NIS vs NIS2 Direktiva: Popis Svih Ključnih Razlika

Ključne razlike između NIS i NIS2

• NIS2 značajno proširuje opseg u odnosu na NIS1 kako bi obuhvatio i "ključne" i "važne" subjekte u mnogim novim sektorima.

• Odgovornost uprave prebacuje brigu o kibernetičkoj sigurnosti u upravni odbor, s mogućom osobnom odgovornošću članova uprave.

• Organizacije moraju poštovati točno određene rokove za prijavu incidenata: prva obavijest unutar 24 sata, dodatne informacije unutar 72 sata i konačno izvješće nakon mjesec dana.

• Sigurnosni zahtjevi sada uključuju sedam obaveznih elemenata uključujući reagiranje na incidente, kontinuitet poslovanja i sigurnost dobavljačkog lanca.

• Kazne su drastično veće pod NIS2 - do 10 milijuna eura ili 2% prometa za ključne subjekte i 7 milijuna eura ili 1,4% za važne subjekte.

• Bolja koordinacija na razini EU kroz sustav EU-CyCLONe i proširene zadaće ENISA-e za upravljanje velikim sigurnosnim incidentima.

• Države članice moraju prenijeti NIS2 u nacionalno zakonodavstvo do 17. listopada 2024., a potpuno identificirati sve subjekte do 17. travnja 2025.

• Tvrtke bi trebale odmah početi s pripremama s obzirom na složenost novih zahtjeva.

  

Prošireni opseg i pokrivenost

Izvorna NIS direktiva imala je prilično uski fokus, prvenstveno na operatere osnovnih usluga u sektorima poput energetike, prometa, bankarstva, zdravstva i vodoopskrbe. 

Uključivala je i pružatelje digitalnih usluga, ali samo internetska tržišta, tražilice i usluge u oblaku.

NIS2 drastično širi ovaj opseg. 

Nova direktiva sada razlikuje "ključne subjekte" i "važne subjekte" prema njihovoj važnosti za društvo i gospodarstvo. 

Dodani su brojni novi sektori pod zaštitu NIS2, uključujući javnu upravu, prehrambenu industriju, proizvodnju, kemijsku industriju, gospodarenje otpadom, svemirski sektor i poštanske usluge.

Jedna od najvažnijih promjena tiče se toga koje organizacije moraju biti usklađene s direktivom. 

NIS2 se primjenjuje na sve srednje i velike tvrtke koje imaju više od 50 zaposlenih ili godišnji prihod veći od 10 milijuna eura u obuhvaćenim sektorima. 

Posebna pravila postoje za subjekte koji se smatraju kritičnom infrastrukturom bez obzira na njihovu veličinu, što osigurava da nijedan važan pružatelj usluga nije izostavljen.

Prva implementacija NIS-a dovela je do značajnih razlika diljem Europe. 

Neke zemlje prepoznale su brojne ključne pružatelje usluga, dok su druge identificirale vrlo malo subjekata, stvarajući sigurnosne rupe i neujednačenu zaštitu.

NIS2 rješava ovaj problem ukidanjem slobode državama članicama u određivanju koji subjekti spadaju pod direktivu i uvodi standardizirani pristup prema veličini tvrtke u cijeloj EU.

Upravljanje i odgovornost

NIS2 čini upravu izravno odgovornom za usklađenost s kibernetičkom sigurnošću, udaljavajući se od nejasne strukture odgovornosti iz NIS1. 

Ova promjena stavlja kibernetičku sigurnost čvrsto u ruke uprave umjesto da je prepušta samo IT odjelu.

Prema novoj direktivi, viši menadžment mora odobriti mjere za procjenu rizika kibernetičke sigurnosti i nadzirati njihovu provedbu. 

Morate osigurati da rukovoditelji vaše tvrtke redovito prolaze obuku iz kibernetičke sigurnosti kako bi mogli pravilno nadzirati ovaj segment. 

Ovo nije opcija - uprava zapravo može biti osobno odgovorna za neusklađenost s odredbama NIS2.

Organizacije moraju jasno definirati uloge i odgovornosti vezane uz kibernetičku sigurnost na svim razinama. 

Ovaj strukturirani pristup ugrađuje kibernetičku sigurnost u temeljno korporativno upravljanje umjesto da je tretira kao tehnički dodatak, stvarajući snažniju sigurnosnu kulturu u cijeloj vašoj organizaciji.

Zahtjevi za prijavljivanje incidenata

Izvorna NIS direktiva ostavljala je previše prostora za različita tumačenja kad je riječ o prijavljivanju incidenata. 

Rokovi su bili nejasni, a kriteriji su se značajno razlikovali među državama članicama. 

