NIS2 Direktiva – Novi okvir za jačanje kibernetičke sigurnosti u Europskoj uniji
April 8, 2025
Što je NIS2 direktiva i što se želi postići s provođenjem direktive?
NIS2 direktiva je najopsežnija EU regulativa do sada. Cilj joj je povećati sigurnost mreža i informacijskih sustava ključnih za funkcioniranje društva i ekonomije. Propisuje strože zahtjeve za upravljanje rizicima, obveze izvještavanja o incidentima te visoke kazne za neusklađenost, a glavni cilj je smanjenje rizika od kibernetičkih prijetnji i povećanje otpornosti organizacija diljem Europe na kibernetičke napade.
Koje organizacije i sektore obuhvaća NIS2 direktiva te što ona znači za poduzetnike u Hrvatskoj?
Direktiva proširuje postojeći popis sektora i subjekata koji podliježu direktivi. Obuhvaća tvrtke u energetici, transportu, zdravstvu, financijama, digitalnim uslugama i mnogim drugim sektorima. Poduzetnici u Hrvatskoj morat će poboljšati svoju kibernetičku sigurnost kroz implementaciju mjera poput jačanja sigurnosti mreža, upravljanja incidentima i povećanja kontrole pristupa podacima. U slučaju neusklađenosti, mogu se suočiti s visokim kaznama.
“Organizacije koje ne ispune standarde kibernetičke sigurnosti propisane ovom direktivom mogu se suočiti s ozbiljnim financijskim i reputacijskim posljedicama. Regulativa predviđa visoke novčane kazne za neusklađenost, što može značajno utjecati na poslovanje tvrtki, posebice onih koje posluju u sektorima ključnima za funkcioniranje društva i gospodarstva”.
Kada će tvrtke dobiti kategorizaciju i što biste im preporučili kao prve korake?
Tvrtke već dobivaju obavijesti o kategorizaciji te će do sredine travnja 2025. sve one koje podliježu direktivi biti obaviještene. Prvi preporučeni koraci su provođenje GAP analize. Njome će utvrditi gdje trenutno stoje u odnosu na zahtjeve NIS2 direktive i identificirali potrebne mjere za usklađivanje te validaciju sigurnosti cjelokupne IT infrastrukture u svrhu detekcije eventualnih sigurnosnih propusta. Također izuzetno važan korak je uvođenje, tj. dodavanje Sigurnosno operativnog centra kako bi korisnici imali nadzor poslovanja, a ako dođe do napada mogu kvalitetno reagirati te kreirati izvještaje prema zakonu o kibernetičkoj sigurnosti.
