En
Početna LP Pripremite se za NIS2

Pripremite se za NIS2 uz Alfatec

Direktiva o mrežnoj i informacijskoj sigurnosti 2 (NIS2) Europske unije je ažurirani zakonodavni akt usmjeren na postizanje visoke zajedničke razine kibernetičke sigurnosti diljem Europske unije. Izvorno usvojena 2016. godine, prva iteracija NIS-a uvelike se oslanjala na diskreciju pojedinih država članica i nedostajala joj je odgovornost.

Što donosi NIS2?

Dana 16. siječnja 2023., kao odgovor na rastuće prijetnje uzrokovane povećanom digitalizacijom i porastom kibernetičkih napada, EU je usvojila NIS2 kako bi ojačala sigurnosne zahtjeve i kibernetičku otpornost. 27 država članica EU ima rok do 17. listopada 2024. za prenošenje Direktive NIS2 u primjenjive nacionalne zakone.

NIS2 zahtijeva od operatora kritične infrastrukture i ključnih usluga u EU da provedu odgovarajuće sigurnosne mjere i prijave svaki incident relevantnim tijelima. Direktiva se bavi sigurnošću lanaca opskrbe, pojednostavljuje obveze izvješćivanja i uvodi strože nadzorne mjere i strože zahtjeve za provedbu, uključujući usklađene sankcije diljem EU.

Pročitajte više

Od NIS do NIS2

NIS2 proširuje izvornu NIS direktivu kako bi obuhvatila više industrijskih sektora, s dodatnim mjerama upravljanja rizicima i obvezama prijavljivanja incidenata. Također predviđa snažniju provedbu. NIS2 nadograđuje NIS u 4 ključna područja:

  1. Prošireni opseg: NIS2 proširuje svoj doseg sa sedam na osamnaest sektora. NIS2 je također kategorizirao svaki sektor kao ključni ili važan, s različitim zahtjevima nadzora.
  2. Stroži sigurnosni zahtjevi: Direktiva nameće strože mjere kibernetičke sigurnosti. Ovi zahtjevi uključuju prakse upravljanja rizicima, tehničke i organizacijske mjere, planove odgovora na incidente i oporavka, obuku zaposlenika te redovita ažuriranja i zakrpe.
  3. Obavezno prijavljivanje incidenata u određenim vremenskim rokovima: NIS2 zahtijeva od organizacija da prijave značajne incidente kibernetičke sigurnosti, odnosno one koji će vjerojatno negativno utjecati na pružanje usluga organizacije. Organizacije moraju podnijeti "rano upozorenje" koristeći standardizirani format i skraćeni rok izvješćivanja od 24 sata, nakon čega slijedi Obavijest o incidentu unutar 72 sata od prvog saznanja o incidentu, kao i Konačno izvješće unutar 30 dana.
  4. Provedba kroz kazne: NIS2 direktiva nameće strože kazne za nepoštivanje, uključujući povećane novčane kazne.
Pročitajte više

Ključni i važni subjekti

NIS2 je proširio opseg direktive sa sedam na osamnaest sektora. Prethodna verzija NIS-a identificirala je zdravstvo, transport, digitalnu infrastrukturu, vodoopskrbu, bankarstvo, infrastrukturu financijskog tržišta i energetiku kao ključne sektore. 

Glavna razlika između ove dvije kategorizacije je u načinu nadzora subjekata. Ključni subjekti moraju se pridržavati zahtjeva nadzora, dok će važni subjekti biti podložni samo ex-post nadzoru. Ex-post nadzor znači da će se nadzorne mjere poduzeti samo ako tijela prime dokaze o nepoštivanju propisa.

 

Pojedine države članice mogu odrediti što čini nadzor, kao što je:

  • Inspekcije na licu mjesta i nadzor na daljinu, uključujući nasumične provjere i redovite revizije.
  • Ciljane sigurnosne revizije procjena rizika ili informacija dostupnih o rizicima.
  • Sigurnosna skeniranja temeljena na objektivnim, nediskriminirajućim, pravednim i transparentnim kriterijima procjene rizika.
  • Zahtjev za informacijama potrebnim za procjenu usvojenih mjera kibernetičke sigurnosti subjekta, uključujući dokumentirane politike kibernetičke sigurnosti.
  • Zahtjevi za pristup podacima, dokumentima ili informacijama potrebnim za obavljanje njihovih nadzornih zadataka.
  • Zahtjevi za dokazima o provedbi politike kibernetičke sigurnosti, poput rezultata sigurnosnih revizija koje je proveo kvalificirani revizor i odgovarajućih temeljnih dokaza.
Pročitajte više

Minimalni sigurnosni zahtjevi

Članak 21. NIS2 navodi: 

"Države članice osiguravaju da ključni i važni subjekti poduzmu odgovarajuće i proporcionalne tehničke, operativne i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti mrežnih i informacijskih sustava koje ti subjekti koriste za svoje poslovanje ili pružanje svojih usluga te za sprječavanje ili minimiziranje utjecaja incidenata na primatelje njihovih usluga i na druge usluge." 

