NIS2 Kazne: što se događa ako ne poštujete propise?

Najvažnije informacije o NIS2 kaznama i sankcijama

• NIS2 stupa na snagu 18. listopada 2024., s kaznama do 10 milijuna eura/2% prometa za ključne subjekte i 7 milijuna eura/1,4% za važne subjekte

• Osim novčanih kazni, morat ćete se nositi s nalozima za usklađivanje, javnim objavama propusta i mogućim ograničenjima poslovanja

• Odgovornost uprave je temelj NIS2, pri čemu direktori i voditelji snose osobnu odgovornost, moguće zabrane rada, pa čak i kaznene sankcije zbog nemara

• Skriveni troškovi brzopoteznog usklađivanja i narušenog ugleda često su skuplji od samih kazni

• Preventivne mjere poput zaštite podataka, redovitih sigurnosnih provjera i obuke zaposlenika jeftinije su od hitnih popravaka nakon što inspekcija pokuca na vrata

Kako izgledaju kazne prema NIS2

Nova Direktiva o mrežnoj i informacijskoj sigurnosti (NIS2) ozbiljno pristupa kibernetičkoj sigurnosti kroz jasno određene kazne.

Za razliku od stare verzije, NIS2 jasno razlikuje "ključne subjekte" kao što su bolnice i energetske tvrtke, od "važnih subjekata" poput proizvođača hrane i web trgovina.

Ako vas zanima od kada pravila vrijede, zapamtite datum 18. listopada 2024.

Tada države članice moraju imati NIS2 ugrađen u svoje zakone, nakon što je direktiva stupila na snagu 16. siječnja 2023.

Kazne nisu jedini način osiguravanja usklađenosti.

Očekujte tri vrste posljedica: mjere za ispravljanje nepravilnosti, novčane kazne prilagođene veličini vaše tvrtke, i moguće kazneni progon vodstva ako se utvrdi ozbiljan nemar.

Ono što NIS2 čini posebnim je što odgovornost stavlja na najvišu razinu.

Vaša uprava i direktori sad su direktno odgovorni - ne samo informatički odjel.

Iako države članice mogu prilagoditi način provedbe, moraju se držati minimalnih kazni propisanih direktivom.

Novčane kazne prema NIS2

Kazne za ključne subjekte

Ako vaša tvrtka pruža kritične usluge poput zdravstva, energije, prijevoza, ili upravlja digitalnom infrastrukturom, spadate u ključne subjekte.

To znači najstrože kazne - do 10 milijuna eura ili 2% vašeg godišnjeg prometa u svijetu, ovisno što je veće.

Veličina tvrtke nije presudna.

Čak i manje tvrtke mogu biti svrstane u ključne ako su jedini pružatelj važne usluge u nekom području.

Visina kazne ovisi o nekoliko faktora: koliko je prekršaj ozbiljan, kakve je posljedice imao, i jeste li poduzeli korake za smanjenje štete.

Kazne za važne subjekte

Tvrtke iz sektora poštanskih usluga, gospodarenja otpadom, proizvodnje hrane ili digitalnih usluga imaju manje, ali još uvijek značajne kazne.

Kao važan subjekt, možete dobiti kaznu do 7 milijuna eura ili 1,4% godišnjeg prometa.

Ova niža razina priznaje da vaše usluge, iako bitne, možda nemaju isti trenutni utjecaj na javnu sigurnost kao ključni subjekti.

Mnoge tvrtke koje se sad nalaze u ovoj kategoriji nikad prije nisu bile pod ovakvim nadzorom, što stvara posebne izazove za manje firme koje tek počinju usklađivati svoje poslovanje.

Mjere koje nisu novčane kazne

Nalozi za ispravak i usklađivanje

Novac nije jedino čime vas mogu kazniti.

Nadležna tijela mogu narediti vašoj tvrtki da uvede određene sigurnosne mjere kroz obvezujuće upute.

Možda ćete morati provesti preporuke iz sigurnosnih revizija u kratkom roku.

Ako se utvrdi da ne poštujete propise, možete dobiti nalog za obustavu određenih aktivnosti dok ne riješite probleme.

Regulatori vam ne govore samo što trebate učiniti - mogu vam reći točno kako to morate napraviti, tražeći provedbu "na točno određeni način".

To vam ne ostavlja puno prostora za vlastita tumačenja ili prilagodbe u rješavanju sigurnosnih propusta.

