Utjecaj NIS2 direktive na sektore

NIS2 direktiva i Zakon o kibernetičkoj sigurnosti u Hrvatskoj

NIS2 direktiva (Direktiva (EU) 2022/2555) predstavlja novi europski pravni okvir za kibernetičku sigurnost, koji zamjenjuje prvu NIS direktivu iz 2016. godine. Glavni cilj NIS2 je postizanje visoke, zajedničke razine kibernetičke sigurnosti u EU kroz strože zahtjeve za organizacije i širi opseg primjene. Republika Hrvatska transponirala je NIS2 direktivu donošenjem Zakona o kibernetičkoj sigurnosti (NN 14/2024), koji uspostavlja nacionalni sustav kibernetičke sigurnosti i definira obveze za subjekte u obuhvaćenim sektorima. Ovim zakonom određuju se nadležna tijela, postupak kategorizacije subjekata te detaljne mjere i rokovi za usklađivanje. NIS2 unosi značajne promjene u odnosu na prvu NIS direktivu, proširuje obuhvat sektora i subjekata, uvodi nove sigurnosne obveze, te predviđa osjetno veće kazne za nepoštivanje propisa. U nastavku pojašnjavamo koje sektore obuhvaća NIS2, koje ključne nove obveze donosi te kako se organizacije u tim sektorima mogu pripremiti za usklađivanje.

Prošireni obuhvat sektora: Prilog I i Prilog II NIS2 direktive

NIS2 direktiva proširila je popis sektora koji podliježu obvezama kibernetičke sigurnosti u odnosu na NIS1. Direktiva razvrstava sektore u dvije glavne skupine prema kritičnosti za društvo i gospodarstvo:

Sektori visoke kritičnosti (Prilog I) – sektori čiji bi poremećaj imao izrazito velik utjecaj na društvo, gospodarstvo, javnu sigurnost ili zdravlje. Tu spadaju ključne infrastrukture poput:

• Energetika (proizvodnja i distribucija električne energije, naftni i plinski sektor, uključivo opskrba naftom, plinom, električnom energijom i sl.),

• Transport (zračni, željeznički, pomorski i cestovni promet, uključujući zračne luke, luke, kontrolu zračnog prometa itd.),

• Bankarstvo i financije (banke, infrastruktura financijskih tržišta poput platnih sustava i trgovinskih platformi),

• Zdravstvo (javne bolnice, klinički centri, ključni pružatelji zdravstvene skrbi),

• Vodoopskrba i odvodnja (sustavi za pitku vodu i otpadne vode),

• Digitalna infrastruktura (npr. pružatelji internetskih komunikacijskih usluga, DNS i domena, podatkovni centri, cloud usluge, internet exchange point-ovi),

• IKT usluge upravljanja (B2B) – pružatelji upravljanih usluga i upravljanih sigurnosnih usluga informacijskih sustava za druge organizacije (tzv. MSSP/MSP),

• Javna uprava (ključna tijela državne uprave na nacionalnoj razini, a prema odluci države mogu biti uključena i regionalna/lokalna uprava),

• Svemirski sektor (operatori ključne svemirske infrastrukture, satelitske operacije i dr.).

Drugi kritični ili “važni” sektori (Prilog II) – sektori čiji poremećaj ima značajan utjecaj na društvo i ekonomiju, ali nešto manji u usporedbi sa sektorima visoke kritičnosti. Ovdje spadaju, primjerice:

• Poštanske i kurirske usluge (infrastruktura dostave i komunikacija),

• Gospodarenje otpadom (upravljanje komunalnim i industrijskim otpadom),

• Kemijska industrija (proizvodnja i distribucija kemikalija važnih za gospodarstvo i druge sektore),

• Prehrambena industrija (velikoprodajna proizvodnja i prerada hrane, “od farme do stola”),

• Prerađivačka industrija (proizvodnja određenih kritičnih proizvoda poput farmaceutskih proizvoda, medicinskih uređaja, računalne i elektroničke opreme, vozila i ostale transportne opreme),

• Pružatelji digitalnih usluga (velike internetske platforme poput internetskih tržišta, tražilica i društvenih mreža),

• Istraživačke organizacije (instituti i druge istraživačke ustanove od nacionalnog značaja; države članice mogu opcionalno uključiti i obrazovne institucije).

