S obzirom na intenzitet promena u IT, ali i svim onim organizacijama koje barataju informacijama, prirodno je i da regulativa bar pokuša da prati ove procese. Na teritoriji EU je do sada bila aktuelna NIS direktiva koja je sa sobom nosila određene odgovornosti i obaveze. Sada dobija naslednicu – NIS2 regulativu, koja donosi i određene promene u domenu sajber bezbednosti. Evo šta to znači za zemlje potpisnice.
Šta je NIS2 direktiva i na koga se odnosi
NIS2 (Network and Information Security) direktiva predstavlja direktivu Evropske unije u domenu bezbednosti računarskih mreža, i podataka. Doneta je sa ciljem da na generalnom nivou poveća nivo sajber bezbednosti u datim domenima, ali i poveća sposobnost “oporavka” nakon sajber napada. NIS2 je direktna naslednica pređašnje NIS regulative, stupila na snagu u january 2023. godine, a njene članice moraju početi sa primenom njenih smernica od oktobra 2024. godine.
NIS2 se odnosi, i obavezujuća je za sve države članice, odnosno – ona nalaže da se članice (koje ne moraju nužno biti članice EU) striktno pridržavaju odredbi direktive, i njene odredbe uključe i u svoje nacionalne zakone. U slučaju nepridržavanja propisa, predviđene su kazne.
Sektori na koje se direktiva odnosi su sektori visoke važnosti (kritični sektori), kao što su:
- snabdevanje električnom energijom,
- transport
- bankarstvo
- zdravstvo, uključujući i farmaciju
- finansijska tržišta i infrasktruktura,
- upravljanje pijaćom i tehničkom vodom,
- digitalne infrasktrukture
- poslovanje u oblaku,
- telekomunikacije,
- ICT usluge,
- državna administracija.
Takođe, ova direktiva “kači” i neke druge sektore kao što su poštanska i kurirska služba, upravljanje otpadom, prehrambena industrija i pružaoci digitalnih usluga.
Razlike između NIS i NIS2 direktive
Kako već postoji direktiva koja uređuje domen bezbednosti na nivou svojih država članica (NIS), postavlja se pitanje zašto je bilo potrebno uvođenje njene novije verzije. Međutim, kod NIS1 su svojevremeno primećeni neki nedostaci koji su ispravljeni u novoj verziji direktive, i omogućuju još efikasniju saradnju na polju sajber bezbednosti, kao i standarde koje je potrebno ispoštovati. Ovo su neke od razlika između dva dokumenta:
- Polje delovanja – NIS2 znatno proširuje polje delovanja na veći broj sektora i pravnih lica, i sada osim osnovnih i “najvažnijih” oblasti pokriva i sektore kao što su državna administracija, upravljanje otpadom, prehrambenu indsutriju i slično.
- Zahtevi u pogledu sajber bezbednosti – NIS1+ je zahtevala od članica da primene “adekvatne i proporcionalne” mere sajber bezbednosti. To je ostavljalo dosta prostora za tumačenje, što je uzrokovalo razliku u primeni pravila širom EU. U novoj verziji je to preciznije definisano.
- Izveštavanje o incidentima – originalna NIS direktiva zahtevala je od članica da prijavljuju najznačajnije incidente državnom rukovodstvu. Međutim, kriterijum koji je određivao šta to spada u “značajne” incidente nije bio precizno definisan. To je za posledicu imalo nekonzistentno izveštavanje. To je ispravljeno u novoj verziji.
Uvođenje NIS2 – sledeći koraci
Zemalje potpisnice NIS2 direktive imale su rok do 17. oktobra 2024. godine da postojeću NIS1 direktivu zamene novom NIS2 – bio im je dat rok od 21 meseca za početak upotrebe nove direktive. U narednom periodu, nadležna komisija će povremeno pregledati i razmatrati primenu NIS2 direktive, i podneti parlamentu prvi izveštaj do 17. oktobra 2027. godine. Na ovaj način omogućuje se pravovremena i pravilna primena pravila koje ova direktiva sa sobom nosi.
Sajber osiguranje – saveznik u borbi za bezbedniji sajber prostor
Ispuniti sve propisane zahteve o sajber bezbednosti nije lako – potrebno je imati razrađen sistem, stručan kadar upoznat sa najnovijim trendovima u domenu sajber bezbednosti, ali i zaposlene koji su upoznati sa osnovnim merama zaštite od sajber krminala. Ipak, nekada jednostavno organizacije potpadnu pod uticaj hakera i dođe do krađe podataka. Šta onda?
Kako bi se izbegle posledice sajber napada, i u finansijskom i u organizacionom smislu, preporučuje se sajber osiguranje. Za više informacija o ovoj polisi, kontaktirajte VIB tim.
Koliko će zaista primena NIS2 “uzdrmati” rad organizacija i IT svet generalno ostaje da se vidi. Do tada, treba da se postaramo da se adekvatno pripremimo za njenu primenu, napre tako đto ćemo se obavestiti o svim pojedinostima pre njenog stavljanja u upotrebu.