Kontrolni popis za NIS2 usklađenost: Obavezne mjere kibernetičke sigurnosti

Direktiva o sigurnosti mrežnih i informacijskih sustava 2 (NIS2) je novi zakonski okvir Europske unije za kibernetičku sigurnost, donesen da ojača sigurnost mrežnih i informacijskih sustava diljem EU. NIS2 je počeo vrijediti 16. siječnja 2023., i zamijenio je staru NIS direktivu iz 2016., koja se pokazala preslabom za borbu protiv sve većih prijetnji kibernetičkoj sigurnosti.

Države članice imaju rok do 17. listopada 2024. za prenošenje NIS2 u domaće zakone. Nakon toga, tvrtke i organizacije koje spadaju pod direktivu moraju se odmah pridržavati njezinih odredbi. Direktiva značajno širi popis sektora koji se smatraju ključnima za gospodarstvo i društvo EU, uključujući energiju, promet, bankarstvo, zdravstvo, digitalnu infrastrukturu, javnu upravu i brojne druge.

NIS2 razlikuje "ključne" i "važne" subjekte prema važnosti njihovih usluga, s tim da za ključne subjekte vrijedi stroži nadzor, a za važne razmjerni zahtjevi. Sve srednje i velike tvrtke (one s više od 50 zaposlenika i godišnjim prometom većim od 10 milijuna eura) koje posluju u obuhvaćenim sektorima moraju se pridržavati zahtjeva direktive.

S mogućim kaznama do 10 milijuna eura ili 2% ukupnog godišnjeg prometa za nepoštivanje, organizacije bi trebale krenuti s usklađivanjem odmah, a ne čekati zadnji rok. Ovaj kontrolni popis nudi praktičan pristup korak po korak za postizanje i održavanje usklađenosti s NIS2.

1. Procjena opsega i primjenjivosti

• Utvrdite spada li vaša organizacija pod "ključne" ili "važne" subjekte prema NIS2

• Odredite koji sektori i aktivnosti u vašoj organizaciji spadaju pod NIS2

• Provjerite odnose li se na vašu organizaciju zahtjevi o veličini (srednja ili veća)

• Mapirajte ključne poslovne procese i identificirajte sustave i podatke koji ih podržavaju

Zašto je to važno: Određivanje u koju kategoriju spada vaša organizacija je temelj usklađenosti s NIS2. Članak 2 i Prilozi I i II točno navode koji subjekti spadaju pod direktivu - od energetike i zdravstva do digitalne infrastrukture i proizvodnje. Pravilo o veličini (srednja ili veća, prema članku 6) vrijedi uz iznimke za određene manje subjekte od posebne važnosti. Bez ovog koraka ne možete znati svoje točne obveze ni odgovarajuću razinu mjera potrebnih za usklađenost s načelom proporcionalnosti direktive.

2. Upravljanje i vodstvo

• Uspostavite odgovornost na razini uprave za kibernetičku sigurnost

• Imenujte ključne osobe za kibernetičku sigurnost (CISO ili slično)

• Jasno odredite način komunikacije u slučaju kibernetičkih incidenata

• Osigurajte da uprava bude svjesna i uključena u strategije kibernetičke sigurnosti

• Dokumentirajte strukturu upravljanja s jasnim odgovornostima nadzora

Zašto je to važno: Članak 20 jasno propisuje odgovornost uprave, tražeći nadzor i odobrenje mjera kibernetičke sigurnosti, s mogućom osobnom odgovornošću za nepoštivanje. Iako imenovanje CISO-a nije izričito propisano, Članak 21 podrazumijeva potrebu za jasno određenim ulogama i odgovornostima. Dobro upravljanje osigurava da se odluke o sigurnosnim ulaganjima donose na pravoj razini i pokazuje nadzornim tijelima da uprava ozbiljno shvaća kibernetičku sigurnost.

3. Okvir upravljanja rizicima

• Napravite temeljitu procjenu rizika kibernetičke sigurnosti

• Dokumentirajte ciljeve organizacije i prihvatljive razine rizika

• Uvedite okvir upravljanja rizicima u skladu sa zahtjevima NIS2

• Procijenite unutarnje i vanjske faktore rizika

• Uvedite kontrole za rješavanje otkrivenih rizika ili dokumentirajte prihvaćene rizike

Zašto je to važno: Okvir upravljanja rizicima je ključni zahtjev prema članku 21(1), koji traži da subjekti uvedu mjere upravljanja rizicima sa smjernicama o analizi rizika i sigurnosnim mjerama. Dokumentiranje prihvatljivih razina rizika daje opravdanje za vaše sigurnosne odluke tijekom nadzora. Ovaj pristup temeljen na rizicima omogućuje vam da pametno rasporedite resurse prema najznačajnijim prijetnjama vašim ključnim sustavima.

