Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
NIS2 uskoro postaje stvarnost: Jeste li spremni?
Thales je početkom godine objavio rezultate Data Threat Reporta, istraživanja koje pokazuje izravnu korelaciju između usklađenosti organizacija sa zahtjevima regulatornih tijela i razinom sigurnosti.
U istraživanju se ističe da čak 84% organizacija koje nisu obavile reviziju usklađenosti imaju problema sa zaštitom podataka, odnosno u posljednje su vrijeme doživjele neki oblik cyber napada. S druge strane, od svih organizacija koji su provele reviziju usklađenosti, samo 21% njih je prijavilo neki oblik zloupotrebe podataka. Nakon provedbe revizije, ističe se u istraživanju, upola manji broj tvrtki prijavilo je povredu podataka.
Neprestano svjedočimo pojavi novih regulativa, a one su sve strože i detaljnije. To dovodi i do sve strožih revizija koje otkrivaju nove ranjivosti. Vrlo brzo na snagu će stupiti dugo iščekivana i najavljivana NIS2 direktiva (Network and Information Security Directive). Sve članice Europske unije, a samim time i obveznice direktive, imaju obvezu do 17. listopada 2024. usvojiti i objaviti mjere za usklađivanje s regulativom. Te iste mjere moraju se početi provoditi već naredni dan.
No, što točno NIS2 regulativa propisuje i koje obveze nameće? Iako se o direktivi piše već mjesecima, vrijedi utvrditi gradivo.
Što pripisuje NIS2 i na koga se odnosi?
NIS2 je pravna regulativa usmjerena na uspostavljanje sigurnosnih standarda za zaštitu kritične infrastrukture diljem Europske unije. Implementacijom NIS2 direktive u nacionalna zakonodavstva, Europska komisija želi povećati razinu kibernetičke sigurnosti unutar EU i potaknuti veću međunarodnu suradnju u borbi protiv kibernetičkih napada.
Iako je formalno na snazi od 16. siječnja 2023., države članice EU su obvezne provoditi smjernice iz direktive tek od listopada 2024. Dana 17. listopada moraju javno objaviti mjere za usklađivanje s direktivom. Procjenjuje se da će direktiva izravno utjecati na otprilike 160.000 tisuća subjekata u poboljšanju njihovih sigurnosnih mjera.
Čemu NIS2 ako već postoji NIS?
Prva verzija regulative, NIS, usvojena je 2016. godine. Ta se regulativa uvelike oslanjala na diskrecijsko pravo pojedinačnih članova i bila je manjkava po pitanju odgovornosti obveznika. Budući da neprestana digitalizacija i druge promjene u poslovanju dovode do sve češćih kibernetičkih napada, Europska unija je predložila revidiranje direktive, čime je nastala detaljnija i stroža NIS2.
Budući da proširuje mjere i obveze u odnosu na svoju prethodnicu, regulativa NIS2 obuhvaća više sektora i propisuje dodatne mjere za upravljanje rizikom te obveze izvještavanja o incidentima. NIS2 ujedno omogućuje snažniju provedbu smjernica.
U odnosu na prijašnju verziju, NIS2 dodaje četiri bitne razlike:
-
Prošireni opseg
NIS direktiva iz 2016. godine identificirala je samo zdravstvo, vodoopskrbu, digitalnu infrastrukturu, financijsko tržište, bankarstvo i energetiku kao ključne sektore. U ”Essential” sektoru nove i proširene NIS2 regulative se, uz prijašnje, nalaze i pružatelji digitalnih usluga, javna uprava, sektor za gospodarenje otpadom, farmaceutske tvrtke te organizacije koje se bave istraživanjem svemira.
NIS2 je ”Essential” kategoriji pripojila i “Important”, čime direktiva uključuje i pružatelje javnih komunikacija, proizvođače kemikalija, tvrtke koje se bave proizvodnjom i distribucijom hrane, društvene mreže i online trgovine te dostavne službe.
-
Postroženi sigurnosni zahtjevi
Krajnji cilj NIS2 regulative je zaštita mrežnih i informacijskih sustava te fizičkog okruženja tih istih sustava od sigurnosnih incidenata. Članak 21. NIS2 direktive detaljno popisuje sve sigurnosne mjere kojih se organizacije moraju pridržavati kako bi obranile krajnji cilj regulative. Mjere uključuju:
- Analiza rizika
- Rješavanje incidenata
- Kontinuitet poslovanja i upravljanje rizicima
- Zaštita opskrbnog lanca
- Zaštita mreže i informacijskih sustava
- Upravljanje rizikom
- Kontinuirana edukacija o kibernetičkoj zaštiti
- Kriptografija i enkripcija
- Kontrola pristupa i upravljanje resursima
- Više-faktorska autentifikacija
-
Obavezno izvješćivanje o incidentima
Prema NIS2, organizacije će biti obvezne prijaviti svaki ozbiljniji kibernetički napad nakon njegovog izbijanja. ”Ozbiljnijim” se smatra svaki incident koji će potencijalno negativno utjecati na pružanje usluga organizacije. Tvrtke tako moraju dostaviti ”Early warning” izvješće u roku od 24 sata, odnosno obavijest o incidentu u roku od 72 sata od prvog saznanja za njegovo postojanje. Konačno izvješće nužno je dostaviti u roku od 30 dana.
-
Kazne u slučaju nepridržavanja
U odnosu na svoju prethodnicu, NIS2 donosi znatno strože kazne za nepridržavanje. Tako novčane kazne za subjekte koji se bave nekom od esencijalnih usluga ili poslova mogu iznositi do 10.000,00 € ili najmanje 2% ukupnog godišnjeg globalnog prometa tvrtke kojoj subjekt pripada, ovisno o tome koji je iznos veći.
S druge strane, subjekti iz kategorije ”Important” mogu biti kažnjeni s kaznom do 7.000,00 € ili najmanje 1,4% ukupnog godišnjeg globalnog prometa tvrtke kojoj subjekt pripada, ovisno o tome koji je iznos veći.
Kako vam Thales može pomoći u usklađenosti s NIS2
Akvizicijom tvrtki Imperva i OneWelcome, Thales je proširio svoj portfelj rješenjima koja mogu pojednostaviti usklađenost s propisima poput NIS2.
Prošireni portfelj uključuje rješenja za:
- Sigurnost aplikacija: Zaštita aplikacija i API-ja na razini velikog broja cloud, on-premise ili hibridnih okruženja. Paket uključuje WAF rješenja, zaštitu od DDoS i malicioznih BOT napada, rješenja za zaštitu API-ja te CDN (eng. Content Delivery Network) i RASP (eng. Runtime Application Self-Protection) zaštitu.
- Zaštitu podataka: Detekcija i klasifikacija osjetljivih podataka u hibridnom IT okruženju, uz automatsku zaštitu – bilo da se radi o at rest, in motion ili in use podacima – te tokenizaciju i upravljanje ključevima. Rješenja iz Thalesovog portfelja ujedno uključuju identifikaciju i evaluaciju potencijalnih rizika, ali i mogućnost identifikacije ponašanja koje odudara od očekivanog. Ujedno, Thales omogućava kontinuiranu provjeru usklađenosti, a organizacijama lakše određivanje prioriteta.
- Upravljanje identitetom i pristupom: Rješenja za multi-faktorsku autentifikaciju omogućuju siguran i pouzdan pristup aplikacijama i digitalnim uslugama za klijente, zaposlenike i partnere.
Zanima vas više informacija? Preuzmite besplatan e-book.
