Tko su obveznici NIS2 direktive i što implementacija znači u praksi?
NIS2 direktiva donosi strože zahtjeve za kibernetičku sigurnost i proširuje krug obveznika na mnoge javne i privatne organizacije u ključnim i važnim sektorima. U članku saznajte tko je obuhvaćen direktivom, koje su obveze organizacija te što sve uključuje implementacija u praksi – od procjene rizika, tehničkih mjera zaštite do prijave incidenata i moguće kazne.
NIS2 direktiva predstavlja značajan iskorak u jačanju kibernetičke sigurnosti unutar Europske unije. Riječ je o nadogradnji na prvu NIS (Network and Information Security) direktivu iz 2016. godine, koja je bila prvi europski zakonodavni okvir usmjeren na kibernetičku sigurnost. Cilj nove direktive, koja stupa na snagu s početkom 2025. godine, jest dodatno ojačati otpornost mrežnih i informacijskih sustava na sve češće i sofisticiranije kibernetičke prijetnje, osobito u sektorima koji su ključni za funkcioniranje društva i gospodarstva.
Što donosi NIS2?
Za razliku od prethodne verzije, NIS2 direktiva proširuje popis obveznika te uvodi strože zahtjeve i obveze za organizacije koje upravljaju kritičnom infrastrukturom ili pružaju ključne usluge. NIS2 direktiva dijeli obveznike u dvije osnovne kategorije:
1. Ključni subjekti (Essential Entities)
Obuhvaćaju javne i privatne organizacije koje djeluju u sljedećim sektorima:
- Energetika (električna energija, nafta, plin)
- Promet (zračni, željeznički, pomorski, cestovni)
- Bankarstvo i financijska tržišta
- Zdravstvo (uključujući bolnice i privatne klinike)
- Opskrba pitkom vodom i upravljanje otpadnim vodama
- Digitalna infrastruktura
- Upravljanje ICT uslugama (npr. podatkovni centri, cloud servisi)
- Svemirski sektor
- Javni sektor (državne i lokalne institucije)
2. Važni subjekti (Important Entities)
U ovu kategoriju spadaju subjekti koji, iako nisu izravno kritični, igraju važnu ulogu u svakodnevnom funkcioniranju društva. Tu se ubrajaju:
- Poštanske i dostavne usluge
- Proizvodnja i distribucija kemikalija
- Gospodarenje otpadom
- Proizvodnja strojeva, medicinske opreme i elektroničkih uređaja
- Pružanje digitalnih usluga (internetske tražilice, društvene mreže, e-trgovina)
- Proizvodnja, prerada i distribucija hrane
- Znanstvena istraživanja i obrazovne djelatnosti
Kriteriji za obuhvaćanje NIS2 direktivom
Osim sektora djelovanja, NIS2 definira i kvantitativne kriterije koji određuju obvezu usklađivanja s direktivom:
- Ključni subjekti: više od 250 zaposlenih, godišnji prihod iznad 50 milijuna eura i imovina veća od 43 milijuna eura.
- Važni subjekti: više od 50 zaposlenih ili godišnji prihod iznad 10 milijuna eura.
Međutim, važno je naglasiti da veličina organizacije nije isključivi kriterij – i manji subjekti mogu biti obveznici ako su procijenjeni kao važni za nacionalnu sigurnost ili javnu sigurnost.
Što znači implementacija NIS2 u praksi?
Organizacije obuhvaćene NIS2 direktivom imat će brojne obveze kako bi osigurale visoku razinu kibernetičke sigurnosti:
✅ Procjena rizika i upravljanje incidentima
- Uspostava sustava upravljanja informacijskom sigurnošću (ISMS)
- Redovita analiza rizika i sigurnosna procjena sustava
- Evidencija i upravljanje kibernetičkim incidentima
✅ Sigurnosne mjere i planovi oporavka
- Kontrola pristupa informacijama i sustavima
- Mjere za detekciju i prevenciju napada
- Planovi kontinuiteta poslovanja i oporavka nakon incidenta
✅ Odgovornost uprave
- Uprava organizacije snosi izravnu odgovornost za sigurnost
- Obveza edukacije zaposlenika i redovnog praćenja sukladnosti
- Provedba internih revizija i sigurnosnih procjena
✅ Obveza izvještavanja o incidentima
- Prvi izvještaj o značajnom incidentu mora se dostaviti unutar 24 sata
- Detaljni izvještaj unutar 72 sata
- Završni izvještaj po završetku istrage incidenta
- Izvještaji se podnose AZOP-u i Nacionalnom centru za kibernetičku sigurnost (NCSC-HR)
✅ Nadzor i kazne
- Nad organizacijama će se provoditi inspekcijski nadzor i revizije
- Kazne za nepoštivanje direktive mogu doseći do 10 milijuna eura ili 2% godišnjeg prometa, ovisno što je veće
Zašto je važno na vrijeme se pripremiti?
NIS2 ne samo da nameće zakonske obveze, već potiče organizacije da strateški razmišljaju o vlastitoj otpornosti na kibernetičke prijetnje. Riječ je o važnom koraku prema jačanju povjerenja korisnika, partnera i tržišta – sigurnost više nije tehničko pitanje, već ključna poslovna tema.
Ako želite saznati više o tome kako se vaša organizacija može uskladiti s NIS2 direktivom ili vam je potrebna pomoć u implementaciji sigurnosnih mjera – slobodno nam se javite.
Naš tim stoji vam na raspolaganju.
