Europska unija je 2016. godine donijela NIS direktivu (Network & Information Security directive), s provedbom 2018. godine, koja postavlja zahtjev da tvrtke od posebnog značaja za državu svoje sustave moraju učiniti otpornima na kibernetičke napade.
NIS 2 zahvaća (skoro) sve tvrtke
Kako je u NIS direktivi jedan od zahtjeva osigurati da se direktiva redovito revidira, pojavom globalne pandemije koronavirusa i ubrzane digitalne transformacije EU je donijela novu strategiju kibernetičke sigurnosti 2020 – 2025 i NIS2 direktivu. Značajni porast kibernetičkih napada „prisilio“ je direktivu da izađe samo iz okvira kritične infrastrukture i zahvati gotovo sve gospodarske subjekte. Godine 2018. NIS direktiva ostala je u sjeni provedbe GDPR-a koji je usredotočen na privatnost i obradu podataka, dok je NIS usmjeren na ublažavanje rizika i posljedica štetnih djelovanja kibernetičkih napada.
Kibernetičko djelovanje i kibernetički kriminal u značajnom su rastu posljednjih nekoliko godina. Neki od globalnih napada dokazali su nam da djelovanje u kibernetičkom prostoru može tvrtkama i pojedincima nanijeti ozbiljnu štetu u fizičkom svijetu.
Koje su promjene u NIS-u 2?
Ograničenje veličine sada povećava pokrivenost svim srednjim i velikim tvrtkama u pokrivenim sektorima, dok se NIS odnosio samo na kritičnu infrastrukturu. Male i mikroorganizacije općenito su izuzete, ali bi potencijalno mogle biti obuhvaćene direktivom jer je ugrađena fleksibilnost za uključivanje malih tvrtki koje se smatraju visokorizičnima.
Tako će stupanjem NIS2 direktive na snagu srednja i velika poduzeća morati zadovoljiti:
- analizu rizika i sigurnosne politike informacijskog sustava
- kontinuitet poslovanja i upravljanje krizama
- rukovanje i otkrivanje ranjivosti
- testiranje i reviziju kibernetičke sigurnosti
- učinkovito korištenje enkripcije
- višefaktorsku autentifikaciju
- sigurnu glasovnu, video i tekstualnu komunikaciju
- osigurane komunikacijske sustave za hitne slučajeve.
Usklađivanjem s direktivom NIS2 tvrtke će također pokriti neke od zahtjeva zaštite podataka GDPR-a, npr. mjere enkripcije podataka.
Supply chain je najveća prijetnja
Lanac opskrbe žarište je cyber napada. Mnogo je istraživanja iz 2021. koja su se odnosila na CIO i CISO-e po pitanju kibernetičke sigurnosti lanca opskrbe. Rezultati su pokazali da je na 97% tvrtki “negativno utjecalo” kršenje kibernetičke sigurnosti koje potječe od dobavljača u lancu opskrbe. NIS2 uzima u obzir ovaj rizik kibernetičke sigurnosti zahtijevajući strogo upravljanje rizicima u lancu opskrbe.
Izvještavanje
Mjere izvještavanja su pojednostavljene, ali i proširene kako bi uključile obavijest o svim značajnim prijetnjama koje bi mogle dovesti do značajnog incidenta. Izvješća se moraju podnositi nadležnim tijelima (koje dodjeljuje svaka država članica) ili CSIRT-u (timu za odgovor na računalne sigurnosne incidente).
Klasifikacija „važnog“ ili „bitnog“ subjekta dodijeljena tvrtki prema direktivi utječe na razinu zahtjeva za upravljanje rizikom kibernetičke sigurnosti i obveze izvještavanja prema NIS-u 2.