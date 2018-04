Nešto prije stupanja na snagu poznate Uredbe o zaštiti podataka (General Data Protection Regulation – GDPR) 25. svibnja ove godine države članice Europske unije trebaju do 9. svibnja ukladiti svoje zakonodavstvo (a time bi naravno trebali i praksu) s NIS direktivom (Network and Information Security Directive).

„Države članice dužne su donijeti i objaviti zakone i druge propise koji su potrebni za usklađivanje s NIS direktivom do 9. svibnja 2018. godine, te o tome odmah obavijestiti Europsku komisiju. Također, države članice dužne su najkasnije do 9. studenog 2018. godine, a nakon toga svake dvije godine, Europskoj komisiji dostavljati podatke koji su potrebni kako bi se Europskoj komisiji omogućila procjena učinkovitosti nacionalne provedbe NIS direktive“, pojašnjava pomoćnik predstojnika Ureda Vijeća za nacionalnu sigurnost Aleksandar Klaić.

NIS direktiva nastala je na temelju provedbe EU strategije cyber sigurnosti donesene još 7. veljače 2013. godine (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 7.2.2013, JOIN(2013)1 final). NIS direktiva je dio široke aktualne digitalne inicijative EU-a, kojom se svijest o nužnosti razvoja digitalnoga gospodarstva širi kroz niz segmenata suvremenoga društva, putem aktualnoga procesa stvaranja jedinstvenoga digitalnog tržišta EU-a (Digital Single Market), zatim nizom inicijativa za jačanje sigurnosne svijesti o cyber prostoru, kao i putem poticanja razvoja javno-privatnoga partnerstva i elektroničkih usluga u državnoj upravi i gospodarstvu.

Pri tome NIS direktiva stvara primjerene okvire prevencije i zaštite društva od cyber ugroza zajedničkim pristupom svih država članica koje osiguravaju usklađene vertikalne sektorske pristupe nacionalnom provedbom NIS direktive, dok primjerice nova EU regulativa zaštite osobnih podataka (GDPR) sličan pristup osigurava horizontalnim funkcionalnim pristupom kroz sve segmente društva u cjelini.

Temeljni cilj NIS direktive jest osigurati u svim državama članicama zajedničku razinu sigurnosti mrežnih i informacijskih sustava čije bi neispravno funkcioniranje uslijed sigurnosnih incidenata moglo imati snažne negativne posljedice na društvo ili nacionalnu ekonomiju. Pri tome NIS direktiva uvodi regulativne elemente koji, uz uvođenje zajedničke razine sigurnosti, omogućavaju trajno praćenje stanja automatiziranosti i digitalizacije utvrđenih sektora.

Sektori koji su utvrđeni kao obavezni u NIS direktivi jesu:

– energetika (električna energija, nafta, plin),

– prijevoz (zračni, željeznički, vodni, cestovni),

– bankarstvo, infrastrukture financijskoga tržišta,

– zdravstveni sektor,

– opskrba vodom za piće i njezina distribucija te

– digitalna infrastruktura (razmjena internetskoga prometa, usluge naziva domena i kontrola vršne nacionalne domene).

Provedba odgovarajućih mjera prema NIS direktivi obvezna je samo za slučajeve kada ključna usluga operatora na tržištu ovisi o mrežnim i informacijskim sustavima, no postupak prepoznavanja operatora ključnih usluga odnosno njihove ovisnosti o mrežnim i informacijskim sustavima potrebno je redovito provoditi i ažurirati popis takvih operatora. Stoga, prvu skupinu obveznika zahtjeva iz NIS direktive čine operatori koji pružaju ključne usluge za društvo ili nacionalnu ekonomiju (Operators of Essential Services – OES), u okviru ranije navedenih sedam NIS sektora. U Republici Hrvatskoj predlaže se Zakonom uvesti obvezu primjene mjera zaštite i obavješćivanja o sigurnosnim incidentima i u dodatnom sektoru koji obuhvaća usluge u sustavima državne informacijske infrastrukture (usluge u sustavu e-Građani, poslovne usluge za korisnike državnoga proračuna).