 

Pročitajte više

Vremenski okvir za izvještavanje

Članak 23. NIS2 zahtijeva da se izvijesti o svakom značajnom kibernetičkom sigurnosnom incidentu "...koji ima značajan utjecaj na pružanje njihovih usluga...", bez obzira je li napad stvarno utjecao na poslovanje subjekta. Svrha ovoga je pomoći vlastima u poboljšanju praćenja i odgovora na potencijalne prijetnje. NIS2 zadržava zahtjev iz NIS-a da svaka država članica EU odredi središnju kontaktnu točku za usklađenost i koordinirajući Tim za odgovor na računalne sigurnosne incidente (CSIRT) za prijavljivanje incidenata ili nadležno tijelo.

Najznačajnija promjena vezana uz prijavljivanje incidenata je način na koji NIS2 Direktiva detaljno opisuje obavezni višestupanjski proces prijavljivanja incidenata i sadržaj koji mora biti uključen:

  1. Rano upozorenje: Unutar 24 sata
    Početno izvješće mora se podnijeti nadležnom tijelu ili nacionalno relevantnom CSIRT-u unutar 24 sata od kibernetičkog sigurnosnog incidenta. Početno izvješće treba pružiti rano upozorenje gdje može biti prekograničnih utjecaja ili zlonamjernosti. Ova prva obavijest namijenjena je ograničavanju potencijalnog širenja kibernetičke prijetnje.
     
  2. Naknadna obavijest o incidentu: Unutar 72 sata
    Detaljnije izvješće o obavijesti mora se priopćiti unutar 72 sata. Ono treba sadržavati procjenu incidenta, uključujući njegovu ozbiljnost, utjecaj i pokazatelje kompromitiranosti. Pogođeni subjekt također bi trebao prijaviti incident tijelima za provedbu zakona ako je bio kriminalan.
     
  3. Završno izvješće: Unutar mjesec dana
    Završno izvješće mora se podnijeti u roku od mjesec dana nakon početne obavijesti ili prvog izvješća. Ovo završno izvješće mora uključivati:
  • Detaljan opis incidenta.
  • Ozbiljnost i posljedice.
  • Vrstu prijetnje ili uzroka koji je vjerojatno doveo do incidenta.
  • Sve primijenjene i tekuće mjere ublažavanja.
     

Dodatno, prema NIS2 Direktivi, subjekti moraju prijaviti svaku veliku kibernetičku prijetnju koju identificiraju, a koja bi mogla rezultirati značajnim incidentom. Prijetnja se smatra značajnom ako rezultira:

- Materijalnim operativnim poremećajem ili financijskim gubicima za dotični subjekt
- Može utjecati na fizičke ili pravne osobe uzrokujući značajnu materijalnu ili nematerijalnu štetu.

Pročitajte više

Kazne za nepoštivanje

Nepoštivanje NIS2 Direktive donosi strože kazne nego NIS. Prema NIS2 Direktivi, kazne za nepoštivanje razlikuju se za ključne i važne subjekte.

  1. Nenovčane kazne 

    NIS 2 daje nacionalnim nadzornim tijelima ovlast izricanja: 
    - Naloga za usklađivanje
    - Obvezujućih uputa
    - Sigurnosnih revizija
    - Naloga za obaviještavanje o prijetnjama
     
  2. Administrativne novčane kazne  

    - Za ključne subjekte, administrativne novčane kazne mogu iznositi do 10.000.000 eura ili najmanje 2% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj ključni subjekt pripada, ovisno o tome koji je iznos veći.

    - Za važne subjekte, administrativne novčane kazne mogu iznositi do 7.000.000 eura ili najmanje 1,4% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj važni subjekt pripada, ovisno o tome koji je iznos veći.
     
