Primjenjuje li se Europska NIS2 direktiva na vašu tvrtku ili organizaciju?

Ključne točke o NIS2 direktivi

• NIS2 vrijedi za srednje i velike organizacije u 18 specifičnih sektora koje posluju u EU (bez obzira gdje im je sjedište), s rokom za usklađivanje do 17. listopada 2024.

• Tvrtke se dijele na "ključne subjekte" (kritični sektori poput energije, zdravstva) i "važne subjekte" (ostali sektori poput proizvodnje, digitalnih usluga). Ključni subjekti podliježu strožoj kontroli i većim kaznama (do €10M/2% nasuprot €7M/1,4%).

• Iako su male tvrtke (manje od 50 zaposlenih, prihod ispod €10M) uglavnom izuzete, postoje iznimke za jedinstvene pružatelje usluga, subjekte koji utječu na javnu sigurnost ili one od ključne važnosti za regiju.

• Za razliku od stare NIS direktive, NIS2 obuhvaća oko 100.000 organizacija i donosi jednake standarde za klasifikaciju, rokove izvještavanja i sigurnosne zahtjeve u cijeloj EU.

Nova Direktiva o mrežnoj i informacijskoj sigurnosti (NIS2) značajno proširuje okvir kibernetičke sigurnosti EU i zahtijeva usklađenost od najmanje 100.000 organizacija - što je ogromno povećanje u odnosu na prethodnu direktivu. Ako poslujete u EU ili pružate usluge klijentima u EU, trebate znati odnosi li se ova regulativa na vas. Pogledajmo tko sve potpada pod NIS2.

Osnovni kriteriji

NIS2 se primjenjuje na organizacije prema tri osnovna uvjeta:

Prvo, ako pružate usluge ili radite u bilo kojoj od 27 zemalja članica EU, direktiva se odnosi na vas - bez obzira gdje vam je sjedište. To znači da tvrtke iz SAD-a, Velike Britanije, Azije ili bilo koje druge zemlje moraju biti usklađene ako posluju s klijentima iz EU u obuhvaćenim sektorima.

Drugo, veličina vaše organizacije je bitna. Općenito, srednje tvrtke (50-250 zaposlenih i €10-50 milijuna godišnjeg prihoda) i velike tvrtke (preko 250 zaposlenih i više od €50 milijuna godišnjeg prihoda) moraju se uskladiti s NIS2, dok su mikro i male tvrtke (manje od 50 zaposlenih i manje od €10 milijuna godišnjeg prihoda) uglavnom izuzete (uz važne iznimke koje ćemo kasnije objasniti).

Treće, morate provjeriti spada li vaša organizacija u jedan od 18 sektora obuhvaćenih direktivom. Ti sektori su:

1. Energetika (struja, grijanje/hlađenje, nafta, plin, vodik)

2. Promet (zračni, željeznički, vodni, cestovni)

3. Bankarstvo

4. Financijska tržišta

5. Zdravstvo

6. Vodoopskrba

7. Odvodnja

8. Digitalna infrastruktura

9. ICT usluge (B2B)

10. Javna uprava

11. Svemirski sektor

12. Poštanske i kurirske usluge

13. Gospodarenje otpadom

14. Proizvodnja i distribucija kemikalija

15. Proizvodnja i distribucija hrane

16. Proizvodnja (medicinski uređaji, računala, elektronika, strojevi itd.)

17. Digitalne platforme (online trgovine, tražilice, društvene mreže)

18. Istraživačka djelatnost

Razumijevanje ova tri faktora - gdje poslujete, koliko ste veliki i u kojem sektoru radite - polazna je točka za utvrđivanje vaših obveza prema NIS2. Direktiva mora biti prenesena u nacionalne zakone svih država članica EU do 17. listopada 2024.

Kategorije subjekata prema NIS2

NIS2 dijeli organizacije u dvije glavne kategorije: ključni subjekti i važni subjekti. Ove kategorije određuju specifične zahtjeve i moguće kazne.

Ključni subjekti

Ključni subjekti djeluju u sektorima koji su ključni za funkcioniranje gospodarstva i društva. Za njih vrijede stroži zahtjevi, češće kontrole i kazne do €10 milijuna ili 2% godišnjeg prometa (što god je veće).

Ako vodite veliku organizaciju (preko 250 zaposlenih i više od €50 milijuna godišnjeg prihoda) u nekom od 11 kritičnih sektora (energetika, promet, bankarstvo, financijska tržišta, zdravstvo, vodoopskrba, odvodnja, digitalna infrastruktura, ICT usluge, javna uprava ili svemirski sektor), spadate u ključne subjekte.