Novi okvir time pokriva znatno širi raspon djelatnosti nego prije. Dok je ranija direktiva bila fokusirana pretežno na energetiku, promet, financije, zdravstvo i vodoopskrbu, NIS2 donosi brojne nove sektore pod regulaciju, uključujući javnu upravu, prehrambeni i kemijski sektor, proizvođačku industriju, sektor gospodarenja otpadom, svemir i poštanske usluge. Također, direktiva uvodi dvije kategorije subjekata: “ključne subjekte” (uglavnom u sektorima Priloga I) i “važne subjekte” (u sektorima Priloga II), pri čemu se obveze primjenjuju na sve srednje i velike organizacije u tim sektorima (≥50 zaposlenih ili >€10 mil. prihoda). Važno je napomenuti da i neki subjekti manje veličine mogu potpasti pod NIS2 ako su od kritične važnosti (primjerice, određena kritična infrastruktura ili pružatelji usluga povjerenja), neovisno o veličini.

U hrvatskom Zakonu o kibernetičkoj sigurnosti, Prilog I i Prilog II taksativno nabrajaju sektore, podsektore i vrste subjekata koji podliježu obvezama. Organizacije trebaju utvrditi spadaju li u neki od tih sektora i ispunjavaju li kriterije veličine. One koje budu kategorizirane kao ključni ili važni subjekti formalno će od nadležnih tijela dobiti obavijest o obvezi primjene mjera kibernetičke sigurnosti. Za sve njih NIS2 propisuje niz novih obveza koje će značajno utjecati na način upravljanja sigurnošću.

Upravljanje kibernetičkim rizicima i sigurnosne mjere

Jedna od najvećih promjena u NIS2 je detaljno propisivanje mjera za upravljanje rizicima. Umjesto općenitog zahtjeva na “odgovarajuće i proporcionalne” mjere kao u prvoj direktivi, NIS2 izričito navodi niz područja i kontrola koje organizacije moraju pokriti u svom sustavu sigurnosti. Svaki ključni ili važni subjekt dužan je provoditi sveobuhvatno upravljanje rizicima prilagođeno vlastitom profilu prijetnji. To uključuje redovite procjene rizika, identificiranje prijetnji i ranjivosti te uvođenje odgovarajućih tehničkih, organizacijskih i operativnih mjera zaštite. Direktiva navodi najmanje sedam ključnih elemenata sigurnosti koje organizacija treba uspostaviti:

• Odgovor na incidente – sposobnost pravovremenog otkrivanja i reagiranja na kibernetičke incidente, uključujući postupke za izolaciju, istragu i oporavak od napada.

• Kontinuitet poslovanja i oporavak – planove za krizno upravljanje, izradu sigurnosnih kopija podataka (backup) i strategije za oporavak sustava kako bi se osiguralo daljnje funkcioniranje ključnih usluga i minimalizirao prekid ako dođe do incidenta.

• Sigurnost dobavljačkog lanca – provjeru i osiguravanje da i dobavljači te vanjski partneri imaju adekvatne sigurnosne prakse, kako slabosti kod dobavljača ne bi ugrozile vašu organizaciju. Ovo uključuje procjenu rizika za svakog važnijeg dobavljača ili pružatelja usluge te uzimanje u obzir njihovih sigurnosnih standarda i procedura razvoja proizvoda.

• Mrežna i informacijska sigurnost – tehničke mjere zaštite mreža i informacijskih sustava, poput segmentacije mreže, vatrozida, sustava za detekciju upada (IDS/IPS), sigurnosnog nadzora sustava (logiranje, SIEM) i slično, radi sprječavanja neovlaštenog pristupa i otkrivanja anomalija.

• Kontrole pristupa i sigurnost identiteta – stroge politike upravljanja pristupom (npr. least privilege princip), korištenje višefaktorske autentikacije (MFA) za korisničke i administratorske račune, zaštita sustava za autentikaciju i upravljanje digitalnim identitetima zaposlenika.