NIS2 to popravlja jasno definiranim procesom izvještavanja koji ne ostavlja mjesta nedoumicama.

Kad se incident dogodi, sada imate točno određene rokove: prva obavijest unutar 24 sata, dodatne informacije unutar 72 sata i konačno detaljno izvješće unutar mjesec dana. 

Vaša početna prijava mora naznačiti je li incident rezultat zlonamjerne aktivnosti, dok konačno izvješće treba sadržavati detaljan opis incidenta, procjenu težine, analizu učinka, identifikaciju prijetnje i informacije o poduzetim mjerama.

Svi incidenti kibernetičke sigurnosti moraju biti prijavljeni prema NIS2, bez mogućnosti izuzeća koja su prije postojala. 

Direktiva također uvodi novu obvezu prijavljivanja značajnih kibernetičkih prijetnji koje bi mogle dovesti do incidenata, čak i ako do proboja sustava nije došlo.

Za organizacije izvan opsega NIS2, potiče se dobrovoljno prijavljivanje bez dodatnih obveza. 

Ovo stvara sigurnije okruženje za razmjenu informacija koje koristi cijelom ekosustavu kibernetičke sigurnosti.

Upravljanje rizicima i sigurnosni zahtjevi

NIS2 ima napredniji pristup sigurnosnim zahtjevima od svog prethodnika. 

Umjesto općih sigurnosnih mjera, nova direktiva nalaže sveobuhvatno upravljanje rizicima prilagođeno specifičnom profilu rizika svake organizacije.

Svaka tvrtka mora implementirati sedam ključnih elemenata: odgovor na incidente, kontinuitet poslovanja, sigurnost dobavljačkog lanca, mrežnu sigurnost, kontrole pristupa, upravljanje ranjivostima i enkripciju. 

Vaše sigurnosne kontrole trebaju biti razmjerne stvarnim rizicima s kojima se vaša organizacija suočava, stvarajući učinkovitiju strategiju zaštite.

Sigurnost dobavljačkog lanca dobiva posebnu pažnju u NIS2. 

Morate procjenjivati sigurnosnu praksu svojih dobavljača i prepoznati potencijalne ranjivosti koje bi mogle utjecati na vaše poslovanje. 

Direktiva također uvodi koordinirane okvire za otkrivanje ranjivosti na razini EU i dijeljenje informacija o prijetnjama kako bi organizacije bile korak ispred novih prijetnji.

Vaše tehničke i organizacijske mjere moraju spriječiti incidente, ali i ograničiti njihov utjecaj na pružanje usluga kad se dogode.

Ovaj sveobuhvatni pristup bavi se i tehničkim i netehničkim čimbenicima, uključujući potencijalno uplitanje države u rad dobavljača - zabrinutost koja nije bila izričito pokrivena izvornom direktivom.

Provođenje i kazne

Sustav provođenja drastično se mijenja pod NIS2. 

Izvorna direktiva dopuštala je državama članicama da same odrede kazne, što je dovelo do neujednačenog provođenja diljem Europe. 

NIS2 uspostavlja usklađene, oštrije mehanizme provođenja i minimalni popis administrativnih sankcija koje vrijede svugdje.

Novčane kazne postaju znatno veće: ključni subjekti suočavaju se s kaznama do 10 milijuna eura ili 2% globalnog godišnjeg prometa, dok važni subjekti mogu dobiti kazne do 7 milijuna eura ili 1,4% globalnog godišnjeg prometa. 

Ovi iznosi trebali bi privući vašu pažnju ako ste odgovorni za proračune usklađenosti.

Nadzorna tijela dobivaju proširene ovlasti prema NIS2, uključujući mogućnost izdavanja obvezujućih uputa i provođenja sigurnosnih revizija. 

Nacionalna tijela mogu staviti neusklađene organizacije pod pojačani nadzor ili praćenje i mogu zahtijevati da ispravite utvrđene sigurnosne nedostatke u određenim rokovima.

Direktiva uključuje odredbe za redovite revizije i ciljano sigurnosno skeniranje kako bi se provjerila usklađenost, što znatno otežava izbjegavanje otkrivanja neadekvatnih sigurnosnih praksi.

Koordinacija na razini EU i dijeljenje informacija

NIS2 stvara snažnije mehanizme koordinacije diljem Europske unije. 

Direktiva uspostavlja EU-CyCLONe (Mreža za vezu EU organizacija za kibernetičke krize) za podršku koordiniranom upravljanju velikim sigurnosnim incidentima koji pogađaju više zemalja.

Razmjena informacija između država članica postaje formalnija i sustavnija pod NIS2. 

Uloga NIS Grupe za suradnju jača u koordinaciji provedbe i olakšavanju strateške suradnje, osiguravajući ujednačeniju zaštitu preko granica.