  3. Kaznene sankcije za upravljačka tijela

Umjesto da sav pritisak usklađivanja s NIS2 stavi na IT odjele, Direktiva uključuje nove sankcije kojima se vrhovni upravljački organi mogu smatrati osobno odgovornima za grubu nepažnju u slučaju kibernetičkog sigurnosnog incidenta. Na primjer, nadležno tijelo može privremeno zabraniti rukovoditeljima obnašanje upravljačkih funkcija. Također može naložiti organizacijama da otkriju kršenja usklađenosti i daju javnu izjavu koja identificira osobu(e) odgovorne za incident.

Pročitajte više

Rok za usklađivanje

NIS2 Direktiva stupila je na snagu u siječnju 2023. Države članice EU imaju rok do 17. listopada 2024. da ugrade njezine odredbe u svoje nacionalne zakone i uspostave kriterije za kategorizaciju subjekata.

Nakon objavljivanja kriterija kategorizacije, države članice moraju stvoriti popis svih subjekata obuhvaćenih direktivom i promptno ih o tome obavijestiti. Po primitku obavijesti o kategorizaciji, ključni ili važni subjekti moraju implementirati sve zahtjeve unutar vremenskog okvira određenog nacionalnim zakonima.

Pročitajte više

NIS2 i drugi propisi

Uz NIS2, operateri u EU morat će se nositi s brojnim drugim propisima, uključujući:

  1. Akt o digitalnoj operativnoj otpornosti (DORA)
  2. Direktivu o otpornosti kritičnih subjekata (CER)
  3. Akt o kibernetičkoj otpornosti (CRA)

NIS2 naspram DORA: Oboje su propisi o kibernetičkoj sigurnosti, ali DORA je specifično usmjerena na financijski sektor, dok NIS2 pokriva širi raspon organizacija. Za financijske subjekte, odredbe DORA-e vezane uz upravljanje ICT rizicima i izvješćivanje, testiranje digitalne operativne otpornosti, dijeljenje informacija i rizik treće strane primjenjivat će se umjesto onih navedenih u NIS2.

NIS2 naspram CER Direktive: CER Direktiva primjenjuje se na kritične subjekte, usmjeravajući njihovu obranu protiv rizika koji nisu povezani s kibernetikom. Dok se NIS2 fokusira na kibernetičku sigurnost, mogu postojati preklapanja u smislu obuhvaćenih subjekata. U takvim slučajevima, organizacije će morati osigurati usklađenost s obje direktive, rješavajući i kibernetičku i fizičku otpornost.

NIS2 naspram CRA: Akt o kibernetičkoj otpornosti fokusira se na kibernetičku sigurnost hardverskih i softverskih proizvoda s digitalnim elementima. Dok se NIS2 fokusira na poboljšanje sigurnosnog položaja samih tvrtki, CRA zahtijeva od tvrtki da prioritiziraju sigurnost proizvoda koje proizvode ili prodaju. Općenito, CRA nadopunjuje NIS2, ali ga nužno ne preklapa niti zamjenjuje.

Pročitajte više

Kako Alfatec može pomoći?

Alfatec Group se ponosi dugogodišnjom prisutnošću u industriji. Naše dugotrajne suradnje s brojnim dobavljačima protežu se kroz nekoliko desetljeća, naglašavajući našu predanost i stručnost. Među našim najcjenjenijim partnerstvima su ona s Thalesom i Entrustom, odnosi koji dosljedno pružaju izvanrednu vrijednost našim brojnim klijentima. Kao nagrađeni distributeri za regiju jugoistočne Europe, nudimo sveobuhvatan paket usluga:

  1. Stručno savjetovanje i podršku u odabiru optimalnih rješenja prilagođenih vašim specifičnim poslovnim zahtjevima i potrebama usklađenosti. 
  2. Snažnu tehničku podršku za osiguravanje glatke implementacije i rada odabranih rješenja. 
  3. Pristup naprednim mogućnostima obuke kroz našu opsežnu mrežu partnera, omogućujući vašem timu maksimalno iskorištavanje potencijala implementiranih tehnologija.

Ova partnerstva nam omogućuju pružanje najsuvremenijih rješenja i nenadmašne podrške, učvršćujući našu poziciju kao pouzdanog partnera.

Kontaktirajte nas na azur.saciragic(at)alfatec.ai ili dario.selimagic(at)alfatec.ai 

 

ENTRUST

"U Entrustu, olakšavamo kibernetičku sigurnost i zaštitu podataka." Njihov portfelj uključuje sva rješenja za usklađenost koja su vam potrebna, uključujući:

  • Entrust KeyControl

Entrust KeyControl pruža preciznu kontrolu vaših kriptografskih ključeva i tajni, nudeći potpunu vidljivost, mogućnost praćenja i nepromjenjivi revizijski trag.

