Na nacionalnoj razini Republike Hrvatske, objavljen je novi Zakon o kibernetičkoj sigurnosti (NN 14/2024) koji definira kategorizaciju poslovnih subjekata shodno njihovoj izloženosti kibernetičkim napadima. Do kraja 2024. godine, poduzeća će primiti Obavijest o kategorizaciji, a u roku od jedne godine moraju se uskladiti sa zahtjevima kibernetičke sigurnosti.
Na koga se NIS2 odnosi?
NIS2 direktiva se odnosi na sve ključne i važne subjekte koji pružaju usluge potrebne za normalno funkcioniranje društva, gospodarstva i unutarnjeg tržišta.
Ovo su neke od ključnih mjera sigurnosti koje se smatraju minimumom, a definirane su u NIS 2:
- Upravljanje rizicima i sigurnosti informacijskog sustava
- Proces upravljanja incidentima
- Plan kontinuiteta, što podrazumijeva sigurnosne kopije i oporavak od katastrofe
- Sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svake tvrtke i njihovih izravnih dobavljača ili pružatelja usluga
- Višefaktorska provjera autentičnosti – odobrenje pristupa digitalnoj lokaciji tek nakon ispunjanja dvaju ili više uvjeta mehanizma provjere jedinstvenosti
- Osnovne prakse kibernetičke higijene i osposobljavanja o kibernetičkoj sigurnosti
- Politike i postupci za procjenu djelotvornosti mjera upravljanja kibernetičkim rizicima
Ključni subjekti:
- Energetika – Pokriva ključne energetske sektore električne energije, nafte i plina, naglašavajući njihovu važnost u svakodnevnim funkcijama i potrebu za kibersigurnošću.
- Promet – zračni, željeznički, cestovni, pomorski
- Bankarstvo (osim središnjih banaka)
- Infrastruktura financijskog tržišta
- Zdravstvo- uključujući proizvodnju farmaceutskih proizvoda i cjepiva
- Svemir
- Opskrba vodom (pitka i otpadne)
- Digitalna infrastruktura – pružatelji naziva domena (DNS), registri vršnih domenskih imena (TLD), internetske točke umrežavanja (IXP), pružatelji podatkovnih centara, računarstva u oblaku, mreže za prijenos sadržaja, javne elektroničke komunikacijske mreže, elektroničke komunikacijske usluge itd.
- Upravljanje uslugama ICT-a
- Središnje i regionalne javne uprave, i ako se članica EU odlučila za to, lokalne vlasti.
Važni subjekti:
- Poštanske i kurirske usluge
- Upravljanje otpadom
- Kemikalije – proizvodnja i distribucija
- Prehrana – proizvodnja, prerada i distribucija
- Proizvodnja medicinskih uređaja (može postati ključna usluga u slučaju događaja koji ugrožavaju javno zdravlje)
- Proizvodnja računala, elektroničkih i optičkih proizvoda, električna oprema, oprema i strojevi, motorna i druga transportna vozila
- Pružatelji digitalnih usluga – internetskih tržišta, internetskih tražilica te pružatelji platformi za društvene mreže
- Obrazovanje – privatni i javni subjekti
- Istraživanje
Iako možda niste izravni obveznik NIS2 direktive, moguće je da ćete biti obuhvaćeni njenim odredbama ukoliko sudjelujete u dobavnom lancu organizacije koja podliježe toj direktivi.
Koliko traje proces usklađivanja s NIS2 direktivom?
Trajanje procesa usklađivanja s NIS2 direktivom ovisi o razini pripremljenosti organizacije, veličini, organizacije, njenom trenutnom stanju sigurnosti, složenosti operacija i drugim faktorima. Prema procjenama stručnjaka prosječno vrijeme za potpuno usklađivanje za većinu subjekata je 12 mjeseci.