Direktiva NIS2 (Direktiva (EU) 2022/2555) predstavlja ključni korak Europske unije u jačanju kibernetičke sigurnosti i otpornosti na području država članica. Ova direktiva, koja je stupila na snagu 27. prosinca 2022. godine, zamjenjuje prethodnu NIS direktivu iz 2016. godine, proširujući njezin opseg i uvodeći strože zahtjeve za organizacije u različitim sektorima.
Prošireni opseg primjene
NIS2 direktiva obuhvaća širi spektar sektora u usporedbi s prethodnom verzijom. Osim tradicionalnih sektora poput energetike, transporta i zdravstva, nova direktiva uključuje i sektore poput poštanskih i kurirskih usluga, upravljanja otpadom, proizvodnje i distribucije kemikalija, proizvodnje medicinskih uređaja te digitalnih pružatelja usluga poput online tržišta, pretraživača i platformi društvenih mreža.
Ključni zahtjevi i obveze
Organizacije koje potpadaju pod NIS2 direktivu moraju usvojiti odgovarajuće tehničke, operativne i organizacijske mjere za upravljanje rizicima kibernetičke sigurnosti. To uključuje:
- Upravljanje rizicima: Identifikaciju i procjenu rizika te implementaciju mjera za njihovo smanjenje.
- Prijavljivanje incidenata: Obvezu prijavljivanja značajnih kibernetičkih incidenata nadležnim tijelima u određenom vremenskom roku.
- Kontinuitet poslovanja: Razvoj planova za osiguranje kontinuiteta poslovanja u slučaju kibernetičkih napada ili drugih poremećaja.
- Sigurnost opskrbnog lanca: Osiguranje sigurnosti kroz cijeli opskrbni lanac, uključujući dobavljače i partnerske organizacije.
- Kriptografija: Primjenu odgovarajućih mjera za zaštitu podataka, uključujući enkripciju gdje je to potrebno.
Ovi zahtjevi imaju za cilj povećati otpornost organizacija na kibernetičke prijetnje i osigurati visoku razinu sigurnosti mrežnih i informacijskih sustava diljem EU.
Odgovornost upravljačkih tijela
NIS2 direktiva naglašava odgovornost upravljačkih struktura unutar organizacija za provedbu mjera kibernetičke sigurnosti. Upravljačka tijela moraju biti svjesna rizika i osigurati da njihove organizacije ispunjavaju zahtjeve direktive, uključujući osiguranje odgovarajućih resursa i stručnosti za upravljanje kibernetičkom sigurnošću.
Rokovi za usklađivanje
Države članice EU imale su rok do 17. listopada 2024. godine za prenošenje odredbi NIS2 direktive u nacionalno zakonodavstvo. Od 18. listopada 2024. godine, organizacije koje potpadaju pod opseg direktive dužne su uskladiti svoje poslovanje s novim zahtjevima.
Priprema za usklađivanje
Organizacije bi trebale započeti s procjenom svojih trenutnih praksi kibernetičke sigurnosti i identificirati područja koja zahtijevaju poboljšanja kako bi ispunile zahtjeve NIS2 direktive. To uključuje edukaciju zaposlenika, ulaganje u napredne sigurnosne tehnologije te uspostavu procedura za brzo i učinkovito reagiranje na kibernetičke incidente.
Implementacija NIS2 direktive predstavlja značajan korak prema jačanju kibernetičke sigurnosti unutar Europske unije, osiguravajući da organizacije budu bolje pripremljene za suočavanje s rastućim kibernetičkim prijetnjama u današnjem digitalnom okruženju.