Pošaljite svoja pitanja u nastavku, a mi ćemo javno dati odgovore na ovoj stranici (bez otkrivanja vaših podataka) i poslati vam e-poruku s odgovorom.
Javno objavljujemo samo pitanja i odgovore, bez otkrivanja informacija o tvrtki
Naša često postavljana pitanja stalno se ažuriraju najnovijim pitanjima koja objavljujete
Na koje sektore utječe NIS 2?
Direktiva NIS2 ima za cilj ojačati pružanje kibernetičke sigurnosti ključnih usluga i industrija diljem zemalja EU-a. Dok se o specifičnim mehanizmima za provedbu ove direktive odlučuje od države do države (i kao takvi, uvijek preporučujemo traženje smjernica o kriterijima, uključivanjima, isključenjima i sankcijama unutar vaše države) sektori na koje utječe NIS 2 bit će uvelike ujednačen u cijelom opsegu.
Bitni i važni entiteti: u čemu je razlika?
NIS2 dijeli usluge i industrije unutar svoje nadležnosti na bitne (sektori visoke kritičnosti) i važne (ostali kritični sektori). Prije implementacije NIS-a 2, vjerojatno ćete vidjeti da se spominju na oba načina.
U praksi, ova razlika između dviju skupina odnosi se na društveni utjecaj povezanih sektora i potencijalne posljedice kibernetičke povrede ili napada. Naknadno je veća vjerojatnost da će bitni subjekti biti podvrgnuti strožem državnom nadzoru kako bi se postigla usklađenost, uz strože sankcije za nepoštivanje.
Koja su poduzeća izuzeta od NIS 2?
Iako vrijedi uzeti u obzir zahtjeve NIS 2 i dati prednost snažnoj higijeni kibernetičke sigurnosti bez obzira na veličinu vašeg poslovanja, važno je razumjeti da nisu sve organizacije, pa čak ni sve one koje spadaju u dolje navedene sektore, podložne NIS 2 direktiva.
Općenito govoreći, samo one tvrtke srednje veličine ili više bit će obvezne postići usklađenost s NIS 2.
Međutim, imajte na umu da iako su sektori grupirani prema općim kriterijima prema njihovoj veličini, ako subjekt ne spada unutar zahtjeva ovih pragova veličine, on se i dalje može smatrati ili važnim ili bitnim (i ovisno o usklađenosti s NIS 2) u određenim okolnostima, primjerice kada je organizacija jedini pružatelj svoje odgovarajuće usluge u svojoj državi članici EU-a.
Pragovi veličine
Osnovni entiteti podliježu općem pragu veličine koji, iako varira prema sektoru, općenito uključuje one organizacije sa: 250+ zaposlenika, godišnjim prometom od 50 milijuna eura i više ili bilancom od 43 milijuna eura i više.
Važni entiteti također podliježu pragu veličine koji se temelji na istim kriterijima, opet, varirajući prema sektoru, ali prema nižem pragu. To će uključivati one organizacije sa: 50+ zaposlenika, godišnjim prometom od 10 milijuna eura ili bilancom od 10 milijuna eura ili više.
Na koje sektore utječe NIS 2?
Neće sve industrije i sektori podlijegati usklađenosti s NIS 2.
Direktiva ima za cilj ojačati otpornost mrežnih i informacijskih sustava diljem Europske unije, usredotočujući se posebno na pružatelje osnovnih (ili bitnih i važnih) usluga. Njegov je cilj osigurati da se zajednički standardi kibernetičke sigurnosti ispune u svim državama članicama, a da ključne usluge ostanu snažne i funkcionalne u slučaju napada.
Imajući to na umu, NIS 2 će utjecati na sljedeće sektore, koji su podijeljeni na bitne i važne:
Osnovni entiteti (sektori visoke kritičnosti)
Energetika – električna energija, daljinsko grijanje i hlađenje, nafta, plin, vodik
Prijevoz – zračni, željeznički, vodeni, cestovni
Bankarstvo
Infrastrukture financijskog tržišta
Zdravlje
Voda – pitka voda, otpadna voda
Digitalna infrastruktura
Upravljanje ICT uslugama (B2B)
Javna uprava
Prostor
Važni entiteti (ostali kritični sektori)
Poštanske i kurirske usluge
Upravljanje otpadom
Proizvodnja, proizvodnja i distribucija kemikalija
Proizvodnja, prerada i distribucija hrane
Proizvodnja – medicinski uređaji, računalni elektronički ili optički proizvodi, strojevi, vozila
Digitalni pružatelji usluga
Istraživanje
Direktiva NIS 2 stavlja nadzor i provedbu u središte odgovornosti nadležnih tijela i postavlja koherentan okvir za nadzorne i provedbene aktivnosti u svim državama članicama.