ENISA (Agencija EU za kibernetičku sigurnost) dobiva proširene odgovornosti, uključujući pripremu dvogodišnjih izvješća o kibernetičkoj sigurnosti EU i vođenje europskog registra ranjivosti. 

Agencija služi kao središnje mjesto za znanje o najboljim praksama kibernetičke sigurnosti i informacijama o prijetnjama.

Direktiva nalaže analizu i dijeljenje podataka o prijetnjama među svim sektorima kako bi se poboljšale zajedničke sposobnosti odgovora. 

Dobrovoljni mehanizam međusobnog učenja pomaže organizacijama dijeliti učinkovite prakse s drugima u svojoj industriji. 

Prekogranična suradnja jača kroz strukturirane postupke za rješavanje incidenata koji istovremeno pogađaju više zemalja.

Zahtjevi za države članice

NIS2 nameće jasnije obveze državama članicama nego što je to činila izvorna direktiva. 

Vlade moraju objaviti potrebne zakonske odredbe do 17. listopada 2024., dok je NIS1 davao manje specifične smjernice za provedbu.

Svaka država članica mora identificirati sve ključne i važne subjekte unutar svojih granica do 17. travnja 2025. 

One trebaju razviti i provesti sveobuhvatne nacionalne strategije kibernetičke sigurnosti, redovito ih pregledavati i ažurirati kako bi odgovorile na nove prijetnje.

Države članice moraju uspostaviti dobro opremljene Timove za odgovor na računalne sigurnosne incidente (CSIRT) s odgovarajućom obukom za učinkovito upravljanje sigurnosnim incidentima. 

Nadležna nacionalna tijela dobivaju jače nadzorne i provedbene ovlasti kako bi osigurala usklađenost sa zahtjevima direktive.

Vlade moraju promicati svijest o kibernetičkoj sigurnosti i edukaciju među građanima i tvrtkama. 

Ovaj širi pristup prepoznaje da sigurnosna kultura treba biti prisutna i izvan reguliranih organizacija kako bi bila stvarno učinkovita. 

Države članice moraju redovito procjenjivati svoje okvire kibernetičke sigurnosti i provoditi procese stalnog poboljšanja kako bi držale korak s novim prijetnjama.

Vremenski plan provedbe

Vijeće Europske unije usvojilo je NIS2 28. studenog 2022., a objavljeno je 27. prosinca 2022., čime je službeno zamijenjena izvorna NIS direktiva. 

Nova direktiva stupila je na snagu 16. siječnja 2023., čime je počelo odbrojavanje rokova za provedbu.

Države članice imaju rok do 17. listopada 2024. - 21 mjesec od stupanja na snagu - da prenesu NIS2 u nacionalno zakonodavstvo. 

Organizacije se moraju registrirati kod nadležnih tijela u svakoj EU zemlji gdje pružaju usluge, navodeći naziv, adresu, registracijski broj, sektor, kontakt podatke i IP adrese.

Svi ključni i važni subjekti moraju biti identificirani do 17. travnja 2025. 

Prijelaz s NIS1 na NIS2 održava kontinuitet dok rješava nedostatke uočene u izvornoj direktivi, dajući organizacijama vrijeme da se prilagode novim zahtjevima.

Ako vaša tvrtka spada pod opseg NIS2, trebali biste odmah početi s pripremama za usklađenost. 

Sveobuhvatna priroda novih zahtjeva znači da će Vam vjerojatno trebati dosta vremena za provođenje svih potrebnih mjera prije isteka rokova.

Suočavate se s rokovima za usklađenost s NIS2? Neka vam Gauss bude vodič

Prijelaz s NIS-a na NIS2 donosi značajne izazove za organizacije diljem EU. 

Sa strožim zahtjevima, širim opsegom i velikim kaznama za neusklađenost, snalaženje u ovim promjenama zahtijeva stručno znanje.

U Gaussu razumijemo složenost usklađivanja s NIS2 i nudimo prilagođena IT rješenja kako bismo pomogli Vašoj organizaciji da učinkovito ispuni ove nove zahtjeve kibernetičke sigurnosti. 

Naš tim stručnjaka može Vas voditi kroz cijeli proces usklađivanja - od početne analize nedostataka do implementacije sedam obaveznih sigurnosnih elemenata i uspostave pravilnih postupaka za prijavljivanje incidenata.

Ne riskirajte suočavanje s kaznama od 10 milijuna eura ili narušavanje ugleda vaše organizacije. 

Kontaktirajte Gauss danas da razgovarate o tome kako naše prilagođene usluge usklađivanja s NIS2 mogu zaštititi vaše poslovanje i pretvoriti regulatorne zahtjeve u priliku za jačanje vaše ukupne sigurnosne pozicije.