NIS2; ризици и могућности за предузећа

Увод и регулаторне референце

NIS је скраћеница од „Мрежна и информациона безбедност“.

Овим акронимом Европска заједница је намеравала да означи законодавни напор да се дефинише стандардизовани приступ сајбер безбедности у свим државама чланицама ЕУ.

Године 2018; усвојен је први европски пропис под називом NIS1 (Директива ЕУ 2016/1148); транспонован на национални ниво Законодавном уредбом 65 од 18.05.2018.

Уредба о НИС-у је такође предвидела усвајање „националне стратегије за сајбер безбедност“ оснивањем италијанског CSIRT-а (Тима за реаговање на инциденте у области рачунарске безбедности) са техничким задацима везаним за спречавање, реаговање и праћење сајбер инцидената; у сарадњи са европским CSIRT-овима.

NIS1 је касније замењен NIS2 (Директива ЕУ 2022/2555); транспонован на националном нивоу Законодавном уредбом 138 од 4. септембра 2024. године.

НИС 2 има за циљ да превазиђе ограничења НИС 1; који је државама чланицама оставио превише дискреције током транспозиције; што је резултирало неуспехом у постизању циља хармонизације; а такође је искључио одређене категорије субјеката које је требало да буду регулисане због њиховог значаја за европско тржиште.

Штавише; NIS2 је уведен као одговор на повећање стопе дигитализације која се догодила у свим државама чланицама, а коју је убрзала пандемија; што је проширило површину за сајбер нападе без одговарајућег повећања безбедносних система.

Коначно; још један циљ NIS2 је да обавеже оператере есенцијалних и важних услуга и пружаоце дигиталних услуга да усвоје адекватне безбедносне мере и да благовремено пријаве инциденте надлежним органима и корисницима својих услуга.

Нова директива је усклађена са другим специфичним европским секторским прописима, укључујући:

- Директива о дигиталној оперативној отпорности финансијског сектора (DORA). Ово је Уредба усвојена 10.11.2022. са циљем повећања безбедносних мера у корист отпорности и сајбер безбедности финансијског сектора кроз спровођење низа обавезних безбедносних мера које гарантују интегритет информација и сајбер безбедност услуга;

- Директива о отпорности критичних ентитета (CER); усмерена на обезбеђивање правне јасноће и доследности између различитих директива.

Дотичне компаније су подељене на:

• Основни ентитети (енергија; транспорт; здравство; водоснабдевање; јавна управа; финансије; простор; дигитална инфраструктура)
• Важни ентитети (истраживање; хемикалије; храна; индустријска производња; дигитални добављачи; поштанске услуге; отпад)
• Јавни органи: Централна влада (уставна и уставно релевантна тела; кабинет премијера и министарства; пореске агенције; независне управне власти) | Регионална влада (региони и аутономне покрајине) | Локална власт (метрополитански градови; општине са > 100.000 становника; регионални престонички градови; локалне здравствене власти) | Остали јавни субјекти (економска регулаторна тела; пружаоци економских услуга; удружења; социјална заштита; пружаоци рекреативних и културних услуга; истраживачка тела и институције; експериментални зоопрофилактички институти) | Друге врсте субјеката (субјекти који пружају локалне услуге јавног превоза; образовне институције које обављају истраживачке активности; субјекти који обављају активности од културног интереса; интерне компаније; компаније у које се инвестира и компаније под јавним контролом)
• Добављачи: организације које пружају критичне услуге ентитетима погођеним NIS2 морају да ојачају своју дигиталну безбедност; чак и ако су експлицитно укључене у обавезне секторе.

Садржај NIS2

Опште обавезе које су садржане у садржају NIS2 могу се сумирати на основу четири главна стуба:

Управљање: Руководство мора да одобри мере управљања ризицима које је организација усвојила и да процени њихову ефикасност током времена: да прати редовне обуке о питањима сајбер безбедности и да понуди сличну обуку запосленима.

Управљање ризицима: организација мора да процени безбедносне и мрежне ризике и да усвоји одговарајуће и пропорционалне техничке, оперативне и организационе мере како би спречила или минимизирала утицај инцидената на примаоце својих услуга.

Континуитет пословања: организација мора да усвоји решења како би обезбедила континуитет пословања (нпр. резервне копије; план опоравка од катастрофе и процедуре за управљање кризама); усмерени на минимизирање утицаја било каквих прекида у пружању услуга.

Ланац снабдевања: компанија мора да процени рањивости сваког директног добављача и укупни квалитет производа својих добављача и праксе сајбер безбедности. Процена ће обухватити добављаче ИКТ технологије и друге критичне добављаче који би могли да изазову прекид услуге због које је организација укључена у NIS2 периметар.

Компаније ће стога морати да буду у стању да мере и извештавају о:

• Анализа ризика и политике безбедности информационих система
• Процедуре управљања инцидентима
• Решења за континуитет пословања (резервне копије и опоравак од катастрофе) и процедуре за управљање кризама и комуникацију
• Политике безбедности ланца снабдевања (добављачи и пружаоци услуга)
• Безбедност у аквизицији; развој; ​​одржавање и управљање рањивостима информационог система и мреже

Временска линија NIS2

Компаније и јавне управе ће морати да спроведу процену како би разумеле да ли подлежу обавезама из NIS2 директиве.