Obvezno javno objavljivanje

Možda gore od kazni je potencijalna šteta za ugled.

Nadležna tijela mogu vas prisiliti da javno objavite sve propuste u usklađenosti.

Mogu objaviti imena konkretnih osoba u vašoj tvrtki odgovornih za sigurnosne propuste.

Morat ćete obavijestiti svoje korisnike, kupce i partnere o sigurnosnim rizicima ili probojima koji na njih utječu.

Kad se problemi dogode jer niste slijedili NIS2 zahtjeve, morat ćete objaviti sve detalje prekršaja - ne samo one koji vas prikazuju u boljem svjetlu.

Tržište obično jako loše reagira na takva javna priznanja, često uzrokujući štetu daleko veću od same kazne.

Ograničenja poslovanja

Za ključne subjekte, posljedice mogu direktno ugroziti vaše poslovanje.

Nadležna tijela mogu privremeno oduzeti dozvole ili certifikate potrebne za rad.

Mogu imenovati službene nadzornike koji će pratiti vaše usklađivanje kroz određeno vrijeme.

Ova ograničenja mogu zaustaviti ključne poslovne aktivnosti i dovesti do gubitaka većih od samih kazni.

U teškim slučajevima, možda ćete morati potpuno zaustaviti rad dok ne riješite sigurnosne probleme.

Posljedice mogu uključivati otpuštanja radnika i poremećaje u poslovanju koji utječu na cijeli vaš lanac dobavljača i partnera.

Odgovornost uprave prema NIS2

Osobna odgovornost

NIS2 stavlja odgovornost direktno na vrh.

Vaši direktori moraju odobriti sigurnosne mjere i nadgledati njihovu provedbu.

Još važnije, mogu biti osobno odgovorni ako nešto pođe po zlu.

Ako ste član uprave ključnog subjekta, trebate odgovarajuću obuku iz kibernetičke sigurnosti. Članak 20 jasno kaže: uprava "može odgovarati za prekršaje" svoje tvrtke ili organizacije.

Nakon sigurnosnog incidenta, istražitelji će tražiti znakove grubog nemara, što može dovesti do osobne odgovornosti direktora koji nisu poduzeli odgovarajuće mjere.

Kazne za upravu

Posljedice za upravu mogu biti ozbiljne.

Ako ste direktor u ključnom subjektu s više prekršaja, možete dobiti privremenu zabranu vođenja tvrtke.

Te zabrane ostaju dok se problemi ne riješe.

Osim utjecaja na karijeru, direktori mogu dobiti osobne novčane kazne odvojene od onih koje plaća tvrtka.

U slučaju teškog nemara, može doći do kaznenog progona - posebno ako niste uveli osnovne sigurnosne mjere.

Tu nije kraj - oštećeni kupci ili partneri mogu pokrenuti privatne tužbe protiv vas osobno kada im sigurnosni incident nanese štetu.

Nadzor i provjera usklađenosti

Nadzor ključnih subjekata

Ključni subjekti imaju najstrožu kontrolu.

Nadležna tijela mogu provjeravati vaše poslovanje na licu mjesta ili daljinski bez najave.

Imat ćete redovite sigurnosne provjere za potvrdu trajne usklađenosti.

Nakon ozbiljnih sigurnosnih incidenata, očekujte izvanredne revizije da se utvrdi što je pošlo po zlu.

Nadzornici će provjeravati vašu sigurnost na razne načine - skeniranjem sustava, pregledom dokumentacije i provjerom je li sve pravilno provedeno.

Ovakav pristup znači da morate biti usklađeni u svakom trenutku, ne samo kad očekujete kontrolu.

Nadzor važnih subjekata

Ako vodite važan subjekt, nadzor će biti nešto blaži.

Nadležna tijela obično provjeravaju vaše poslovanje samo kad sumnjaju na moguće prekršaje.

Možda ćete imati ciljane sigurnosne provjere koje provode neovisna tijela ili sama nadležna tijela.

Inspektori će provjeravati vašu usklađenost sigurnosnim skeniranjem i pregledom dokumenata.

Ovaj pristup temeljen na reakciji odražava različit profil rizika važnih subjekata.

No kad se pojave sumnje, stručnjaci će i dalje temeljito pregledati vaše sustave, pa je održavanje dobre sigurnosne prakse i dalje ključno.

