top of page

Povećanje obuhvata i dosega prema NIS2

Europska direktiva NIS2 (puni naziv "Direktiva o mjerama za visoku razinu kibernetičke sigurnosti u Uniji") trenutačno se provodi u državama članicama EU i očekuje se da će se implementirati najkasnije do listopada 2024. godine u nacionalnim zakonodavstvima. Elementi direktive također će utjecati na susjedne zemlje koje možda nisu članice EU-a (još). To je široko prepoznato kao "Brusselski efekt", bez obzira na to je li pozitivan ili negativan.


Dosadašnja NIS1 direktiva


Postojeći režim NIS1 provodi se u 7 sektora koji su smatrani ključnima za gospodarstvo i društvo, a koji se snažno oslanjaju na IKT, kao što su energetika, promet, bankarstvo, financijska tržišta, opskrba pitkom vodom, zdravstvo i digitalna infrastruktura.


Entiteti koje države članice identificiraju kao operatore ključnih usluga (OKU) u tim sektorima dužni su provesti procjenu kibernetičkih rizika i uspostaviti odgovarajuće i razmjerne sigurnosne mjere. Također su obavezni prijavljivati ozbiljne incidente nadležnim vlastima.


Sada dolazi NIS2: prošireni sektori


Nova i nadolazeća NIS2 direktiva značajno proširuje obuhvat sektora, ali uvodi prag veličine kako bi se odredilo koji entiteti spadaju u njezin obuhvat i koji su dužni prijaviti značajne kibernetičke incidente nacionalnim nadzornim tijelima.


NIS2 ukida razliku između operatora ključnih usluga i pružatelja digitalnih usluga iz NIS1. Umjesto toga, definira novi popis sektora podijeljenih u 2 skupine: visoka kritičnost i ostali kritični sektori. Evo kako sada izgleda:


Visoka kritičnost:

  • Energetika (električna energija, daljinsko grijanje i hlađenje, plin, nafta, vodik)

  • Promet (zrakoplovstvo, željeznica, vodeni promet, cestovni promet)

  • Bankarstvo (kreditne institucije)

  • Infrastrukture financijskih tržišta

  • Zdravstvo (pružatelji zdravstvenih usluga i farmaceutske tvrtke)

  • Opskrba pitkom vodom (davljeni i distributeri)

  • Digitalna infrastruktura (DNS, registri gTLD-a, telekomunikacijski operatori, pružatelji podatkovnih centara itd.)

  • Pružatelji IKT usluga (B2B): MSSP-ovi i pružatelji upravljanja uslugama

  • Javna uprava (centralne i regionalne vlade, kako je definirano u svakoj državi članici)

  • Prostor

Ostali kritični sektori:

  • Poštanske i kurirske usluge

  • Upravljanje otpadom

  • Proizvodnja i distribucija kemikalija

  • Proizvodnja i distribucija hrane

  • Proizvodnja: medicinski uređaji, računalna oprema, električna oprema, vozila i prijevozna oprema

  • Društvene mreže: internetski pretraživači, tržišta, društvene mreže

  • Istraživačke organizacije

NIS2: proširen obuhvat sektora

Da, ali tko će točno biti pogođen?


NIS2 pruža algoritam za određivanje koje će organizacije morati uskladiti - točan popis organizacija. Međutim, određena diskrecija ostaje na svakoj državi: na državama članicama je da definiraju postupak upisa i klasifikacije na popis, pa ćemo to vidjeti razjašnjeno u svakoj zemlji tijekom procesa provedbe zakona.


Sada je jasno sljedeće: temeljem gore navedenih sektora, NIS2 definira 2 blago različita regulatorna režima, ovisno o određenoj kategoriji entiteta: "esencijalni" ili "važni" entitet.

Ovo će biti esencijalni entiteti:

  • organizacije koje djeluju u "visoko kritičnim" sektorima, ali samo one koje premašuju definiciju srednjih poduzeća (SME definicija temelji se na definiciji EU Komisije - vidi ovdje). To obično vrijedi za poduzeća s više od 250 zaposlenih i prihodom od više od 50 milijuna EUR ili bilancom od 43 milijuna EUR.

  • Međutim, za telekomunikacijske tvrtke to vrijedi i za one koje se kvalificiraju kao srednja poduzeća.

  • Bez obzira na veličinu: kvalificirani pružatelji povjerenja i registri imena najviše razine, kao i pružatelji usluga DNS-a.

  • Bez obzira na veličinu: svaki kritični entitet pod nadležnošću Direktive o otpornosti kritičnih entiteta (CER) - ovaj će morati biti identificiran od strane država članica (očito, države članice će morati identificirati kritične entitete za sektore navedene u Direktivi CER do 17. srpnja 2026.).

  • Svaki "operator esencijalnih usluga" već definiran unutar države članice prema NIS1.

  • Dodatno, entitet koji posluje u bilo kojem od navedenih kritičnih sektora može biti diskrecijski identificiran od strane države članske kao esencijalan ako se smatra da ima ključnu ulogu za društvo ili gospodarstvo.

Ne ispunjavaju li svi ostali entiteti kriterije navedene gore, smatraju se važnim entitetima. To su efikasno entiteti na popisu "Ostali kritični sektori" navedenom gore.


Koliko je "srednje veliko" (važan prag prema NIS2)? To ovisi. Izvor: Vodič za korisnike Europske komisije za definiciju MSP


Dakle, kakva je razlika između "esencijalnih" i "važnih"?


Oba tipa entiteta moraju se pridržavati istih mjera upravljanja rizicima. Međutim, oni koji su kategorizirani kao "esencijalni" podložni su proaktivnom nadzoru. Dok će se "važni" entiteti pratiti samo nakon što se prijavi incident nepoštivanja, "esencijalni" entiteti su pod većim pritiskom, uključujući: inspekcije na licu mjesta i nadzor izvan mjesta, nasumične provjere, redovite i ad hoc revizije, sigurnosne skenove, zahtjeve za pristup podacima - i još mnogo toga.


Ako nadzor i provedba budu neučinkoviti, NIS2 ide toliko daleko da omogućuje vlastima privremeno obustavljanje operacija i usluga koje obavlja esencijalni entitet, kao i zabranu članovima uprave obavljanje upravne funkcije u tom entitetu.


Nije jasno hoće li države članice EU uspjeti nadzirati i provoditi NIS2 pod tako proširenim ovlastima regulative. U svakom slučaju, jasno je da će pogođene organizacije (posebno one smatrane "esencijalnima") biti podložne povećanom regulatornom pritisku i dodatnim troškovima. Sada je vrijeme da se pripremimo.

Comments


Latest news

bottom of page