Од 1. децембра 2024. до 28. фебруара 2025. године; компаније су требало да се аутентификују на порталу ACN (Националне агенције за сајбер безбедност) користећи своје SPID акредитиве. Током овог периода; корисници означени као /Служба регистрације.

Посебно; компаније су дужне да:

• Наведите да ли је ентитет део групе компанија и наведите порески код матичне компаније; ако је применљиво.
  
• Наведите повезане компаније и наведите њихове пореске кодове.
  
• Наведите ATECO кодове који описују активност ентитета.
• Наведите релевантне секторске прописе Европске уније.
• Наведите податке о промету, билансу стања и броју запослених како бисте одредили категорију компаније.
• Наведите врсте ентитета којима компанија припада.

До 17. јануара 2025. године; оператери регистара имена домена највишег нивоа; добављачи система имена домена и услуга регистрације имена домена; рачунарство у облаку; центри података; добављачи мреже за испоруку садржаја; добављачи управљаних услуга; добављачи услуга управљане безбедности; као и добављачи онлајн тржишта; добављачи онлајн претраживача и добављачи платформи друштвених мрежа требало би да се региструју на платформи.

До 31. марта 2025. године, ACN је саставио листу битних и важних ентитета на основу регистрација примљених путем платформе.

Између 1. априла 2025. и 15. априла 2025. године; ACN је обавестио дотичне субјекте да ли су укључени у листу битних или важних субјеката.

До 15. априла 2025. године, субјекти који су примили обавештење били су дужни да посебним актом именују субјект одговоран за испуњавање обавеза из уредбе.

Након тога; субјекти на које се односи Директива мораће да испуне додатне захтеве:

• до 1. јануара 2026; обавеза пријављивања инцидената
• до 1. октобра 2026. године; обавезе у вези са управним телима и безбедносним мерама морају бити испуњене

Сваке године, ACN ће ажурирати списак укључених субјеката. Компаније и јавне управе ће имати прилику да се региструју сваке године, између јануара и фебруара, ако сматрају да су међу дотичним субјектима.

Ризици за компаније, али и могућности

Након ступања на снагу NIS2 и идентификације укључених оператера, надлежни органи могу спроводити надзор и контроле на лицу места како би проверили њихову усклађеност са Директивом. У случају непоштовања, на укључене компаније биће примењене казне.

Казне су веома строге: за велике компаније; до 10 милиона евра или 2% глобалног промета; за средња предузећа; до 7 милиона евра или 1,4% глобалног промета.

Иако поштовање прописа захтева јасан напор и улагања од стране компанија; такође се мора признати да сами прописи имају за циљ да обезбеде значајно решење за проблем сајбер напада; на које су италијанске компаније и даље веома подложне и које често теже да прикрију из разлога имиџа. У економском смислу; процењена просечна штета за сваки појединачни сајбер напад је већа од 2 милиона евра; без обзира на промет компаније.

Како ERA може помоћи у управљању усклађеношћу са NIS2 прописима

Упркос свему наведеном, што би могло сугерисати да су компаније изузетно заинтересоване и укључене у питања сајбер безбедности, није неуобичајено, посебно међу малим и средњим предузећима, пронаћи компаније које су мало или ништа учиниле по овом питању и које тренутно нису у стању да дефинишу свој став у погледу ризика којима су изложене, како са техничке тачке гледишта, тако и у погледу усклађености са различитим постојећим прописима.

Неке компаније се баве питањем сајбер безбедности кроз осигурање. Међутим, осигуравајуће компаније често нерадо нуде ову врсту заштите компанијама које никада нису предузеле конкретне акције у сајбер сфери. То је зато што не постоји поуздан метод за тачну процену штете коју је изазвао сајбер напад. Као резултат тога, „NIS2 пакети“ се фокусирају на услуге процене сајбер ризика, али остављају компанијама да предузму неопходне мере за решавање евентуалних празнина. ERA може да понуди свеобухватнију услугу, ослањајући се на мрежу висококвалификованих добављача по веома конкурентним комерцијалним условима.

Детаљно; Подршка ERA-е се састоји од:

• Процена организационе и техничке структуре компаније; уз помоћ упитника за самопроцену користећи унапред дефинисане индикаторе;
• Курсеви подизања свести и обуке; са основним курсевима за све запослене и напредним модулима за виши и средњи менаџмент; у складу са смерницама NIS2;
• Специфични и висококвалификовани тестови анализе рањивости; третман фишинга и процена ризика од ransomware-а;
• Подршка посвећених консултаната током фазе санације након процене;
• Специјализована подршка посвећених консултаната за вођење стратешких одлука у области сајбер безбедности.

Наше решење укључује анализу усклађености са NIS2 прописима; што је свакако најхитнији проблем; али такође може пратити клијента у управљању пројектом фазе санације; тј. фазе у којој клијент мора да отклони различите „недостатке“ идентификоване у процесу дијагностике; и то је фаза у којој су тешкоће неких компанија најочигледније; како у погледу интерних вештина, тако и расположивости времена и ресурса.