Poglavlja 08 Na snazi: 18. listopada 2024.

NIS2 Direktiva

Direktiva o sigurnosti mrežnih i informacijskih sustava

Pregled

NIS2 zamjenjuje i značajno proširuje izvornu NIS Direktivu, uspostavljajući visoku zajedničku razinu kibernetičke sigurnosti diljem EU. Primjenjuje se na znatno širi raspon sektora i subjekata, uvodi strože nadzorne mjere i harmonizira sankcije među državama članicama.[1]

Kao direktiva, NIS2 je zahtijevala prenošenje u nacionalno zakonodavstvo do 17. listopada 2024. Provedba varira ovisno o državi članici.

Opseg: Ključni vs Važni subjekti

Ključni subjekti (stroža kontrola)[2]

SektorPrimjeri
EnergijaElektrična energija, nafta, plin, vodik, daljinsko grijanje
PrijevozZračni, željeznički, vodeni, cestovni
BankaKreditne institucije
Financijska tržištaTrgovačka mjesta, centralni protustranke
ZdravstvoZdravstveni pružatelji usluga, laboratoriji, farmacija, medicinski uređaji
Voda za pićeOpskrbljivači vodom
Otpadne vodePročišćavanje otpadnih voda
Digitalna infrastrukturaIXP-ovi, DNS, TLD registri, cloud, podatkovni centri, CDN-ovi, TSP-ovi
Upravljanje ICT uslugamaUpravljani pružatelji usluga, upravljani pružatelji sigurnosnih usluga
Javna upravaSubjekti središnje vlasti
ProstorOperatori zemaljske infrastrukture

Važni subjekti (blaža kontrola)

SektorPrimjeri
Poštanske uslugePoštanske i kurirske usluge
Upravljanje otpadomSakupljanje i obrada otpada
KemikalijeProizvodnja i distribucija
HranaProizvodnja i distribucija
ProizvodnjaMedicinski uređaji, elektronika, strojevi, vozila
Digitalni pružateljiOnline tržišta, tražilice, društvene mreže
IstraživanjeIstraživačke organizacije

Veličinski pragovi

NIS2 se općenito primjenjuje na srednje i velike subjekte:

  • Srednji: 50+ zaposlenih ILI 10 milijuna €+ prihoda/bilance
  • Veliki: 250+ zaposlenih ILI 50 milijuna €+ prihoda ILI 43 milijuna €+ bilance

Neki subjekti se primjenjuju bez obzira na veličinu (DNS, TLD registri, cloud pružatelji, podatkovni centri itd.).

Ključni zahtjevi

Mjere upravljanja rizicima (Članak 21)[3]

Subjekti moraju provesti odgovarajuće tehničke, operativne i organizacijske mjere:

  1. Politike: Analiza rizika i politike sigurnosti informacijskih sustava
  2. Rukovanje incidentima: Postupci otkrivanja, odgovora i oporavka
  3. Kontinuitet poslovanja: Sigurnosne kopije, oporavak od katastrofa, upravljanje krizama
  4. Sigurnost lanca opskrbe: Sigurnosni zahtjevi za dobavljače
  5. Sigurnost mreže: Sigurnost pri nabavi, razvoju i održavanju
  6. Procjena učinkovitosti: Politike za procjenu učinkovitosti sigurnosnih mjera
  7. Osnovna kibernetička higijena: Programi obuke i podizanja svijesti
  8. Kryptografija: Politike o kriptografskim kontrolama i enkripciji
  9. Ljudski resursi: Sigurnost osoblja i kontrole pristupa
  10. Višefaktorska autentifikacija: MFA i sigurni komunikacijski sustavi

Prijava incidenata (Članak 23)[4]

RokZahtjev
24 sataRano upozorenje CSIRT-u/ nadležnom tijelu
72 sataObavijest o incidentu s početnom procjenom
1 mjesecZavršno izvješće s uzrokom i mjerama ublažavanja

Značajni incidenti moraju se prijaviti ako uzrokuju ili mogu uzrokovati ozbiljne operativne poremećaje ili financijske gubitke, ili utječu na druge fizičke ili pravne osobe.

Odgovornost uprave

Upravna tijela moraju:

  • Odobriti mjere upravljanja rizicima kibernetičke sigurnosti
  • Nadzor nad provedbom sigurnosnih mjera
  • Biti osobno odgovorna za neusklađenost
  • Proći obuku o kibernetičkoj sigurnosti

Kazne

  • Ključni subjekti: Do 10 milijuna € ili 2% globalnog prihoda
  • Važni subjekti: Do 7 milijuna € ili 1,4% globalnog prihoda[5]

Države članice mogu nametnuti dodatne kazne uključujući privremene zabrane upravljanja.

Obveze programera i pružatelja ICT usluga

Ako pružate ICT usluge ili proizvode:

  1. Upravljani pružatelji usluga: Izravno u opsegu kao ključni subjekti
  2. Cloud pružatelji: Izravno u opsegu kao ključni subjekti
  3. Programeri softvera: Obveze u lancu opskrbe od strane korisničkih subjekata
  4. Pružatelji sigurnosnih rješenja: Mogu biti označeni kao važni subjekti

Izvori i reference

[1]
Direktiva (EU) 2022/2555 o visokoj zajedničkoj razini kibernetičke sigurnosti. EUR-Lex: NIS2 službeni tekst
[2]
NIS2 Prilozi I i II: sektori ključnih i važnih subjekata. NIS2-Directive.com: sektori
[3]
NIS2 Članak 21: Mjere upravljanja rizicima kibernetičke sigurnosti. NIS2-Directive.com: Članak 21
[4]
NIS2 Članak 23: Obveze prijave incidenata. NIS2-Directive.com: Članak 23
[5]
NIS2 Članak 34: Administrativne novčane kazne. NIS2-Directive.com: Članak 34