  • Hardware Security Modules (HSMs)

Entrustovi nShield HSM-ovi pružaju sigurno okruženje za generiranje, upravljanje i zaštitu kriptografskih ključeva, koji su ključni za osiguravanje osjetljivih podataka i osiguravanje integriteta digitalnih transakcija.

  • Identity and Access Management (IAM)

Entrust pruža IAM rješenja koja omogućuju organizacijama da osiguraju pristup osjetljivim informacijama samo ovlaštenim korisnicima, pružajući čvrstu osnovu za Zero Trust sigurnost.


THALES

„Thales CipherTrust manager omogućuje postizanje usklađenosti prema NIS2 regulativi pokrivajući širok raspon zahtjeva:

  1. 21.2, a: “…policies on risk analysis and information system security;

    - CipherTrust Data Discovery and Classification

    Identificira strukturirane i nestrukturirane osjetljive podatke na lokaciji i u oblaku. Ugrađeni predlošci omogućuju brzu identifikaciju reguliranih podataka, ističu sigurnosne rizike i pomažu u otkrivanju praznina u usklađenosti.
     
  2. 21. 2, d: supply chain security, … concerning the relationships between each entity and its; direct suppliers or service providers 

    - CipherTrust Cloud Key Management 

    Smanjuje rizike trećih strana održavanjem ključeva koji štite osjetljive podatke koje hostaju pružatelji usluga u oblaku na lokaciji pod punom kontrolom financijske institucije.

    - CipherTrust Transparent Encryption

    Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke. To sprječava zaposlenike pružatelja usluga u oblaku, poput inženjera podrške i administratora baza podataka, da vide podatke u čistom obliku.
     
  3. 21. 2, h: “…policies and procedures regarding the use of cryptography and, where appropriate, encryption”  

    - CipherTrust Transparent Encryption

    Pruža šifriranje podataka u mirovanju za datoteke i mape te kontrolu pristupa privilegiranim korisnicima s detaljnim politikama. Štiti podatke gdje god se nalazili, na lokaciji, u oblacima te u okruženjima velikih podataka i kontejnera.

    - CipherTrust Tokenization

    Omogućuje pseudonimizaciju osjetljivih informacija u bazama podataka uz zadržavanje mogućnosti analize agregatnih podataka, bez izlaganja osjetljivih podataka tijekom analize ili u izvješćima.

    - CipherTrust Enterprise Key Management

    Pojednostavljuje i ojačava upravljanje ključevima u okruženjima oblaka i na lokaciji za interno razvijeno šifriranje, kao i za aplikacije trećih strana.
     
  4. 21. 2, i: “…access control policies and asset management; 
    21. 2, j: the use of multi-factor authentication or continuous authentication solutions…” 

    - OneWelcome Identity & Access Management

    Ograničava pristup unutarnjim i vanjskim korisnicima na temelju njihovih uloga i konteksta s detaljnim politikama pristupa i autorizacije koje pomažu osigurati da pravi korisnik dobije pristup pravom resursu u pravo vrijeme.

    - CipherTrust Transparent Encryption

    Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke kroz detaljne politike sigurnosti pristupa i upravljanje ključevima.
     
Pročitajte više

Od NIS do NIS2

NIS2 se proširuje kako bi obuhvatio više industrijskih sektora, s dodatnim mjerama upravljanja rizicima i obvezama prijavljivanja incidenata, uz snažniju provedbu. NIS2 nadograđuje NIS u 4 ključna područja:

Stroži sigurnosni zahtjevi

Direktiva nameće strože mjere kibernetičke sigurnosti. Ovi zahtjevi uključuju prakse upravljanja rizicima, tehničke i organizacijske mjere, planove odgovora na incidente i oporavka, obuku zaposlenika te redovita ažuriranja i zakrpe.

Pročitajte više

Obavezno prijavljivanje incidenata

NIS2 zahtijeva od organizacija da prijave značajne incidente kibernetične sigurnosti unutar određenog vremenskog okvira – izvješće u roku od 24 sata, nakon kojeg slijedi obavijest o incidentu u roku od 72 sata, kao i konačno izvješće u roku od 30 dana.

