Svi poduzetnici u Europskoj uniji, a posljedično i u Hrvatskoj, od listopada sljedeće godine moraju u svoje poslovanje implemenirati europske direktive o kibernetičkoj sigurnosti NIS 2. "GDPR za kibernetičku sigurnost", kako još direktivu nazivaju, ulazi na velika vrata ne samo u očekivane sektore povezane s pružanjem digitalnih usluga ili u sektore koji osiguravaju ključne digitalne infrastrukture, kao što su pružatelji javnih elektroničkih komunikacijskih mreža i usluga ili pružatelji usluga podatkovnih centara, već nove obveze obuhvaćaju i javni sektor, ali i dio privatnog.
11 ključnih sektora
To znači da se novoj direktivi moraju prilagoditi čak 11 sektora. To uključuje zdravstvo, ali i druge javne sektore kao što su tvrtke zadužene za opskrbu energentima, vodom, javne tvrtke zadužene za odvodnju i kanalizaciju, te tvrtke za zbrinjavanje otpada ili regulaciju prometa. No, nova pravila utjecat će i na privatne tvrtke, prije svega financijski sektor i na proizvođače hrane te na druge tvrtke zadužene za proizvodnju kritičnih proizvoda, ali i primjerice na poštanske i kurirske tvrtke. Svi oni, ma kako bili mali ili veliki, imat će od sljedeće godine nove obveze temeljem nove direktive koja definira neka nova pravila o kibernetičkoj sigurnosti.
Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti, NIS 2, trebala bi naime ojačati otpornost Europske unije na online i offline prijetnje poput kibernetičkih napada, a svi tvrtke na koje se odnosi, bile one javne ili privatne, morat će bolje upravljati rizicima koji se tiču kibernetičke sigurnosti, ali i jasno i transparentno izvještavati i javnost i druge institucije u prijetnjama i napadima, ako do njih dođe, kao i o njihovim ishodima.
Implementacijom NIS 2 direktive srednja i velika poduzeća morati zadovoljiti analizu rizika i sigurnosne politike informacijskog sustava, definirati kontinuitet poslovanja pri upravljanju krizama, moraju također detektirati rukovanje i otkrivanje ranjivosti, testirati i revidirati kibernetičke sigurnosti, revidirati učinkovito korištenje enkripcije kao i višefaktorsku autentifikaciju, osigurati sigurnu glasovnu, video i tekstualnu komunikaciju, kao i sigurne komunikacijske sustave za hitne slučajeve.
Novi regulator za nadzor
Naime, NIS 2 postavlja strože sigurnosne zahtjeve za subjekte obveznike koji pružaju ključne i važne usluge od vitalnog značaja za društvo, ali i uvodi široke obveze prijavljivanja sigurnosnih incidenata nadležnim tijelima i, ako je potrebno, korisnicima usluga i široj javnosti. Također, postavlja okvire za suradnju između subjekata i nadzornih tijela, ali i između nadzornih tijela različitih država članica te ujedno potiče stvaranje zajedničkih skupina za koordinaciju kako bi se učinkovito upravljalo sigurnosnim incidentima na razini EU. Temeljem direktive, regulatorna tijela imat će i veće ovlasti, a to možda znači i uspostavljanje novog nacionalnog regulatornog tijela koja će provoditi nadzor nad subjektima-obveznicima.
- Svim poduzetnicima koji rade i žele nastaviti raditi s ključnim pružateljima usluga u čak jedanaest gospodarskih grana, od energije do prehrane, predlažem da se što prije počnu usklađivati s tom direktivom. Jedna je od ključnih komponenata u usklađivanju edukacija zaposlenika, zato je treba planirati i provesti pravodobno, a uz to bih savjetovao i provedbu internih vježbi prepoznavanja phishing-napada specijaliziranim alatima kako bi zaposlenici mogli prepoznati stvarne takve napade te ih prijaviti mjerodavnim tijelima – zaključio je Marinko Žagar, stručnjak za edukaciju o kibernetičkoj sigurnosti u Span Centru kibernetičke sigurnosti.