[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?

12.4.2024 održali smo webinar na temu nadolazećih propisa iz područja kibersigurnosti.

Marko Gulan, Krešimir Kristić i Robert Buljević uz Marka Djordjevića iz Techinsights.pro dotakli su se najnovijih trendova u kibernetičkoj sigurnosti kroz temu nadolazećih propisa: NIS2, Cyber Resilience Act (CRA) i Critical Entities Resilience (CER) direktiva.

Od trenutnih slabosti OT opreme i taktika ransomware operatera, preko šireg konteksta EU politika i propisa, do konkretnih savjeta kako pristupiti sukladnosti sa propisima - sve to pogledajte u snimci webinara u nastavku.

Odgovori na neka postavljana pitanja tokom webinara su niže ispod videa, kao i Powerpoint prezentacija.

Powerpoint prezentaciju sa webinara preuzmite niže:

Pitanja i odgovori

• Obzirom na troškove certifikacije, koliki će utjecaj na poslovanje malih i srednjih tvrtki (posebno developerski) imati zahtjevi certifikacije? Pitanje pretpostavljamo da se više odnosi na kontekst CRA propisa koji se bavi softverskim i hardverskim proizvodima, pa time ima potencijal zahvatiti širi spektar proizvođača različitih hardverskih i softverskih rješenja. Shvaćamo zabrinutost pogotovo kad su u pitanju male i srednje tvrtke. Za sad još uvijek nemamo konkretne i detaljne zahtjeve i čim budu dostupni rado ćemo ih podijeliti sa svima vama. Generalno zaključujemo da će troškovi uvelike ovisiti o dosadašnjim ulaganjima razvoj i poštivanje sigurnosnih mehanizama.

• Može kratko pojašnjenje (dodatno) vezano uz tvrdnju da NIS2 nije samo usklađivanje s ISO 27xxx i ISO 22301? S obzirom da se pojavilo nekoliko pogrešnih interpretacija vezanih uz određene dijelove zakona, u nekoliko navrata smo čuli kako obveznici prilagodbe zakonu navode kako će investirati u implementaciju ISO 27xxx i 22301 i time potpuno zadovoljiti zahtjeve zakona. ISO27xxx i 22301 se ne navode eksplicitno u direktivi i npr. hvatskoj transpoziciji. Može se naslutiti da s obzirom da je naglašena npr. obveza uspostave kontinuiteta poslovanja da će određeni ISO standardi biti rješenje. Implementacija ISO standarda može pomoći u lakšoj prilagodbi, ali sama po sebi nije rješenje. Preporuka je svakako da se prije investicija dobro posavjetujete o potrebnim mjerama i vidite koliko i kojoj mjeri vam ISO može pomoći.

• Trenutno ne postoje akreditirane, certificirane firme koje bi bile u mogućnosti izdati certifikat o kibernetičkoj zaštiti. Možete li reći nešto više o tome i kako prepoznati razlike u certifikatorima? Trenutna situacija (04/2024) zaista je takva da u Hrvatskoj regulator i zakonodavac nisu definirali nikakve službene edukacijske programe, niti certificirane kuće koje provode službene audite ili certifikate. U ovom trenutku ćete lako prepoznati razlike u certifikatorima s obzirom da oni ne postoje. Kako će ovaj dio biti riješen naknadno, naša je pretpostavka da će netko od nadležnih tijela kreirati katalog takvih tvrtki i/ili pojedinaca jednom kad se definiraju svi potrebni detalji.

• Da li se NIS2 odnosi i na obrte ili samo na tvrtke? hrvatska verzija NIS2 navodi kako će svaki gospodarski subjekt koji ima značajni utjecaj na poslovanje ključnih i važnih segmenata biti obvezan uskladiti se s odredbama Zakona. Pri tom se u zakonu ne spominje pravni oblik osobe (tvrtka ili obrt). Specifičnosti pravnog oblika obrta morat ćemo dodatno provjeriti i obavijestiti vas u trenutku kada budemo imali odgovor. Obratite nam se direktno kako bi prodiskutirali slučaj s obzirom na djelatnost obrta i slično.

• Glede bankarskog i financijskog sektora i vanjskih pružatelja usluga za te sektore, kako se odnosi usklada NIS2 vs DORA? Preklapaju se ili se isključuju? DORA je prvenstveno Akt koji je namjenjen bankarskom i financijskom sektoru i detaljniji je i rigorozniji od NIS2 Direktive. Bilo je do sada mnogo pitanja na temu NIS2 vs. DORA i dosadašnja tumačenja su bila da ukoliko je neka Direktiva ili Akt detaljnija od NIS2, za takva društva postojeće obveze ostaju na snazi i primjenjuju se one odredbe koja uredbom DORA nisu pokrivene.

• Da li znate da li je netko iz MUP-a Hrvatske uključen u prilagodbu zakonskih regulativa kibernetičke sigurnosti i sustava tehničke zastite, te da li vidite potrebu prilagodbe Zakona privatne zaštite sa direktivama, a posebno u dijelu tehničke zaštite? Koliko je do sada poznato sustavi tehničke zaštite bit će regulirani CER Direktivom (Critical Entity Resilience) i CER Direktiva bit će na snazi ne kasnije od 17. listopada 2024. Uključenost MUP-a nam na žalost nije poznata.

• CRA se primjenjuje na “software as a product”, ali ne na “software as a service” – kako točno razlikovati to dvoje? SaaS rješenja nisu u obuhvatu CRA. Međutim, sadašnji prijedlog CRA spominje rješenja za daljinsku obradu podataka, neovisno radi li se o upravljanju kroz SaaS ili lokalno kroz proizvod. Na primjer, IoT uređaji koji su upravljani preko neke SaaS konzole, također su obuhvaćeni CRA-om, obzirom da sastavni dio čine rješenja za daljinsku obradu podataka za koja je softver projektirao i razvio proizvođač tog proizvoda ili je projektiran i razvijen pod njegovom odgovornošću, a čiji bi nedostatak onemogućio obavljanje jedne od funkcija takvog proizvoda s digitalnim elementima. Više detalja u prijedlogu CRA ovdje (točka 9 preambule). Dodatno, CRA u uvodnom obrazloženju spominje dopunu sa NIS2 (ukoliko se radi npr. o ponuđaču upravljanih ili SaaS usluga), gdje spominje da Komisija može naknadno donijeti provedbeni akt kojim se utvrđuju kibersigurnosni zahtjevi upravo za SaaS ponuđače. Svakako valja pratiti smjer u kojem će ići CRA i NIS2 propisi u kontekstu SaaS usluga.

• Jedan od zahtjeva NIS2 direktive je korištenje cetificiranih roba i usluga. Obzirom da certifikacijske sheme nisu još uređene i da će proći poprilično vremena dok se sheme ne urede, a posebno dok se ne počmu izdavati certifikati, kako će tvrtke planirati investicijske cikluse? Prema hrvatskoj verziji NIS2, korištenje certificiranih roba i usluga propisano je samo ako postoji obaveza prema propisima EU, posebnim propisom ili podzakonskom uredbom. Za sada takve obaveze nema, no valja pratiti naredno razdoblje kako budu tekli rokovi za donošenje podzakonskih mjera. Zakonodavac će svakako ostavljati dovoljno vremena za prilagodbu kod svake propisane obaveze u budućnosti.