Pročitajte više

Ključni i važni subjekti

NIS2 je proširen sa 7 sektora na 18. Glavna razlika između kategorizacija je način na koji se subjekti nadziru.

Pojedinačne države članice mogu odrediti što čini nadzor, kao što su:

01

Inspekcije na licu mjesta i nadzor na daljinu, uključujući nasumične provjere i redovite revizije

02

Ciljane sigurnosne revizije procjena rizika ili informacija dostupnih o rizicima

03

Sigurnosna skeniranja temeljena na objektivnim, nediskriminirajućim, pravednim i transparentnim kriterijima procjene rizika

04

Zahtjev za informacijama potrebnim za procjenu usvojenih mjera kibernetičke sigurnosti subjekta, uključujući dokumentirane politike kibernetičke sigurnosti

05

Zahtjevi za pristup podacima, dokumentima ili informacijama potrebnim za obavljanje njihovih nadzornih zadataka

06

Zahtjevi za dokazima o provedbi politike kibernetičke sigurnosti, poput rezultata sigurnosnih revizija koje je proveo kvalificirani revizor i odgovarajućih dokaza

Ključni sektori

Ključni subjekti moraju ispunjavati zahtjeve nadzora.

Energy

Transportation

Finance

Public administration

Health

Space

Water supply

Digital infrastructure

Važni sektori

Važni subjekti bit će podvrgnuti samo naknadnom nadzoru; radnje će se poduzeti samo ako vlasti dobiju dokaze o nepoštivanju.

Postal services

Waste management

Chemicals

Research

Foods

Manufacturing

Digital providers

Minimalni sigurnosni zahtjevi

Nova Direktiva jača kibernetičku otpornost uvođenjem obveza u četiri područja:

Upravljanje rizicima

Organizacije moraju usvojiti mjere upravljanja rizikom kibernetičke sigurnosti kako bi smanjile vjerojatnost i utjecaj različitih vektora kibernetičkih prijetnji. Točnije, moraju primijeniti tehničke, operativne i organizacijske mjere opreza kako bi ublažili rizike koji utječu na njihovu mrežu i informacijske sustave, čime se poboljšava zaštita podataka. To može uključivati ​​postupke upravljanja incidentima, jaču sigurnost opskrbnog lanca, sustave kontrole pristupa i enkripciju.

Prijavljivanje incidenata

Kritični subjekti moraju odmah prijaviti sigurnosne incidente koji utječu na pružanje usluga ili korisnike. NIS 2 definira "značajan" incident kao onaj koji uzrokuje ili može uzrokovati ozbiljne smetnje u radu kritičnog sektora i/ili utječe ili može utjecati na druge nanošenjem značajne štete.
Subjekti moraju obavijestiti tijelo svoje države članice (uključujući CSIRT) u roku od 24 sata od incidenta, podnijeti potpuno izvješće u roku od 72 sata, a konačno izvješće mjesec dana kasnije.

Korporativno upravljanje

Upravljačka tijela moraju nadzirati i odobriti kibernetičke sigurnosne protokole svojih organizacija, osiguravajući učinkovitu implementaciju. U članku 20. navodi se da bi države članice trebale zahtijevati od menadžmenta da prođe obuku i poticati sličnu obuku za zaposlenike, pomažući im da prepoznaju rizike i smanje izloženost.

Kontinuitet poslovanja

Revidirani NIS2 ima za cilj jamčiti kontinuitet poslovanja nakon napada. Subjekti su dužni izraditi vjerodostojnu strategiju koja detaljno opisuje njihov odgovor na takve incidente i oporavak od njih, s ciljem brzog minimiziranja poremećaja. Slijedom toga, NIS2 naglašava usvajanje rješenja sigurnosne kopije u oblaku.

Članak 21. NIS2 navodi: 

"Države članice osiguravaju da ključni i važni subjekti poduzmu odgovarajuće i proporcionalne tehničke, operativne i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti mrežnih i informacijskih sustava koje ti subjekti koriste za svoje poslovanje ili pružanje svojih usluga te za sprječavanje ili minimiziranje utjecaja incidenata na primatelje njihovih usluga i na druge usluge." 

