NIS2 Direktiva EU i Zakon o kibernetičkoj sigurnosti
Što trebate znati o NIS2
Direktiva NIS2 („Direktiva o mrežnoj i informacijskoj sigurnosti (NIS)“) objavljena je u Službenom listu EU 27. prosinca 2022. i stupila je na snagu 16. siječnja 2023. Njime se regulira kibernetička i informacijska sigurnost tvrtki i institucija. Zemlje članice EU-a to moraju prenijeti u nacionalno zakonodavstvo do listopada 2024.
Direktiva NIS2 proširuje zahtjeve i sankcije za kibernetičku sigurnost kako bi se uskladile i poboljšale razine sigurnosti u državama članicama te uključuje strože zahtjeve za različite sektore. Tvrtke i organizacije moraju se, između ostalog, pozabaviti upravljanjem cyber rizikom, kontrolom i nadzorom, rukovanjem incidentima i kontinuitetom poslovanja. Osim toga, direktiva proširuje broj organizacija koje ulaze u područje primjene. Na menadžment pogođenih organizacija primjenjivat će se stroža pravila o odgovornosti.
Odredite utjecaj
Zajedno ćemo procijeniti utječe li na vas direktiva NIS2 i postaviti temelje za vašu spremnost za NIS2.
Razjasnite odgovornost
Definirajte područja odgovornosti
Osiguravajte kontinuitet poslovanja
Postavite procedure izvješćivanja
Osigurajte praćenje
Pogađa li vas NIS2?
Direktiva NIS-2 zakonodavstvo je o mrežnoj i informacijskoj sigurnosti na razini cijele EU koje je stupilo na snagu 16. siječnja 2023. Države članice moraju prenijeti direktivu u nacionalno zakonodavstvo do 17. listopada 2024. Nova će direktiva uzrokovati ogroman porast broja pogođenih tvrtki. Osim toga, pred pogođena poduzeća postavit će se veći zahtjevi i pojačat će se pritisak da se oni provedu – primjerice kroz prijetnje većim sankcijama i odgovornošću razine uprave.
Common Questions
Najpopularnija pitanja
NIS je sinonim za sigurnost mrežnih i informacijskih sustava. Trenutačno je na snazi NIS direktiva iz 2016. Trenutačno važeći propisi prvenstveno utječu na tvrtke u kritičnoj infrastrukturi i pružatelje digitalnih usluga (online tržišta, online tražilice i usluge računalstva u oblaku).
Direktiva o kibersigurnosti ima za cilj poboljšati otpornost i odgovor na incidente javnog i privatnog sektora u EU-u.
Prethodni sektorski opseg Direktive NIS proširit će se na puno veći dio gospodarstva s NIS2, osiguravajući sveobuhvatnu pokrivenost sektora i usluga koji su ključni za bitne društvene i gospodarske aktivnosti na unutarnjem tržištu.
Pogođene institucije stoga moraju poduzeti odgovarajuće mjere upravljanja rizikom za sigurnost svoje mreže i informacijskih sustava te podliježu obvezi izvješćivanja.
- Infrastruktura financijskog tržišta
• mjesta trgovanja - Zdravlje
• pružatelji zdravstvene zaštite
• proizvodnja farmaceutskih proizvoda i pripravaka - Voda za piće
• dobavljači i distributeri vode - Otpadne vode
• prikupljanje, odlaganje i pročišćavanje otpadnih voda - Digitalna infrastruktura
• razmjena internetskog prometa
• usluge DNS, registri vršnih domena
• usluge računalstva u oblaku
• usluge podatkovnih centara
• mreže za isporuku sadržaja
• usluge povjerenja (digitalni potpis, digitalni pečat, ...)