Ova klasifikacija se automatski primjenjuje na određene organizacije bez obzira na veličinu, uključujući:

• Pružatelje usluga povjerenja

• DNS pružatelje

• Registre domenskih imena najviše razine

• Pružatelje javnih elektroničkih komunikacijskih mreža

• Tijela javne uprave na državnoj i regionalnoj razini

Osim toga, organizacija može biti klasificirana kao ključna ako je prepoznata kao kritični subjekt prema Direktivi o otpornosti kritičnih subjekata (CER) (EU) 2022/2557.

Važni subjekti

Važni subjekti djeluju u sektorima koji su još uvijek značajni, ali se smatraju manje kritičnima za temeljno funkcioniranje društva. Oni podliježu manje čestim kontrolama i nižim kaznama - do €7 milijuna ili 1,4% godišnjeg prometa.

Ako je vaša organizacija srednje veličine (50-250 zaposlenih i €10-50 milijuna godišnjeg prihoda) u bilo kojem obuhvaćenom sektoru, vjerojatno ćete biti klasificirani kao važan subjekt. Također, velike organizacije u 7 "ostalih kritičnih sektora" (pošta i kurirske usluge, otpad, kemikalije, hrana, proizvodnja, digitalne platforme i istraživanje) spadaju u važne subjekte.

U ovoj kategoriji, imate nešto blaže zahtjeve nadzora nego ključni subjekti. Na primjer, važni subjekti podliježu uglavnom naknadnim kontrolama (nakon incidenata), za razliku od preventivnih kontrola kojima podliježu ključni subjekti.

Razlika između ključnih i važnih subjekata stvara ravnotežu u regulatornom opterećenju na temelju mogućeg utjecaja na društvo u slučaju sigurnosnog problema. Prema statistikama iz NIS2 dokumentacije, ovaj pristup omogućuje vlastima da se fokusiraju na intenzivnu kontrolu oko 35.000 ključnih subjekata uz praćenje otprilike 65.000 važnih subjekata.

Pregled po sektorima

Kritični sektori (ključni subjekti)

Organizacije u 11 kritičnih sektora moraju zadovoljiti najstrože zahtjeve prema NIS2:

Energetski sektor obuhvaća 16 različitih vrsta organizacija u pet podsektora (električna energija, toplinarstvo, nafta, plin i vodik). Primjerice, ako ste opskrbljivač električnom energijom, operator distribucijskog sustava, operator prijenosnog sustava ili proizvođač koji zadovoljava kriterije veličine, spadate u ključne subjekte. Isto vrijedi za operatore naftovoda, operatore skladišta plina i vodikove proizvodne pogone.

Sektor prometa uključuje 11 različitih vrsta organizacija u četiri podsektora (zračni, željeznički, vodni i cestovni). To obuhvaća zrakoplovne tvrtke, uprave zračnih luka, kontrolu leta, upravitelje željezničke infrastrukture, brodarske tvrtke, lučke uprave i operatore inteligentnih prometnih sustava - sve klasificirane kao ključne subjekte kada zadovoljavaju kriterije veličine.

Financijski sektor dijeli se na dva specifična područja: bankarstvo (kreditne institucije) i infrastrukture financijskih tržišta (burze i klirinške kuće). Prema NIS2, to su zasebni sektori, ali oba sadrže ključne subjekte.

Javna uprava na državnoj i regionalnoj razini mora se uskladiti s NIS2 bez obzira na veličinu - a takvih je oko 80.000 u cijeloj EU. Lokalna uprava (dodatnih 90.000 subjekata) možda će se morati uskladiti ako država članica tako odluči.

Zdravstveni sektor obuhvaća zdravstvene ustanove, referentne laboratorije EU, organizacije koje istražuju i razvijaju lijekove, farmaceutske proizvođače i proizvođače ključnih medicinskih uređaja - svi su klasificirani kao ključni subjekti kad zadovoljavaju kriterije veličine.

Svemirski sektor specifično uključuje operatore zemaljske infrastrukture koja podržava svemirske usluge.

Vodovodne komunalne usluge dijele se na dva sektora: vodoopskrbu i odvodnju. Oba su klasificirana kao ključni subjekti kada zadovoljavaju kriterije veličine.

Pružatelji digitalne infrastrukture uključuju 8 različitih vrsta: internet točke razmjene, DNS pružatelje, registre domenskih imena najviše razine, usluge registracije domena, pružatelje usluga u oblaku, podatkovne centre, mreže za isporuku sadržaja i pružatelje usluga povjerenja. Neki od njih (DNS pružatelji, registri domena najviše razine, pružatelji usluga povjerenja) su ključni subjekti bez obzira na veličinu.

