top of page
    • Oct 19, 2023

Proširen obuhvat i opseg prema NIS2

Evropska direktiva NIS2 (puni naziv "Direktiva o merama za visok zajednički nivo kibernetičke bezbednosti u Uniji") sada se primenjuje u državama članicama EU i očekuje se da će biti sprovedena najkasnije do oktobra 2024. godine u nacionalnim zakonodavstvima.

Elementi ove direktive takođe će uticati na susedne zemlje koje možda nisu članice EU (još uvek). Ovo je opšte prihvaćeno kao "Bruselski efekat", bilo da je u pitanju dobro ili loše.


Odlazak: NIS1


Postojeći režim NIS1 je bio primenjen u 7 sektora, koji su smatrani vitalnim za ekonomiju i društvo, i koji se snažno oslanjaju na IKT, kao što su energetika, transport, bankarstvo, infrastrukture finansijskog tržišta, snabdevanje vodom, zdravstvo i digitalna infrastruktura.


Entiteti koje su države članice identifikovale kao operatore od vitalnog značaja (OES) u ovim sektorima obavezni su da sprovedu procenu rizika u kibernetičkoj bezbednosti i preduzmu odgovarajuće i proporcionirane sigurnosne mere. Takođe su obavezni da prijave ozbiljne incidente nadležnim vlastima.


Dolazak NIS2: prošireni sektori


Nova i nadolazeća direktiva NIS2 značajno proširuje obuhvat sektora, ali uvodi prag veličine kako bi se odredilo koje entitete obuhvata i koje će biti obavezane da prijavljuju značajne kibernetičke incidente nadležnim nacionalnim organima za nadzor.


NIS2 eliminiše razliku između operatora od vitalnog značaja i pružalaca digitalnih usluga iz NIS1. Umesto toga, definiše novu listu sektora podeljenih u 2 grupe: visoka kritičnost i ostali kritični sektori. Evo kako sada izgleda:


Visoka kritičnost:

  • Energetika (električna energija, daljinsko grejanje i hlađenje, gas, nafta, vodonik)

  • Transport (vazduh, železnica, voda, put)

  • Bankarstvo (kreditne institucije)

  • Infrastrukture finansijskog tržišta

  • Zdravstvo (pružaoci zdravstvenih usluga i farmaceutske kompanije)

  • Snabdevanje vodom (snabdevaoci i distributeri)

  • Digitalna infrastruktura (DNS, registri gTLD, telekomunikacioni operateri, pružaoci usluga data centara itd.)

  • Pružaoci IKT usluga (B2B): MSSP i pružaoci upravljanja uslugama

  • Javna uprava (centralne i regionalne vlade, kako je definisano od strane države članice)

  • Svemir

Ostali kritični sektori:

  • Poštanske i kurirske usluge

  • Upravljanje otpadom

  • Proizvodnja hemikalija i distribucija

  • Proizvodnja i distribucija hrane

  • Proizvodnja: medicinske uređaje, računare, elektroopremu, vozila i transportnu opremu

  • Pružaoci digitalnih usluga: pretraživači na internetu, tržišta, društvene mreže

  • Naučno-istraživačke organizacije

NIS2: prošireni obuhvat sektora

Da, ali ko će tačno biti pogođen?


NIS2 pruža algoritam za određivanje koje organizacije moraju da se pridržavaju - tačan spisak organizacija. Međutim, neka diskrecija ostaje na svakoj državi: na državama članicama je da definišu proces upisa i klasifikacije na listu, tako da će se to razjasniti u svakoj zemlji tokom procesa sprovođenja zakona.


Ono što je sada jasno je sledeće: na osnovu navedenih sektora, NIS2 definiše 2 različita režima regulative, zasnovana na kategoriji određenih entiteta: "esencijalnih" ili "važnih" entiteta. Ovo će biti esencijalni entiteti:

  • Organizacije koje posluju u navedenim sektorima "visoka kritičnost", ali samo one koje premaše definiciju srednjih preduzeća (SME definicija zasnovana na definiciji EU komisije - pogledajte ovde). To obično važi za preduzeća sa više od 250 zaposlenih i prihodima od preko 50 miliona evra ili bilansom od 43 miliona evra.

  • Međutim, za telekomunikacione kompanije to važi i za one koje se kvalifikuju kao srednja preduzeća.

  • Bez obzira na veličinu: kvalifikovani pružaoci usluga poverenja i registri najvišeg nivoa domena, kao i pružaoci usluga DNS.

  • Bez obzira na veličinu: bilo koji kritični entitet u okviru opsega Direktive o otpornosti kritičnih entiteta (CER) - ovaj će biti identifikovan od strane država članica (očigledno, države članice će morati da identifikuju kritične entitete za sektore navedene u Direktivi o otpornosti kritičnih entiteta do 17. jula 2026. godine).

  • Svaki "operator esencijalnih usluga" koji je već definisan od strane države članice u okviru NIS1.

  • Dodatno, entitet koji posluje u bilo kojem od navedenih kritičnih sektora može po diskreciji biti identifikovan od strane države članice kao esencijalan, ukoliko se smatra da ima ključnu ulogu za društvo ili ekonomiju.

  • Neki entiteti na centralnom i regionalnom nivou javne uprave, kako je definisano od strane svake države članice.

Svi ostali entiteti koji ne ispunjavaju navedene kriterijume smatraju se važnim entitetima. To su efektivno entiteti navedeni u listi "Ostali kritični sektori" gore navedeno.


Koliko je "srednje veliko" (važan prag prema NIS2)? To zavisi. Izvor: Vodič za korisnike EU komisije o definiciji SME


Dakle, u čemu je razlika između "esencijalnih" i "važnih"?


Oba tipa entiteta moraju se pridržavati istih mera za upravljanje rizikom. Međutim, oni koji su kategorizovani kao "esencijalni" podležu proaktivnom nadzoru. Dok će se "važni" entiteti pratiti tek nakon prijavljivanja incidenta neskladnosti, "esencijalni" entiteti su pod većim pritiskom, uključujući: inspekcije na licu mesta i nadzor van mesta, nasumične provere, redovne i ad hoc revizije, skeniranje sigurnosti, zahtevi za pristup podacima - i još mnogo toga.


Ako nadzor i sprovođenje nisu efikasni, NIS2 ide toliko daleko da dozvoljava vlastima da privremeno obustave operacije i usluge koje obavlja esencijalni entitet, kao i da zabrane članovima uprave obavljanje upravljačkih funkcija u tom entitetu.


Nije jasno da li će države članice EU uspeti da nadziru i sprovedu NIS2 pod tako proširenim ovlašćenjima regulative. U svakom slučaju, jasno je da će pogođene organizacije (posebno one koje se smatraju "esencijalnim") biti podložne povećanom regulatornom pritisku i dodatnim troškovima. Sada je vreme da se pripremimo.

Latest news

bottom of page