PC Press specijal - Data centri 2025
PCPress.rs Image
Business Technology 

NISS2 direktiva i IT bezbednost

PC Press

Razmotrimo informacionu bezbednost u Srbiji u kontekstu evropske direktive NIS2 i predloga Zakona o informacionoj bezbednosti.

PCPress.rs Image

Rastuća pretnja deepfake tehnologije dobila je značajan publicitet kada je u aprilu 2025. finansijski direktor jedne singapurske kompanije prevarom umalo izgubio skoro 500.000 dolara nakon što su hakeri kreirali lažni telefonski poziv u kome su koristili glas izvršnog direktora. Prevaranti su koristili AI alat za kloniranje glasa izvršnog direktora, simulirajući hitan zahtev za uplatom na navodno poverljivi račun, a tek naknadno je otkriveno da je u pitanju deepfake, odnosno pokušaj prevare uz korišćenje alata veštačke inteligencije. Ovaj slučaj upozorio je globalnu poslovnu zajednicu na opasnosti audio deepfake napada, u kome je ključni indikator za prepoznavanje pokušaja prevare bio neprirodan tok disanja i neusklađeni ton glasa.

Znatno oštriji bezbednosni zahtevi

Villager Quix robotske kosilice

Direktiva NIS2, koja je stupila na snagu 16. januara 2023, donela je znatno pooštrene zahteve za sajberbezbednost u EU, proširivši njen domet sa 7 na 18 sektora, uključujući javnu upravu, zdravstvo, digitalnu infrastrukturu i ključne dobavljače AI komponenti. Ona uvodi obavezu sveobuhvatnog upravljanja rizicima u lancu snabdevanja, stroge rokove za prijavljivanje incidenata (24sata za preliminarni izveštaj, 72sata za detaljni) i jedinstvene sankcije za nepoštovanje. Rok za prenos odredbi istekao je 17.oktobra 2024, a primena je počela dan kasnije. U Srbiji je 27.februara 2025. Vlada usvojila predlog Zakona o informacionoj bezbednosti, kojim se jača uloga NacionalnogCERT-a, koordinacija državnih organa i model prilagođava domaćoj praksi.

Security is not a product, but a process, rekao je Bruce Schneier

Prva direktiva NIS (2016/1148) kreirala je osnovni okvir za zaštitu mrežnih i informacionih sistema, ali ubrzani porast sofisticiranih sajbernapada ukazao je na potrebu za revizijom već 2020.godine. Predlog za ažuriranje predstavljen je decembra 2022, a NIS2 je formalno usvojena istog meseca, čime je objedinjena pravna osnova za čvršću koordinaciju i efikasnije sankcije unutar EU. Direktiva je objavljena u Službenom listu EU krajem decembra 2022. i zvanično je stupila na snagu 16.januara 2023. godine.

Pročitajte i:  Meta ulaže milijarde u data centar u Viskonsinu

Proširenje obima i sektora

NIS2 proširuje primenu s početnih sedam na ukupno 18 sektora, podeljenih na „ključne“ i „značajne“ entitete. Među novim sektorima izdvajaju se javna uprava, prostorno planiranje, zdravstvene ustanove, digitalni servisi i proizvođači ključnih komponenti za veštačku inteligenciju. Cilj je obuhvatiti širi spektar
kritične infrastrukture i u celoj Evropi uspostaviti ujednačene standarde bezbednosti.

PCPress.rs Image

NIS2 zahteva od organizacija da uspostave formalne strukture upravljanja sajberbezbednošću, uključujući imenovanje lica za bezbednost informacija i formiranje odbora za rizik na najvišem nivou upravljanja. Obavezne su redovne procene pretnji, testovi penetracije, automatizovano nadgledanje i revizije dobavljača, uz usklađivanje dokumentacije koja mora biti dostupna nadležnim državnim organima.
Direktiva uvodi rok od 24sata za preliminarno prijavljivanje značajnih incidenata, dok je detaljan izveštaj predviđen u roku od 72sata od otkrivanja incidenta. Države članice moraju imenovati i osnažiti nacionalne CSIRT timove, učestvujući u Evropskoj grupi za saradnju radi brze razmene obaveštajnih podataka i koordiniranog reagovanja.

