti kategorizirani kao ključni čak i ako ne ispunjavaju kriterij veličine organizacije.
Izvori:
NN 14/2024, članak 9., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
HGK, hgk.hr, "Vodič za definiciju malog i srednjeg poduzetništva u natječajima za dodjelu sredstava iz fondova EU", Stranica 3, https://www.hgk.hr/documents/vodiczadefinicijumalogisrednjegpoduzetnistvaunatjecajimazadodjelusredstavaizfondovaeuhgkanaliza0120144457b5747dec0a7.pdf -
Važni subjekti su svi s 50 do 250 zaposlenika i godišnjim prometom manjim ili jednakim 50 milijuna eura i bilancom manjom ili jednakom 43 milijuna eura ili koje prelaze te gornje granice, a bave se važnim uslugama.
U njih također spadaju i svi subjekti koji imaju 50 do 250 zaposlenih, godišnji promet manji ili jednak 50 milijuna eura i bilancu manju ili jednaku 43 milijuna eura, koji nisu kategorizirani kao ključni, ali djeluju u ključnim sektorima.
Ovi kriteriji nisu u potpunosti isključivi. Subjekti koji podliježu posebnim kriterijima mogu biti kategorizirani kao važni čak i ako ne zadovoljavaju kriterij veličine organizacije.
Izvori:
NN 14/2024, članak 10., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html,
HGK, hgk.hr, "Vodič za definiciju malog i srednjeg poduzetništva u natječajima za dodjelu sredstava iz fondova EU", Stranica 3, https://www.hgk.hr/documents/vodiczadefinicijumalogisrednjegpoduzetnistvaunatjecajimazadodjelusredstavaizfondovaeuhgkanaliza0120144457b5747dec0a7.pdf -
Ako je vaša organizacija razvrstana u obje kategorije na nju se primjenjuju zahtjevi koji vrijede za ključne subjekte
Izvor: NN 14/2024, članak 16., https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Nadležna tijela u državama članicama nadziru subjekte te u okviru toga imaju ovlasti provjeravati sukladnost subjekta s NIS2 direktivom na sljedeće načine:
• inspekcijama na licu mjesta i nadzorom izvan mjesta, te provjerama stručnjaka na temelju slučajnog uzorka,
• redovitim i ciljanim sigurnosnim revizijama (jednom u roku od 3-5 godina),
• vanrednim revizijama u slučaju kada se dogodi sigurnosni incident ili se prekrše odredbe direktive,
• sigurnosnim skeniranjima,
• provjerom politike kibernetičke sigurnosti, usklađenosti s obvezama obavještavanja nadležnih tijela te zahtjevom za dostavljanje informacija koje subjekt prikuplja za procjenu mjera upravljanja kibernetičkim rizicima,
• traženjem pristupa podacima, dokumentima i informacijama koji su potrebni za nadzor subjekta,
• zahtjevima za dostavu dokaza da su provedene mjere za zaštitu kibernetičke sigurnosti (rezultati revizija ovlaštenih neovisnih revizora)
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 32., stavak 2, https://eur-lex.europa.eu/eli/dir/2022/2555 -
Nadležna tijela mogu provoditi mjere nadzora nad važnim subjektima na isti način uz jednu iznimku. Dok se provjere ključnih subjekata provode bilo kada, inspekcije i revizije za važne subjekte mogu se provoditi na zahtjev nadležnog tijela samo nakon što dođe do pojave značajnog sigurnosnog incidenta ili kršenja mjera kibernetičke sigurnosti.
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 33., stavak 2, https://eur-lex.europa.eu/eli/dir/2022/2555 -
Prema Zakonu o kibernetičkoj sigurnosti svi subjekti koji pružaju ključne i važne usluge dužni su obavještavati nadležna tijela (CERT, ZSIS,...) o svim incidentima koji utječu na kontinuitet usluga koje pružaju.
U slučaju nastupanja incidenta ključni i važni subjekti dužni su u roku od 24h dostaviti inicijalnu obavijest o incidentu s opisom incidenta i procjenom njegovog prekograničnog utjecaja. Nakon toga u roku od 72 sata su dužni dostaviti prijelazno izvješće o incidentu u kojem opisuju incident te u roku 30 dana završno izvješće o incidentu u kojem određuju ozbiljnost i utjecaj incidenta, vrstu i uzrok prijetnje, primijenjene mjere za ublažavanje te prekogranični utjecaj incidenta.
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 23. https://eur-lex.europa.eu/eli/dir/2022/2555 -
Važni elementi NIS2 direktive su da:
• klasificira subjekte na ključne ili važne te uklanja razliku između operatora ključnih usluga i pružatelja digitalnih usluga,
• jača zahtjeve vezane uz sigurnost i izvještavanje s jasnim odredbama vezanim uz sadržaj izvještaja i rokove za dostavu izvještaja nadležnim tijelima
• zahtjeva sigurnost u lancima nabave i odnosima s dobavljačima,
• uvodi strože mjere nadzora, zahtjeve za provedbu i harmonizaciju sankcija među državama članicama,
• poboljšava ulogu NIS kooperativne grupe, potiče dijeljenje informacija i operativnu suradnju unutar CSIRT mreže čime se poboljšava upravljanje kibernetičkim krizama.
