Samo su Belgija i Hrvatska usvojile kibernetička NIS2 pravila
Uskoro počinje primjena ažuriranih kibernetičkih pravila u Europskoj uniji, ali samo su dvije od 27 država članica do sada obavijestile Europsku komisiju o svojim nacionalnim provedbenim zakonima
Naime, samo su Belgija i Hrvatska službeno obavijestile Europsku komisiju (EK) o prijenosu ažuriranih pravila EU-a o kibernetičkoj sigurnosti za kritične subjekte, tjedan dana prije roka. EK je do sada primila obavijest o potpunom prijenosu NIS2 u nacionalni zakon od strane Belgije i o djelomičnom prijenosu od strane Hrvatske.
Preostalih 25 zemalja ima rok do 17. listopada za implementaciju Direktive o mrežnoj i informacijskoj sigurnosti 2 (NIS2), koja je odobrena još 2022. godine s ciljem zaštite kritičnih entiteta, kao što su energija, promet, bankarstvo, voda i digitalna infrastruktura, od velikih cyber incidenata.
Kazne do 10 milijuna eura
Europska komisija je predložila reviziju NIS1 – s ciljem jačanja otpornosti mrežnih i informacijskih sustava diljem Europe na kibernetičke sigurnosne rizike – s ciljem držanja koraka s povećanom digitalizacijom i razvojem kibernetičko sigurnosnih prijetnji.
Prva direktiva predstavljena 2016. godine (NIS 1) do sada nije uspjela poboljšati kibernetičku otpornost poduzeća koja posluju u EU-u i nije promicala zajednički odgovor na krizu.
Tvrtke moraju izdati upozorenje u roku od 24 sata i dostaviti izvješće o incidentu u roku od 72 sata u slučaju incidenata koji uzrokuju ozbiljne smetnje u radu.
U slučaju nepridržavanja, tvrtke se suočavaju s kaznama do 10 milijuna eura ili 2% globalnog prihoda, ovisno o tome što je veće.
Nova razina zaštite
NIS2 Direktiva je zakonodavstvo o kibernetičkoj sigurnosti na razini cijele EU. Pruža pravne mjere za jačanje ukupne razine kibernetičke sigurnosti u EU-u.
Pravila EU-a o kibernetičkoj sigurnosti uvedena 2016. godine ažurirana su Direktivom NIS2 koja je stupila na snagu 2023. godine. Njome je moderniziran postojeći pravni okvir kako bi se držalo korak s povećanom digitalizacijom i razvojem krajolika kibernetičko sigurnosnih prijetnji. Proširujući opseg pravila kibernetičke sigurnosti na nove sektore i subjekte, dodatno se poboljšava otpornost i kapaciteti odgovora na incidente javnih i privatnih subjekata, nadležnih tijela i EU-a u cjelini.
Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti diljem Europske unije (Direktiva NIS2) pruža pravne mjere za jačanje ukupne razine kibernetičke sigurnosti u EU osiguravajući:
- pripremljenost država članica, zahtijevajući da budu odgovarajuće opremljene. Na primjer, s timom za odgovor na računalne sigurnosne incidente (CSIRT) i nadležnim nacionalnim tijelom za mrežne i informacijske sustave (NIS),
- suradnju među svim državama članicama, uspostavom skupine za suradnju za podršku i olakšavanje strateške suradnje i razmjene informacija među državama članicama.
- kultura sigurnosti u sektorima koji su vitalni za naše gospodarstvo i društvo i koji se uvelike oslanjaju na ICT, kao što su energija, transport, voda, bankarstvo, infrastrukture financijskih tržišta, zdravstvena skrb i digitalna infrastruktura.
Poduzeća koja su države članice identificirale kao operatere osnovnih usluga u gore navedenim sektorima morat će poduzeti odgovarajuće sigurnosne mjere i obavijestiti relevantna nacionalna tijela o ozbiljnim incidentima. Ključni pružatelji digitalnih usluga, kao što su tražilice, usluge računalstva u oblaku i internetska tržišta, morat će se pridržavati sigurnosnih zahtjeva i zahtjeva obavješćivanja prema Direktivi.