• Upravljanje ranjivostima – proces praćenja, otkrivanja i pravovremenog otklanjanja ranjivosti u softveru i hardveru koji koristite. To obuhvaća redovito instaliranje sigurnosnih zakrpa, provođenje testiranja sigurnosti (poput penetracijskih testova) te uspostavu politike koordiniranog otkrivanja ranjivosti (zaprimanje informacija o sigurnosnim propustima).

• Kriptografija i sigurnost podataka – primjenu kriptografskih tehnologija i politika (enkripcija podataka u mirovanju i u prijenosu, digitalni potpisi, PKI) gdje je primjereno, kako bi se osigurala povjerljivost i integritet kritičnih informacija. Također, održavanje osnovnih kibernetičkih higijenskih praksi kao što su sigurnosna pravila lozinki, antivirusna zaštita, kontrola instalacije softvera, backup rutina i edukacija korisnika.

Navedene mjere u Hrvatskoj su dodatno razrađene u Prilogu II nacionalne Uredbe o kibernetičkoj sigurnosti, koja detaljno opisuje aktivnosti i zahtjeve za svaku od ovih oblasti. Ključna poruka za organizacije jest da se sigurnost mora integrirati sustavno i proaktivno u sve aspekte poslovanja. Upravljanje rizicima nije jednokratan projekt, već kontinuirani proces, uključujući periodične samoprocjene i prilagodbe mjera prema evoluciji prijetnji.

Prijavljivanje incidenata i kibernetičkih prijetnji

NIS2 uvodi jedinstvene i strože obveze za prijavu kibernetičkih incidenata nadležnim tijelima, što je značajna promjena u odnosu na raniju praksu. Za sve ključne i važne subjekte propisan je strukturirani proces izvještavanja o incidentima. Čim organizacija postane svjesna da se dogodio značajan incident (onaj koji ima značajan utjecaj na pružanje usluga ili sigurnost podataka), mora pokrenuti postupak prijave nacionalnom CSIRT-u ili drugom nadležnom tijelu. Kriteriji za definiciju “značajnog” incidenta uključuju opseg operativnog prekida, financijski gubitak, utjecaj na korisnike ili druge sektore, i sl., što je također detaljno definirano u propisima.

Prema NIS2, rokovi za prijavljivanje su sada jasno zadani:

• Početna obavijest u roku od 24 sata od otkrivanja incidenta – kao rani upozoravajući signal da se incident dogodio. Dovoljno je naznačiti osnovne informacije, poput vrste incidenta, je li sumnjiv na zlonamjerno djelovanje te ima li potencijalno cross-border utjecaj. Ova rana prijava omogućuje nadležnim tijelima da pruže inicijalne smjernice i podršku.

• Dopunjeno izvješće u roku od 72 sata – detaljnija prijava s preliminarnom analizom incidenta, uključenom procjenom opsega i težine te poznatim indikatorima kompromitacije. U ovoj fazi organizacija treba pružiti ažurirane informacije kako se incident razvija i koje mjere sanacije su poduzete.

• Završno izvješće najkasnije u roku od 1 mjeseca – konačna dokumentacija incidenta koja sadrži iscrpan opis što se dogodilo, kako je došlo do incidenta, koje su posljedice (na dostupnost usluga, povjerljivost podataka, financije, ugled itd.) te koje su korektivne mjere poduzete da se spriječi ponavljanje. Također treba uključiti root-cause analizu (uzrok i vektor napada) i evaluaciju učinkovitosti odgovora. Ako istraga još traje i nakon mjesec dana, podnosi se privremeni izvještaj, a konačni čim incident bude u potpunosti razriješen.

Osim ovih vremenski definiranih koraka, nadležna tijela mogu tijekom incidenta zatražiti i međuizvještaje o statusu, a u određenim situacijama (npr. veliki prekogranični incident) mogu informirati javnost radi upozorenja drugih subjekata. NIS2 također proširuje obvezu izvještavanja na kibernetičke prijetnje, subjekti trebaju prijaviti značajne cyber prijetnje koje bi mogle rezultirati incidentom, čak i ako do stvarnog kompromitiranja sustava nije došlo. Na taj način, npr. ako organizacija otkrije sofisticirani malware u mreži ili uočava ciljane pokušaje napada koji bi mogli eskalirati, dužna je to dojaviti nadležnima kao preventivnu informaciju. Ovakvo proaktivno dijeljenje informacija pomaže u ranom upozoravanju drugih i jačanju kolektivne otpornosti na nove prijetnje.

