U poslednjih nekoliko godina EU je doživela rapidan porast cyber napada – od ransomware-a, kompromitovanih dobavljačkih lanaca i hakovanih državnih institucija, do napada na energiju, zdravstvo i transport. Kao odgovor na to, Evropska unija je 2023. usvojila novu i daleko strožu regulativu iz oblasti cyber bezbednosti – NIS2 Direktivu (Network and Information Security 2).
NIS2 nije samo još jedan birokratski dokument. Ovo je najdetaljniji evropski okvir za cyber bezbednost do sada, koji prvi put postavlja obaveze ne samo državama i velikim sistemima, već i privatnom sektoru, dobavljačima, cloud provajderima i kompletnim digitalnim ekosistemima.
U ovom tekstu objašnjavamo:
-
Šta je NIS2 Direktiva
-
Ko mora da se uskladi sa njom
-
Koje sektore pokriva
-
Koje su obaveze i kazne
-
Kako utiče na kompanije van EU, uključujući Srbiju
-
Šta nas čeka u praktičnoj primeni
Šta je NIS2 Direktiva?
NIS2 je evropska direktiva o sajber bezbednosti koja postavlja obavezu država i kompanija da povećaju nivo zaštite informacionih sistema, uspostave procedure za upravljanje incidentima i podignu nivo otpornosti na cyber napade.
NIS2 menja prethodnu NIS1 direktivu iz 2016. godine. Glavna razlika: mnogo je šira, stroža i obavezuje skoro sve ključne aktere u digitalnoj ekonomiji.
Direktiva je doneta 28. decembra 2022, a sve zemlje EU moraju je implementirati u svoje zakone do oktobra 2024.
Ko je sve obuhvaćen NIS2 Direktivom?
Prvi put obuhvata i privatni i javni sektor.
Pokriva dve kategorije organizacija:
1. Essential Entities (ključna infrastruktura)
Sektori poput:
-
Energetika
-
Transport
-
Finansije i bankarski sektor
-
Zdravstvo
-
Telekomunikacije
-
Državna uprava
-
Pijaća voda / otpadne vode
2. Important Entities (značajni entiteti)
-
IT firme
-
Hosting i cloud provajderi
-
Proizvodnja opreme
-
Pošte i logistika
-
Online servisi i tržišta
-
Data centri
-
MSP / mala i srednja preduzeća (kada pružaju kritične usluge)
Dakle, prvi put u istoriji, kompanije poput:
-
softverskih firmi,
-
SaaS platformi,
-
Web hosting provajdera,
-
komunalnih i energetskih sistema,
-
e-commerce platformi,
dolaze pod obavezu zaštite.
Koje obaveze NIS2 uvodi?
Direktiva propisuje najmanje 10 ključnih sigurnosnih obaveza:
-
Upravljanje rizicima i bezbednosnim politikama
-
Incident response (plan reagovanja na napade)
-
Kontinuitet poslovanja i backup
-
Upravljanje dobavljačima
-
Kontrola pristupa i autentikacija
-
Šifrovanje i zaštita podataka
-
Procena rizika u lancu snabdevanja
-
Bezbednosni monitoring i detekcija napada
-
Obuka zaposlenih
-
Obavezno prijavljivanje incidenata
Posebno je važna obaveza prijave napada:
-
prvo obaveštenje za 24 sata
-
detaljan izveštaj za 72 sata
-
konačan izveštaj nakon 1 meseca
Ovo je identično pravilima kao kod GDPR-a za curenje podataka.
Koje su kazne po NIS2 Direktivi?
Kazne su posebno stroge i kreću se do:
-
10 miliona EUR ili
-
2% ukupnog godišnjeg prihoda (što je veće)
Pored toga, država članica ima pravo da:
-
inspektuje firme,
-
izrekne zabranu rada,
-
postavi privremenog upravnika,
-
naloži investicije u bezbednosnu infrastrukturu.
