Spada li vaša organizacija u opseg NIS 2?
Spada li vaša organizacija u opseg NIS 2? Spada li vaša organizacija u opseg NIS 2? U 2016., početna NIS Direktiva se pozivala na 7…
Procijenjene tvrtke koje će biti pogođene NIS 2 i koje će morati postati usklađene
Najveća novčana kazna za nepoštivanje NIS 2 za sve tvrtke koje se revidiraju godišnje po tvrtki
Broj sektora obuhvaćenih NIS 2 Direktivom. Ako vaša tvrtka radi u definiranom sektoru, mora biti usklađena s NIS 2
Direktiva NIS 2, ažurirano pravilo EU-a o kibersigurnosti uvedeno radi rješavanja nedostataka u odnosu na svog prethodnika, NIS, ima širi opseg, obuhvaćajući više sektora nego prije. Cilj mu je ujednačiti standarde kibernetičke sigurnosti u cijeloj EU i uvesti strože kazne za one koji ih se ne pridržavaju.
Direktiva naglašava pristup temeljen na riziku, što znači da bi organizacije trebale zaštititi svoje sustave na temelju potencijalnih prijetnji. Suradnja je ključna jer NIS 2 potiče razmjenu informacija među dionicima. Štoviše, zahtijeva sveobuhvatno izvješćivanje o incidentima kako bi se pomoglo u razumijevanju i suzbijanju prijetnji u nastajanju.
Direktiva NIS 2 proširuje pokrivenost s izvornih 7 sektora prema NIS direktivi, dodajući još 8 za ukupno 15 sektora. Da biste pristupili NIS 2 informacijama o pojedinim sektorima, jednostavno kliknite na jedan od dolje navedenih sektora.
NIS 2 klasificira organizacije ili kao "bitne subjekte" (EE) ili kao "važne subjekte" (IE). Javni ili privatni subjekti u tim sektorima s preko 50 zaposlenika i godišnjim prometom većim od 10 milijuna moraju odrediti svoju grupu i pridržavati se povezanih pravila.
NIS 2 klasificira organizacije ili kao "bitne subjekte" (EE) ili kao "važne subjekte" (IE). Javni ili privatni subjekti u tim sektorima s preko 50 zaposlenika i godišnjim prometom većim od 10 milijuna moraju odrediti svoju grupu i pridržavati se povezanih pravila.
energija
Pokriva ključne energetske sektore električne energije, nafte i plina, naglašavajući njihovu važnost u svakodnevnim funkcijama i potrebu za kibersigurnošću.
Prijevoz
Fokusira se na glavne načine prijevoza: zračni, željeznički, pomorski i cestovni, ističući njihovu ulogu u povezivanju ljudi i mjesta.
zdravstvo
Daje prioritet zaštiti zdravstvenih ustanova, uključujući javne bolnice i privatne klinike, s obzirom na njihovu ulogu u javnoj dobrobiti.
Javna uprava
Naglašava zaštitu javnih usluga, odražavajući obvezu Direktive da osigura nesmetane i sigurne administrativne funkcije.
Infrastruktura bankarstva i financijskog tržišta
Bavi se okosnicom našeg financijskog sustava, ističući područja kao što su usluge plaćanja koje olakšavaju gospodarske aktivnosti.
Digitalne infrastrukture
Usmjeren na temeljne digitalne usluge, poput onih koje pružaju DNS i TLD registre, priznajući njihovu ulogu u digitalnom ekosustavu.
Vodoopskrba
Fokusira se na očuvanje i sigurnost sustava pitke vode i otpadnih voda, koji su ključni za javno zdravlje.
Prostor
Osvjetljava strateški značaj svemirskog sektora, osiguravajući da ispunjava visoke standarde kibernetičke sigurnosti s obzirom na njegov utjecaj na različite tehnologije i usluge.
Javni telekomunikacijski i ISP pružatelji usluga
Oni koji nude javno dostupne komunikacijske mreže i usluge, kao što su telekomunikacijske tvrtke i pružatelji internetskih usluga.
Pružatelji usluga povjerenja
Subjekti koji nude usluge digitalnog povjerenja, osiguravajući autentičnost elektroničkih transakcija i komunikacija.
