ISO 27001 priprema: vodič kroz certifikaciju za firme
ISO 27001 priprema korak po korak: gap analiza, procjena rizika, dokumentacija i audit. Vodic kroz certifikaciju za firm
Pročitaj
NIS2 direktiva (Direktiva (EU) 2022/2555) europski je propis koji znatno proširuje obveze kibernetičke sigurnosti za srednje i velike organizacije u ključnim sektorima. Iako Bosna i Hercegovina i većina zemalja regije nisu članice EU, NIS2 izravno utječe na firme na Balkanu koje posluju s europskim klijentima, isporučuju usluge u lanac opskrbe ili imaju podružnice u EU. U praksi to znači obvezne mjere upravljanja rizicima, prijavu incidenata u kratkim rokovima i osobnu odgovornost uprave.
Naše rješenje
Cyber zaštita i usklađenost - vodimo vas do usklađenosti i sigurnosti. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Što je NIS2 direktiva i zašto je važna
NIS2 je nasljednik prve NIS direktive iz 2016. godine i predstavlja najznačajniji iskorak EU u reguliranju kibernetičke sigurnosti. Stupila je na snagu u siječnju 2023., a države članice trebale su je prenijeti u nacionalno zakonodavstvo do listopada 2024. Cilj je podići ujednačenu razinu sigurnosti mrežnih i informacijskih sustava u cijeloj Uniji, jer su se prijašnja pravila pokazala prefragmentiranima i preuska.
Ključna promjena u odnosu na NIS1 jest opseg. Dok je prva direktiva pokrivala relativno usku skupinu operatora ključnih usluga, NIS2 direktiva obuhvaća daleko širi krug organizacija i uvodi jasnu podjelu na ključne (essential) i važne (important) subjekte. Time se broj obveznika u EU mjeri u desecima tisuća, uključujući mnoge firme koje dosad nisu imale formalne obveze u području sigurnosti.
Koga NIS2 direktiva obvezuje
NIS2 se primjenjuje prema dva osnovna kriterija: pripadnost reguliranom sektoru i veličina organizacije. U pravilu su obuhvaćeni srednji i veliki subjekti, dakle organizacije s 50 ili više zaposlenih ili godišnjim prometom iznad 10 milijuna eura. Manje firme mogu biti obuhvaćene ako su prepoznate kao kritične za određeni sektor ili državu.
Direktiva razlikuje sektore visoke kritičnosti i ostale kritične sektore. U nastavku je pregled tipičnih kategorija:
| Kategorija | Primjeri sektora |
|---|---|
| Sektori visoke kritičnosti | Energetika, promet, bankarstvo, zdravstvo, voda za piće, otpadne vode, digitalna infrastruktura, javna uprava, svemir |
| Ostali kritični sektori | Poštanske i kurirske usluge, gospodarenje otpadom, proizvodnja i distribucija kemikalija, proizvodnja hrane, proizvodnja (medicinski uređaji, elektronika, strojevi), digitalni pružatelji usluga, istraživanje |
Važno je razumjeti da podjela na ključne i važne subjekte ne mijenja temeljne sigurnosne obveze, nego prvenstveno način nadzora i visinu kazni. Ključni subjekti podliježu strožem, proaktivnom nadzoru, dok se važni subjekti nadziru uglavnom reaktivno, nakon prijave ili indikacija problema.
Zašto se NIS2 tiče firmi na Balkanu
Logično je pitanje zašto bi se preduzeća iz BiH, Srbije, Crne Gore ili Sjeverne Makedonije trebala baviti europskom direktivom. Postoji nekoliko vrlo praktičnih razloga zbog kojih NIS2 direktiva utječe na firme u regiji čak i bez formalne pravne obveze.
1. Lanac opskrbe
NIS2 izričito zahtijeva da obveznici upravljaju rizicima u svom lancu opskrbe, uključujući rizike povezane s dobavljačima i pružateljima usluga. To znači da europski klijenti sve češće traže od svojih balkanskih dobavljača softvera, IT usluga, outsourcinga ili komponenata da dokažu odgovarajuću razinu sigurnosti. Firma iz Mostara koja razvija softver za njemačkog naručitelja može u ugovor dobiti sigurnosne klauzule izvedene upravo iz NIS2.
2. Podružnice i poslovanje u EU
Ako balkanska grupacija ima društvo kćer registrirano u nekoj državi članici, to društvo može biti izravni obveznik NIS2. Posljedično, sigurnosni standardi matične organizacije moraju pratiti zahtjeve postavljene podružnici.