Važno je istaknuti da prema NIS2 nema izuzeća, svi ozbiljni sigurnosni incidenti moraju biti prijavljeni (ranije su neke zemlje dopuštale da se manji incidenti ne prijavljuju). Time se uklanja nedosljednost i “siva zona” u prijavljivanju. Hrvatski zakon u potpunosti slijedi ove odredbe: nacionalni CSIRT zaprima i obrađuje prijave te može izdavati upute organizacijama tijekom i nakon incidenta. Za organizacije je stoga ključno uspostaviti unutarnje procedure za prepoznavanje incidenata, eskalaciju informacija prema odgovornim osobama i pravovremenu pripremu propisanih izvještaja.

Odgovornost upravljačkog kadra (upravljačkog tijela)

NIS2 eksplicitno premješta teret odgovornosti za kibernetičku sigurnost na najvišu razinu upravljanja organizacijom. Upravno vijeće, odbor direktora ili druga upravljačka struktura subjekta sada snosi jasnu odgovornost za usklađenost s odredbama direktive. To je važan iskorak u odnosu na prijašnje stanje, kada je sigurnost često bila tretirana kao domena IT odjela. Nova direktiva zahtijeva da viši menadžment aktivno sudjeluje u upravljanju rizicima: mora odobriti politike i mjere kibernetičke sigurnosti, osigurati potrebne resurse za njihovu provedbu te nadzirati rezultate.

Uz to, NIS2 uvodi i obvezu da članovi uprave redovito pohađaju edukacije iz područja kibernetičke sigurnosti. Svrha je osigurati da upravljački kadar razumije cyber rizike i implikacije incidenata po poslovanje, kako bi mogao donositi informirane odluke. U Hrvatskoj će to značiti da tvrtke moraju uvesti programe osposobljavanja za svoje direktore i rukovoditelje - npr. seminare o upravljanju cyber rizicima, vježbe kriznog odgovora, pregled zakonskih obaveza itd.

Možda najznačajnije, NIS2 predviđa mogućnost osobne odgovornosti članova uprave u slučaju propusta.

Ako organizacija ne ispuni obveze (primjerice ne primjenjuje zahtijevane mjere ili ne prijavi incident), uprava može snositi posljedice, uključujući i sankcije. Drugim riječima, cyber sigurnost postaje pitanje korporativnog upravljanja: potrebno je jasno definirati uloge i odgovornosti za sigurnost na svim razinama organizacije i uključiti sigurnost u strategiju i kulturu poslovanja. Za rukovoditelje u praksi to znači da moraju imati pregled nad sigurnosnim stanjem, redovito preispitivati izvještaje o rizicima i incidentima, te aktivno podržavati inicijative za poboljšanje sigurnosti.

Sigurnost lanca opskrbe i vanjskih partnera

Budući da je sigurnost svake organizacije jaka koliko i sigurnost njenih partnera i dobavljača, NIS2 stavlja poseban naglasak na sigurnost lanca opskrbe. Organizacije moraju procjenjivati rizike ne samo unutar svojih sustava, nego i kod svakog dobavljača IT usluga, softvera ili druge bitne opreme kojeg koriste. Od subjekata se očekuje da identificiraju kritične dobavljače i usluge (npr. cloud provajdere, sistem integratore, dobavljače SCADA/opreme u industriji, itd.) te analiziraju kakve ranjivosti ili prijetnje iz tog odnosa proizlaze.

