Pripremite se za NIS2 uz Alfatec

Direktiva o mrežnoj i informacijskoj sigurnosti 2 (NIS2) Europske unije je ažurirani zakonodavni akt usmjeren na postizanje visoke zajedničke razine kibernetičke sigurnosti diljem Europske unije. Izvorno usvojena 2016. godine, prva iteracija NIS-a uvelike se oslanjala na diskreciju pojedinih država članica i nedostajala joj je odgovornost.

Što donosi NIS2?

Dana 16. siječnja 2023., kao odgovor na rastuće prijetnje uzrokovane povećanom digitalizacijom i porastom kibernetičkih napada, EU je usvojila NIS2 kako bi ojačala sigurnosne zahtjeve i kibernetičku otpornost. 27 država članica EU ima rok do 17. listopada 2024. za prenošenje Direktive NIS2 u primjenjive nacionalne zakone.

NIS2 zahtijeva od operatora kritične infrastrukture i ključnih usluga u EU da provedu odgovarajuće sigurnosne mjere i prijave svaki incident relevantnim tijelima. Direktiva se bavi sigurnošću lanaca opskrbe, pojednostavljuje obveze izvješćivanja i uvodi strože nadzorne mjere i strože zahtjeve za provedbu, uključujući usklađene sankcije diljem EU.

Pročitajte više

Od NIS do NIS2

NIS2 proširuje izvornu NIS direktivu kako bi obuhvatila više industrijskih sektora, s dodatnim mjerama upravljanja rizicima i obvezama prijavljivanja incidenata. Također predviđa snažniju provedbu. NIS2 nadograđuje NIS u 4 ključna područja:

  1. Prošireni opseg: NIS2 proširuje svoj doseg sa sedam na osamnaest sektora. NIS2 je također kategorizirao svaki sektor kao ključni ili važan, s različitim zahtjevima nadzora.
  2. Stroži sigurnosni zahtjevi: Direktiva nameće strože mjere kibernetičke sigurnosti. Ovi zahtjevi uključuju prakse upravljanja rizicima, tehničke i organizacijske mjere, planove odgovora na incidente i oporavka, obuku zaposlenika te redovita ažuriranja i zakrpe.
  3. Obavezno prijavljivanje incidenata u određenim vremenskim rokovima: NIS2 zahtijeva od organizacija da prijave značajne incidente kibernetičke sigurnosti, odnosno one koji će vjerojatno negativno utjecati na pružanje usluga organizacije. Organizacije moraju podnijeti "rano upozorenje" koristeći standardizirani format i skraćeni rok izvješćivanja od 24 sata, nakon čega slijedi Obavijest o incidentu unutar 72 sata od prvog saznanja o incidentu, kao i Konačno izvješće unutar 30 dana.
  4. Provedba kroz kazne: NIS2 direktiva nameće strože kazne za nepoštivanje, uključujući povećane novčane kazne.
Pročitajte više

Ključni i važni subjekti

NIS2 je proširio opseg direktive sa sedam na osamnaest sektora. Prethodna verzija NIS-a identificirala je zdravstvo, transport, digitalnu infrastrukturu, vodoopskrbu, bankarstvo, infrastrukturu financijskog tržišta i energetiku kao ključne sektore. 

Glavna razlika između ove dvije kategorizacije je u načinu nadzora subjekata. Ključni subjekti moraju se pridržavati zahtjeva nadzora, dok će važni subjekti biti podložni samo ex-post nadzoru. Ex-post nadzor znači da će se nadzorne mjere poduzeti samo ako tijela prime dokaze o nepoštivanju propisa.

 

Pojedine države članice mogu odrediti što čini nadzor, kao što je:

  • Inspekcije na licu mjesta i nadzor na daljinu, uključujući nasumične provjere i redovite revizije.
  • Ciljane sigurnosne revizije procjena rizika ili informacija dostupnih o rizicima.
  • Sigurnosna skeniranja temeljena na objektivnim, nediskriminirajućim, pravednim i transparentnim kriterijima procjene rizika.
  • Zahtjev za informacijama potrebnim za procjenu usvojenih mjera kibernetičke sigurnosti subjekta, uključujući dokumentirane politike kibernetičke sigurnosti.
  • Zahtjevi za pristup podacima, dokumentima ili informacijama potrebnim za obavljanje njihovih nadzornih zadataka.
  • Zahtjevi za dokazima o provedbi politike kibernetičke sigurnosti, poput rezultata sigurnosnih revizija koje je proveo kvalificirani revizor i odgovarajućih temeljnih dokaza.
Pročitajte više