3. Usklađivanje regije s EU acquis
Zemlje regije koje su u procesu pristupanja EU postupno preuzimaju europsku regulativu. Realno je očekivati da će se ekvivalentne obveze u području kibernetičke sigurnosti pojaviti i u nacionalnim zakonodavstvima na Balkanu. Firme koje se pripreme na vrijeme izbjeći će kasnije skupo i brzopleto usklađivanje.
4. Reputacija i osiguranje
Sve veći broj kibernetičkih osiguranja i tendera traži dokaz o sigurnosnim kontrolama prije sklapanja ugovora. NIS2 de facto postaje referentni okvir prema kojem se mjeri ozbiljnost dobavljača, neovisno o tome nalazi li se sjedište firme u EU ili u BiH. Za preduzeća iz regije koja žele rasti prema zapadnim tržištima, usklađenost postaje argument u prodaji, a ne samo trošak.
Ključne obveze koje uvodi NIS2 direktiva
NIS2 ne propisuje detaljnu listu tehničkih kontrola, nego postavlja okvir mjera koje organizacija mora primijeniti razmjerno svojim rizicima. Glavne skupine obveza su sljedeće:
- Upravljanje rizicima: uspostava politika analize rizika i sigurnosti informacijskih sustava, uključujući procjenu prijetnji i ranjivosti.
- Obrada incidenata: sposobnost otkrivanja, obrade i prijave sigurnosnih incidenata.
- Kontinuitet poslovanja: sigurnosne kopije, oporavak nakon katastrofe i upravljanje kriznim situacijama.
- Sigurnost lanca opskrbe: procjena sigurnosti dobavljača i pružatelja usluga.
- Sigurnost u nabavi, razvoju i održavanju: uključujući upravljanje ranjivostima i njihovo objavljivanje.
- Politike kriptografije i enkripcije: gdje je to primjereno.
- Higijena i edukacija: osnovne sigurnosne prakse i osposobljavanje zaposlenika.
- Kontrola pristupa i upravljanje imovinom: uključujući višefaktorsku autentifikaciju i sigurnu komunikaciju.
Posebno je važan režim prijave incidenata. NIS2 uvodi višefazni mehanizam: rano upozorenje (early warning) nadležnom tijelu u roku od 24 sata od saznanja o značajnom incidentu, detaljniju prijavu unutar 72 sata te završno izvješće u roku od mjesec dana. Ovi rokovi zahtijevaju da organizacija unaprijed ima definirane procese i odgovorne osobe, jer se u trenutku incidenta ne stvaraju iz ničega.
Vrijedi naglasiti da NIS2 koristi pristup temeljen na riziku i razmjernosti. Mala tvrtka s niskim rizikom neće morati provesti jednake kontrole kao operator energetske infrastrukture. Mjere se biraju prema veličini, izloženosti i mogućim posljedicama incidenta. To je za firme na Balkanu dobra vijest, jer ne znači automatski golem trošak, nego dosljednu primjenu kontrola primjerenih stvarnom riziku. Praktično, organizacija najprije dokumentira što štiti i od čega, a tek onda bira kontrole.
Odgovornost uprave i kazne
Jedna od najznačajnijih novosti NIS2 direktive jest osobna odgovornost rukovodstva. Uprava mora odobriti mjere upravljanja rizicima, nadzirati njihovu provedbu i pohađati odgovarajuće osposobljavanje. U slučaju ozbiljnih propusta, nadzorna tijela mogu, u krajnjoj liniji, privremeno zabraniti pojedincima obavljanje rukovoditeljskih funkcija.
Kazne su također podignute na razinu usporedivu s GDPR-om. Za ključne subjekte gornja granica iznosi do 10 milijuna eura ili 2 posto ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Za važne subjekte gornja granica je do 7 milijuna eura ili 1,4 posto prometa. Konačni iznosi ovise o nacionalnom zakonodavstvu kojim se direktiva prenosi, ali smjer je jasan: sigurnost više nije isključivo tehničko, nego i upravljačko pitanje.
Kako se firme u BiH i regiji mogu pripremiti
Priprema za NIS2 ne mora biti jednokratan veliki projekt. Najučinkovitije je krenuti od procjene postojećeg stanja i graditi postupno. Predlažemo sljedeći redoslijed koraka:
- Utvrdite jeste li obuhvaćeni. Provjerite sektor, veličinu i posebno svoju ulogu u lancu opskrbe europskih klijenata. Čak i ako niste izravni obveznik, ugovorni zahtjevi mogu biti jednako obvezujući.