Jedini pružatelji kritičnih usluga
Jedinstveni entiteti koji su jedini izvori specifičnih, vitalnih usluga ključnih za svakodnevno poslovanje ili infrastrukturu.
TLD registri i DNS pružatelji usluga
Organizacije koje upravljaju popisima domena najviše razine i sustavi koji usmjeravaju internetski promet na ispravne adrese.
Registrari naziva domena
Tvrtke koje nadziru rezervaciju naziva internetske domene, osiguravajući da je svaka jedinstvena i ispravno dodijeljena.
Entiteti ključni za sigurnost, sigurnost ili zdravlje
Vitalne organizacije čiji bi poremećaj mogao ugroziti javnu sigurnost, sigurnosne mjere ili zdravstvene ishode.
Subjekti središnje ili regionalne javne uprave
Glavna vladina tijela na središnjoj ili regionalnoj razini koja igraju ključnu ulogu u javnom upravljanju i administraciji.
Svi ostali subjekti ako:
Subjekt je jedini pružatelj usluge u državi članici koja je ključna za održavanje ključnih društvenih ili gospodarskih aktivnosti;
Prekid usluge koju pruža subjekt mogao bi imati značajan utjecaj na javnu sigurnost, javnu sigurnost ili javno zdravlje;
Prekid usluge koju pruža subjekt mogao bi izazvati značajan sistemski rizik, posebno za sektore u kojima bi takav prekid mogao imati prekogranični učinak;
Subjekt je kritičan zbog svoje posebne važnosti na nacionalnoj ili regionalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u državi članici;”
Ako je država članica definirala taj subjekt kao "kritični entitet" u skladu s Direktivom o otpornosti kritičnih entiteta (CER) (EU) 2022/2557
Digitalni pružatelji usluga
Obuhvaćajući široku lepezu digitalnih usluga kao što su tražilice, internetska tržišta i društvene mreže, ovaj je sektor ključan u današnjem međusobno povezanom svijetu.
Hrana
Pokrivajući cijeli spektar od farme do stola, ovaj sektor osigurava da je svaka faza - od uzgoja i prerade do maloprodaje - sigurna i robusna.
Poštanske i kurirske usluge
Kao žila kucavica za komunikacije i isporuku robe, ovaj sektor mora održavati ojačanu digitalnu obranu, osiguravajući dosljedne i sigurne operacije.
Istraživačke organizacije
Kao središte inovacija i napretka, ovaj je sektor ključan, pospješujući znanstvena otkrića, dok je potencijalna meta kibernetičkih prijetnji.
Kemikalije
Ovaj sektor, vitalan za industrijsku konkurentnost Europe, proteže se od proizvodnje do distribucije kemikalija, služeći kao temelj za inovativna rješenja.
Proizvodnja
Široko područje koje uključuje izradu predmeta poput medicinskih uređaja, elektronike, strojeva, vozila i transportne opreme, ono je u srcu europskih proizvodnih mogućnosti.
Organizacije pod NIS-om 2 moraju proaktivno provoditi politike i mjere za minimiziranje prijetnji kibernetičkoj sigurnosti.
To uključuje temeljni skup mjera koje obuhvaćaju analizu rizika, odgovor na incidente, enkripciju, poboljšanu kontrolu pristupa i rješavanje ranjivosti u njihovom ICT lancu opskrbe. Štoviše, subjekti bi trebali poduzeti procjene ranjivosti kako bi osigurali da su mjere usklađene s subjektovom izloženošću potencijalnim rizicima i potencijalnim društvenim i ekonomskim učincima takvih prijetnji.
Korporativna odgovornost
NIS2 naglašava da su upravljačka tijela obuhvaćenih subjekata odgovorna za nadzor i odobravanje mjera upravljanja rizikom kibernetičke sigurnosti. Od njih se očekuje da prolaze redovitu obuku za prepoznavanje i procjenu kibersigurnosnih rizika i njihovog potencijalnog utjecaja na usluge. Štoviše, kršenja mogu dovesti do odgovornosti uprave, što naglašava povećanu korporativnu odgovornost prema ovoj direktivi.