4. Sigurnosne smjernice i tehničke mjere

• Razvijte i uvedite smjernice kibernetičke sigurnosti

• Implementirajte tehničke sigurnosne kontrole u skladu s NIS2

• Uspostavite procedure za sigurno oblikovanje sustava i stalno praćenje

• Uvedite smjernice za enkripciju i kriptografiju

• Postavite višefaktorsku autentifikaciju za kritične sustave

• Uvedite procedure upravljanja ranjivostima

• Uspostavite sigurnosne mjere za cloud okruženja i SaaS aplikacije

Zašto je to važno: Članak 21(2) navodi minimalne sigurnosne mjere, uključujući smjernice o sigurnosti informacijskih sustava, kriptografiji, kontroli pristupa i upravljanju ranjivostima. Ove tehničke kontrole čine temelj vaše sigurnosne pozicije. Iako specifične tehnologije poput MFA nisu izričito propisane, one predstavljaju uobičajenu praksu za provedbu zahtijevanih "mjera kontrole pristupa" - posebno za kritične sustave. Sigurnosne mjere za cloud/SaaS osiguravaju da održavate sigurnost u svim radnim okruženjima.

5. Sigurnost lanca opskrbe

• Identificirajte ključne dobavljače i pružatelje usluga

• Procijenite sigurnosnu poziciju dobavljača i pružatelja usluga

• Uvedite zaštitne mjere za razmjenu podataka s trećim stranama

• Uključite sigurnosne zahtjeve u ugovore s trećim stranama

• Stalno pratite rizike u lancu opskrbe

• Procijenite sigurnost integracija s trećim stranama i API-ja

Zašto je to važno: Članak 21(2)(d) zahtijeva da subjekti brinu o sigurnosti lanca opskrbe, uključujući procjenu praksi kibernetičke sigurnosti dobavljača i uključivanje sigurnosti u ugovore. Ovo odražava stvarnost da mnogi moderni kibernetički napadi ciljaju ranjivosti trećih strana kako bi došli do glavnih meta. Osiguravanje vašeg lanca opskrbe znači da vaši dobavljači zadovoljavaju sigurnosne standarde koji odgovaraju važnosti usluga koje pružaju vašoj organizaciji.

6. Kontinuitet poslovanja i odgovor na incidente

• Razvijte službeni plan odgovora na incidente

• Uspostavite procese upravljanja sigurnosnim kopijama

• Napravite planove oporavka od katastrofe s jasnim prioritetima

• Odredite ciljno vrijeme oporavka (RTO)

• Uvedite procedure upravljanja krizama

• Dokumentirajte propise za kontinuitet poslovanja

• Planirajte redovito testiranje postupaka izrade sigurnosnih kopija i oporavka

Zašto je to važno: Članak 21(2)(f) zahtijeva mjere za kontinuitet poslovanja, uključujući upravljanje sigurnosnim kopijama i oporavak od katastrofe. Planovi odgovora na incidente propisani su prema članku 21(2)(e). Brz oporavak od kibernetičkih incidenata ključan je za održavanje osnovnih usluga. Redovito testiranje osigurava da ovi planovi rade kad je potrebno - planovi na papiru koji ne funkcioniraju u stvarnoj situaciji neće zadovoljiti regulatore niti zaštititi vaše poslovanje.

7. Izvještavanje o incidentima

• Uspostavite procedure za otkrivanje i prijavljivanje kibernetičkih incidenata

• Uvedite mehanizme za ispunjavanje zahtjeva 24-satne početne obavijesti

• Napravite procese za potpuno izvještavanje o incidentima unutar zadanih rokova

• Dokumentirajte tijek rada i odgovornosti za odgovor na incidente

• Uvedite sustav praćenja incidenata

Zašto je to važno: Članak 23 propisuje izvještavanje o incidentima sa strogim rokovima: 24-satno rano upozorenje, 72-satna detaljna obavijest i konačno izvješće unutar mjesec dana. Ove obveze izvještavanja su obvezne prema NIS2 i zahtijevaju pouzdane sustave otkrivanja i jasne procedure eskalacije. Iako sustav praćenja nije izričito propisan, predstavlja praktičan pristup upravljanju incidentima i vođenju dokumentacije potrebne za dokazivanje usklađenosti.

8. Obuka i podizanje svijesti

• Organizirajte redovitu obuku o kibernetičkoj sigurnosti za sve zaposlenike

• Provodite kampanje osvještavanja o phishingu i socijalnom inženjeringu

• Osigurajte da svi uključeni razumiju svoje odgovornosti prema NIS2

• Dokumentirajte postupke obuke i sudjelovanje

Zašto je to važno: Članak 21(2)(h) zahtijeva mjere za podizanje svijesti zaposlenika o kibernetičkim prijetnjama, uključujući obuku. Ljudski faktor ostaje jedna od najvećih ranjivosti u bilo kojem programu kibernetičke sigurnosti. Obuka mora biti stalna jer se prijetnje neprekidno mijenjaju, a dokumentacija o toj obuci pruža dokaze o usklađenosti tijekom nadzora. Vježbe prepoznavanja phishinga daju praktično iskustvo u prepoznavanju uobičajenih načina napada.

