NIS2 direktiva: Što očekivati i kako se pripremiti?
NIS2 direktiva se već nekoliko mjeseci nalazi pod medijskim povećalom i jedna je od središnjih rasprava u javnom prostoru. Cilj NIS2 (eng. Network and Information Security) je podizanje zajedničke razine cyber sigurnosti diljem Europske unije. No, mnogi se (s pravom) pitaju zašto nam je potreban NIS2, ako je Direktiva NIS na snazi još od 2016.
U odnosu na prijašnju verziju, NIS2 značajno proširuje polje primjene. Direktiva će donijeti i mnogo veće kazne u slučaju neusklađenosti. To znači da će značajan broj udruga, organizacija i trgovačkih društava - koji do sada nisu bili obuhvaćeni regulativom NIS - biti prisiljeno provjeriti (i kontinuirano provjeravati) razinu vlastite cyber sigurnosti. No, krenimo redom.
Što je NIS2?
NIS2 je najavljena direktiva Europske unije čiji je cilj dodatno povećanje razine cyber sigurnosti na razini Europske unije. NIS2 direktiva obvezuje sve države članice na usvajanje odgovarajućih nacionalnih zakona i politika kako bi implementirale njezine smjernice odnosno zahtjeve. Kao i njezina prethodnica NIS, NIS2 zahtjeva povećanu suradnju između država članica radi razmjene informacija i koordiniranih reakcija na cyber napade.
Kada NIS2 stupa nas snagu?
Europska unija od svih subjekata obuhvaćenih direktivom NIS2 zahtjeva implementaciju propisanih smjernica od 18. listopada 2024.
Na koga se odnosi NIS2?
Za razliku od NIS direktive koja je propisala obveze za pružatelje ključnih usluga i digitalne pružatelje usluga te nekolicinu drugih organizacija, NIS2 značajno proširuje prostor djelovanja. Osim organizacija povezanih s pružanjem digitalnih usluga ili usluga podatkovnih centara i javnih elektroničkih komunikacijskih mreža, nove obveze proizašle iz NIS2 odnosit će se i na javni sektor te dio privatnog. Direktivi NIS2 morat će se prilagoditi 11 sektora.
Koji će se sve sektori morati prilagoditi direktivi NIS2?
Pod mjere propisane direktivnom NIS2 potpadat će sektor zdravstva, organizacije zadužene za opskrbu vodom i energentima, tvrtke čiji je fokus djelovanja zbrinjavanje otpada, javne kompanije koje se bave odvodnjom i kanalizacijom, te sektor prometa.
Kao što je već rečeno, NIS2 proširuje popis djelovanja i na privatni sektor, pa će novom direktivom biti zahvaćen i financijski sektor te tvrtke koje se bave proizvodnjom hrane. Osim njih, NIS2 propisuje mjere i za druge proizvođače kritičnih proizvoda, ali i poštanske i dostavne službe.
Koje mjere propisuje NIS2 za obveznike?
Kao što je već spomenuto, cilj NIS2 direktive je dodatno jačanje razine cyber sigurnosti na razini Europske unije. Direktivom se želi ojačati otpornost na online i offline prijetnje, ali i dodatno zaštititi sve organizacije obuhvaćene regulativom. Pritom neće biti važno radi li se o javnoj ili privatnoj tvrtki.
Sukladno tome, sve će tvrtke trebati implementirati procese i politike za bolje upravljanje rizicima. Tvrtke će ujedno imati obvezu pravovremenog i transparentnog obavještavanja javnosti i svih nadležnih institucijama o cyber napadima i njihovim posljedicama - kada i ako do njih dođe.
Nakon usvajanja NIS2 direktive, od srednjih i velikih organizacija se očekuje kontinuirana provedba sigurnosnih politika nad informacijskim sustavom. Tvrtke će trebati provesti analizu rizika i definirati kontinuitet poslovanja prilikom upravljanja rizicima. Od organizacija se ujedno očekuje implementacija praksi za detektiranje i rukovanje ranjivostima, kao i kontinuirano testiranje razine cyber sigurnosti tvrtke. Dodatne obveze uključuju korištenje enkripcijskih praksi i višefaktorske autentifikacije te provedba sigurne video, glasovne i tekstualne komunikacije.
Kako se pripremiti?
Na tržištu postoji čitav niz rješenja koja organizacijama mogu pomoći u prilagodbi nadolazećoj NIS2 direktivi. Među njima se posebno izdvajaju ona iz Thales portfelja, budući da pružaju sveobuhvatnu zaštitu podataka i usklađenost sa svim zahtjevima koji proizlaze iz NIS2.
Između ostalog, rješenja iz Thalesovog portfelja omogućuju:
- Zaštita transakcija i data-at-rest podataka
- Enkripcija financijskih i osobnih in-motion podataka
- Razvoj i održavanje sigurnih sustava i
- Provedba snažnih mjera kontrole pristupa
- Praćenje i nadziranje svih pristupa osjetljivim informacijama