Zašto je NIS2 važan
NIS2 zamjenjuje izvornu NIS Direktivu i značajno proširuje opseg EU regulacije kibernetičke sigurnosti. Pokriva više sektora, nameće strože zahtjeve, uvodi osobnu odgovornost uprave i usklađuje provedbu među državama članicama. U Hrvatskoj je NIS2 prenesen kroz Zakon o kibernetičkoj sigurnosti koji je stupio na snagu 2024. godine.
Tko se mora uskladiti
NIS2 pokriva dvije kategorije u 18 sektora:
Bitni subjekti (stroži zahtjevi):
- Energetika (elektroenergetika, nafta, plin, vodik)
- Promet (zračni, željeznički, vodeni, cestovni)
- Bankarstvo i financijska tržišna infrastruktura
- Zdravstvo (bolnice, laboratoriji, medicinski uređaji)
- Vodoopskrba i odvodnja
- Digitalna infrastruktura (DNS, TLD, oblak, podatkovni centri)
- Javna uprava
- Svemir
Važni subjekti:
- Poštanske usluge, gospodarenje otpadom
- Kemijska industrija i proizvodnja hrane
- Digitalni pružatelji (tražilice, društvene mreže, tržišta)
- Proizvodnja medicinskih uređaja, računala, vozila
- Istraživačke organizacije
Ključni zahtjevi
- Mjere upravljanja rizicima — politike za analizu rizika, postupanje s incidentima, kontinuitet poslovanja, sigurnost opskrbnog lanca, enkripciju, kontrolu pristupa
- Prijava incidenata — rano upozorenje CERT-u unutar 24 sata, puna obavijest unutar 72 sata, konačno izvješće unutar mjesec dana
- Sigurnost opskrbnog lanca — procjena i upravljanje rizicima od izravnih dobavljača
- Odgovornost uprave — članovi uprave moraju odobriti mjere i mogu biti osobno odgovorni
- Edukacija — obvezna za upravu i relevantno osoblje
Kazne
- Bitni subjekti: do 10 milijuna eura ili 2% globalnog godišnjeg prometa
- Važni subjekti: do 7 milijuna eura ili 1,4% prometa
- Osobna odgovornost: članovi uprave mogu biti osobno odgovorni
Ključna regulativa
- Direktiva (EU) 2022/2555 — NIS2 Direktiva
- Zakon o kibernetičkoj sigurnosti — hrvatsko prenošenje NIS2
- Rok prenošenja: 17. listopada 2024.
- Nadležno tijelo u Hrvatskoj: SOA / CERT.hr