Direktiva NIS2: Kakvog uticaja ima direktiva na organizacije u Srbiji, šta očekivati i kako se pripremiti?
Direktiva NIS2 je već nekoliko meseci u centru pažnje medija i jedna je od centralnih diskusija u javnom prostoru širom Evropske unije. Cilj NIS2 (eng. Network and Information Security) je podizanje zajedničkog nivoa sajber bezbednosti širom Evropske unije. Dok se mnogi unutar Evropske unije (s pravom) pitaju zašto je NIS2 uopšte potreban ako je NIS direktiva na snazi od 2016. godine, van Evropske unije se pitaju da li se nova direktiva odnosi i na njih. Da li će NIS2 važiti i za organizacije u Srbiji zavisi od njihove kvalifikacije. U nastavku dajemo sve detalje.
U poređenju sa prethodnom verzijom, NIS2 značajno proširuje polje primene. Direktiva će takođe uvesti mnogo veće kazne u slučaju nepoštovanja. To znači da će značajan broj udruženja, organizacija i kompanija – koji do sada nisu bili obuhvaćeni direktivom NIS – biti prinuđen da proverava (i to kontinuirano) nivo sopstvene sajber bezbednosti. Ali počnimo redom.
Šta je NIS2?
NIS2 je najavljena direktiva Evropske unije čiji je cilj dalje povećanje nivoa sajber bezbednosti na nivou Evropske unije. Direktiva NIS2 obavezuje sve države članice da usvoje odgovarajuće nacionalne zakone i politike za sprovođenje njenih smernica i zahteva. Kao i njezina prethodnica NIS, NIS2 zahteva pojačanu saradnju između država članica u razmeni informacija i koordinaciji odgovora na sajber napade.
Kada NIS2 stupa na snagu?
Evropska unija zahteva od svih subjekata obuhvaćenih NIS2 direktivom da sprovode propisane smernice od 18. oktobra 2024. godine.
Na koga se odnosi NIS2?
Za razliku od NIS direktive, koja je propisala obaveze za ključne pružaoce usluga i pružaoce digitalnih usluga i još nekoliko organizacija, NIS2 značajno proširuje obim delovanja. Pored organizacija koje se odnose na pružanje digitalnih usluga ili usluga data centara i javnih elektronskih komunikacionih mreža, nove obaveze koje proističu iz NIS2 odnosiće se i na javni sektor i deo privatnog sektora. 11 sektora moraće da se prilagodi NIS2 direktivi.
Kakvog uticaja ima NIS2 na zemlje koje nisu članice EU (odnosno Srbiju)?
Primena NIS2 direktive na organizacije koje se nalaze van EU zavisi od njihove klasifikacije.
Na primer, ako imate TLD domenu, provajder ste usluga centara podataka ili ako se vaš centar za donošenje odluka o sajber bezbednosti nalazi unutar Evropske unije, moraćete pripaziti na NIS2.
NIS2 je jedan od razloga zašto je u Srbiji usvojen novi Nacrt zakona o informacionoj bezbednosti, koji će doprineti unapređenju institucionalnog i organizacionog okvira i kapaciteta i uskladiti se sa novim zakonodavstvom EU.
Koji sektori će morati da se prilagode NIS2 direktivi?
Unutar Evropske unije, zdravstveni sektor, organizacije zadužene za vodosnabdevanje i energetiku, preduzeća čiji je fokus odlaganje otpada, javna preduzeća koja se bave odvodnjavanjem i kanalizacijom i sektor saobraćaja potpašće pod mere propisane direktivom NIS2.
Kao što je već pomenuto, NIS2 proširuje listu delatnosti i na privatni sektor, pa će nova direktiva biti nametnuta i finansijskom sektoru i kompanijama koje se bave proizvodnjom hrane. Pored njih, NIS2 propisuje mere i za druge proizvođače kritičnih proizvoda, kao i poštanske i dostavne službe.
Koje mere NIS2 propisuje za poreske obveznike?
Kao što je već pomenuto, cilj NIS2 direktive je dalje jačanje nivoa sajber bezbednosti na nivou Evropske unije. Direktiva ima za cilj da ojača otpor prema onlajn i oflajn pretnjama, ali i da dodatno zaštiti sve organizacije obuhvaćene uredbom. Neće biti bitno da li je u pitanju javna ili privatna kompanija.
Shodno tome, sve kompanije će morati da implementiraju procese i politike za bolje upravljanje rizicima. Kompanije će takođe imati obavezu da transparentno obaveštavaju javnost i sve nadležne institucije o sajber napadima i njihovim posledicama – kada i ako do njih dođe.
Nakon usvajanja NIS2 direktive, očekuje se da srednje i velike organizacije kontinuirano sprovode bezbednosne politike u informacionom sistemu. Kompanije će morati da izvrše analizu rizika i definišu kontinuitet poslovanja prilikom upravljanja rizicima. Od organizacija se takođe očekuje da implementiraju prakse za otkrivanje i rukovanje ranjivostima, kao i kontinuirano testiranje nivoa sajber bezbednosti kompanije. Dodatne obaveze uključuju korišćenje praksi šifrovanja i višefaktorske autentifikacije i implementaciju bezbedne video, glasovne i tekstualne komunikacije.
Kako se pripremiti?
Na tržištu postoji čitav niz rešenja koja mogu pomoći organizacijama da se prilagode predstojećoj NIS2 direktivi. Među njima se ističu oni iz Thales portfelja koji pružaju sveobuhvatnu zaštitu podataka i usaglašenost sa svim zahtevima koji proističu iz NIS2.
- Zaštita transakcija i podataka u stanju mirovanja
- Šifrovanje finansijskih i ličnih podataka u pokretu
- Razvoj i održavanje bezbednih sistema i aplikacija
- Sprovođenje jakih mera kontrole pristupa
- Praćenje i praćenje svih pristupa osetljivim informacijama