top of page
    • Oct 19, 2023

Povećan obuhvat i opseg prema NIS2

Direktiva EU NIS2 (puni naziv "Direktiva o mjerama za visok zajednički nivo kibernetičke sigurnosti u Uniji") sada se implementira u državama članicama EU i očekuje se da će postati dio nacionalnih zakonodavstava najkasnije do oktobra 2024. godine. Elementi direktive također će uticati na susjedne zemlje koje možda nisu članice EU (još). Ovo je općenito prepoznato kao "Bruselski efekat", bez obzira da li je to dobro ili loše.


Odlazak: NIS1


Postojeći režim NIS1 primjenjivao se u 7 sektora, koji su smatrani vitalnim za ekonomiju i društvo, i koji su snažno zavisili o informaciono-komunikacionoj tehnologiji (ICT), kao što su energetika, transport, bankarstvo, infrastrukture finansijskih tržišta, vodosnabdijevanje, zdravstvo i digitalna infrastruktura.


Entiteti koje su države članice identificirale kao operatere ključnih usluga (OES) u ovim sektorima obavezani su da izvrše procjenu kibernetičkog rizika i uspostave odgovarajuće i proporcionirane sigurnosne mjere. Također su obavezni prijaviti ozbiljne incidente nadležnim vlastima.


Stiže NIS2: prošireni sektori


Nova i nadolazeća NIS2 Direktiva značajno proširuje obim sektora, ali uvodi prag veličine za definiranje entiteta koji ulaze u njezin obuhvat i koji bi bili obavezni prijaviti značajne kibernetičke incidente nadležnim nacionalnim vlastima.


NIS2 ukida razliku između operatera ključnih usluga i pružatelja digitalnih usluga u odnosu na NIS1. Umjesto toga, ona definiše novi popis sektora podijeljenih u 2 grupe: visoko kritični i drugi kritični sektori. Evo kako sada izgleda:


Visoko kritični:

  • Energetika (električna energija, daljinsko grijanje i hlađenje, plin, nafta, vodik)

  • Transport (zrakoplovstvo, željeznica, pomorstvo, cestovni saobraćaj)

  • Bankarstvo (kreditne institucije)

  • Infrastrukture finansijskih tržišta

  • Zdravstvo (pružatelji zdravstvenih usluga i farmaceutske kompanije)

  • Vodosnabdijevanje (snabdjevači i distributeri vode za piće)

  • Digitalna infrastruktura (DNS, registri vrhovnih nivoa domena, telekomunikacioni operateri, pružatelji centara podataka itd.)

  • Pružatelji ICT usluga (B2B): upravljači usluga za sigurnost informacionih sistema (MSSP) i pružatelji upravljanja uslugama

  • Javna uprava (centralne i regionalne vlasti, kako je definisano u svakoj državi članici)

  • Svemir

Ostali kritični sektori:

  • Poštanske i kurirske usluge

  • Upravljanje otpadom

  • Proizvodnja hemijskih proizvoda i distribucija

  • Proizvodnja i distribucija hrane

  • Proizvodnja: medicinski uređaji, računari, električna oprema, vozila i transportna oprema

  • Pružatelji digitalnih usluga: pretraživači na internetu, tržišta, društvene mreže

  • Istraživačke organizacije

NIS2: prošireni obim sektora

Da, ali ko će tačno biti pogođen?


NIS2 pruža algoritam za određivanje koje organizacije će morati biti u skladu sa direktivom - tačan popis organizacija. Međutim, neki stepen diskrecije ostaje na svakoj državi: države članice same određuju proces upisa i klasifikaciju na popis, tako da će to biti precizirano u svakoj zemlji tokom procesa sprovođenja zakona.


Ono što je sada jasno je sledeće: na osnovu navedenih sektora, NIS2 definiše 2 blago različita regulatorna režima, zasnovana na kategoriji entiteta: "esencijalni" ili "važan" entitet.

To će biti esencijalni entiteti:

  • Organizacije koje posluju u navedenim "visoko kritičnim" sektorima, ali samo one koje premašuju definiciju srednjih preduzeća (SME definicija bazirana na definiciji EU Komisije - vidi ovdje). To se obično odnosi na preduzeća sa više od 250 zaposlenih i sa prihodima od preko 50 miliona EUR ili bilansom od 43 miliona EUR.

  • Međutim, za telekomunikacione kompanije ovo se također primjenjuje na one koje se kvalifikuju kao srednja preduzeća.

  • Bez obzira na veličinu: kvalifikovani pružatelji usluga pouzdanja i registri vrhovnog nivoa domena, kao i pružatelji DNS usluga.

  • Bez obzira na veličinu: bilo koji kritični entitet pod obuhvatom Direktive o otpornosti kritičnih entiteta (CER) - ovaj treba da bude identifikovan od strane država članica (očigledno, države članice će morati identifikovati kritične entitete za sektore navedene u CER Direktivi do 17. jula 2026. godine).

  • Svaki "operator ključnih usluga" već definiran od strane države članice prema NIS1.

  • Dodatno, entitet koji posluje u bilo kojem od navedenih kritičnih sektora može biti diskreciono identificiran od strane države člancie kao esencijalan ako se smatra da ima ključnu ulogu za društvo ili ekonomiju.

  • Neki organi javne uprave na centralnom i regionalnom nivou, kako je definisano u svakoj državi članici.

Svi ostali entiteti koji ne ispunjavaju kriterijume navedene iznad, smatraju se važnim entitetima. To su efektivno entiteti na listi "Ostali kritični sektori" navedeni ranije.

Koliko je "srednje veliko" (važan prag prema NIS2)? To zavisi. Izvor: Vodič EU Komisije za definiciju MSP

Dakle, šta je razlika između "esencijalnih" i "važnih"?


Oba tipa entiteta moraju se pridržavati istih mjera upravljanja rizikom. Međutim, oni koji su kategorizirani kao "esencijalni" podložni su proaktivnom nadzoru. Dok će "važni" entiteti biti monitorisani samo nakon prijave incidenta nepoštivanja, "esencijalni" entiteti su pod pojačanim pritiskom, uključujući: inspekcije na licu mjesta i nadzor van mjesta, nasumične provjere, redovne i ad hoc revizije, skeniranje sigurnosti, zahtjevi za pristup podacima - i mnogo više.


Ako nadzor i sprovođenje nisu efikasni, NIS2 ide toliko daleko da omogućava vlastima privremeno obustavljanje operacija i usluga koje obavlja esencijalni entitet, kao i zabranu članovima uprave da obavljaju upravljačke funkcije u tom entitetu.


Nije jasno da li će države članice EU uspjeti da sprovedu i primijene NIS2 pod tako proširenim obimom regulatornih ovlasti. U svakom slučaju, jasno je da će pogođene organizacije (posebno one koje se smatraju "esencijalnim") morati suočiti s povećanim regulatornim pritiskom i dodatnim troškovima. Vrijeme je da se pripremimo sada.

Latest news

bottom of page