Direktiva uvodi obavezu sveobuhvatnog upravljanja rizicima u lancu snabdevanja i stroge rokove za prijavljivanje incidenata – 24sata za preliminarni izveštaj, 72 sata za detaljni

Neispunjavanje zahteva direktive NIS2 nosi jedinstvenu šemu sankcija, s novčanim kaznama koje mogu dostići do dva odsto globalnog godišnjeg prihoda za ključne entitete ili proporcionalno manju kaznu za značajne entitete. Članovi upravljačkih tela mogu biti direktno odgovorni za propuste u primeni mera, što dodatno motiviše izvršnu vlast na strože poštovanje pravila.

Pročitajte i:  SK Group i Amazon ulažu 5 milijardi dolara u najveći data centar u zemlji

Stanje u Srbiji

Srbija nije član EU, ali je u postupku usklađivanja svog zakonodavstva sa evropskim standardima. Vlada Republike Srbije usvojila je 27.februara 2025. predlog Zakona o informacionoj bezbednosti, kojim se jača uloga NacionalnogCERT-a, definišu ovlašćenja za koordinaciju prevencije i reagovanja na incidente i reguliše međunarodna saradnja. Novi predlog predviđa da NacionalniCERT vodi evidenciju ranjivosti IKT sistema i podnosi redovne izveštaje Vladi, sve dok ne budu doneti podzakonski akti. U periodu dok se čeka formiranje svih tela, privremenu koordinaciju vodi Kancelarija za informacione tehnologije i elektronsku upravu.

PCPress.rs Image

Visina novčanih kazni za neusklađivanje sa obavezama, odnosno za kršenje odredaba predloga zakona u Srbiji je limitirana maksimumom propisanim Zakonom o prekršajima na 2.000.000 RSD. Relativno nizak iznos ovog zakonskog maksimuma moguće izrečene novčane kazne jeste smetnja za efikasnu primenu ovog predloga Zakona.

Preporuke i najbolja praksa

Da bi ispunile nove zahteve, organizacije bi trebalo da:

  • investiraju u SOAR (security orchestration, automation and response) platforme za automatizovanu detekciju i odgovor na incidente;
  • sprovode redovne simulacije phishing i deepfake napada;
  • uspostave koherentne interne politike za razvoj i nabavku IKT rešenja;
  • uključe se aktivno u rad nacionalnih i evropskih udruženja za informacionu bezbednost, razmenjujući informacije i zajednički razvijajući standarde za otkrivanje i sprečavanje sofisticiranih AI prevara.
Pročitajte i:  HPE: Od virtualizacije do hibridne cloud platforme

Troškovi implementacije

Evropska komisija procenjuje dodatne godišnje troškove ulaganja u informacionu bezbednost za poslovne subjekte u EU od otprilike 31,2 milijarde evra, uključujući ulaganja u stručnjake, softver, obuku i revizije. Ulaganja se smatraju nužnim za prevenciju i smanjenje potencijalnih šteta uzrokovanih rastućim sofisticiranim AI pretnjama.

Vlada Srbije je 27. februara 2025 usvojila predlog Zakona o informacionoj bezbednosti, kojim se jača uloga NacionalnogCERT-a, koordinacija državnih organa i model prilagođava domaćoj praksi

Direktiva NIS2 postavlja ambiciozan, ali neophodan okvir za jačanje sajberbezbednosti u Evropi, s jasnim obavezama za upravljanje rizicima, kao i izveštavanjem o incidentima. Srbija, sa svoje strane, prilagođavajući svoj zakonodavni okvir, kreće putem usklađivanja sa ovim standardima. Istovremeno, primer deepfake prevare iz Singapura podseća da tehnološke inovacije donose i nove pretnje, te je neophodno kontinuirano ulagati u tehnologiju, obuke i međudržavnu saradnju kako bi se sačuvala bezbednost ključnih infrastrukturnih elemenata i omogućio normalni rad firmi i pojedinaca.

Autor: Nenad Cvjetićanin, rukovodeći part­ner u advokatskoj kancelariji Cvjetićanin i Partneri

Facebook komentari:
Tagovi: , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *