Najveća promjena koju NIS 2 uvodi u odnosu na NIS Direktivu je zapravo opseg primjene koji je NIS Direktivom bio preusko definiran , ističe Vedran Benić, viši konzultant za informacijsku sigurnost iz Spana za ICTbusiness.info i dodaje da da razliku od NIS-a, NIS 2 će u svojim provedbenim propisima detaljno definirati tehničke i metodološke zahtjeve za mjere kibernetičke sigurnosti.
Treba istaknuti da postoje i neke specifičnosti, to je da kod nadzora ključnih subjekata je što nadležna tijela kod njih mogu doći u nadzor bilo kada i bez konkretnog razloga, dok će u nadzor kod važnih subjekata doći tek ako zaprime informaciju o kršenju odredaba Zakona odnosno Direktive, pojašnjava Benić.
Što je NIS 2, kako se razlikuje od prethodne NIS Direktive i zašto ju je EU odlučila donijeti nakon već postojeće Direktive?
NIS 2 je Direktiva Europske unije (EU) koja će zamijeniti postojeću NIS Direktivu te proširiti i ojačati regulaciju kibernetičke sigurnosti na razini EU. Najveća promjena koju NIS 2 uvodi u odnosu na NIS Direktivu je zapravo opseg primjene koji je NIS Direktivom bio preusko definiran. NIS 2 Direktiva stoga propisuje da se njezine odredbe primjenjuju na puno veći broj industrijskih sektora. Pa su tako sada sektori poput gospodarenja otpadom, proizvodnje hrane, poštanske usluge, digitalne usluge i mnogi drugi, uključeni u polje primjene.
Za razliku od NIS-a, NIS 2 će u svojim provedbenim propisima detaljno definirati tehničke i metodološke zahtjeve za mjere kibernetičke sigurnosti. Na taj će način NIS 2 osigurati jednaku razinu kibernetičke sigurnosti u svim državama članicama, što do sada nije bio slučaj.
Kako će se implementirati NIS 2 Direktiva u nacionalno zakonodavstvo, posebice u Hrvatskoj?
Za implementaciju Direktive, države članice moraju donijeti nacionalne zakone. Hrvatski Zakon o kibernetičkoj sigurnosti koji implementira NIS 2 Direktivu, objavljen je u Narodnim novinama te stupa na snagu 15. veljače 2024.
Koje su glavne razlike između mjera sigurnosti koje NIS 2 propisuje u odnosu na NIS?
Same mjere iz NIS Direktive ne odudaraju previše od mjera koje su navedene u NIS 2 Direktivi. Zanimljivo je naglasiti da se kroz usklađenost sa standardom ISO 27001 pokriva većina mjera iz NIS i NIS 2 Direktive. Međutim, za razliku od stare Direktive, NIS 2 zajedno s provedbenim aktima Europske komisije, puno preciznije opisuje same procesne, tehničke i organizacijske zahtjeve mjera. Upravo zbog toga će njihovo usvajanje u državama članicama biti ujednačeno, što je bio i cilj.
Kako će se odrediti ključni i važni subjekti i koje su ključne industrije?
Kako bi subjekti bili svrstani u važne ili ključne subjekte moraju ispuniti sve kriterije iz svoje kategorije. Primjerice, prema NIS 2 Direktivi ključni subjekti dolaze iz jednog od 11 sektora visoke kritičnosti, imaju više od 250 zaposlenika i imaju godišnji promet od preko 50 milijuna eura ili ukupnu godišnju bilancu od preko 43 milijuna eura.
Važni subjekti su oni koji imaju više od 50 zaposlenika, imaju godišnji promet veći od 10 milijuna eura, odnosno ukupnu godišnju bilancu preko 10 milijuna eura i dolaze iz drugih kritičnih sektora definiranih Direktivom.
Ovdje je potrebno naglasiti kako postoje mnoge iznimke od navedenih glavnih kriterija za određivanje polja primjene NIS 2 Direktive. Zbog toga je potrebno za svaki subjekt pojedinačno prikupiti informacije i utvrditi spada li on pod polje primjene NIS 2 Direktive ili ne.
Kako će države članice samostalno odrediti subjekte kao ključne pod poljem primjene NIS 2 Direktive?