 

Cilj članka 21. je zaštititi mrežne i informacijske sustave i fizičko okruženje tih sustava od incidenata i uključuje barem sljedeće:
  • Politike analize rizika i sigurnosti informacijskih sustava; 
  • Upravljanje incidentima; 
  • Kontinuitet poslovanja, poput upravljanja sigurnosnim kopijama, oporavka od katastrofe i upravljanja krizom; 
  • Sigurnost lanca opskrbe, uključujući sigurnosne aspekte vezane uz odnose između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga; 
  • Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući upravljanje ranjivostima i njihovo otkrivanje; 
  • Politike i postupci za procjenu učinkovitosti mjera upravljanja kibernetičkim rizicima; 
  • Osnovne prakse kibernetičke higijene i obuka o kibernetičkoj sigurnosti; 
  • Politike i postupci vezani uz uporabu kriptografije i, gdje je prikladno, enkripcije; 
  • Sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom; 
  • Korištenje višefaktorske autentifikacije ili rješenja za kontinuiranu autentifikaciju, sigurne glasovne, video i tekstualne komunikacije te sigurni sustavi komunikacije u hitnim slučajevima unutar subjekta, gdje je to prikladno.

Vremenski okvir za izvještavanje

Najznačajnija promjena vezana uz prijavljivanje incidenata je način na koji NIS2 Direktiva detaljno opisuje obavezni višestupanjski proces prijavljivanja incidenata i sadržaj koji mora biti uključen:

Izvještavanje

Članak 23. NIS2 zahtijeva da se izvijesti o svakom značajnom kibernetičkom sigurnosnom incidentu "...koji ima značajan utjecaj na pružanje njihovih usluga...", bez obzira je li napad stvarno utjecao na poslovanje subjekta. Svrha ovoga je pomoći vlastima u poboljšanju praćenja i odgovora na potencijalne prijetnje. NIS2 zadržava zahtjev iz NIS-a da svaka država članica EU odredi središnju kontaktnu točku za usklađenost i koordinirajući Tim za odgovor na računalne sigurnosne incidente (CSIRT) za prijavljivanje incidenata ili nadležno tijelo.

Rano upozorenje: Unutar 24 sata

Početno izvješće mora se podnijeti nadležnom tijelu ili nacionalno relevantnom CSIRT-u unutar 24 sata od kibernetičkog sigurnosnog incidenta. Početno izvješće treba pružiti rano upozorenje gdje može biti prekograničnih utjecaja ili zlonamjernosti. Ova prva obavijest namijenjena je ograničavanju potencijalnog širenja kibernetičke prijetnje.

Naknadna obavijest o incidentu: Unutar 72 sata

Detaljnije izvješće o obavijesti mora se priopćiti unutar 72 sata. Ono treba sadržavati procjenu incidenta, uključujući njegovu ozbiljnost, utjecaj i pokazatelje kompromitiranosti. Pogođeni subjekt također bi trebao prijaviti incident tijelima za provedbu zakona ako je bio kriminalan.

Završno izvješće: Unutar mjesec dana

Završno izvješće mora se podnijeti u roku od mjesec dana nakon početne obavijesti ili prvog izvješća. Ovo završno izvješće mora uključivati:

- Detaljan opis incidenta
- Ozbiljnost i posljedice
- Vrstu prijetnje ili uzroka koji je vjerojatno doveo do incidenta
- Sve primijenjene i tekuće mjere ublažavanja

Dodatak

Sukladno NIS2 Direktivi, subjekti moraju prijaviti svaku veliku kibernetičku prijetnju koju identificiraju, a koja bi mogla rezultirati značajnim incidentom. Prijetnja se smatra značajnom ako rezultira:

- Materijalnim operativnim poremećajem ili financijskim gubicima za dotični subjekt
- Može utjecati na fizičke ili pravne osobe uzrokujući značajnu materijalnu ili nematerijalnu štetu.

Kazne za nepoštivanje

Nepoštivanje NIS2 Direktive donosi strože kazne nego NIS. Prema NIS2 Direktivi, kazne za nepoštivanje razlikuju se za ključne i važne subjekte.

Nenovčane kazne

NIS 2 daje nacionalnim nadzornim tijelima ovlast izricanja: 

- Naloga za usklađivanje
- Obvezujućih uputa
- Sigurnosnih revizija
- Naloga za obaviještavanje o prijetnjama

Kaznene sankcije za upravljačka tijela

Pritisak prelazi s IT odjela na najviše rukovodstvo uvođenjem sankcija za grubu nepažnju tijekom kibernetičkih incidenata. Vlasti mogu privremeno zabraniti rukovoditeljima da obavljaju upravljačke uloge i zahtijevati od organizacija da otkriju kršenja, javno imenujući odgovorne.

Administrativne novčane kazne - Ključni subjekti

Do 10.000.000 eura ili najmanje 2% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj ključni subjekt pripada, ovisno o tome koji je iznos veći.