U tu svrhu pruža minimalni popis nadzornih mjera nadležnim tijelima za jačanje nadzora nad ključnim i važnim subjektima za učinkovito poštivanje propisa. Ove mjere uključuju:
redovita i ciljana revizija
provjera na licu mjesta i izvan njega
zahtjev za informacijama
pristup dokumentima ili dokazima.
Povrh toga, NIS 2 uspostavlja diferencijaciju nadzornih režima između bitnih i važnih subjekata kako bi se osigurala pravedna ravnoteža obveza.
NIS 2 također uvodi dosljedan okvir za sankcije diljem Unije kako bi provedba bila učinkovita. Kao proširenje toga, predstavlja minimalni popis administrativnih sankcija za kršenje obveza upravljanja rizikom kibernetičke sigurnosti i izvješćivanja, uključujući:
Obvezujuće upute.
Nalog za provedbu preporuka sigurnosne revizije.
Nalog za usklađivanje sigurnosnih mjera sa zahtjevima NIS-a.
Administrativne kazne.
Nadalje, NIS 2 razlikuje bitne i važne subjekte za upravne novčane kazne:
Osnovni subjekti: najviše najmanje 10.000.000 € ili 2% ukupnog svjetskog godišnjeg prometa prethodne financijske godine, ovisno o tome što je veće.
Važni subjekti: najviše najmanje 7.000.000 € ili najmanje 1,4% ukupnog svjetskog godišnjeg prometa prethodne financijske godine, što god je veće.
Nadležna tijela trebala bi uzeti u obzir specifične pojedinosti svakog slučaja prilikom izvršavanja izvršnih ovlasti, uključujući prirodu i težinu kršenja i sve nastale štete ili gubitke. Direktiva NIS 2 također smatra fizičke osobe na višim rukovodećim položajima unutar obuhvaćenih subjekata odgovornima za mjere kibernetičke sigurnosti.
Direktiva NIS 2 u interakciji je s CER Direktivom i DORA-om, dvjema drugim politikama EU-a.
Direktive NIS2 i CER usklađene su kako bi se sveobuhvatno pozabavile fizičkom i kibernetičkom otpornošću kritičnih subjekata. Kritični subjekti identificirani u skladu s Direktivom CER također će podlijegati obvezama kibernetičke sigurnosti iz Direktive NIS 2.
Nacionalna nadležna tijela prema objema direktivama moraju surađivati i redovito razmjenjivati informacije o rizicima i incidentima.
Skupina za suradnju NIS 2 redovito će se sastajati s grupom za otpornost kritičnih entiteta. DORA se odnosi na upravljanje rizikom kibernetičke sigurnosti i obveze izvješćivanja financijskog sektora te omogućuje sudjelovanje u NIS Cooperation Group te konzultacije i razmjenu informacija s NIS2 SPOC-ovima i CSIRT-ovima.
NIS 2 će ojačati i pojednostaviti zahtjeve kibernetičke sigurnosti za obuhvaćene subjekte zahtijevajući od svih kompanija da se pozabave temeljnim skupom od 10 minimalnih zahtjeva u svojim politikama upravljanja rizikom kibernetičke sigurnosti.
Ti elementi uključuju rukovanje incidentima, sigurnost opskrbnog lanca, rukovanje ranjivostima i otkrivanje te korištenje kriptografije. Direktiva NIS 2 također uključuje višefazni pristup prijavljivanju incidenata, koji uspostavlja ravnotežu između brzog izvješćivanja kako bi se spriječilo širenje incidenata i dubinskog izvješćivanja kako bi se izvukle vrijedne naučene lekcije.