Svaka država članica putem nadležnog tijela imenuje pojedinog subjekta kao ključnog ili važnog ovisno o prethodno navedenim kriterijima. Subjekti ne moraju sami sebe klasificirati u koju kategoriju spadaju, već će nadležna nacionalna tijela dostaviti obavijest o kategorizaciji pojedinom subjektu.
Kako će se primjenjivati NIS 2 Direktiva na financijski sektor, s obzirom na sektorske propise?
Banke će biti obuhvaćene NIS 2 Direktivom i DORA regulativom. S obzirom na to da DORA, koliko je za sada poznato, postavlja bitno strože zahtjeve u odnosu na NIS 2 i to primarno zbog detaljnih provedbenih propisa, opravdano je očekivati da će DORA gotovo u potpunosti imati prednost u primjeni pred NIS 2 za subjekte financijskog sektora.
Kako će se ocjenjivati primjena NIS 2 Direktive, uzimajući u obzir ključne i važne subjekte?
Nadležna nacionalna tijela će provoditi razne nadzorne mjere kao što je inspekcijski nadzor, uključujući nasumične provjere. Također će provoditi redovite i ciljane revizije sigurnosti te ad hoc revizije kada je to opravdano zbog značajnog kibernetičkog incidenta ili druge povrede odredaba Zakona odnosno NIS 2 Direktive.
Specifičnost kod nadzora ključnih subjekata je što nadležna tijela kod njih mogu doći u nadzor bilo kada i bez konkretnog razloga, dok će u nadzor kod važnih subjekata doći tek ako zaprime informaciju o kršenju odredaba Zakona odnosno Direktive.
Tko će kontrolirati usklađenost s NIS 2 Direktivom i koje su predviđene sankcije za neusklađene subjekte?
Ovisno o industriji pojedinog subjekta „Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti“, kako ga naš Zakon naziva, može biti SOA, Središnji državni ured za razvoj digitalnog, HAKOM i Ministarstvo obrazovanja.
Međutim, u odnosu na subjekte kao što su banke, osiguravajuća društva i zračni prijevoznici, nadzor će vršiti „nadležna tijela za provedbu posebnih zakona“ u okviru sektorski specifičnih propisa koji imaju prednost u primjeni pred NIS 2 Direktivom. Ta tijela su HNB, HANFA i Agencija za civilno zrakoplovstvo.
Važni subjekti će se za neusklađenost sankcionirati novčanim kaznama u iznosu od 5000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa tog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
Ključni subjekti će se za neusklađenost sankcionirati novčanim kaznama u iznosu od 10.000,00 eura do 10.000.000,00 eura ili u iznosu od 0,5 % do najviše 2 % ukupnog godišnjeg prometa tog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
Koje su ključne faze vremenskog okvira primjene NIS 2 Direktive, uključujući rokove za usklađivanje i ocjenu sukladnosti?
Od stupanja Zakona na snagu počinje teći rok od godinu dana za nadležna tijela da ključnim i važnim subjektima dostave obavijest o kategorizaciji. Nakon toga ti subjekti imaju rok od godine dana da se usklade s odredbama Zakona. Nakon proteka tog roka počinje teći daljnji rok od dvije godine u kojem subjekti moraju provesti postupak samoprocjene kako bi revidirali jesu li adekvatno proveli postupak usklađivanja. Tu reviziju ključni subjekti moraju raditi putem vanjskog pružatelja usluge revizije, a važni subjekti mogu to napraviti i interno.
Intel je izgradio najveći svjetski neuromorfni sustav kodnog naziva Hala Point. Ovaj veliki neuromorfni sustav, prvobitno postavljen u Sandia National Laboratories, koristi Intelov procesor Loihi 2, ima za cilj podržati istraživanja za buduću umjetnu inteligenciju inspiriranu mozgom
Kolokacija servera poznata je praksa smještanja servera u vanjski data centar, umjesto u vlastiti prostor. Nudi niz prednosti za tvrtke svih veličina jer znatno smanjuje složenost i trošak povezan s održavanjem servera
Bank of Nova Scotia odabrala je Google Cloud za podršku svojim rastućim digitalnim operacijama, utirući put upotrebi generativne umjetne inteligencije i drugih novih tehnologija.