• Uspostavlja EU-CyCLON mrežu za upravljanje značajnim kibernetičkim incidentima i krizama.
• postavlja okvir za koordinirano otkrivanje ranjivosti diljem EU-a i uspostavljanje baze podataka o ranjivostima kojom upravlja ENISA
Izvor: digital-strategy.ec.europa.eu, „What are key elements of the NIS2 Directive?“, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs -
U suštini, postoje tri glavna koraka koja su ključna za usklađivanje s NIS2. Prvi korak odnosi se na razumijevanje opsega organizacije koji se odnosi na pitanje koje usluge, lokacije tvrtke i IT/OT imovina su obuhvaćeni zahtjevima NIS2 regulative i ukoliko organizacija nije obuhvaćena direktivom je li neki od klijenata ili dobavljača obuhvaćen što će utjecati na potrebu da se primjene neke od mjera kibernetičke zaštite.
Drugi korak je utvrditi koja je imovina podložna kojim rizicima te na temelju saznanja iz procjene rizika, odrediti koje mjere i kontrole je potrebno primijeniti da bi se rizici vezani uz tu imovinu reducirali.
Treći korak odnos se na generiranje dokumentacije koja će tijekom postupka revizije biti dokaz da su kontrole koje su bile određene kao potrebne u drugom koraku zaista i primijenjene.
Izvor: ISO 27001:2022, Poglavlja 4.3, 6. i 7.5, https://www.iso.org/standard/27001 -
Spremnost za NIS2 može se procijeniti ispunjavanjem GAP upitnika radi usporedbe trenutnog stanja kibernetičke sigurnosti naprema zahtjevima propisanima unutar NIS2 direktive. Upitnik za provjeru usklađenosti sa zahtjevima NIS2 direktive možete pronaći na našim web stranicama.
-
NIS2 ne nalaže koliko često je potrebno provoditi reviziju kibernetičke sigurnosti nego je taj zadatak preusmjerila na nacionalne zakone država članica.
Prema Zakonu o kibernetičkoj sigurnosti ključni subjekti moraju jednom u dvije godine provesti reviziju kibernetičke sigurnosti koju vrši nezavisni revizor. Važni subjekti su dužni obaviti samoprocjenu kibernetičke sigurnosti jednom u dvije godine. Na zahtjev nadležnog tijela od ključnih i važnih subjekata može se tražiti da naprave izvanrednu reviziju koja se zasebno provodi.
Izvor: NN 14/2024, Članak 32. Revizori kibernetičke sigurnosti, 34. i 35. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Nadležna tijela će do najkasnije 15. veljače 2025. godine obavijestiti obuhvaćene subjekte da se Zakon o kibernetičkoj sigurnosti primjenjuje na njih, te će subjekti već nakon 30 dana od primitka obavijesti morati obavještavati o incidentima dok će za usklađivanje s ostalim zahtjevima imati rok od 12 mjeseci.
Izvor: NN 14/2024, čl. 110. st. 1. i čl. 26. st. 5. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Trajanje procesa usklađivanja s NIS2 direktivom ovisi o razini pripremljenosti organizacije, veličini, organizacije, njenom trenutnom stanju sigurnosti, složenosti operacija i drugim faktorima. Prema procjenama stručnjaka prosječno vrijeme za potpuno usklađivanje za većinu subjekata je 12 mjeseci.
Izvori:
schellman.com, "Factors that affect ISO 27001 certification process", https://www.schellman.com/blog/iso-certifications/factors-that-affect-iso-27001-certification-process
nis2directive.eu, "NIS 2 requirements", https://nis2directive.eu/nis2-requirements/ -
Kazne za ključne subjekte koji se ogluše na zahtjeve direktive mogu sezati do 10.000.000 eura ili 2 % globalnog godišnjeg prihoda ovisno o tome koji je iznos veći.
Za važne subjekte propisane kazne su do 7 milijuna eura ili 1,4 % globalnog godišnjeg prihoda ovisno o tome koji je iznos veći.
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 34, stavak 4. https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27 -
Osim novčanih kazni propisane su korektivne mjere koje nadležno tijelo provodi nakon uočavanja nepravilnosti te privremene suspenzije i zabrane obavljanja djelatnosti za odgovorne osobe koje su trebale pokrenuti i poticati usklađenje s direktivom.
Izvor: NN 14/2024, čl. 83. i 84. https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html -
Iako direktiva ne propisuje specifične certifikate ili standarde, prilikom pisanja tehničkih i organizacijskih mjera ove direktive uzimale su se u obzir dobre prakse definirane u standardima vezanima uz IT sigurnost. U skladu s time, organizacije mogu odabrati usvojiti relevantne standarde ili certifikate iz područja cyber sigurnosti kako bi pokazale usklađenost.
Postoji više standarda koji osiguravaju usklađenost s NIS2 direktivom te odabir standarda ovisi o industriji u kojoj organizacija djeluje. Primjer takvih standarada koje organizacije mogu implementirati su ISO 27001 i ISA/IEC 62443.
Izvor: eur-lex.europa.eu, "Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)", Članak 25, stavak 1, https://eur-lex.europa.eu/eli/dir/2022/2555
Trebate pomoć?
Kontaktirajte na za sve dodatne informacije ili pomoć u vezi usklađivanja sa NIS2 direktivom.