Primjerice, ako tvrtka koristi usluge vanjskog pružatelja upravljanih IT usluga, mora osigurati da i taj pružatelj primjenjuje odgovarajuće sigurnosne mjere, jer kompromitacija MSP-a može posredno ugroziti mnoge klijente. NIS2 zahtijeva da prilikom odabira i ugovaranja usluga organizacija uzima u obzir cyber rizik dobavljača, kvalitetu njihovih proizvoda s aspekta sigurnosti, njihove postupke uvođenja sigurnosnih zakrpa, provjeru integriteta softvera i sl.. Također, trebaju se ugraditi sigurnosne klauzule u ugovore s dobavljačima - npr. obveza dobavljača da prijavi sigurnosni incident koji bi mogao utjecati na usluge koje pruža, ili pravo vaše tvrtke da provede neovisnu provjeru sigurnosti koda/proizvoda koji kupuje.

Uz vlastite procjene, organizacije će imati koristi i od šire koordinacije koju uvodi NIS2. Na razini EU provodit će se koordinirane procjene sigurnosti kritičnih dobavnih lanaca u ključnim sektorima. Rezultati tih procjena trebali bi pomoći tvrtkama da bolje razumiju zajedničke ranjivosti dobavljača i poduzmu mjere. Usto, uspostavit će se europski registar ranjivosti i mehanizmi dijeljenja informacija o prijetnjama (uz pomoć ENISA-e), koji će doprinijeti jačanju sigurnosti ekosustava. Ukratko, organizacije više ne smiju gledati na sigurnost izolirano, potrebno je aktivno upravljati sigurnosnim rizicima u cijelom opskrbnom lancu.

Otpornost na incidente i kontinuitet poslovanja

NIS2 naglašava da cilj kibernetičke sigurnosti nije samo spriječiti incidente, nego i osigurati otpornost, sposobnost sustava i organizacije da nastavi funkcionirati usprkos incidentu te brzo oporavi ključne funkcije. Stoga direktiva zahtijeva od subjekata da, osim preventivnih mjera, imaju spremne i planove za odgovor na incidente i krizne situacije. To uključuje jasne incident response planove (tko radi što u slučaju napada, kako se koordinira tim, komunikacija unutar organizacije i prema van, uključujući nadležna tijela i korisnike). Također, traži se uspostava mehanizama za kontinuitet poslovanja i disaster recovery - na primjer, redovito održavanje backup sustava i vanjskih lokacija za oporavak, unaprijed definirani postupci za rad u izvanrednim okolnostima te planovi za privremeno preusmjeravanje ili zamjenu usluga ako primarni sustavi padnu.

Direktiva eksplicitno navodi potrebu za testiranjem tih planova kroz kibernetičke vježbe i simulacije incidenta. Provođenjem vježbi (npr. simulacija ransomware napada ili scenarija pada ključnog sustava) organizacije mogu provjeriti jesu li njihovi timovi spremni i otkriti slabe točke u reakciji. Hrvatski nacionalni okvir predviđa redovite vježbe na nacionalnoj razini, a organizacije se potiče da provode i interne simulacije kako bi poboljšale svoju spremnost.

Konačni cilj ovih zahtjeva je minimizirati utjecaj incidenata na korisnike i društvo. Čak i uz najbolje preventivne mjere, neki će se napadi dogoditi, stoga se traži da sustavi budu dizajnirani tako da u slučaju incidenta mogu nastaviti pružati barem osnovne usluge, a svi kritični podaci imaju kopije za obnovu. Kako je to sažeto u analizi NIS2, “tehničke i organizacijske mjere moraju spriječiti incidente, ali i ograničiti njihov utjecaj na pružanje usluga kad se dogode”. Ovakva otpornost osigurava da društvo ne trpi prekomjerne posljedice ni u scenarijima ozbiljnih kibernetičkih kriza.

Kako se organizacije mogu pripremiti za usklađivanje s NIS2?

S obzirom na sveobuhvatne zahtjeve koje NIS2 nameće, organizacije u obuhvaćenim sektorima trebaju se pravovremeno pripremiti za usklađivanje. U nastavku su konkretne preporuke i koraci koje možete poduzeti kako biste ispunili nove obveze i istovremeno poboljšali svoju kibernetičku otpornost:

1. Provjerite obuhvat i status vaše organizacije: Prvo utvrdite spada li vaša organizacija pod NIS2 direktivu. Pregledajte sektore iz Priloga I i II - ako djelujete u nekom od njih i srednje ste ili veliko poduzeće, gotovo sigurno ćete biti obveznik. Kontaktirajte nadležno tijelo ili konzultirajte službene smjernice (npr. NCSC-HR) kako biste potvrdili status. Budite svjesni da će vas nadležno tijelo formalno kategorizirati i obavijestiti kao ključni ili važni subjekt, no pripreme trebate započeti prije nego što se to dogodi.

