NIS 2: Nova Europska direktiva za zaštitu podataka i sprječavanje curenja informacija

NIS 2, ili Direktiva o mrežama i informacijskim sustavima, kritičnim subjektima (npr. pružateljima usluga računalstva u oblaku, podatkovnim centrima, platformama društvenih medija), predstavlja ključnu europsku inicijativu koja se temelji na jačanju kibernetičke sigurnosti i sprječavanju curenja podataka. Važno je napomenuti da će se NIS2 regulirati i sigurnost telekomunikacijskih operatora pri pružanju telekomunikacijskih usluga (npr. mobilne usluge) i netelekomunikacijskih usluga (npr. računalstvo u oblaku). Ova direktiva, koja je zamijenila prethodnu verziju iz 2016. godine, ima za cilj unaprijediti zaštitu temeljnog infrastrukturnog sektora te osigurati sigurnost digitalnih sustava u svim vrstama organizacija – od velikih korporacija do malih i srednjih poduzeća (MSP-ova), kao i javnih organizacija.

Kako bi se nadovezalo na znanje specifično za telekomunikacijski sektor koje je već stečeno u skladu s Europskim zakonikom elektroničkih komunikacija (EECC), pri provedbi sigurnosnih zahtjeva NIS2 trebalo bi uzeti u obzir postojeće nacionalne smjernice donesene za prenošenje sigurnosnih odredaba NEKO-a. Nadalje, revidiranom direktivom potiče se upotreba tehnologija šifriranja (npr. šifriranje s kraja na kraj) i koncepata usmjerenih na podatke kao što je segmentacija. Revidiranom direktivom pružatelji usluga koji su aktivni u lancu opskrbe IKT-a, kao i neki prekogranični digitalni subjekti (npr. internetska tržišta, internetske tražilice) podvrgnut će se većem stupnju usklađenosti. To će uključivati tehničke mjere i postupke na razini EU-a za dokazivanje usklađenosti sa sigurnosnim obvezama NIS2. Osim toga, Direktivom NIS2 uvodi se jasna obveza ključnih i važnih subjekata u svim sektorima obuhvaćenima njezinim područjem primjene da procijene razinu sigurnosti svojih IKT proizvoda, usluga i sustava.

Cullen International objavljuje niz izvješća o različitim aspektima nedavno revidirane direktive o sigurnosti mrežnih i informacijskih sustava (NIS2). Treće od pet izvješća Suda obuhvaća određene sigurnosne obveze koje se posebno odnose na telekomunikacije, lanac opskrbe IKT-a i digitalni sektor.

Zašto je NIS 2 važna?

U današnjem digitalnom okruženju kibernetički napadi postaju sve češći i sofisticiraniji. Kao rezultat toga, kibernetička sigurnost je postala ključni prioritet za organizacije diljem Europe. U izvješću CESIN-a, navodi se da je svaka druga tvrtka pretrpjela barem jedan ozbiljan napad u 2023. godini, uključujući krađe identiteta, hakiranje i zahtjeve za otkupninom. Kibernetički napadi mogu imati ozbiljan utjecaj ne samo na poslovanje poduzeća, nego i na funkcioniranje ključnih usluga kao što su zdravstvo, energija i promet. To znači da direktiva NIS 2 nije samo regulacija za IT sektor, već za sve sektore koji osiguravaju osnovne usluge društvu.

Ključni ciljevi NIS 2:

Jačanje zaštite informatičkih sustava: Direktiva zahtijeva od organizacija da poduzmu konkretne mjere za smanjenje rizika od kibernetičkih prijetnji i da razviju robustne strategije za prevenciju i reakciju na napade.
Obveza procjene i upravljanja rizicima: Organizacije moraju redovito procjenjivati rizike u pogledu sigurnosti svojih mreža i informacijskih sustava.
Povećanje svijesti među zaposlenicima: Velika pažnja posvećuje se edukaciji zaposlenika, jer ljudska pogreška često bude “ulazna točka” za kibernetičke napade.
Brza reakcija na napade: Organizacije moraju imati razvijene planove za krizne situacije, koji uključuju obavještavanje nadležnih tijela u roku od 24 do 72 sata od napada.

Kako NIS 2 utječe na organizacije?

