Rokovi za NIS2
NIS2 direktiva ušla je u primjenu u siječnju 2023. Države članice EU imaju rok do 17. listopada 2024. da uvedu njene odredbe u svoje nacionalne zakone i odrede kriterije za kategorizaciju subjekata.
Nakon objave kriterija za kategorizaciju, članice su dužne stvoriti popis svih subjekata koje obuhvaća direktiva te će ih o tome pravovremeno obavijestiti. Po primanju obavijesti o kategorizaciji, ključni ili važni subjekti će u roku određenom u nacionalnim zakonima morati implementirati sve zahtjeve.
Za proces usklađenja s NIS2 direktive predviđeno je prosječnih 12 mjeseci, što u prijevodu znači da je vremena vrlo malo. Zbog toga je vrlo bitno planiranje organizacijskih, tehničkih i financijskih aktivnosti radi pravovremene pripreme za NIS2 direktivu.
Rokovi za ZKS
Hrvatski sabor uveo je zahtjeve Direktive (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti u Zakon o kibernetičkoj sigurnosti (NN 14/2024) koji je objavljen 7. veljače 2024. godine u Narodnim novinama, a na snazi je od 15. veljače 2024.
Nakon što je zakon stupio na snagu biti će doneseni i popratni podzakonski propisi koji će se vezati na Zakon o kibernetičkoj sigurnosti te će detaljnije propisivati mjere kibernetičke sigurnosti koje subjekti moraju primjenjivati. Ti propisi i njihovi rokovi su:
- Nacionalni program upravljanja kibernetičkim krizama koji će biti objavljen 3 mjeseca nakon ZKS-a te će određivati upravljanje incidentima velikih razmjera.
- Provedbeni propis Vlade RH o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata koji će biti objavljen 9 mjeseci nakon stupanja na snagu ZKS-a.
- Plan provedbe vježbi kibernetičke sigurnosti 12 mjeseci nakon ZKS-a.
- Srednjoročni akt strateškog planiranja 2 godine nakon ZKS-a.
Za tvrtke je najvažniji provedbeni propis Vlade RH o kategorizaciji subjekata. Po objavi propisa nadležna tijela će do 15. veljače 2025. obavijestiti obuhvaćene subjekte o pripadajućoj kategorizaciji. U periodu od narednih godinu dana, kategorizirani subjekti moraju implementirati mjere definirane u ZKS-u.
Prema članku 37. Zakona o kibernetičkoj sigurnosti nakon što su dobili obavijest nadležnog tijela o kategorizaciji, ključni i važni subjekti koji se nalaze na popisu kategoriziranih subjekata, moraju u roku od 30 dana početi obavještavati nadležni CSIRT (Computer Incident Response Team) o sigurnosnim incidentima.
Subjekti već sada moraju planirati kako će se uskladiti s Zakonom i njegovim podzakonskim propisima. Sat za usklađivanje već kuca te svaki dan bez akcije predstavlja rizik za subjekte koji nisu počeli s priprema za primjenu odredbi Zakona. Brza reakcija je ključna kako bi se izbjegle sankcije i osigurala stabilnost poslovanja. Rokovi ne čekaju nikoga, stoga je nužno uskladiti se odmah.
