Nudimo sveobuhvatna rješenja za sigurnost podataka koja pomažu organizacijama da djeluju u skladu s NIS2 direktivom – CipherTrust Manager!
Direktiva NIS (EU 2016/1148) bila je prvi dio zakonodavstva o kibernetičkoj sigurnosti na razini cijele EU. Trenutačno se pregovara o njezinoj reviziji, koja bi trebala stupiti na snagu 2024. godine. No, što je zapravo NIS2 i na što se organizacije trebaju pripremiti?
Za operatere kritične industrijske infrastrukture, direktiva predstavlja priliku za procjenu sposobnosti i operacija u odnosu na pojačane zahtjeve kibernetičke sigurnosti. No, za organizacije koje nisu unaprijedile svoje kibernetičke sposobnosti, to je i poziv na buđenje, jer se moraju kvalitetnije suočiti sa sigurnosnim prijetnjama koje potencijalno ugrožavaju njihovu infrastrukturu te se osigurati da su njihovi potezi u skladu sa direktivom NIS2.
Direktivom NIS2 bit će obuhvaćeni sljedeći sektori:
- Ključni subjekti: energija; transport; bankarstvo; infrastruktura financijskih tržišta; zdravlje; pitka voda i otpadne vode; digitalna infrastruktura; javna uprava; prostor
- Važni subjekti: poštanske i kurirske usluge; upravljanje otpadom; proizvodnja, proizvodnja i distribucija kemikalija; proizvodnja, prerada i distribucija hrane; digitalni pružatelji usluga
Što se mijenja u direktivi NIS2?
U usporedbi s NIS-om, NIS2 sadržava tri promjene:
1. Proširena primjenjivost
Prema aktualnoj direktivi, operatori ključnih usluga (kao što su banke, pružatelji zdravstvenih usluga i dobavljači pitke vode i energije) i pružatelji digitalnih usluga (uključujući pružatelje usluga u oblaku i internetske trgovine) već moraju poboljšati svoju digitalnu sigurnost i prijavljivati kibernetičke incidente.
NIS2 proširuje obuhvat NIS-a i dodaje nove industrije, kao što su telekomunikacije, poštanske usluge, platforme društvenih medija, i javna uprava, što uključuje nacionalne i lokalne vladine agencije. Subjekti iz djelokruga NIS2 bit će podijeljeni u dvije kategorije: ključni subjekti i važni subjekti, a razlikovat će se prema važnosti povezanih sektora. Važni subjekti prvenstveno su srednje do veliki. Za njih hipotetski prekid usluga ne bi imao teške društvene ili ekonomske posljedice.
NIS2 će se također odnositi i na podizvođače i davatelje usluga koji imaju pristup vitalnoj infrastrukturi, a koji su izostavljeni iz prve verzije direktive. Ranjivosti u infrastrukturi davatelja usluga mogle bi kompromitirati sigurnost kritične organizacije kojoj pruža usluge. U energetskom sektoru, na primjer, mjere opreza više neće biti ograničene na proizvođače, prijevoznike i distributere električne energije. Od sad će se odnositi i na sve podizvođače ključne infrastrukture.
2. Pojačani sigurnosni zahtjevi
NIS2 uključuje sedam elemenata koje sve tvrtke moraju riješiti ili implementirati kao dio sigurnosnih mjera koje poduzimaju:
- Analiza rizika i politike sigurnosti informacijskog sustava.
- Upravljanje incidentima (prevencija, otkrivanje i odgovor na incidente).
- Kontinuitet poslovanja i upravljanje krizama.
- Sigurnost opskrbnog lanca.
- Sigurnost u mreži i informacijskim sustavima.
- Politike i procedure za mjere upravljanje rizikom kibernetičke sigurnosti.
- Korištenje kriptografije i enkripcije.
Nacrt direktive predlaže prijavljivanje incidenata u dva koraka. Pogođene tvrtke moraju podnijeti inicijalno izvješće u roku od 24 sata od otkrića događaja, a konačno izvješće u roku od jednog mjeseca.
U nadzoru i implementaciji ovih mjera ključnu i aktivnu ulogu imat će upravljačka tijela. Što se tiče provedbe, NIS2 navodi minimalni popis potencijalnih administrativnih sankcija za tvrtke prekršitelje propisa koji uređuju upravljanje rizikom kibernetičke sigurnosti ili njihove obveze izvješćivanja prema direktivi. Sankcije uključuju:
- Kazne do 10 milijuna eura ili 2% ukupnog globalnog prometa
- Odgovornost uprave
- Imenovanje službenika za praćenje
- Privremene zabrane menadžerima
3. Poboljšana suradnja
NIS2 sadrži odredbe o mjerama za jačanje razine povjerenja između odgovornih tijela vlasti, razmjenu informacija između mjerodavnih tijela vlasti i protokole za odgovor na krizne situacije.
Uz to, Europska mreža organizacija za vezu za kibernetičke krize (EU-CyCLONe) osnovana je kako bi se olakšalo koordinirano upravljanje kibernetičkim krizama diljem EU-a. Osim toga, izmijenjena direktiva uspostavila bi okvir EU-a za upravljanje krizama, zahtijevajući od država članica da pripreme plan i imenuju nacionalna mjerodavna tijela odgovorna za reagiranje na kibernetičke događaje i krize na razini EU-a.
Što to znači?
NIS2 organizacije smatra izravno odgovornima. Kada svoje aktivnosti informacijsko-komunikacijske tehnologije (ICT) povjeravaju vanjskim izvođačima (outsourcing), na primjer za obradu i pohranjivanje podataka u oblaku, organizacije moraju primijeniti dodatne „tehničke i organizacijske mjere” kako bi doista mogle preuzeti svoj dio odgovornosti i tako kompenzirati gubitak kontrole.
Zašto kriptografija i enkripcija?
Implementacija kriptografije i enkripcije jedan je od načina na koji organizacije mogu provesti tehničke i organizacijske mjere: kriptiranim podacima više se ne može pristupiti bez dodatnih informacija (kriptografski ključ), a to organizacijama daje kontrolu nad njihovom imovinom u oblaku.
Ukratko
Cilj direktive NIS2 je uspostaviti minimalne standarde za upravljanje kibernetičkim rizikom i obvezu izvješćivanja putem šire primjene od sadašnje direktive NIS uključivanjem dodatnih industrija te srednjih i velikih organizacija.
Uz više sigurnosnih mjera koje je potrebno provesti kako bi se ojačala kibernetička sigurnost za ključne informacijske i komunikacijske tehnologije, pogođene organizacije također će imati obvezu podnošenja inicijalne obavijesti u roku od 24 sata relevantnom mjerodavnom tijelu u slučaju bilo kakve značajne kibernetičke prijetnje. Nepoštivanje može rezultirati provođenjem koordiniranih procjena rizika ključnih opskrbnih lanaca u zemljama članicama EU-a u suradnji s Komisijom i Agencijom Europske unije za kibernetičku sigurnost te posljedičnim novčanim kaznama i sankcijama.
Kako možemo pomoći?
Zaštitite transakcije i osobne podatke u mirovanju rješenjem CipherTrust Manager. Organizacijama može omogućiti centralno upravljanje ključevima za enkripciju i isporuku raznih rješenja za enkripciju, tokenizaciju i maskiranje podataka za zaštitu transakcija i osobnih podataka u datotekama, aplikacijama i bazama podataka na lokaciji, u oblaku i hibridnim okruženjima.