Poslovni utjecaj izvan samih kazni

Skriveni troškovi neusklađenosti

Financijski utjecaj neusklađenosti puno je veći od službenih kazni.

Kad vas regulatori prisile da brzo uvedete sigurnosne mjere, donosit ćete ishitrene odluke koje obično koštaju više nego planski pristup.

Možda ćete morati hitno angažirati vanjske stručnjake ili provesti dodatne sigurnosne provjere pod pritiskom.

Računajte na hitna ulaganja u novo osoblje, promjenu procesa i obuku zaposlenika.

Trebat ćete nabaviti napredne sigurnosne alate i sustave brže nego što je vaš proračun predvidio.

Ovakva brza rješenja tipično koštaju znatno više nego da ste od početka planski radili na usklađenosti.

Razlika ponekad može biti veća od potencijalnih kazni, što čini preventivno djelovanje pametnim izborom.

Utjecaj na ugled

Novac nije jedini problem.

Sigurnosni incidenti i nepoštivanje propisa uništavaju povjerenje koje ste godinama gradili.

Vaši kupci mogli bi preispitati suradnju s vama, a ulagači izgubiti povjerenje u vodstvo.

Nakon što problemi s NIS2 postanu javni, negativni medijski napisi mogu narušiti ugled vašeg brenda i smanjiti tržišnu vrijednost.

Poslovni partneri i klijenti sve više gledaju probleme s usklađenošću kao znak za uzbunu o vašoj sigurnosnoj praksi.

Kako tvrtke pokušavaju smanjiti vlastiti rizik, mnoge sad radije surađuju samo s partnerima koji poštuju NIS2, što stvara konkurentski nedostatak za neusklađene tvrtke.

Čak i zapošljavanje postaje teže kad vam je narušen sigurnosni ugled.

Vrhunski stručnjaci za IT sigurnost obično izbjegavaju tvrtke s lošom sigurnosnom praksom, što otežava izgradnju tima potrebnog za rješavanje problema.

Praktični savjeti za usklađivanje

Usklađivanje s propisima ne mora biti zastrašujuće.

Počnite s temeljitom provjerom da otkrijete gdje se sve čuvaju vaši podaci, uključujući cloud servise i SaaS aplikacije koje možda previđate.

Redovito pregledavajte svoje sigurnosne alate i strategije prije nego što problemi nastanu.

Uvedite zaštitu podataka i tijekom prijenosa i tijekom pohrane kao osnovnu sigurnosnu mjeru.

Ne zaboravite napraviti pouzdane sigurnosne kopije svih podataka, uključujući one u SaaS aplikacijama za koje možda mislite da su već zaštićene.

Razvijte cjelovite planove za oporavak od katastrofe i nastavak poslovanja, i testirajte ih redovito da budete sigurni da će raditi kad zatrebate.

Osigurajte svim zaposlenicima osnovnu i naprednu edukaciju o sigurnosti, jer ljudska pogreška ostaje najveća slaba točka.

Na kraju, uvedite jake kontrole pristupa koristeći pristupe poput zero trust arhitekture, pristupa temeljenog na ulogama, upravljanja dozvolama i višerazinske provjere identiteta.

Ovi praktični koraci pomoći će vam izbjeći značajne kazne i poremećaje poslovanja koje donosi neusklađenost.

Od kazni do potpune zaštite: Kako vam Gauss može pomoći s NIS2 usklađenošću

Opterećeni ste zahtjevima NIS2 usklađenosti i visokim kaznama za propuste? Niste jedini.

Tehnički zahtjevi, odgovornost uprave i rokovi koji se bliže stvaraju stvaran pritisak za tvrtke svih veličina.

U Gaussu razumijemo ove izazove i nudimo cjelovit paket sigurnosnih usluga prilagođenih vašim specifičnim potrebama.

Naš tim može vam pomoći uvesti prave sigurnosne mjere, postaviti sustave praćenja i stvoriti potrebnu dokumentaciju - sve to bez skupog usklađivanja u zadnji čas.

Zašto se mučiti sa složenim tehničkim zahtjevima kad možete imati partnera koji je stručnjak za pretvaranje regulatornih izazova u dobro uhodane sustave?

Javite nam se danas da započnemo razgovor o zaštiti vaše tvrtke od NIS2 kazni.