2. Provedite inicijalnu gap analizu: Usporedite svoje trenutno stanje sigurnosti sa zahtjevima NIS2. Identificirajte gdje već zadovoljavate kriterije, a gdje postoje praznine. Na primjer, imate li uspostavljen sustav za upravljanje sigurnošću informacija (poput ISO 27001)? Postoje li formalizirani planovi odgovora na incidente i kontinuiteta? Jeste li definirali odgovornosti za sigurnost na razini uprave? Takva procjena rizika i usklađenosti pomoći će u izradi plana implementacije potrebnih mjera.

3. Osigurajte podršku uprave i formirajte tim za usklađivanje: Upoznajte viši menadžment s obvezama NIS2 i potencijalnim posljedicama neusklađenosti. Visoke kazne (do 10 milijuna eura ili 2% prihoda za ključne subjekte) i reputacijska šteta u slučaju incidenta dovoljan su motiv za ulaganje u sigurnost. Potrebno je odrediti osobu ili tim koji će voditi program usklađivanja - npr. imenovati službenika za kibernetičku sigurnost ili oformiti interdisciplinarni odbor (IT, sigurnost, pravna služba, uprava) koji će nadgledati provedbu NIS2 zahtjeva.

4. Izradite ili ažurirajte politike i procedura sigurnosti: Ako već nemate, definirajte formalne politike sigurnosti informacijskih sustava i postupke (procedure) za ključne procese. To uključuje politiku upravljanja rizicima, politiku sigurnosti lozinki i pristupa, pravilnik o prihvatljivom korištenju opreme, proceduru za prijavu i odgovor na incidente, plan kontinuiteta poslovanja, itd. Dokumentirane politike bit će temelj za sustavnu provedbu mjera i dokaz usklađenosti. Osigurajte da ih odobri uprava i komunicirajte svim zaposlenicima.

5. Implementirajte tehničke mjere prema NIS2 zahtjevima: Na temelju gap analize, prioritetno uvestite ili pojačajte tehničke kontrole tamo gdje nedostaju. Neke od konkretnih mjera koje su često potrebne:

6. Uvođenje višefaktorske autentikacije (MFA) za pristup važnim sustavima i račune s posebnim ovlastima (administratori, privilegirani korisnici).

7. Postavljanje SIEM/SOC rješenja za nadzor mrežnog prometa i logova radi ranog otkrivanja upada. Ako je vlastiti SOC preskup, razmotrite MSSP usluge nadzora.

8. Segmentacija mreže kako bi se ograničilo širenje napada unutar sustava; odvajanje kritičnih poslužitelja u posebne sigurnosne zone.

9. Redovito patchiranje softvera i firmware-a: uspostavite proces kojim se sigurnosne zakrpe provjeravaju i primjenjuju u definiranom roku (ovisno o kritičnosti). Koristite centralizirane alate za upravljanje zakrpama i inventar IT imovine.

10. Backup i obnova: Provjerite imate li aktualne i ispravne sigurnosne kopije svih kritičnih podataka i sustava. Uspostavite 3-2-1 backup pravilo (3 kopije, na 2 različita medija, 1 offsite) i testirajte procedure obnove kako biste znali koliko brzo možete vratiti sistem u rad.

11. Enkripcija i zaštita podataka: Kriptirajte osjetljive podatke (npr. osobne, financijske) u bazama podataka i tijekom prijenosa mrežom (TLS/VPN). Implementirajte alate za sprječavanje gubitka podataka (DLP) ako rukujete povjerljivim informacijama.

12. Kontrola pristupa i upravljanje identitetima: Pregledajte tko ima pristup čemu. Načelo najmanjih privilegija primijenite dosljedno, ukinite nepotrebne pristupe, uvestite odobravanje pristupa po potrebi i redovito revidirajte korisničke ovlasti. Uspostavite robustan IAM sustav ako je potrebno.