Minimalni sigurnosni zahtjevi

Članak 21. NIS2 navodi: 

"Države članice osiguravaju da ključni i važni subjekti poduzmu odgovarajuće i proporcionalne tehničke, operativne i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti mrežnih i informacijskih sustava koje ti subjekti koriste za svoje poslovanje ili pružanje svojih usluga te za sprječavanje ili minimiziranje utjecaja incidenata na primatelje njihovih usluga i na druge usluge." 

 

Pročitajte više

Vremenski okvir za izvještavanje

Članak 23. NIS2 zahtijeva da se izvijesti o svakom značajnom kibernetičkom sigurnosnom incidentu "...koji ima značajan utjecaj na pružanje njihovih usluga...", bez obzira je li napad stvarno utjecao na poslovanje subjekta. Svrha ovoga je pomoći vlastima u poboljšanju praćenja i odgovora na potencijalne prijetnje. NIS2 zadržava zahtjev iz NIS-a da svaka država članica EU odredi središnju kontaktnu točku za usklađenost i koordinirajući Tim za odgovor na računalne sigurnosne incidente (CSIRT) za prijavljivanje incidenata ili nadležno tijelo.

Najznačajnija promjena vezana uz prijavljivanje incidenata je način na koji NIS2 Direktiva detaljno opisuje obavezni višestupanjski proces prijavljivanja incidenata i sadržaj koji mora biti uključen:

  1. Rano upozorenje: Unutar 24 sata
    Početno izvješće mora se podnijeti nadležnom tijelu ili nacionalno relevantnom CSIRT-u unutar 24 sata od kibernetičkog sigurnosnog incidenta. Početno izvješće treba pružiti rano upozorenje gdje može biti prekograničnih utjecaja ili zlonamjernosti. Ova prva obavijest namijenjena je ograničavanju potencijalnog širenja kibernetičke prijetnje.
     
  2. Naknadna obavijest o incidentu: Unutar 72 sata
    Detaljnije izvješće o obavijesti mora se priopćiti unutar 72 sata. Ono treba sadržavati procjenu incidenta, uključujući njegovu ozbiljnost, utjecaj i pokazatelje kompromitiranosti. Pogođeni subjekt također bi trebao prijaviti incident tijelima za provedbu zakona ako je bio kriminalan.
     
  3. Završno izvješće: Unutar mjesec dana
    Završno izvješće mora se podnijeti u roku od mjesec dana nakon početne obavijesti ili prvog izvješća. Ovo završno izvješće mora uključivati:
  • Detaljan opis incidenta.
  • Ozbiljnost i posljedice.
  • Vrstu prijetnje ili uzroka koji je vjerojatno doveo do incidenta.
  • Sve primijenjene i tekuće mjere ublažavanja.
     

Dodatno, prema NIS2 Direktivi, subjekti moraju prijaviti svaku veliku kibernetičku prijetnju koju identificiraju, a koja bi mogla rezultirati značajnim incidentom. Prijetnja se smatra značajnom ako rezultira:

- Materijalnim operativnim poremećajem ili financijskim gubicima za dotični subjekt
- Može utjecati na fizičke ili pravne osobe uzrokujući značajnu materijalnu ili nematerijalnu štetu.

Pročitajte više

Kazne za nepoštivanje

Nepoštivanje NIS2 Direktive donosi strože kazne nego NIS. Prema NIS2 Direktivi, kazne za nepoštivanje razlikuju se za ključne i važne subjekte.

  1. Nenovčane kazne 

    NIS 2 daje nacionalnim nadzornim tijelima ovlast izricanja: 
    - Naloga za usklađivanje
    - Obvezujućih uputa
    - Sigurnosnih revizija
    - Naloga za obaviještavanje o prijetnjama
     
  2. Administrativne novčane kazne  

    - Za ključne subjekte, administrativne novčane kazne mogu iznositi do 10.000.000 eura ili najmanje 2% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj ključni subjekt pripada, ovisno o tome koji je iznos veći.