• javne elektroničke komunikacijske mreže i elektroničke komunikacijske usluge - Upravljanje uslugama IKT-a (B2B)
- Javna uprava
• subjekti središnje državne uprave
• subjekti javne uprave na regionalnoj razini - Svemir
- Poštanske i kurirske usluge
- Gospodarenje otpadom
- Izrada, proizvodnja i distribucija kemikalijama
- Proizvodnja, prerada i distribucija hranom
- Proizvodnja
• medicinski proizvodi i in vitro dijagnostički proizvodi
• računala, elektronički i optički proizvodi
• električna oprema
• proizvodnja strojeva i uređaja
• motorna vozila, prikolice i poluprikolice
• ostala oprema za prijevoz - Pružanje digitalnih usluga
• internetsko tržište
• internetske tražilice
• platforme za društvene mreže - Istraživanje
- Sustav obrazovanja
- SOA
• energetika – svi podsektori
• promet – željeznički, vodni i cestovni
• zdravstvo
• voda za ljudsku potrošnju
• otpadne vode
• digitalna infrastruktura
• upravljanje uslugama IKT (B2B)
• svemir
• poštanske i kurirske usluge
• gospodarenje otpadom
• izrada, proizvodnja i distribucija kemikalija
• proizvodnja, prerada i distribucija hrane
• proizvodnja
• pružatelji digitalnih usluga - Hrvatska agencija za civilno zrakoplovstvo
• zračni promet - ZSIS
• javni sektor - HNB
• kreditne institucije - HANFA
• infrastruktura financijskog tržišta - Središnji državni ured za razvoj digitalnog društva
• digitalna infrastruktura - HAKOM
• javna elektronička komunikacijska mreža
• javno dostupne komunikacijske usluge - Ministarstvo znanosti
• digitalna infrastruktura
• istraživanje
• sustav obrazovanja
- Subjekti se kategoriziraju u dvije kategorije - KLJUČNI I
VAŽNI - Nadležna tijela za provedbu zakona utvrđuju i vode
popis ključnih i važnih subjekata - Nadležno tijelo je dužno informirati kategorizirane
subjekte u roku od 30 dana nakon kategorizacije - Popis se ažurira jednom u dvije godine
- Obveza subjekta je dostaviti nadležnom tijelu podatke
koji se traže od subjekta - Popis subjekata se dostavlja ENISA
- Energetika
• električna energija
• centralno grijanje i hlađenje
• nafta
• plin
• vodik - Promet
• zračni promet
• željeznički promet
• vodeni promet
• cestovni promet - Bankarstvo
• kreditne institucije - Infrastruktura financijskog tržišta
• mjesta trgovanja - Zdravlje
• pružatelji zdravstvene zaštite
• proizvodnja farmaceutskih proizvoda i pripravaka - Voda za piće
• dobavljači i distributeri vode - Otpadne vode
• prikupljanje, odlaganje i pročišćavanje otpadnih voda
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plana za
provedbu Nacionalne strategije kibernetičke sigurnosti (NN 105/2015) –
07.10.2015.• Strategija nacionalne sigurnosti RH (NN73/2017) – 14.07.2017. - Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja
digitalnih usluga (NN 64/2018) – 06.07.2018. - Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja
digitalnih usluga (NN 68/2018) – 26.07.2018. - Smjernice za dostavu obavijesti o incidentima sa znatnim učinkom
operatora ključnih usluga i davatelja digitalnih usluga - U pripremi novi Zakon o kibernetičkoj sigurnosti (https://esajetovanja.gov.hr/ECon/MainScreen?entityId=24627)
• Središnje državno tijelo za informacijsku sigurnost - Ured Vijeća za
nacionalnu sigurnost (UVNS)
• Središnje državno tijelo za kibernetičku sigurnost - Sigurnosnoobavještajna agencija (SOA)
• Središnje državno tijelo za obavljanje poslova u tehničkim područjima
informacijske sigurnosti - Zavod za sigurnost informacijskih sustava
(ZSIS)
• CSIRT - Computer Security Incident Response Team - nadležno tijelo za
prevenciju i zaštitu od kibernetičkih incidenata – koristi se naziv CERT
(Computer Emergency Response Team)
• Nadležna tijela za provedbu posebnih zakona - Hrvatska narodna banka,
Hrvatska agencija za nadzor financijskih usluga i Hrvatska agencija za
civilno zrakoplovstvo
• Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti – SOA i
HAKOM
- Zakon o tajnosti podataka – kada se u provedbi ZoKS koriste
klasificirani podaci
• ZKS se ne primjenjuje na informacijske sustave sigurnosno akreditirane za
postupanje s klasificiranim podacima - ZoKS ne utječe na obveze iz Zakona o primjeni GDPR i primjenu
obveza GDPR kod obrade osobnih podataka - ZoKS ne utječe na obveze temeljene na zahtjevima Zakona o
elektroničkim komunikacijama - ZoKS ne utječe na obveze koje proizlaze iz Zakona o kreditnim
institucijama
- Važni subjekti
- svi subjekti malog gospodarstva
- pružatelji javnih elektroničkih komunikacijskih mreža ili javno
dostupnih elektroničkih komunikacijskih usluga koji nisu
kategorizirani kao ključni subjekt