13. Jačanje sigurnosti dobavnog lanca: Popišite vaše ključne dobavljače ICT usluga, softvera i hardvera. Za svakog procijenite rizik - npr. imaju li oni certifikate (ISO 27001 ili sl.), kakvu reputaciju imaju po pitanju sigurnosti, da li su bili žrtve incidenata. Ugovorno zatražite određene standarde od dobavljača: npr. da implementiraju vlastite mjere zaštite, da vas obavijeste o svakom incidentu koji bi mogao utjecati na vas, te da sudjeluju u security audit-ima po potrebi. Ako koristite usluge cloud providera ili drugih kritičnih trećih strana, informirajte se o njihovim sigurnosnim praksama i planirajte alternativu za slučaj da usluga padne (npr. multi-cloud strategija ili offline sposobnost odvijanja osnovnih procesa).

14. Edukacija zaposlenika i simulacije napada: Ljudski faktor često je najslabija karika sigurnosti. Organizirajte programe svijesti o kibernetičkoj sigurnosti za sve zaposlenike, obuke o prepoznavanju phishing e-pošte, sigurnom rukovanju lozinkama, društvenom inženjeringu i sl. Redovito testirajte budnost zaposlenika simuliranim phishing kampanjama (što je prema novoj Uredbi u HR čak obavezno provoditi). Također, trenirajte CSIRT tim ili zadužene osobe kroz “table-top” vježbe odgovora na incidente, kako bi u stvarnoj situaciji znali brzo reagirati.

15. Uspostavite proces prijave incidenata: Pregledajte kako ćete interno detektirati i eskalirati potencijalni incident. Odredite točno koga ćete kontaktirati u slučaju ozbiljnog sigurnosnog događaja (popis kontakt osoba unutar tvrtke, nadležni CSIRT, u Hrvatskoj SZK pri NCSC.hr). Pripremite predloške inicijalnih i završnih izvještaja da ubrzate ispunjavanje zakonskih rokova (24h/72h/30 dana). Uvedite 24/7 dežurstvo ili barem standby aranžmane ako je priroda vašeg poslovanja takva da incident može izbiti u bilo koje doba, ključno je da ne propustite rok zbog toga što se incident dogodio, primjerice, vikendom.

16. Dokumentirajte i arhivirajte sve radnje: Vodite evidenciju o poduzetim mjerama usklađivanja – politike, provedene obuke, rezultate testiranja, zapise o incidentima i izvještaje. U slučaju nadzora od strane regulatora, dobro vođena dokumentacija bit će dokaz da ste postupali u dobroj vjeri i poduzeli sve razumne mjere. Također, Zakon o kibernetičkoj sigurnosti traži dostavu Izjave o usklađenosti s uspostavljenim mjerama upravljanja rizicima (Prilog IV zakona), stoga pravovremeno pripremite i taj dokument za nadležna tijela.

Usklađivanje s NIS2 neće biti jednokratan zadatak, već trajna obveza održavanja visokog standarda kibernetičke sigurnosti. Iako može zahtijevati značajne resurse, pristupite tome pozitivno: investiranje u sigurnost smanjit će rizik od štetnih incidenata koji mogu prouzročiti puno veće troškove. Uz to, pokazivanje usklađenosti i robustne sigurnosti postaje konkurentska prednost, klijenti i partneri imat će više povjerenja u organizacije koje ozbiljno shvaćaju cyber sigurnost.

Zaključno, NIS2 direktiva donosi novu eru kibernetičke sigurnosti u EU, postavljajući ljestvicu visoko za mnoge sektore. Organizacije u Hrvatskoj trebaju iskoristiti prijelazno razdoblje za temeljite pripreme: uspostaviti procese, educirati ljude i implementirati tehnologije koje će osigurati usklađenost. Pravodobnom prilagodbom ne samo da ćete izbjeći regulatorne sankcije, nego ćete i ojačati otpornost svog poslovanja pred rastućim kibernetičkim prijetnjama, što je dugoročno ulaganje u sigurnu i održivu budućnost poslovanja.

‍