    - Za važne subjekte, administrativne novčane kazne mogu iznositi do 7.000.000 eura ili najmanje 1,4% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj važni subjekt pripada, ovisno o tome koji je iznos veći.
     
  3. Kaznene sankcije za upravljačka tijela

Umjesto da sav pritisak usklađivanja s NIS2 stavi na IT odjele, Direktiva uključuje nove sankcije kojima se vrhovni upravljački organi mogu smatrati osobno odgovornima za grubu nepažnju u slučaju kibernetičkog sigurnosnog incidenta. Na primjer, nadležno tijelo može privremeno zabraniti rukovoditeljima obnašanje upravljačkih funkcija. Također može naložiti organizacijama da otkriju kršenja usklađenosti i daju javnu izjavu koja identificira osobu(e) odgovorne za incident.

Pročitajte više

Rok za usklađivanje

NIS2 Direktiva stupila je na snagu u siječnju 2023. Države članice EU imaju rok do 17. listopada 2024. da ugrade njezine odredbe u svoje nacionalne zakone i uspostave kriterije za kategorizaciju subjekata.

Nakon objavljivanja kriterija kategorizacije, države članice moraju stvoriti popis svih subjekata obuhvaćenih direktivom i promptno ih o tome obavijestiti. Po primitku obavijesti o kategorizaciji, ključni ili važni subjekti moraju implementirati sve zahtjeve unutar vremenskog okvira određenog nacionalnim zakonima.

Pročitajte više

NIS2 i drugi propisi

Uz NIS2, operateri u EU morat će se nositi s brojnim drugim propisima, uključujući:

  1. Akt o digitalnoj operativnoj otpornosti (DORA)
  2. Direktivu o otpornosti kritičnih subjekata (CER)
  3. Akt o kibernetičkoj otpornosti (CRA)

NIS2 naspram DORA: Oboje su propisi o kibernetičkoj sigurnosti, ali DORA je specifično usmjerena na financijski sektor, dok NIS2 pokriva širi raspon organizacija. Za financijske subjekte, odredbe DORA-e vezane uz upravljanje ICT rizicima i izvješćivanje, testiranje digitalne operativne otpornosti, dijeljenje informacija i rizik treće strane primjenjivat će se umjesto onih navedenih u NIS2.

NIS2 naspram CER Direktive: CER Direktiva primjenjuje se na kritične subjekte, usmjeravajući njihovu obranu protiv rizika koji nisu povezani s kibernetikom. Dok se NIS2 fokusira na kibernetičku sigurnost, mogu postojati preklapanja u smislu obuhvaćenih subjekata. U takvim slučajevima, organizacije će morati osigurati usklađenost s obje direktive, rješavajući i kibernetičku i fizičku otpornost.

NIS2 naspram CRA: Akt o kibernetičkoj otpornosti fokusira se na kibernetičku sigurnost hardverskih i softverskih proizvoda s digitalnim elementima. Dok se NIS2 fokusira na poboljšanje sigurnosnog položaja samih tvrtki, CRA zahtijeva od tvrtki da prioritiziraju sigurnost proizvoda koje proizvode ili prodaju. Općenito, CRA nadopunjuje NIS2, ali ga nužno ne preklapa niti zamjenjuje.

Pročitajte više

Kako Alfatec može pomoći?

Alfatec Group se ponosi dugogodišnjom prisutnošću u industriji. Naše dugotrajne suradnje s brojnim dobavljačima protežu se kroz nekoliko desetljeća, naglašavajući našu predanost i stručnost. Među našim najcjenjenijim partnerstvima su ona s Thalesom i Entrustom, odnosi koji dosljedno pružaju izvanrednu vrijednost našim brojnim klijentima. Kao nagrađeni distributeri za regiju jugoistočne Europe, nudimo sveobuhvatan paket usluga:

  1. Stručno savjetovanje i podršku u odabiru optimalnih rješenja prilagođenih vašim specifičnim poslovnim zahtjevima i potrebama usklađenosti. 
  2. Snažnu tehničku podršku za osiguravanje glatke implementacije i rada odabranih rješenja. 
  3. Pristup naprednim mogućnostima obuke kroz našu opsežnu mrežu partnera, omogućujući vašem timu maksimalno iskorištavanje potencijala implementiranih tehnologija.

