NIS2 – Nova era kibernetičke sigurnosti u Europskoj uniji

Blog
Show column

Novi europski okvir za kibernetičku sigurnost — Direktiva NIS2 — donosi strože obveze i širi krug subjekata koji moraju osigurati otpornost svojih sustava. Do listopada 2024. sve organizacije koje pružaju ključne ili važne usluge moraju dokazati usklađenost s nacionalnim propisima temeljenima na NIS2 direktivi. Ova regulativa označava početak novog razdoblja u kojem je sigurnost informacija postala strateško pitanje svakog poslovanja

Europska unija uvela je novu Direktivu o mrežnoj i informacijskoj sigurnosti, poznatu kao NIS2, s ciljem jačanja otpornosti na kibernetičke prijetnje u digitalnom gospodarstvu.  Direktiva je stupila na snagu 17. listopada 2024., čime su države članice EU obvezne provoditi strože mjere zaštite podataka i informacijske infrastrukture.

Za razliku od prve verzije NIS direktive iz 2016., NIS2 znatno proširuje svoj opseg i obuhvaća mnoge nove sektore. Osim energetike, prometa, bankarstva i zdravstva, sada su uključene i industrije poput proizvodnje, hrane, kemikalija, digitalnih usluga i javne uprave. Cilj je postići jedinstvenu razinu kibernetičke sigurnosti u cijeloj Europskoj uniji.

Organizacije koje pružaju ključne ili važne usluge obvezne su uspostaviti formalne sustave upravljanja informacijskom sigurnošću. Takvi sustavi trebaju uključivati redovitu procjenu rizika, nadzor nad procesima i pravovremeno prijavljivanje incidenata.

Posebna pažnja usmjerena je na sigurnost opskrbnih lanaca, gdje svaka karika može postati točka ranjivosti. NIS2 naglašava i osobnu odgovornost uprave za provedbu sigurnosnih mjera te propisuje visoke kazne za nepoštivanje propisa. Kazne za teže povrede mogu doseći do 10 milijuna eura ili 2% ukupnog godišnjeg prihoda.

Jedna od najvećih promjena je uvođenje obvezne kulture sigurnosti u cijeloj organizaciji. Više se ne radi samo o IT sigurnosti, već o integriranom pristupu koji uključuje sve razine poslovanja.

Od menadžmenta se očekuje da preuzme aktivnu ulogu u praćenju i upravljanju rizicima. Time se kibernetička sigurnost postavlja uz bok financijskom i operativnom upravljanju kao strateška obveza.

NIS2 također potiče korištenje međunarodnih standarda poput ISO/IEC 27001 za sigurnost informacija te ISO 22301 za kontinuitet poslovanja. Ovi standardi nude jasan okvir za uspostavu, nadzor i poboljšanje sigurnosnih procesa.

Implementacijom takvih sustava organizacije ne samo da ispunjavaju regulatorne zahtjeve, već i jačaju povjerenje korisnika i partnera. Procjena rizika, planiranje odgovora na incidente i edukacija zaposlenika postaju stalne aktivnosti. Sustavno praćenje i testiranje sigurnosnih mjera preduvjet su za otpornost u sve složenijem digitalnom okruženju.

U konačnici, NIS2 traži dokaz da sustav zaista funkcionira – ne samo da postoji na papiru. Organizacije sada moraju imati planove za upravljanje kriznim situacijama, oporavak sustava i održavanje poslovanja bez prekida.

Izazov je velik, osobito za tvrtke koje posluju u više država članica EU, jer će se nacionalne prakse razlikovati. No zajednički cilj svima je isti – osigurati pouzdanost digitalne infrastrukture i zaštititi građane i gospodarstvo od sve češćih napada.

Uvođenjem NIS2, Europska unija šalje jasnu poruku da kibernetička sigurnost više nije tehničko, nego upravljačko pitanje. Oni koji su se na vrijeme pripremili sada su u prednosti – imaju uređene sustave, educirane timove i veću otpornost na prijetnje.

Za one koji tek započinju, preporuka je krenuti od procjene postojećeg stanja i usklađivanja s međunarodnim standardima. Proces nije jednostavan, ali donosi dugoročne koristi – stabilnost poslovanja, povjerenje tržišta i zaštitu reputacije.

Kibernetička sigurnost tako postaje temelj povjerenja i održivosti modernog poslovanja. NIS2 je više od zakonske obveze – to je poziv na promjenu kulture sigurnosti u cijelom društvu. U digitalnom dobu, otpornost postaje nova mjera uspjeha.