EU direktive
16. siječnja 2023. obilježena je značajna prekretnica u sigurnosnom položaju država članica Europske unije (EU). Tog su datuma na snagu stupile dvije direktive EU-a relevantne za sigurnost i jedna Uredba, a svaka je pokazatelj značaja koji EU pridaje poboljšanju svoje pozicije u području kibernetičke sigurnosti
Direktive
Što je NIS2?
NIS2 je kibernetičko zakonodavstvo na razini cijele EU koje zamjenjuje prethodni NIS (Direktiva (EU) 2016/1148), pojašnjavajući kategorije na koje se odnosi i proširujući njihov opseg te poboljšavajući Direktivu.
NIS2 pojašnjava kategorije na koje je primjenjiv uklanjanjem razlike između ‘operatora osnovnih usluga‘ i ‘pružatelja digitalnih usluga‘. Umjesto toga, Direktiva se primjenjuje na novo definirane kategorije „ključni subjekata” i „važnih subjekata” – razlika se temelji na sektoru i veličini operatera.
NIS2 također proširuje opseg subjekata koji spadaju u ove kategorije proširenjem pokrivenosti postojećih sektora i dodavanjem novih sektora. Novi sektori uključuju upravljanje uslugama informacijskih i komunikacijskih tehnologija (IKT), javnu upravu, tvrtke za pročišćavanje otpadnih voda i prostor.
Osim toga, NIS2 nameće nova pravila o sigurnosti i izvješćivanju o incidentima, uspostavlja stroži režim provedbe i povećava fokus na sigurnost lanca opskrbe, posebno u područjima sigurnosti ICT proizvoda, sigurnih razvojnih praksi i potencijalne primjene shema certificiranja kibernetičke sigurnosti.
Države članice imaju rok do 17. listopada 2024. da ugrade Direktivu u svoje nacionalne zakone.
Što je CER?
CER je zakonodavstvo usmjereno na sigurnost u cijeloj EU koje zamjenjuje Direktivu 2008/114/EZ.
Dok je NIS2 usredotočen na kibernetičku sigurnost, CER ima za cilj stvoriti sveobuhvatni okvir koji se bavi otpornošću kritičnih subjekata u pogledu svih opasnosti, bilo prirodnih ili umjetnih, slučajnih ili namjernih.
Slično NIS2, CER je značajno povećao opseg primjenjivosti.
Dok je prethodna Direktiva bila usmjerena na energetski i prometni sektor, CER je usklađen s NIS2 te također obuhvaća bankarstvo i financijska tržišta, zdravstvo, pitke i otpadne vode, digitalnu infrastrukturu, javnu upravu i prostor.
Zanimljivo je da se CER ne bavi konceptom ‘važnih’ usluga, poput NIS2, već tretira sve kritične subjekte kao pružatelje osnovnih usluga.
I ovdje države članice imaju rok do 17. listopada 2024. za prenošenje Direktive u svoje nacionalne zakone.
Što je DORA?
DORA regulira: zaštitu, otkrivanje, obuzdavanje i oporavak incidenata kibernetičke sigurnosti koji utječu na ICT u operacijama financijskog sektora EU-a.
Uredbom se nastoji postići zajednička razina digitalne operativne otpornosti uspostavljanjem jedinstvenih zahtjeva u vezi s kibersigurnošću ICT sustava koji podržavaju financijske subjekte.
Za razliku od NIS2 i CER direktiva, DORA je uredba, stoga je obvezujuća i izravno primjenjiva u svim državama članicama EU.
Što još trebamo znati o NIS2, CER i DORA?
NIS2, CER i DORA bave se različitim aspektima sigurnosti; međutim, postoje neke zajedničke teme koje se protežu kroz svaki, uključujući:
- Stavljanje većeg naglaska na važnost identificiranja i upravljanja rizicima, uključujući one međusektorske i prekogranične prirode
- Važnost koherentnosti – cjelovitosti – pri primjeni NIS2, CER i DORA
- Okviri politike i strategije trebali bi dovesti do poboljšane razmjene informacija o obavještajnim podacima o prijetnjama i koordinaciji, kako između operativnih subjekata tako i s njihovim nadležnim tijelima
- Razmotriti kontinuitet poslovanja i ublažiti rizike koji proizlaze iz opskrbnog lanca na sigurnosno stanje subjekata
- Razviti materijale i podržati organizaciju operativnih vježbi za testiranje otpornosti pružatelja osnovnih usluga. U kontekstu NIS2 i DORA-e, to uključuje korištenje penetracijskog testiranja predvođenog prijetnjama.