U današnjem svetu sajber bezbednosti i pojačane pažnje na sigurnost mrežnih i informacionih sistema, važno je da razumemo sve pojmove koje ona podrazumeva. Jedan od češćih pojmova koje ste u prethodnom periodu mogli da čujete je i NIS 2 direktiva.
Ali, da bismo razumeli šta je to NIS 2 direktiva, moramo se prvo osvrnuti na NIS direktivu.
Direktiva o bezbednosti mrežnih i informacionih sistema (NIS) je usvojena 6. jula 2016. godine, od strane Evropskog parlamenta.
Od momenta kada je NIS direktiva stupila na snagu, sve države članice Evropske unije dobile su 21 mesec da primene propise direktive u svoje nacionalne zakone. Ali, u praksi to nije bilo baš tako.
Pa da krenemo ispočetka, cilj NIS direktive je bilo stvaranje višeg nivoa sajber bezbednosti u EU. Direktiva je trebala značajno da utiče na provajdere digitalnih usluga (DSP) i operatore osnovnih usluga (OES).
Iako je ova NIS direktiva imala za cilj da unapredi nivo sajber bezbednosti u državama članicama EU, njena primena se suočila sa izazovima i rezultirala je nedoslednim naporima širom Unije. Samo 23 države članice su u potpunosti primenile mere sadržane u NIS direktivi. Ova neuspela implementacija NIS direktive je dovela do fragmentacije mogućnosti sajber bezbednosti širom EU, sa različitim standardima, zahtevima za izveštavanje o incidentima i zahtevima za sprovođenje koji se primenjuju u različitim državama članicama.
U svetlu rastućih sajber pretnji, Evropska komisija je predložila NIS 2 kao zamenu.
I tako dolazimo do NIS 2 direktive, a šta to tačno ona podrazumeva i na koga se odnosi?
Ova nova direktiva o bezbednosti mrežnih i informacionih sistema (NIS 2) ima za cilj da proširi obim obaveza subjekata koji treba da preduzmu mere za povećanje svojih mogućnosti sajber bezbednosti. Direktiva takođe ima za cilj da uskladi pristup EU obaveštenjima o incidentima, bezbednosnim zahtevima, nadzornim merama i razmeni informacija.
Uvedena 2020. godine, a koja je stupila na snagu 16. januara 2023. godine, Direktiva NIS 2 je nastavak i proširenje prethodne direktive EU o sajber bezbednosti, NIS. Predložila ga je Evropska komisija kako bi nadogradila i nadomestila nedostatke prvobitne NIS direktive.
NIS 2 ima za cilj da unapredi bezbednost mrežnih i informacionih sistema unutar EU tako što će od operatora kritične infrastrukture i osnovnih usluga zahtevati da sprovode odgovarajuće mere bezbednosti i prijave sve incidente u određenom roku nadležnim organima.
U poređenju sa NIS-om, NIS 2 proširuje svoje bezbednosne zahteve širom EU i obim pokrivenih organizacija i sektora kako bi poboljšao bezbednost lanaca snabdevanja, pojednostavio obaveze izveštavanja i primenio strože mere i sankcije širom Evropske unije.
NIS 2 postaje zakon 2024. godine
Države članice imaju rok do 17. oktobra 2024. da prenesu NIS 2 direktivu u svoje nacionalno zakonodavstvo. To znači da će svaka organizacija obuhvaćena direktivom biti zakonski obavezna da ispuni svoje zahteve do početka Q 2024.
Ovo je najopsežnija evropska direktiva o sajber bezbednosti do sada, sa strožijim zahtevima za upravljanje rizikom i izveštavanjem o incidentima, širom pokrivenošću sektora i većim kaznama za nepoštovanje.
Veći broj sektora na koje će uticati NIS 2 direktiva
Direktiva NIS 2 proširuje svoje polje delovanja sa prvobitnih 7 na ukupno 15 sektora koji su podeljeni na osnovne i važne subjekte.
Osnovni subjekti uključuju javna i privatna preduzeća u sektorima kao što su transport, finansije, energija, voda, svemir, zdravstvo, javna uprava i digitalna infrastruktura
Važni subjekti uključuju javna i privatna preduzeća u sektorima kao što su hrana, digitalni provajderi, hemikalije, poštanske usluge, upravljanje otpadom, istraživanje, proizvodnja.
NIS 2 predstavlja nove organizacione zahteve
Da bi se ojačala otpornost EU na sadašnje i buduće sajber pretnje, NIS 2 direktiva uvodi nove zahteve i obaveze za organizacije u četiri sveobuhvatne oblasti: upravljanje rizikom, korporativna odgovornost, obaveze izveštavanja i kontinuitet poslovanja.
Upravljanje rizikom
Da bi se uskladile sa NIS 2 direktivom, organizacije moraju preduzeti mere za minimiziranje sajber rizika. Ove mere uključuju upravljanje incidentima, jaču bezbednost lanca snabdevanja, poboljšanu bezbednost mreže, bolju kontrolu pristupa i enkripciju.
Korporativna odgovornost
NIS 2 zahteva od korporativnog menadžmenta da nadgleda, odobrava i bude obučen o merama sajber bezbednosti entiteta i da se bavi sajber rizicima. Kršenja mogu rezultirati kaznama za menadžment, uključujući odgovornost i potencijalnu privremenu zabranu obavljanja upravljačkih uloga.
Obaveze izveštavanja
Osnovni i važni subjekti moraju imati uspostavljene procese za brzo prijavljivanje bezbednosnih incidenata sa značajnim uticajem na njihovo pružanje usluga ili primaoce usluga. NIS 2 postavlja posebne rokove za obaveštavanje, kao što je 24-časovno „rano upozorenje“.
Kontinuitet poslovanja
Organizacije moraju planirati kako nameravaju da obezbede kontinuitet poslovanja u slučaju velikih sajber incidenata. Ovaj plan treba da uključi razmatranja o oporavku sistema, hitnim procedurama i uspostavljanju tima za reagovanje na krizne situacije.
Kakav uticaj NIS 2 ima na vas?
Organizacije u državama koje nisu članice EU će morati da se prilagode novim NIS 2 zahtevima u skladu sa svojom klasifikacijom. Ukoliko se vaša organizacija bavi jednim od 15 navedenih sektora i sarađuje sa zemljama članicama EU moraćete da pripazite na nove standarde bezbednosti u svom poslovanju.
To je jedan od razloga zašto je u Srbiji usvojen novi Nacrt zakona o informacionoj bezbednosti, koji će doprineti unapređenju institucionalnog i organizacionog okvira i uskladiti se sa novim zakonodavstvom EU.
Pročitajte više i o NDAA usaglašenosti
Hvala za inspiraciju: nis2directive.eu