Ova partnerstva nam omogućuju pružanje najsuvremenijih rješenja i nenadmašne podrške, učvršćujući našu poziciju kao pouzdanog partnera.

Kontaktirajte nas na azur.saciragic(at)alfatec.ai ili dario.selimagic(at)alfatec.ai 

 

ENTRUST

"U Entrustu, olakšavamo kibernetičku sigurnost i zaštitu podataka." Njihov portfelj uključuje sva rješenja za usklađenost koja su vam potrebna, uključujući:

  • Entrust KeyControl

Entrust KeyControl pruža preciznu kontrolu vaših kriptografskih ključeva i tajni, nudeći potpunu vidljivost, mogućnost praćenja i nepromjenjivi revizijski trag.

  • Hardware Security Modules (HSMs)

Entrustovi nShield HSM-ovi pružaju sigurno okruženje za generiranje, upravljanje i zaštitu kriptografskih ključeva, koji su ključni za osiguravanje osjetljivih podataka i osiguravanje integriteta digitalnih transakcija.

  • Identity and Access Management (IAM)

Entrust pruža IAM rješenja koja omogućuju organizacijama da osiguraju pristup osjetljivim informacijama samo ovlaštenim korisnicima, pružajući čvrstu osnovu za Zero Trust sigurnost.


THALES

„Thales CipherTrust manager omogućuje postizanje usklađenosti prema NIS2 regulativi pokrivajući širok raspon zahtjeva:

  1. 21.2, a: “…policies on risk analysis and information system security;

    - CipherTrust Data Discovery and Classification

    Identificira strukturirane i nestrukturirane osjetljive podatke na lokaciji i u oblaku. Ugrađeni predlošci omogućuju brzu identifikaciju reguliranih podataka, ističu sigurnosne rizike i pomažu u otkrivanju praznina u usklađenosti.
     
  2. 21. 2, d: supply chain security, … concerning the relationships between each entity and its; direct suppliers or service providers 

    - CipherTrust Cloud Key Management 

    Smanjuje rizike trećih strana održavanjem ključeva koji štite osjetljive podatke koje hostaju pružatelji usluga u oblaku na lokaciji pod punom kontrolom financijske institucije.

    - CipherTrust Transparent Encryption

    Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke. To sprječava zaposlenike pružatelja usluga u oblaku, poput inženjera podrške i administratora baza podataka, da vide podatke u čistom obliku.
     
  3. 21. 2, h: “…policies and procedures regarding the use of cryptography and, where appropriate, encryption”  

    - CipherTrust Transparent Encryption

    Pruža šifriranje podataka u mirovanju za datoteke i mape te kontrolu pristupa privilegiranim korisnicima s detaljnim politikama. Štiti podatke gdje god se nalazili, na lokaciji, u oblacima te u okruženjima velikih podataka i kontejnera.

    - CipherTrust Tokenization

    Omogućuje pseudonimizaciju osjetljivih informacija u bazama podataka uz zadržavanje mogućnosti analize agregatnih podataka, bez izlaganja osjetljivih podataka tijekom analize ili u izvješćima.

    - CipherTrust Enterprise Key Management

    Pojednostavljuje i ojačava upravljanje ključevima u okruženjima oblaka i na lokaciji za interno razvijeno šifriranje, kao i za aplikacije trećih strana.
     
  4. 21. 2, i: “…access control policies and asset management; 
    21. 2, j: the use of multi-factor authentication or continuous authentication solutions…” 

    - OneWelcome Identity & Access Management

    Ograničava pristup unutarnjim i vanjskim korisnicima na temelju njihovih uloga i konteksta s detaljnim politikama pristupa i autorizacije koje pomažu osigurati da pravi korisnik dobije pristup pravom resursu u pravo vrijeme.

    - CipherTrust Transparent Encryption

    Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke kroz detaljne politike sigurnosti pristupa i upravljanje ključevima.
     
Pročitajte više

Da bi ova web-stranica mogla pravilno funkcionirati i da bismo unaprijedili vaše korisničko iskustvo, koristimo kolačiće. Više informacija potražite u našoj Politici kolačića.

  • Nužni kolačići omogućuju osnovne funkcionalnosti. Bez ovih kolačića, web-stranica ne može pravilno funkcionirati, a isključiti ih možete mijenjanjem postavki u svome web-pregledniku.