Administrativne novčane kazne - Važni subjekti

Do 7.000.000 eura ili najmanje 1,4% ukupnog godišnjeg svjetskog prometa u prethodnoj fiskalnoj godini tvrtke kojoj važni subjekt pripada, ovisno o tome koji je iznos veći.

Rok za usklađivanje

NIS2 Direktiva stupila je na snagu u siječnju 2023. Države članice EU imaju rok do 17. listopada 2024. da ugrade njezine odredbe u svoje nacionalne zakone i uspostave kriterije za kategorizaciju subjekata.

Nakon objavljivanja kriterija kategorizacije, države članice moraju stvoriti popis svih subjekata obuhvaćenih direktivom i promptno ih o tome obavijestiti. Po primitku obavijesti o kategorizaciji, ključni ili važni subjekti moraju implementirati sve zahtjeve unutar vremenskog okvira određenog nacionalnim zakonima.

NIS2 i drugi propisi

Uz NIS2, operateri u EU morat će se nositi s brojnim drugim propisima, uključujući:

  1. Akt o digitalnoj operativnoj otpornosti (DORA)
  2. Direktivu o otpornosti kritičnih subjekata (CER)
  3. Akt o kibernetičkoj otpornosti (CRA)
NIS2 i DORA

NIS2 i DORA

Oboje su propisi o kibernetičkoj sigurnosti, ali DORA je specifično usmjerena na financijski sektor, dok NIS2 pokriva širi raspon organizacija. Za financijske subjekte, odredbe DORA-e vezane uz upravljanje ICT rizicima i izvješćivanje, testiranje digitalne operativne otpornosti, dijeljenje informacija i rizik treće strane primjenjivat će se umjesto onih navedenih u NIS2.

NIS2 i CER direktiva

NIS2 i CER direktiva

CER Direktiva primjenjuje se na kritične subjekte, usmjeravajući njihovu obranu protiv rizika koji nisu povezani s kibernetikom. Dok se NIS2 fokusira na kibernetičku sigurnost, mogu postojati preklapanja u smislu obuhvaćenih subjekata. U takvim slučajevima, organizacije će morati osigurati usklađenost s obje direktive, rješavajući i kibernetičku i fizičku otpornost.

NIS2 i CRA

NIS2 i CRA

Akt o kibernetičkoj otpornosti fokusira se na kibernetičku sigurnost hardverskih i softverskih proizvoda s digitalnim elementima. Dok se NIS2 fokusira na poboljšanje sigurnosnog položaja samih tvrtki, CRA zahtijeva od tvrtki da prioritiziraju sigurnost proizvoda koje proizvode ili prodaju. Općenito, CRA nadopunjuje NIS2, ali ga nužno ne preklapa niti zamjenjuje.

Što nudimo?

Kao nagrađeni distributeri za regiju jugoistočne Europe, nudimo sveobuhvatan paket usluga:

Consultation & support

Expert consultation and support to guide you in selecting optimal solutions tailored to your specific business requirements and compliance needs.

Technical support

Robust technical support to ensure smooth implementation and operation of your chosen solutions.

Advanced training

Access to advanced training opportunities through our extensive partner network, enabling your team to maximize the potential of implemented technologies.

PARTNER VENDOR

Entrust

"U Entrustu, olakšavamo kibernetičku sigurnost i zaštitu podataka." Njihov portfelj uključuje sva rješenja za usklađenost koja su vam potrebna, uključujući:

Entrust KeyControl

Entrust KeyControl pruža preciznu kontrolu vaših kriptografskih ključeva i tajni, nudeći potpunu vidljivost, mogućnost praćenja i nepromjenjivi revizijski trag.

Hardware Security Modules (HSMs)

Entrustovi nShield HSM-ovi pružaju sigurno okruženje za generiranje, upravljanje i zaštitu kriptografskih ključeva, koji su ključni za osiguravanje osjetljivih podataka i osiguravanje integriteta digitalnih transakcija.

Identity and Access Management (IAM)

Entrust pruža IAM rješenja koja omogućuju organizacijama da osiguraju pristup osjetljivim informacijama samo ovlaštenim korisnicima, pružajući čvrstu osnovu za Zero Trust sigurnost.

