NIS2 – Regulacija za sigurniju budućnost
NIS2 je takozvana direktiva o kibernetičkoj sigurnosti na razini cijele EU koja je stupila na snagu u listopadu 2024. U usporedbi s NIS1, NIS2 uvodi značajne promjene, koje će također nametnuti strože obveze u području kibernetičke sigurnosti većem broju organizacija. Države članice morat će usvojiti nove odredbe koje sadrže te strože mjere kontrole i provedbe kako bi osigurale usklađenost s direktivom. NIS2 zamjenjuje direktivu NIS1, što rezultira nekoliko značajnih razlika u usporedbi s NIS1: NIS2 proširuje područje primjene na veće subjekte, kao što su proizvođači kemikalija i medicinskih proizvoda, proizvođači hrane i pružatelji usluga društvenih mreža, koji prije nisu bili obuhvaćeni NIS1. NIS2 zamjenjuje razliku između “pružatelja osnovnih usluga” i “pružatelja digitalnih usluga” s “bitnim subjektima” i “kritičnim subjektima” na temelju, između ostalog, veličine i sektora. Iako oba imaju slične obveze, ključni subjekti podliježu strožim mjerama provedbe i kontrole. Nadzornik sektora mora biti odgovoran za kontrolne mjere.
NIS2 nameće nove obveze u području kibernetičke sigurnosti „bitnim“ i „kritičnim“ subjektima, uključujući upravljanje rizicima i lancem opskrbe, izvještavanje o kibernetičkim incidentima i dijeljenje informacija. Usklađenost s tim zahtjevima zahtijevat će od onih na koje se odnosi da razviju i provedu nove politike i postupke. NIS2 zahtijeva od država članica EU da poboljšaju svoje nacionalne strategije kibernetičke sigurnosti i odgovore na digitalne prijetnje s kojima se suočavaju. Važno je da organizacije budu u tijeku s budućim inicijativama država članica u ovom području.
Pojačani sigurnosni zahtjevi
NIS2 će poboljšati sigurnosne zahtjeve poduzeća uvođenjem metodologije upravljanja rizicima i minimalnog popisa osnovnih sigurnosnih elemenata. Direktiva također sadrži mnogo detaljnije odredbe o izvješćivanju o incidentima, uključujući, na primjer, sadržaj i vrijeme izvješća. Prema direktivi, obavijest se mora podnijeti u roku od 24 sata od nastanka incidenta i mora uključivati detaljniji postupak izvješćivanja. NIS2 također zahtijeva rješavanje sigurnosti lanca opskrbe. To također uključuje rizike koje predstavljaju odnosi zajedničkog mjerenja. NIS2 također naglašava odgovornost uprave za organizacijsku kibernetičku sigurnost i stavlja individualnu odgovornost na upravna tijela poput korporativnih uprava i uprave kako bi se osigurala učinkovita provedba zahtjeva kibernetičke sigurnosti. Organizacije mogu biti predmet raznih provedbenih naloga, a nepoštivanje može rezultirati značajnim novčanim kaznama.
