Zašto je razvrstavanje važno
NIS2 i hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/2024) dijele obveznike na ključne i važne subjekte. Razvrstavanje određuje koliko su stroge obveze i koja je najviša razina kazne, pa je prvo pitanje svake organizacije: jesmo li uopće obuhvaćeni i u kojoj kategoriji.
Ključni subjekti
U pravilu velike organizacije u sektorima visoke kritičnosti, primjerice:
- Energetika, promet, bankarstvo i infrastruktura financijskog tržišta
- Zdravstvo, pitka i otpadna voda
- Digitalna infrastruktura i upravljanje ICT uslugama
- Javna uprava i svemir
Važni subjekti
U pravilu srednje organizacije u navedenim sektorima te organizacije u ostalim kritičnim sektorima, primjerice:
- Poštanske i kurirske usluge
- Gospodarenje otpadom i kemikalije
- Proizvodnja (uključujući hranu, medicinske proizvode, vozila)
- Pružatelji digitalnih usluga i istraživanje
Što razvrstavanje znači
- Iste temeljne obveze (mjere upravljanja rizicima, prijava incidenata, odgovornost uprave)
- Različit intenzitet nadzora — ključni subjekti podliježu strožem, proaktivnom nadzoru
- Različite najviše kazne — do 10 mil. € / 2% prometa (ključni), do 7 mil. € / 1,4% (važni)
Ključna regulativa
- NIS2 (Direktiva EU 2022/2555) — kategorije i kriteriji
- Zakon o kibernetičkoj sigurnosti (NN 14/2024) — hrvatska provedba i razvrstavanje