Drugu skupinu obveznika NIS direktive čine davatelji digitalnih usluga (Digital Service Providers – DSP) koje su definirane kao: internetsko tržište, internetske tražilice i usluge računalstva u cloudu.

Te usluge su od primarne važnosti za jedinstveno digitalno tržište EU-a te stoga Europska komisija priprema donošenje provedbenoga propisa kojim će se na jedinstven način detaljnije regulirati obveze u odnosu na tri definirane vrste digitalnih usluga iz NIS direktive u svim državama članicama EU-a.

NIS direktiva, uz obvezu uvođenja tehničkih i organizacijskih mjera za upravljanje rizicima i razmjerne provedbe i mjera za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata na sigurnost mrežnih i informacijskih sustava, uvodi i obvezu obavješćivanja o incidentima koji mogu imati znatan učinak na kontinuitet u pružanju ključnih usluga.

Iako su rizici u NIS direktivi usmjereni prvenstveno na mrežne i informacijske sustave koji su u potpori ključnih usluga u odabranim sektorima, odnosno digitalnim uslugama, incidenti, prema definiciji iz NIS direktive obuhvaćaju široki, opći opseg svih kategorija mogućih incidenata (kvarova, nesreća i napada), koji mogu imati negativni učinak na sigurnost mrežnih i informacijskih sustava korištenih u ostvarivanju ključnih usluga ili digitalnih usluga te u konačnici na kontinuitet dostupnosti tih usluga.

Kriteriji za određivanje incidenata koji imaju znatan učinak na davanje digitalnih usluga propisuju se provedbenim propisom Europske komisije, koji je u tijeku donošenja. Kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti o incidentima, kod operatora ključnih usluga i davatelja digitalnih usluga, način dostave obavijesti i druga pitanja bitna za postupanje s takvim obavijestima uredit će se nacionalnim podzakonskim aktom predloženoga nacionalnog transpozicijskog zakona.

Tehnička primjena

Kako bi se osigurao integritet i kontinuitet poslovanja operatera ključnih i digitalnih usluga NIS direktiva propisuje da tvrtke iz sektora energetika, prijevoz, bankarstvo, zdravstvo, vodo-opskrba i digitalnih usluge te koje odgovaraju kriterijima propisanim zakonom, moraju implementirati:

– Tehničke i organizacijske mjera za upravljanje rizicima, uzimajući pri tome u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području cyber sigurnosti.

– Mjere za sprečavanje i ublažavanje učinaka incidenata na sigurnost mrežnih i informacijskih sustava.

To znači da se kod odabira i implementacije tehničke mjere cyber zaštite moraju uzeti sustavi za zaštitu od naprednih prijetnji (ATP), sustavi za detekciju anomalija u korisničkom ponašanju i mrežnom prometu (UEBA) te sustavi za provjeru i analizu ranjivosti tehnologije. Najnapredniji sustavi zaštite omoggućiti će pravodobno utvrđivanje rizika incidenata, njihovo pravodobno otkrivanje, sprijačavanje ili rješavanje te ublažavanje posljedica.

Kako bi se osigurao kvalitetan proces upravljanja incidentima potrebno je posjedovati odgovarajuću popratnu infrastrukturu i uigrane procese. Kao ključna tehnologija za izvršavanje tih zahtjeva je svakako SIEM (Security Information and Event Management) koja može omogućiti pravovremenu detekciju sigurnosnih incidenata, a nakon toga i omogućiti kvalificiranom osoblju da analiziraju incident, utvrde njegov opseg i važnost te prema potrebi informiraju nadležne institucije (CSIRT).

Sustavi zaštite prema NIS direktivi trebaju biti aktivni 24/7/365. Kako bi se osiguralo i motiviralo tvrtke da se usklade s novim zakonom predviđene su kazne od 15.000 do 500.000 kuna. Ovisno o tome koga se kažnjava i po kojem članku/prekršaju (pravnu ili odgovornu fizičku osobu).