NIS2 direktiva - koga se tiče i kako ju implementirati?

Čak i ako ste propustili naš prošli blog o detaljima vezanima za novosti u kibernetičkoj sigurnosti, možda ste svejedno već čuli za NIS2 direktivu, posebno ako radite u nekoj organizaciji koja koristi puno digitalne tehnologije. Ali podsjetimo još jednom, što je zapravo ta direktiva i tko sve mora obratiti pažnju na nju?

Što je NIS2 direktiva i zašto je važna?

Podsjetimo, NIS2 je nova europska direktiva koja ima za cilj povećati kibernetičku sigurnost – drugim riječima, pobrinuti se da tvrtke i institucije bolje štite svoje IT sustave i podatke. Prva verzija direktive (NIS1) postojala je od 2016., ali se pokazalo da je nedovoljna – obuhvaćala je premalo sektora, imala neujednačenu primjenu po državama i nedovoljno precizne zahtjeve. Zato je NIS2 znatno stroža, jasnija i šira po opsegu.

Koga se NIS2 zapravo tiče?

NIS2 ne cilja samo velike IT tvrtke. Naprotiv, obuhvaća širok spektar sektora i organizacija, uključujući:

Ključne sektore:

Energiju (elektrane, plin, nafta)
Vodu (vodovod, kanalizacija)
Zdravstvo (bolnice, klinike, laboratoriji)
Transport (zračni, željeznički, cestovni, pomorski)
Banke i financije
Digitalnu infrastrukturu (cloud, data centri, DNS)
Javnu upravu i tijela lokalne samouprave

Važne sektore:

Poštanske usluge
Proizvodnju određene robe (npr. elektroničke opreme)
Upravljanje otpadom
I još mnogo drugih

Ako imate više od 50 zaposlenih ili prihod veći od 10 milijuna eura godišnje, vrlo je vjerojatno da spadate u obveznike NIS2 direktive.

Što se zapravo traži?

Organizacije koje su obuhvaćene direktivom morat će:

Provoditi procjenu rizika i identificirati gdje su njihovi sustavi najranjiviji
Uvesti organizacijske i tehničke mjere sigurnosti – npr. sigurnosne kopije, zaštitu mreže, autentifikaciju korisnika
Imati jasan plan za odgovor na incidente – kako reagirati u slučaju napada ili proboja sustava
Osigurati kontinuitet poslovanja – čak i kad nešto pođe po zlu
Edukaciju zaposlenika – jer ljudska pogreška često bude najslabija karika
Provjeravati sigurnost dobavljača i partnera – jer lanac je jak koliko i njegova najslabija karika
Prijavljivati incidente nadležnim tijelima u roku od 24 sata

Za sve ovo, kod većine tvrtki bit će potrebni interna reorganizacija, ulaganje u IT i kontinuirano praćenje sustava.

Kada to stupa na snagu?

Zemlje članice EU, pa tako i Hrvatska, trebaju do listopada 2024. prenijeti ovu direktivu u svoje zakonodavstvo. To znači da organizacije imaju ograničeno vrijeme da se pripreme i usklade s novim pravilima. Do veljače 2025. hrvatska nadležna tijela imala su rok za obavijestiti organizacije o njihovoj kategorizaciji kao ključnih ili važnih subjekata. Nakon toga, organizacije imaju godinu dana za usklađivanje s novim zahtjevima.

Kako se pripremiti?

Ako ste odgovorni za IT, sigurnost ili upravljanje u svojoj organizaciji, sada je pravo vrijeme da:

Provjerite jeste li obuhvaćeni direktivom
Napravite analizu trenutne razine sigurnosti
Krenete s planiranjem i provedbom potrebnih mjera
Ako niste sigurni kako, angažirajte stručnjake koji vam mogu pomoći

Pristup ne mora biti kompliciran – uz dobru strategiju i postepenu implementaciju, vaša organizacija može postati ne samo usklađena, nego i otpornija na sve češće prijetnje iz digitalnog svijeta.

Zaključno, NIS2 možda zvuči tehnički, ali iza svega stoji jednostavna ideja – štititi digitalni prostor i podatke koji su danas ključni za poslovanje i društvo. Ako ste odgovorni za IT, sigurnost ili menadžment unutar svoje tvrtke, sad je pravo vrijeme da se počnete pripremati.

Zatražite besplatnu procjenu usklađenosti!

Saznajte već danas jeste li spremni za NIS2 direktivu i ne brinite - čak i ako niste, pomoći ćemo vam da to postanete.