- Napravite procjenu zrelosti i jaza (gap analizu). Usporedite trenutne kontrole s očekivanjima NIS2 i srodnih normi poput ISO 27001. Tako dobivate jasnu listu prioriteta.
- Uspostavite upravljanje rizicima i politike. Formalizirajte odgovornosti, popišite informacijsku imovinu i definirajte osnovne sigurnosne politike.
- Pripremite plan reagiranja na incidente. Definirajte tko, kako i u kojem roku prijavljuje incidente te uvježbajte scenarije. Ovdje pomaže zrela sposobnost detekcije i odgovora.
- Testirajte otpornost. Penetracijsko testiranje i procjena ranjivosti pokazuju koliko su vaše kontrole stvarno učinkovite, a ne samo na papiru.
- Uredite lanac opskrbe. Postavite sigurnosne zahtjeve prema vlastitim dobavljačima, jednako kao što ih europski klijenti postavljaju vama.
U mnogim slučajevima usklađivanje s NIS2 i priprema za ISO 27001 idu ruku pod ruku, jer dijele velik dio kontrola. Organizacija koja već ima certificiran sustav upravljanja sigurnošću informacija znatno je bliže ispunjenju NIS2 zahtjeva.
NeoBit kao kompanija iz Mostara surađuje s firmama u BiH i regiji na cijelom tom putu, od početne procjene i sigurnosnih usluga poput penetracijskog testiranja i Guardian 360 SOC nadzora (MDR), do incident response pripreme i ISO 27001 priprema. Ako niste sigurni gdje stojite, dobro polazište je strukturirani upitnik za procjenu spremnosti, a za konkretan razgovor o vašem slučaju tu je kontakt stranica.
NIS2 nije samo trošak, nego prilika
Iako se NIS2 direktiva često doživljava kao novi regulatorni teret, za firme na Balkanu ona je i konkurentska prilika. Dobavljač koji može dokazati zrelu kibernetičku sigurnost lakše ulazi u europske lance opskrbe i zadržava postojeće klijente. Ulaganje u sigurnost smanjuje vjerojatnost skupih incidenata, prekida poslovanja i gubitka povjerenja. U tom smislu rana priprema nije reakcija na propis, nego strateška odluka koja štiti prihode i reputaciju preduzeća.
Često postavljana pitanja
Vrijedi li NIS2 direktiva u Bosni i Hercegovini?
NIS2 nije izravno pravno obvezujuća u BiH jer Bosna i Hercegovina nije članica EU. Međutim, posredno utječe na domaće firme kroz ugovorne zahtjeve europskih klijenata, kroz podružnice u EU te kroz očekivano postupno usklađivanje regionalnog zakonodavstva s europskom regulativom. Mnoge firme stoga praktično primjenjuju NIS2 standarde i prije nego što postanu formalna obveza.
Koja je razlika između NIS1 i NIS2 direktive?
NIS2 znatno proširuje broj obuhvaćenih sektora i organizacija, uvodi jasnu podjelu na ključne i važne subjekte, strože rokove za prijavu incidenata, osobnu odgovornost uprave i kazne usporedive s GDPR-om. NIS1 je pokrivao uži krug operatora ključnih usluga i ostavljao je državama više prostora za različite interpretacije, što je dovodilo do neujednačene primjene.
Koje kazne propisuje NIS2 direktiva?
Za ključne subjekte gornja granica kazne iznosi do 10 milijuna eura ili 2 posto ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Za važne subjekte granica je do 7 milijuna eura ili 1,4 posto prometa. Točni iznosi ovise o nacionalnom zakonu kojim svaka država članica prenosi direktivu.
Kako početi s pripremom za NIS2?
Najbolje je krenuti od procjene jeste li obuhvaćeni i gap analize koja uspoređuje trenutno stanje s NIS2 zahtjevima i normom ISO 27001. Nakon toga slijedi uspostava upravljanja rizicima, plana reagiranja na incidente i testiranje otpornosti penetracijskim testiranjem. NeoBit kroz upitnik za procjenu spremnosti pomaže firmama u regiji da brzo dobiju jasnu sliku prioriteta.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Zaštita podataka i GDPR u BiH - vodič za firme · ISO 27001 priprema: vodič kroz certifikaciju za firme