Program obuke za menadžment
Uvesti obaveznu obuku o kibernetičkoj sigurnosti za korporativno upravljanje kako bi se povećala svijest o kibernetičkim rizicima, najboljim praksama i organizacijskim politikama kibernetičke sigurnosti.
Odbor za nadzor kibernetičke sigurnosti
Formirajte odbor na izvršnoj razini za nadzor mjera kibernetičke sigurnosti, razvoj politika i upravljanje proračunima za kibernetičku sigurnost.
Izvještavanje o riziku i ublažavanje
Razvijte strukturirani mehanizam za redovito izvještavanje uprave o rizicima kibernetičke sigurnosti, ranjivostima i strategijama ublažavanja.
Kazne i poticaji
Uspostavite okvir kazni za nepridržavanje i poticaje za proaktivno upravljanje rizikom kibernetičke sigurnosti.
Revizije usklađenosti kibernetičke sigurnosti
Redovito provodite revizije kako biste procijenili pridržavanje menadžmenta politikama kibernetičke sigurnosti i identificirali područja za poboljšanje.
Obveze izvješćivanja
Subjekti u djelokrugu imaju mandat da odmah prijave značajne incidente. To uključuje "rano upozorenje" u roku od 24 sata od saznanja, nakon čega slijedi opsežna obavijest o incidentu u roku od 72 sata nadležnim nacionalnim tijelima. Pogođene korisnike također treba odmah obavijestiti, čime se osigurava robustan i transparentan proces komunikacije tijekom incidenata kibernetičke sigurnosti.
Platforma za prijavu incidenata
Koristite sustave koji dobavljačima, dobavljačima i kupcima omogućuju učinkovito prijavljivanje svih vrsta incidenata kibernetičke sigurnosti.
Automatizirane obavijesti o incidentima
Postavite automatizirani sustav za eskalaciju upozorenja i obavijesti relevantnim dionicima, uključujući regulatorna tijela, unutar propisanih rokova.
Smjernice za klasifikaciju incidenata
Razvijte jasne smjernice za kategorizaciju incidenata na temelju ozbiljnosti i utjecaja kako biste osigurali dosljedno izvješćivanje i učinkovite protokole odgovora.
Dokumentiranje incidenata i postupak izvješćivanja
Uspostavite detaljan proces za dokumentiranje detalja incidenta, odgovora i analize nakon incidenta kako biste poboljšali organizacijsko učenje i poboljšanje odgovora.
Timovi za odgovor na incidente
Oformite specijalizirane timove opremljene potrebnim alatima i stručnim znanjem za brzo rukovanje i obuzdavanje incidenata kibernetičke sigurnosti.
Kontinuitet poslovanja
U slučaju velikih kibernetičkih incidenata, od organizacija se očekuje da imaju plan kontinuiteta poslovanja. To uključuje strategije za oporavak sustava, hitne postupke i uspostavu tima za odgovor na krizne situacije. Naglasak je na osiguravanju nesmetanog poslovanja i brzog oporavka nakon značajnih kibersigurnosnih događaja.
Redundancija i sigurnosna kopija
Implementirajte redundanciju podataka i strategije sigurnosnog kopiranja kako biste održali dostupnost podataka i otpornost sustava tijekom i nakon cyber incidenata.
Procjena utjecaja na poslovanje
Provedite temeljite procjene kako biste identificirali ključne sustave i procese koji su ključni za rad tijekom kibernetičkih incidenata.
Plan odgovora na kibernetičke incidente
Razvijte sveobuhvatan plan koji detaljno opisuje postupke za upravljanje kibernetičkim incidentima, uključujući komunikacijske strategije, taktike oporavka i uloge timova za odgovor na krizne situacije.
Obuka za podizanje svijesti o kibernetičkoj sigurnosti
Omogućite obuku za cijelu organizaciju o planu kontinuiteta poslovanja i ulogama zaposlenika u smanjenju prekida tijekom kibernetičkih incidenata.
Redovita planska testiranja i vježbe
Povremeno testirajte i provodite simulirane vježbe plana kontinuiteta poslovanja kako biste identificirali nedostatke, poboljšali učinkovitost odgovora i osigurali stalnu učinkovitost plana.
