NIS2 direktiva
U doba sve većih prijetnji po kibernetičku sigurnost organizacija, Europska unija donijela je NIS2 direktivu (Directive on security of network and information systems) kao nadogradnju na raniju legislativu. Predložena od strane Europske komisije tijekom 2020., NIS2 direktiva ušla je u primjenu 16. siječnja 2023.
Glavni cilj direktive jest osigurati snažnu sigurnosnu zaštitu mreža i informacijskih sustava tvrtki važnih za funkcioniranje društva i ekonomije, a u cilju smanjenja rizika od kibernetičkih prijetnji i povećanja razine kibernetičke otpornosti protiv kibernetičkih napada diljem Europe.
NIS2 direktiva uvodi strožu regulativu i obveze za pružatelje ključnih i važnih usluga te propisuje da države članice EU moraju napraviti popis ključnih i važnih subjekata.
Glavna misao vodilja direktive je povećati otpornost EU tvrtki na kibernetičke prijetnje, što namjerava postići definiranjem i propisivanjem obveze pridržavanja zahtjevima za sigurnost informacijskih sustava, obvezivanjem organizacija da prijave ozbiljne kibernetičke incidente te promoviranjem suradnje između država članica.
Promjene NIS2 u odnosu na NIS direktivu
Originalna NIS direktiva bila je samo okvir za kibernetičku zaštitu subjekata po kojem su se organizacije trebale voditi kada su kreirale svoje sigurnosne mjere. Imala je za cilj poboljšati kibernetičku zaštitu u Europskoj uniji no primjena ove direktive je bila vrlo izazovna jer su neke države članice uložile više resursa i bolje implementirale ovu direktivu od drugih. Zbog toga je stanje nakon primjene direktive bilo takvo da je kibernetička otpornost u pojedinim državama bila na visokoj razini dok je u drugima značajno zaostajala.
NIS2 korigira nedostatke originalne direktive tako što određuje strože zahtjeve za primjenu kibernetičke sigurnosti, propisuje osjetno veće kazne za prekršitelje te proširuje broj sektora na koje se odnosi.
NIS2 direktiva u RH
U skladu s obvezom preuzimanja odredbi EU direktive 2022/2555 o kibernetičkoj sigurnosti u nacionalne zakone, objavljen je novi Zakon o kibernetičkoj sigurnosti (NN 14/2024). Ovaj zakon predstavlja važan korak u jačanju zaštite informacijskih sustava unutar nacionalne infrastrukture.
U Zakonu o kibernetičkoj sigurnosti navodi se da organizacije moraju uzeti u obzir ranjivosti izravnih dobavljača i pružatelja usluga, njihovu opću kvalitetu proizvoda te sigurnosne prakse. Uz navedeno, moraju uzeti u obzir i rezultate procjene rizika ključnih lanaca opskrbe ICT uslugama, sustavima ili proizvodima, a koje je provela Skupina za suradnju zajedno s Europskom komisijom i ENISA-om.