Dakle, ovo nije preporuka – ovo je obaveza.
Ko mora da se uskladi? (Ukratko)
| Subjekat | Da li podleže NIS2? |
|---|---|
| Državne institucije | ✔ |
| Banke | ✔ |
| Energetske kompanije | ✔ |
| Telekomi | ✔ |
| IT i SaaS kompanije | ✔ |
| Web hosting provajderi | ✔ |
| Proizvodne kompanije | ✔ |
| Privatne firme >50 zaposlenih | ✔ |
| Mikrofirme i frilenseri | ✖ (osim u kritičnim sektorima) |
Kako NIS2 utiče na Srbiju?
Srbija nije član EU, ali direktiva se odnosi i na nas na dva načina:
1. Direktan uticaj
NIS2 se primenjuje na firme koje:
-
posluju u EU,
-
imaju korisnike u EU,
-
pružaju usluge EU kompanijama,
-
učestvuju u lancu snabdevanja EU tržišta.
Šta to znači u praksi?
Ako srpska firma radi za:
-
banku u EU,
-
hosting ili cloud servis za EU kompaniju,
-
IoT, SaaS ili e-commerce platformu za EU tržište,
moraće da bude u skladu sa NIS2.
Bez obzira što nije u EU.
Ovo je identično kao sa GDPR-om: Srbija nije član, ali su firme morale da ga primene.
2. Indirektan uticaj
Srbija već ima Zakon o informacionoj bezbednosti (2016), ali on je zasnovan na staroj NIS1 direktivi.
Država priprema novu verziju zakona koja će:
-
proširiti sektor obaveza,
-
propisati veću odgovornost,
-
uvesti obavezno prijavljivanje incidenata,
-
definisati nadležno telo i procedure.
Drugim rečima, Srbija će morati da se uskladi, samo je pitanje dinamike.
Ko je najviše pogođen u Srbiji?
Najpre:
-
telekom operatori,
-
energetski sektor,
-
državna uprava,
-
zdravstvo i finansije.
Zatim:
-
software development,
-
MSP i korporacije,
-
cloud servisi,
-
data centri,
-
hosting provajderi,
-
industrija, proizvodnja i transport.
Već sada kompanije iz Srbije koje posluju sa EU partnerima dobijaju:
-
zahteve za bezbednosne politike,
-
SLA ugovore o zaštiti podataka,
-
zahteve za disaster recovery,
-
bezbednosne sertifikate (ISO 27001).
NIS2 i GDPR – razlika
GDPR štiti privatnost podataka.
NIS2 štiti infrastrukturu i kontinuitet poslovanja.
U praksi idu zajedno.
Da li je NIS2 tehnički ili organizacioni standard?
Oboje.
Direktiva uvodi obaveze za:
Tehničke mere:
-
šifrovanje,
-
BCM,
-
SIEM i monitoring,
-
firewall i segmentacija mreže,
-
MFA,
-
backup i disaster recovery.
Organizacione mere:
-
politika bezbednosti,
-
obuka zaposlenih,
-
procena rizika,
-
upravljanje dobavljačima.
Dakle, IT + menadžment.
Benefiti implementacije
Iako deluje složeno, donosi važne prednosti:
-
Smanjuje rizik od napada i downtime-a
-
Povećava kredibilitet i poverenje korisnika
-
Omogućava saradnju sa EU partnerima
-
Pruža pravnu zaštitu i izbegava kazne
-
Podiže bezbednosni nivo države i privrede
NIS2 je najvažnija cyber sigurnosna regulativa u Evropi do sada. Ona menja način na koji gledamo na bezbednost mreža, informacijskih sistema i kritične infrastrukture – i uvodi obavezu kompanijama da se zaštite i organizaciono i tehnički.
Iako Srbija formalno nije član EU, NIS2 direktiva već utiče na domaće kompanije, posebno IT sektor i poslovanje koje je međunarodno povezano.