Dobijte minimalne mjere kibernetičke sigurnosti za NIS 2 usklađenost
Tvrtke koje se ne budu pridržavale NIS 2 Direktive mogle bi se suočiti sa strogim kaznama u rasponu od nenovčanih do značajnih administrativnih kazni. Osim toga, najviše rukovodeće osoblje može se smatrati osobno odgovornim za nepridržavanje, naglašavajući važnost odgovornosti za kibernetičku sigurnost na organizacijskoj razini.
NIS2 razlikuje bitne i važne subjekte u pogledu administrativnih kazni. Osnovni subjekti mogli bi biti kažnjeni 10.000.000 € ili 2% svojih globalnih godišnjih prihoda, ovisno o tome što je veće. S druge strane, važni subjekti suočavaju se s kaznama do 7.000.000 € ili 1,4% svog globalnog godišnjeg prometa, opet ovisno o tome koji je iznos veći.
Prema NIS-u 2, nacionalna nadzorna tijela mogu provoditi različite nenovčane kazne. To može uključivati naloge za usklađivanje, obvezujuće upute, naloge za sigurnosne revizije i mandate za obavijesti o prijetnjama klijentima entiteta.
NIS 2 čini top menadžment osobno odgovornim, prebacujući odgovornost samo s IT odjela. U slučajevima neusklađenosti, vlasti mogu javno objaviti prekršaje, identificirati odgovorno osoblje, smatrati upravu odgovornom za kršenje svojih dužnosti i, za bitne subjekte, privremeno zabraniti pojedincima da budu na rukovodećim pozicijama nakon ponovljenih prekršaja.
Ulazak na put usklađivanja s NIS 2 zahtijeva strukturiran pristup. Evo pet ključnih koraka koji će voditi vaše poslovanje do uspješnog pridržavanja.
Utvrdite utječe li NIS 2 na vašu organizaciju. Razumijevanje njegove važnosti za vaše poslovanje osigurava da se usredotočite na ono što je uistinu važno. Istaknite i odredite prioritete ključnih usluga, procesa i sredstava vaše organizacije za ciljani pristup.
Osigurajte podršku najvišeg menadžmenta podizanjem svijesti o NIS 2 sankcijama i novčanim kaznama. To uključuje namjenske programe obuke za vodstvo o upravljanju rizikom kibernetičke sigurnosti i važnosti kibernetički orijentirane kulture.
Implementirati sustav upravljanja rizikom i sigurnošću informacija (ISMS). Pregledajte i prilagodite 10 propisanih mjera upravljanja rizikom kibernetičke sigurnosti NIS-a 2. To uključuje pojednostavljenje izvješćivanja o incidentima, poboljšanje sigurnosti opskrbnog lanca i uspostavljanje robusnog plana kontinuiteta poslovanja.
Planirajte i proračunajte u skladu s tim, usredotočujući se na područja s najvećim kibernetičkim rizicima. To uključuje izdvajanje dovoljnih financijskih sredstava za napore u području kibernetičke sigurnosti, imajući na umu strože kazne koje NIS 2 uvodi za nepoštivanje.
Njegujte kulturu stalnog poboljšanja. Redovito procjenjujte i uklanjajte sigurnosne nedostatke, budite u tijeku s očekivanim sigurnosnim kontrolama i po potrebi iskoristite stručne upute. Osigurajte da vaša organizacija ostane agilna i prilagodljiva na svom putu usklađivanja.
Upoznajte se s Mattom i rezervirajte a besplatno 15-min nazovite u nastavku kako biste bolje razumjeli kako implementirati usklađenost s NIS 2 u svojoj tvrtki
Kurirao NIS2Compliant.org, ova stranica pruža informacije iz javnih izvora o svemu što je povezano s nadolazećom NIS2 Direktivom. Predstavljeno na jasan i koncizan način za jednostavno korištenje.
Odricanje
Podaci navedeni na ovoj web stranici namijenjeni su samo u obrazovne i informativne svrhe. Sadržaj nije namijenjen da bude zamjena za profesionalni savjet ili bilo koje drugo pravno savjetovanje, uslugu itd. Administratori i suradnici stranice ne daju nikakva zastupanja niti jamstva za informacije na stranici. Svako oslanjanje na takve informacije stoga je isključivo na vlastitu odgovornost.
Autorska prava Nis2Compliant.org
