NIS2 direktiva — što se promijenilo u odnosu na NIS1?
NIS2 direktiva (EU 2022/2555) značajno proširuje opseg i strožuje zahtjeve originalne direktive iz 2016. Donosi jasniju kategorizaciju obveznih subjekata, harmoniziranije sankcije i strože zahtjeve za upravljanje rizicima i prijavljivanje incidenata.
10 ključnih mjera koje NIS2 zahtijeva
- Politike sigurnosti IS-a — dokumentirane i odobrene od uprave
- Upravljanje incidentima — plan detekcije, odgovora i prijave
- Kontinuitet poslovanja — backup, oporavak od katastrofe, krizno upravljanje
- Sigurnost lanca opskrbe — procjena dobavljača i ugovornih partnera
- Sigurnost pri razvoju sustava — sigurno kodiranje, testiranje ranjivosti
- Politike procjene učinkovitosti mjera
- Kibernetička higijena i edukacija — redovita obuka zaposlenika
- Kriptografija i enkripcija — zaštita podataka u prijenosu i pohrani
- Sigurnost ljudskih resursa — provjere zaposlenika, kontrole pristupa
- Višefaktorska autentifikacija (MFA) — obavezna za kritične sustave
Uloga uprave organizacije
NIS2 eksplicitno navodi da uprava mora biti izravno uključena u upravljanje kibernetičkom sigurnošću. Članovi uprave obvezni su proći edukaciju i osobno su odgovorni u slučaju grubog zanemarivanja obveza.
Koraci prema usklađenosti
- Gap analiza — provjera trenutnog stanja u odnosu na zahtjeve direktive
- Procjena rizika — identifikacija i prioritizacija prijetnji
- Izrada plana usklađivanja — rokovi i odgovornosti
- Implementacija tehničkih i organizacijskih mjera
- Edukacija zaposlenika i uprave
- Interna revizija i kontinuirano praćenje