9. Nadzor i revizija

• Uvedite stalno praćenje sigurnosnih kontrola

• Provodite redovite sigurnosne revizije i preglede

• Izvršite penetracijska testiranja i procjene ranjivosti

• Provjerite ispravnost podataka sigurnosnih kopija

• Dokumentirajte sve aktivnosti revizije i nalaze

Zašto je to važno: Članak 21(2)(b) zahtijeva propise za procjenu učinkovitosti sigurnosnih mjera, što podrazumijeva stalno praćenje i revizije. Procjene ranjivosti i penetracijska testiranja su standardne prakse za otkrivanje slabosti prije nego što ih otkriju napadači. Redovita provjera ispravnosti sigurnosnih kopija osigurava da će opcije oporavka raditi kad su potrebne. Dokumentacija svih ovih aktivnosti pruža dokaze o odgovornom postupanju tijekom nadzora regulatora.

10. Dokumentacija usklađenosti

• Povežite zahtjeve NIS2 s aktivnostima vaše organizacije

• Dokumentirajte sve mjere kibernetičke sigurnosti i napore usklađivanja

• Uspostavite postupke za redovitu provjeru usklađenosti

• Pripremite se za moguće revizije regulatora

• Redovito pregledavajte i ažurirajte dokumentaciju kako se sustavi i procesi mijenjaju

Zašto je to važno: Članak 24 zahtijeva da subjekti pruže dokaze o usklađenosti, uključujući dokumentaciju mjera i procesa. Temeljita dokumentacija je ključna tijekom revizija i istraga, posebno za ključne subjekte podložne aktivnom nadzoru. Ova dokumentacija treba pratiti razvoj vaših sustava i procesa, pokazujući stalnu usklađenost umjesto jednokratnog napora.

11. Kontinuirano poboljšanje

• Pratite područje kibernetičke sigurnosti zbog novih prijetnji

• Ažurirajte sigurnosne mjere prema razvoju prijetnji

• Sudjelujte u industrijskim forumima kako biste bili u toku s najboljim praksama

• Redovito provjeravajte i ažurirajte procjene rizika

• Redovito testirajte i poboljšavajte sposobnosti odgovora na incidente

Zašto je to važno: Članak 21 podrazumijeva stalno poboljšanje tražeći "odgovarajuće i razmjerne" mjere koje se razvijaju s rizicima. Kibernetička sigurnost nije statično područje - nove prijetnje se stalno pojavljuju, a obrambene mjere se moraju prilagođavati. Iako sudjelovanje u industrijskim forumima nije izričito propisano, Članak 14 potiče razmjenu informacija, a ti forumi pružaju vrijedne podatke o novim prijetnjama i obrambenim strategijama.

Trebate stručnu pomoć za NIS2 usklađenost?

Snalaženje u zahtjevima NIS2 može biti pravi izazov, posebno uz dodatne hrvatske zahtjeve koji nadilaze osnovne EU standarde. Rizik je velik - neusklađenost može donijeti kazne do 10 milijuna eura ili 2% godišnjeg prometa, a članovi uprave mogu biti osobno odgovorni.

Gauss vam može pomoći u snalaženju kroz ovu složenu regulativu.

Kao iskusna IT tvrtka specijalizirana za prilagođena rješenja, Gauss ima znanje i iskustvo za izgradnju i implementaciju tehničkih sigurnosnih kontrola koje zahtijeva NIS2. Naš tim razumije i EU zahtjeve i hrvatsku specifičnu implementaciju, koja postavlja vrlo detaljne sigurnosne mjere iznad zahtjeva NIS2, uključujući posebna pravila za lozinke i napredne sigurnosne protokole.

Ne riskirajte neusklađenost. Naši stručnjaci za kibernetičku sigurnost mogu:

• Ocijeniti vašu trenutnu sigurnosnu poziciju prema zahtjevima NIS2

• Razviti prilagođena rješenja koja pokrivaju nedostatke u usklađenosti

• Uvesti tehničke kontrole potrebne za osnovni NIS2 i propise specifične za Hrvatsku

• Pružiti stalni nadzor i podršku za održavanje usklađenosti kako se prijetnje razvijaju

Javite se Gaussu već danas da razgovaramo kako Vam možemo pomoći da postignete i održite usklađenost s NIS2 i istovremeno ojačate vašu ukupnu kibernetičku sigurnost.