Ostali kritični sektori (važni subjekti)

Sedam sektora spada u kategoriju važnih subjekata, obuhvaćajući oko 65.000 organizacija diljem EU:

Poštanski i kurirski sektor mora se uskladiti s NIS2 kada zadovolji pragove od 50+ zaposlenih i €10+ milijuna godišnjeg prihoda. Sam poštanski sektor EU zapošljava više od 1,7 milijuna ljudi u približno 800 tvrtki koje zadovoljavaju ove uvjete.

Tvrtke za gospodarenje otpadom s 50+ zaposlenih i €10+ milijuna godišnjeg prihoda moraju se uskladiti osim ako im gospodarenje otpadom nije glavna djelatnost. U EU oko 6.000 tvrtki za gospodarenje otpadom zadovoljava ove pragove.

Kemijska industrija potpada pod NIS2 ako su tvrtke srednje veličine ili veće. To uključuje proizvođače kemikalija, distributere tvari ili smjesa i proizvođače kemijskih proizvoda - ukupno oko 3.300 tvrtki u EU.

Istraživačke organizacije, posebno one s 50+ zaposlenih i €10+ milijuna godišnjeg prihoda koje se bave kritičnim istraživanjima, također su uključene. Obrazovne ustanove koje provode kritična istraživanja mogu biti uključene ako država članica tako odluči.

Prehrambena industrija (proizvodnja, prerada i distribucija) koja se bavi veleprodajom ili industrijskom proizvodnjom mora se uskladiti kad dostigne standardne pragove veličine. To obuhvaća oko 15.000 prehrambenih tvrtki u EU.

Proizvodne djelatnosti u šest specifičnih područja su obuhvaćene: medicinski uređaji i in vitro dijagnostika; računala, elektronika i optika; električna oprema; strojevi i oprema; motorna vozila, prikolice i poluprikolice; te ostala prijevozna sredstva. Zajedno, ova područja uključuju oko 22.000 tvrtki koje zadovoljavaju kriterije veličine.

Digitalne platforme - konkretno online trgovine, tražilice i društvene mreže - uključene su kao važni subjekti kada zadovoljavaju kriterije veličine. To se odnosi na oko 11.000 digitalnih platformi koje posluju s korisnicima iz EU.

Primjenjivost prema veličini tvrtke

Veličina igra ključnu ulogu u određivanju vaših obveza prema NIS2, s jasno definiranim pragovima za svaku kategoriju.

Mikro i male tvrtke (manje od 50 zaposlenih i prihod manji od €10 milijuna) su uglavnom izuzete od NIS2 - procjenjuje se da to isključuje oko 8,1 milijun EU tvrtki iz obveze usklađivanja. Međutim, postoji pet važnih iznimki:

Čak i ako je vaša tvrtka mala, morate se uskladiti s NIS2 ako:

1. Ste jedini pružatelj ključne usluge u nekoj državi članici

2. Prekid vaše usluge bi mogao značajno utjecati na javnu sigurnost ili zdravlje

3. Prekid vaše usluge bi mogao izazvati značajan rizik za sustav, posebno s prekograničnim učinkom

4. Smatrate se kritičnim zbog posebne važnosti na nacionalnoj ili regionalnoj razini

5. Označeni ste kao "kritični subjekt" prema Direktivi o otpornosti kritičnih subjekata

Srednje tvrtke (50-250 zaposlenih i €10-50 milijuna godišnjeg prihoda) obično spadaju u kategoriju važnih subjekata. Ako posluju u kritičnim sektorima, klasificirane su kao važni subjekti.

Velike tvrtke (više od 250 zaposlenih i više od €50 milijuna godišnjeg prihoda) u kritičnim sektorima klasificirane su kao ključni subjekti, s najvišom razinom zahtjeva i nadzora. Velike tvrtke u ostalim kritičnim sektorima postaju važni subjekti s nešto manjim obvezama.

Prema statistikama EU, oko 0,2% svih EU tvrtki (otprilike 100.000 subjekata) morat će se uskladiti s NIS2 - što je ogromno povećanje u odnosu na procijenjenih 5.000-10.000 subjekata obuhvaćenih originalnom NIS direktivom.

Razlike u obvezama

Zahtjevi za ključne i važne subjekte razlikuju se u nekoliko bitnih aspekata prema člancima 32-34 NIS2.

Način nadzora značajno se razlikuje ovisno o kategoriji. Prema članku 32, ključni subjekti podliježu proaktivnom, strožem nadzoru s redovitim provjerama dokumentacije i ciljanim sigurnosnim revizijama. Nacionalna tijela moraju provoditi sustavne inspekcije ključnih subjekata najmanje svake 3 godine. Nasuprot tome, članak 33 određuje da važni subjekti uglavnom podliježu reaktivnom nadzoru - prvenstveno nakon što se pojave dokazi o neusklađenosti.