Pogođene tvrtke imaju 24 sata za podnošenje ranog upozorenja, 72 sata za podnošenje obavijesti o incidentu i mjesec dana za podnošenje konačnog izvješća. To će pomoći u smanjenju dodatnog opterećenja za tvrtke koje posluju u više država članica i osigurati da sve tvrtke ispunjavaju potrebne zahtjeve kibernetičke sigurnosti.
Direktiva NIS 2 ima za cilj otkloniti nedostatke prethodnih pravila, uskladiti je s potrebama vremena i učiniti je prihvatljivom za budućnost. Do kraja:
Direktiva NIS 2 proširuje pravila kibernetičke sigurnosti na nove digitalizirane i međusobno povezane sektore.
Uklanja razliku između operatera osnovnih usluga i pružatelja digitalnih usluga.
Direktiva usmjerava sigurnosne zahtjeve i zahtjeve za izvješćivanje pristupom upravljanja rizikom i preciznijim odredbama o izvješćivanju o incidentima.
Bavi se kibersigurnosnim rizicima u opskrbnim lancima i jača kibernetičku sigurnost opskrbnog lanca za ključne informacijske i komunikacijske tehnologije na europskoj razini.
Direktiva poboljšava nadzorne mjere i suradnju između država članica, uključujući usklađivanje režima sankcija i uspostavljanje osnovnog okvira za koordinirano otkrivanje ranjivosti.
Njime se unaprjeđuje operativna suradnja unutar CSIRT mreže i uspostavlja europska mreža organizacija za vezu u kibernetičkoj krizi (EU-CyCLONe).
NIS2 stvara EU bazu podataka ranjivosti kojom upravlja i održava Agencija EU za kibernetičku sigurnost (ENISA).
Ti elementi uključuju rukovanje incidentima, sigurnost opskrbnog lanca, rukovanje ranjivostima i otkrivanje te korištenje kriptografije. Direktiva NIS 2 također uključuje višefazni pristup prijavljivanju incidenata, koji uspostavlja ravnotežu između brzog izvješćivanja kako bi se spriječilo širenje incidenata i dubinskog izvješćivanja kako bi se izvukle vrijedne naučene lekcije.
Pogođene tvrtke imaju 24 sata za podnošenje ranog upozorenja, 72 sata za podnošenje obavijesti o incidentu i mjesec dana za podnošenje konačnog izvješća. To će pomoći u smanjenju dodatnog opterećenja za tvrtke koje posluju u više država članica i osigurati da sve tvrtke ispunjavaju potrebne zahtjeve kibernetičke sigurnosti.
Direktivom NIS 2 predlaže se poboljšanje upravljanja kibernetičkim rizikom uvođenjem jasnih odgovornosti, odgovarajućeg planiranja i povećane suradnje s EU-om.
NIS 2 zahtijeva od država članica da imenuju nacionalna tijela odgovorna za upravljanje kibernetičkim krizama, uvodi nacionalne velike kibernetičke sigurnosne incidente i planove odgovora na krize i uspostavlja europsku mrežu organizacija za vezu u kibernetičkim krizama (EU-CYCLONe) za podršku koordiniranom upravljanju velikim kibersigurnosnih incidenata i kriza.
Mreža EU-CYCLONe ključna je komponenta okvira EU-a za upravljanje kiberkriznim situacijama koji je Komisija zacrtala 2017., pridonoseći koordiniranom odgovoru na incidente i krize velikih razmjera.
Upoznajte se s Mattom i rezervirajte a besplatno 15-min nazovite u nastavku kako biste bolje razumjeli kako implementirati usklađenost s NIS 2 u svojoj tvrtki
Kurirao NIS2Compliant.org, ova stranica pruža informacije iz javnih izvora o svemu što je povezano s nadolazećom NIS2 Direktivom. Predstavljeno na jasan i koncizan način za jednostavno korištenje.
Odricanje
Podaci navedeni na ovoj web stranici namijenjeni su samo u obrazovne i informativne svrhe. Sadržaj nije namijenjen da bude zamjena za profesionalni savjet ili bilo koje drugo pravno savjetovanje, uslugu itd. Administratori i suradnici stranice ne daju nikakva zastupanja niti jamstva za informacije na stranici. Svako oslanjanje na takve informacije stoga je isključivo na vlastitu odgovornost.
Autorska prava Nis2Compliant.org