Procjena i upravljanje rizicima: Organizacije trebaju identificirati i procijeniti rizike povezane s kibernetičkom sigurnosti, uključujući tehničke aspekte (npr. IT opremu, mreže), sigurnost podataka, fizičku i digitalnu zaštitu, te ljudske rizike (nepravilne prakse korištenja tehnologije).
Provedba korektivnih mjera: Nakon procjene rizika, organizacije trebaju implementirati odgovarajuće mjere za poboljšanje sigurnosti, bilo tehničke (poput enkripcije, firewall-a) ili ljudske (obuka zaposlenika, simulacije napada).
Kontinuirani plan za krizne situacije: Planiranje i simulacija napada ključni su za brzu reakciju u slučaju stvarnog napada. Osim toga, potrebno je obaviti obavještavanje relevantnih tijela i poduzeti hitne mjere za smanjenje štete.

<h3>Kako se organizacije mogu uskladiti s NIS 2?</h3> Ključni i važni subjekti dužni su poduzeti odgovarajuće tehničke, operativne i organizacijske mjere za zaštitu mrežnih i informacijskih sustava subjekta od bilo kakvih sigurnosnih prijetnji. U skladu s NIS2 očekuje se da će provesti najmanje nekoliko sigurnosnih mjera navedenih u revidiranoj direktivi, na primjer uspostavu politika kontrole pristupa i uspostavu postupka rješavanja incidenata. Ključni i važni subjekti moraju prijaviti značajne povrede sigurnosti nacionalnom timu za odgovor na računalne sigurnosne incidente (CSIRT) nakon postupka u više koraka. Početnu obavijest treba podnijeti u roku od 24 sata, a drugu u roku od 72 sata nakon što ste saznali za značajan incident. Završno izvješće s dodatnim informacijama o povredi trebalo bi podnijeti u roku od mjesec dana. S obzirom na složenost zahtjeva, mnoge organizacije, osobito MSP-ovi, traže pomoć od specijaliziranih alata i usluga koje im mogu pomoći u usklađivanju sa svim normama. Primjer takve usluge je Mailinblackov U-Cyber 360°, koji je dizajniran da pomogne poduzećima u ispunjavanju zahtjeva NIS 2. Ovaj alat nudi integrirani pristup u četiri modula, koji obuhvaćaju: <ul> <li>Zaštitu e-pošte: Automatizirani sustav za blokiranje phishing napada, krađe identiteta i zlonamjernog softvera.</li> <li>Sigurnost pristupa: Upravljanje lozinkama i kontrola pristupa osjetljivim podacima i aplikacijama.</li> <li>Edukacija zaposlenika: Realistične simulacije kibernetičkih napada kako bi zaposlenici prepoznali prijetnje, poput socijalnog inženjeringa.</li> <li>Kontinuirana obuka: Redovita ažuriranja obuka temeljenih na najnovijim prijetnjama i tehnološkim inovacijama.</li> </ul> <iframe title="YouTube video player" src="https://www.youtube.com/embed/r6o_QdknSro?si=INtJxf3RUn682Nb2" width="560" height="315" frameborder="0" allowfullscreen="allowfullscreen">

Zaključak

NIS 2 direktiva predstavlja važan korak u jačanju kibernetičke sigurnosti u Europi, s naglaskom na zaštitu osnovnih usluga i infrastrukturnih sektora. Za organizacije svih veličina, usklađivanje s ovom direktivom postaje obveza, a adekvatna priprema, kako preventivna, tako i reaktivna, ključna je za zaštitu podataka i sprječavanje velikih poslovnih i društvenih šteta.

Zašto je NIS 2 važna?

Ključni ciljevi NIS 2:

Kako NIS 2 utječe na organizacije?

DRUGE NOVOSTI

Sretan rođendan Godeal24! Nabavite doživotnu licencu Officea 2021 Pro i Windowsa 11 Pro za samo 12 €!

Snapdragon 8 Gen 5 vs Dimensity 9400 Plus: Qualcomm vodi u CPU-u, MediaTek uzvraća GPU snagom

Samsung želi donijeti AI memoriju iz servera u pametne telefone

ASUS prvi put lansirao vlastiti ROG RAM: DDR5 memorija ide do 8800 MT/s