Rokovi za prijavu incidenata vrijede za obje vrste subjekata, ali s različitim razinama hitnosti. Obje kategorije moraju prijaviti incident unutar 24 sata od saznanja o značajnom sigurnosnom problemu. Međutim, ključni subjekti moraju dostaviti i međuizvješća ako to tijela zatraže i podnijeti konačno izvješće unutar mjesec dana, dok važni subjekti imaju više fleksibilnosti.

Potencijalne kazne znatno se razlikuju. Prema članku 34, ključni subjekti mogu biti kažnjeni s do €10 milijuna ili 2% ukupnog godišnjeg prometa (što je veće). Važni subjekti suočavaju se s nižim kaznama - do €7 milijuna ili 1,4% godišnjeg prometa. Ove kazne mogu se izreći zbog neprovedbe sigurnosnih mjera, neprijavljivanja incidenata, neriješavanja otkrivenih ranjivosti ili nepoštivanja nadzornih uputa.

Sigurnosne mjere uključuju sedam specifičnih područja za obje kategorije: analizu rizika, upravljanje incidentima, kontinuitet poslovanja, sigurnost nabavnog lanca, sigurnost u nabavi i razvoju mreže, upravljanje ranjivostima i procjenu učinkovitosti. Međutim, ključni subjekti podliježu strožoj provjeri ovih mjera.

Posebni slučajevi i iznimke

NIS2 sadrži odredbe za nekoliko posebnih slučajeva koje treba pažljivo razmotriti.

Male tvrtke s kritičnim funkcijama mogu imati potpune obveze usklađivanja unatoč svojoj veličini. Prema članku 2(2), ako vaša tvrtka ima manje od 50 ljudi i manje od €10 milijuna godišnjeg prihoda, i dalje se morate uskladiti s NIS2 ako zadovoljavate bilo koji od pet posebnih uvjeta:

1. Vi ste jedini pružatelj ključne usluge u državi članici

2. Prekid vaše usluge mogao bi značajno ugroziti javnu sigurnost ili zdravlje

3. Prekid vaše usluge mogao bi izazvati značajan sistemski rizik, posebno s prekograničnim učinkom

4. Imate posebnu važnost na nacionalnoj ili regionalnoj razini

5. Određeni ste kao "kritični subjekt" prema Direktivi (EU) 2022/2557

Javna uprava na različitim razinama ima različite obveze. Sva tijela središnje države (oko 10.000 diljem EU) i tijela regionalne uprave (oko 70.000) moraju se uskladiti s NIS2 kao ključni subjekti bez obzira na veličinu. Tijela lokalne uprave (oko 90.000) podliježu NIS2 samo ako država članica tako odluči.

Pružatelji digitalne infrastrukture imaju posebne klasifikacije. DNS pružatelji, registri domenskih imena najviše razine i pružatelji usluga povjerenja uvijek se smatraju ključnim subjektima bez obzira na veličinu - čak i mikro tvrtke. Usluge registracije domena uvijek su klasificirane kao važni subjekti bez obzira na veličinu.

Primjena izvan EU utječe na tvrtke sa sjedištem izvan Europske unije. Svaka organizacija koja pruža usluge korisnicima iz EU u obuhvaćenim sektorima mora se uskladiti s NIS2 ako zadovoljava kriterije veličine i sektora - čak i ako joj je sjedište izvan EU. Za velike međunarodne korporacije, to znači obveze usklađivanja u svakoj EU zemlji u kojoj posluju.

Sektorska izuzeća postoje za određene djelatnosti. Subjekti u obrani, nacionalnoj sigurnosti, javnoj sigurnosti, provedbi zakona, pravosuđu, parlamentima i središnjim bankama izričito su isključeni iz NIS2, bez obzira na njihovu veličinu ili važnost.

Direktiva mora biti prenesena u nacionalne zakone svih država članica EU do 17. listopada 2024., a očekuju se i dodatni provedbeni propisi od nacionalnih tijela.

Trebate pomoć s usklađivanjem?

Usklađivanje s NIS2 može biti složeno i zahtjevno, posebno s obzirom na skorašnje rokove i moguće kazne. U Gaussu razumijemo izazove kibernetičke sigurnosti s kojima se suočavate.

Naš tim stručnjaka razvija prilagođena IT rješenja koja pomažu tvrtkama da se potpuno usklade s NIS2. Surađujemo s Vama na procjeni vašeg trenutnog stanja sigurnosti, provedbi potrebnih mjera i razvoju sustava koji zadovoljavaju zahtjeve za obje kategorije subjekata - sve prilagođeno vašem sektoru i poslovnim potrebama.

Ne riskirajte kazne ili sigurnosne propuste.Javite nam se već danas i saznajte kako Vam naše usluge kibernetičke sigurnosti mogu pomoći u usklađivanju s NIS2 uz istovremeno jačanje vaše cjelokupne sigurnosne infrastrukture.