NIS2 direktiva se već nekoliko mjeseci nalazi pod medijskim povećalom i jedna je od središnjih rasprava u javnom prostoru. Cilj NIS2 (eng. Network and Information Security) je podizanje zajedničke razine cyber sigurnosti diljem Europske unije. No, mnogi se (s pravom) pitaju zašto nam je potreban NIS2, ako je Direktiva NIS na snazi još od 2016.
U odnosu na prijašnju verziju, NIS2 značajno proširuje polje primjene. Direktiva donosi mnogo veće kazne u slučaju neusklađenosti. To znači da će značajan broj udruga, organizacija i trgovačkih društava – koji do sada nisu bili obuhvaćeni regulativom NIS – biti prisiljeno provjeriti (i kontinuirano provjeravati) razinu vlastite cyber sigurnosti. No, krenimo redom.
Što je NIS2?
NIS2 je direktiva Europske unije čiji je cilj dodatno povećanje razine cyber sigurnosti na razini Europske unije. NIS2 direktiva obvezuje sve države članice na usvajanje odgovarajućih nacionalnih zakona i politika kako bi implementirale njezine smjernice odnosno zahtjeve. Kao i njezina prethodnica NIS, NIS2 zahtjeva povećanu suradnju između država članica radi razmjene informacija i koordiniranih reakcija na cyber napade.
Kada NIS2 stupa nas snagu?
Direktiva NIS2 stupila je na snagu u siječnju 2023. godine, no to ne znači da su smjernice direktive odmah implementirane u nacionalno zakonodavstvo. Europska unija od svih subjekata obuhvaćenih direktivom NIS2 zahtjeva implementaciju propisanih smjernica od 18. listopada 2024.
Na koga se odnosi NIS2?
Za razliku od NIS direktive koja je propisala obveze za pružatelje ključnih usluga i digitalne pružatelje usluga te nekolicinu drugih organizacija, NIS2 značajno proširuje prostor djelovanja. Osim organizacija povezanih s pružanjem digitalnih usluga ili usluga podatkovnih centara i javnih elektroničkih komunikacijskih mreža, nove obveze proizašle iz NIS2 odnosit će se i na javni sektor te dio privatnog. Direktivi NIS2 morat će se prilagoditi 11 sektora.
Koji će se sve sektori morati prilagoditi direktivi NIS2?
Pod mjere propisane direktivnom NIS2 potpadat će sektor zdravstva, organizacije zadužene za opskrbu vodom i energentima, tvrtke čiji je fokus djelovanja zbrinjavanje otpada, javne kompanije koje se bave odvodnjom i kanalizacijom, te sektor prometa.
NIS2 proširuje djelovanje i na privatni sektor, pa će novom direktivom biti zahvaćen i financijski sektor te tvrtke koje se bave proizvodnjom hrane. Direktiva propisuje mjere i za druge proizvođače kritičnih proizvoda, ali i poštanske i dostavne službe.
Koje mjere propisuje NIS2 za obveznike?
Kao što je već spomenuto, cilj NIS2 direktive je dodatno jačanje razine cyber sigurnosti na razini Europske unije. Direktivom se želi ojačati otpornost na online i offline prijetnje, ali i dodatno zaštititi sve organizacije obuhvaćene regulativom. Pritom neće biti važno radi li se o javnoj ili privatnoj tvrtki.
Sukladno tome, sve će tvrtke trebati implementirati procese i politike za bolje upravljanje rizicima. Tvrtke će ujedno imati obvezu pravovremenog i transparentnog obavještavanja javnosti i svih nadležnih institucijama o cyber napadima i njihovim posljedicama – kada i ako do njih dođe.
Nakon usvajanja NIS2 direktive, od srednjih i velikih organizacija se očekuje kontinuirana provedba sigurnosnih politika nad informacijskim sustavom. Tvrtke će trebati provesti analizu rizika i definirati kontinuitet poslovanja prilikom upravljanja rizicima. Od organizacija se ujedno očekuje implementacija praksi za detektiranje i rukovanje ranjivostima, kao i kontinuirano testiranje razine cyber sigurnosti tvrtke. Dodatne obveze uključuju korištenje enkripcijskih praksi i višefaktorske autentifikacije te provedba sigurne video, glasovne i tekstualne komunikacije.
Kako se pripremiti?
Na tržištu postoji čitav niz rješenja koja organizacijama mogu pomoći u prilagodbi s NIS2 direktivom. Među njima se posebno izdvajaju ona iz Thales portfelja, budući da pružaju sveobuhvatnu zaštitu podataka i usklađenost sa svim zahtjevima koji proizlaze iz NIS2.
- Zaštita transakcija i data-at-rest podataka
Thales CipherTrust Manager, Luna Hardware Security Modules (HSM) i the Data Protection on Demand (DPoD) omogućuju organizacijama centralizirano upravljanje enkripcijskim ključevima te donose niz rješenja za enkripciju, tokenizaciju te zaštitu transakcija i osobnih podataka na razini datoteka, mapa, aplikacija i baza podataka u oblaku i diljem hibridnih okruženja.
- Enkripcija financijskih i osobnih in-motion podataka
Thales High Speed Encryptors (HSE) rješenja organizacijama donose jedinstvenu platformu za enkripciju podataka u prijenosu na svim razinama – od mrežnog prometa između podatkovnih centara i središnjice do backup centara, bilo lokalno ili u oblaku.
- Razvoj i održavanje sigurnih sustava i aplikacija
On-premises rješenja Thales Luna HSM i Luna Cloud HSM na DPoD, rješenja u oblaku, omogućuju organizacijama da sigurno pohranjuju ”signing” materijale na hardverskim uređajima, osiguravajući tako autentičnost i integritet svih svih datoteka aplikacijskog koda.
- Provedba snažnih mjera kontrole pristupa
Thales CipherTrust rješenja mogu se koristiti za jednostavan, multi-faktorski pristup svim administrativnim sustavima – on-premises i u oblaku. SafeNet Trusted Access omogućuje centralno upravljanje korisničkim identitetima, i to na temelju risk-based autentifikacijskih politika i odobravanja/opoziva pristupa sustavima diljem hibridnog IT sustava.
- Praćenje i nadziranje svih pristupa osjetljivim informacijama
Thalesov paket rješenja za zaštitu sigurnosti podataka dizajniran je s ciljem osiguravanja usklađenosti. Rješenja organizacijama pomažu u praćenju i nadziranju pristupa podacima. Na primjer, Thales CipherTrust omogućuje kreiranje audit zapisa koji bilježe životni ciklus enkripcijskih ključeva (kreiranje/brisanje/rotacija/opoziv) i drugih administrativnih funkcija koje se mogu koristiti za rekonstrukciju događaja.
Zanima vas više informacija? Preuzmite besplatan e-book i otkrijte kako vam Thales može pomoći u prilagodbi NIS2.