PARTNER VENDOR

Thales

Thales CipherTrust manager omogućuje postizanje usklađenosti prema NIS2 regulativi pokrivajući širok raspon zahtjeva:

21.2, a: “…policies on risk analysis and information system security

CipherTrust Data Discovery and Classification

Identificira strukturirane i nestrukturirane osjetljive podatke na lokaciji i u oblaku. Ugrađeni predlošci omogućuju brzu identifikaciju reguliranih podataka, ističu sigurnosne rizike i pomažu u otkrivanju praznina u usklađenosti.

21. 2, d: supply chain security, … concerning the relationships between each entity and its; direct suppliers or service providers

CipherTrust Cloud Key Management

Smanjuje rizike trećih strana održavanjem ključeva koji štite osjetljive podatke koje hostaju pružatelji usluga u oblaku na lokaciji pod punom kontrolom financijske institucije.

21. 2, d: supply chain security, … concerning the relationships between each entity and its; direct suppliers or service providers

CipherTrust Transparent Encryption

Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke. To sprječava zaposlenike pružatelja usluga u oblaku, poput inženjera podrške i administratora baza podataka, da vide podatke u čistom obliku.

21. 2, h: “…policies and procedures regarding the use of cryptography and, where appropriate, encryption”

CipherTrust Transparent Encryption

Pruža šifriranje podataka u mirovanju za datoteke i mape te kontrolu pristupa privilegiranim korisnicima s detaljnim politikama. Štiti podatke gdje god se nalazili, na lokaciji, u oblacima te u okruženjima velikih podataka i kontejnera.

21. 2, h: “…policies and procedures regarding the use of cryptography and, where appropriate, encryption”

CipherTrust Tokenization

Omogućuje pseudonimizaciju osjetljivih informacija u bazama podataka uz zadržavanje mogućnosti analize agregatnih podataka, bez izlaganja osjetljivih podataka tijekom analize ili u izvješćima.
 

21. 2, h: “…policies and procedures regarding the use of cryptography and, where appropriate, encryption”

CipherTrust Enterprise Key Management

Pojednostavljuje i ojačava upravljanje ključevima u okruženjima oblaka i na lokaciji za interno razvijeno šifriranje, kao i za aplikacije trećih strana.

21. 2, i: “…access control policies and asset management; // 21. 2, j: the use of multi-factor authentication or continuous authentication solutions…”

CipherTrust Transparent Encryption

Ograničava pristup unutarnjim i vanjskim korisnicima na temelju njihovih uloga i konteksta s detaljnim politikama pristupa i autorizacije koje pomažu osigurati da pravi korisnik dobije pristup pravom resursu u pravo vrijeme.

21. 2, i: “…access control policies and asset management; // 21. 2, j: the use of multi-factor authentication or continuous authentication solutions…”

OneWelcome Identity & Access Management

Pruža potpuno odvajanje uloga gdje samo ovlašteni korisnici i procesi mogu pregledavati šifrirane podatke kroz detaljne politike sigurnosti pristupa i upravljanje ključevima.

Ukratko

NIS2 direktiva dramatično podiže ljestvicu za upravljanje kibernetičkim rizicima i obveze izvještavanja o incidentima diljem EU za većinu javnih ili privatnih organizacija. Njezini strogi zahtjevi za izvještavanje osiguravaju da nijedna obuhvaćena organizacija ne može to zanemariti bez rizika od velikih kazni. Čak i organizacije koje se ne smatraju "ključnima", poput proizvođača i internetskih portala, mogu biti podvrgnute ciljanim revizijama, inspekcijama na licu mjesta, zahtjevima za informacijama i nasumičnim provjerama.

Organizacije će morati implementirati sveobuhvatne mjere kibernetičke sigurnosti, uključujući sigurnost aplikacija, zaštitu podataka i upravljanje identitetom, kako bi se uskladile s NIS2 i drugim preklapajućim regulatornim režimima. Kako regulatorno okruženje postaje sve složenije, tvrtke bi mogle imati koristi od partnerstva s pružateljima rješenja za kibernetičku sigurnost kako bi osigurale da ispunjavaju sve potrebne zahtjeve i održavaju snažnu kibernetičku otpornost.

Da bi ova web-stranica mogla pravilno funkcionirati i da bismo unaprijedili vaše korisničko iskustvo, koristimo kolačiće. Više informacija potražite u našoj Politici kolačića.

Prilagodi postavke

  • Nužni kolačići omogućuju osnovne funkcionalnosti. Bez ovih kolačića, web-stranica ne može pravilno funkcionirati, a isključiti ih možete mijenjanjem postavki u svome web-pregledniku.