NIS2 direktiva
Što je NIS2 direktiva?
NIS2 direktiva predstavlja novi, znatno stroži regulatorni okvir Europske unije za kibernetičku sigurnost mrežnih i informacijskih sustava. Donijeta je kako bi zamijenila izvornu NIS direktivu te odgovorila na rastuće kibernetičke prijetnje, povećanu digitalizaciju i ovisnost društva o kritičnim digitalnim uslugama.
Za razliku od prethodne regulative, NIS2 značajno proširuje obuhvat obveznika, uvodi jasnije odgovornosti upravljačkih struktura te strože zahtjeve za upravljanje rizicima i prijavu incidenata.
Čemu služi?
Cilj NIS2 direktive je podizanje ukupne razine kibernetičke otpornosti u Europskoj uniji. Regulativa osigurava da organizacije koje pružaju kritične i važne usluge imaju adekvatne tehničke, organizacijske i operativne mjere za sprječavanje, detekciju i odgovor na kibernetičke incidente.
NIS2 također jača suradnju između država članica, nacionalnih tijela i CSIRT-ova, čime se poboljšava koordinacija u slučaju velikih ili prekograničnih incidenata.
Tko su obveznici
Direktiva se primjenjuje na bitne (essential) i važne (important) subjekte, uključujući, ali ne ograničavajući se na:
- energetiku, promet, zdravstvo, vodne usluge
- digitalnu infrastrukturu i ICT usluge
- javnu upravu
- proizvodne i industrijske subjekte od strateške važnosti
Ključne obveze obveznika
NIS2 jasno definira odgovornost organizacija za upravljanje kibernetičkim rizicima i sigurnost sustava.
Najvažnije obveze uključuju:
- uspostavu sustava upravljanja kibernetičkim rizicima
- implementaciju tehničkih i organizacijskih sigurnosnih mjera
- kontinuirani nadzor i detekciju sigurnosnih incidenata
- obvezno i pravovremeno izvještavanje o incidentima
- odgovornost uprave za provedbu sigurnosnih mjera
Izdvojeni zahtjevi NIS2 direktive
- Upravljanje rizicima i kontinuitet poslovanja
- Sigurnost mrežnih i informacijskih sustava
- Incident response i krizno upravljanje
- Sigurnost opskrbnog lanca
- Edukacija i podizanje sigurnosne svijesti
