Autor: Luka Porobija, odvjetnik, partner u Odvjetničkom društvu Porobija&Špoljarić
„GDPR za kibernetičku sigurnost“ naizgled ima ograničeni opseg subjekata na koje će se izravno primjenjivati, no odredbe NIS2 ukazuju da će u stvarnosti njegov efekt osjetiti značajno širi spektar poslovnih subjekata.
Kibernetička sigurnost ulazi u „mainstream“. To bi bio najkraći opis sljedeće regulatorne fronte na kojoj će se na razini EU pokušati uskladiti kriteriji i djelovanje privatnih (ali i javnih) subjekata.
Doduše, za razliku od GDPR gdje je primarni razlog donošenja izravna zaštita pojedinca – građanina EU, razlozi donošenja NIS2 su zaštita cjelokupnog mrežnog i informacijskog sustava EU kao ključnog sustava za funkcioniranje država članica. Naime, uzevši u obzir geopolitička previranja posljednjih godina, kao i značajnu digitalizaciju svih aspekata poslovanja i upravljanja infrastrukturom, EU je prepoznala prijetnje kibernetičkim napadima kao potencijalno sistemski rizik čije ostvarenje bi moglo rezultirati teškim posljedicama na razini cjelokupne EU.
Inovacija u odnosu na GDPR je predviđeno kažnjavanje odgovornih osoba u subjektu obvezniku. Dakle, osim kažnjavanja samo subjekta kako je predviđeno u GDPR, prema NIS2 (ali i prema prijedlogu Zakona o kibernetičkoj sigurnosti) članovi upravljačkih tijela bit će izravno i osobno odgovorni za neprimjenu i kršenje odredaba implementacijskih propisa NIS2.
Naglašavam da RH još nije finalizirala svoj prijedlog implementacijskog zakona te se ne može sa sigurnošću popisati sve pojedinosti obveza subjekata koji će biti obuhvaćeni legislativom. Iz tog razloga će ovaj članak biti jedan opći pregled obveza koje će nedvojbeno proizaći iz implementacije NIS2 u zakonodavstvo, kao i procjena namjeravanih i nenamjernih posljedica koje bi mogle nastati za poduzetnike.
Što je zapravo NIS2?
NIS2 direktiva, punim nazivom “Direktiva (EU) 2021/305 o mjerama za osiguranje visoke razine sigurnosti mreža i informacijskih sustava u Uniji”, je zakonodavni okvir Europske unije koji se odnosi na sigurnost mreža i informacijskih sustava. Ova direktiva je zamjena za prethodnu NIS (Network and Information Systems) direktivu, koja je donesena 2016. godine. Prethodna je NIS direktiva započela implementaciju određenih zakonskih standarda uperenih povećanju razine kibernetičke sigurnosti na razini EU, te usklađivanju regulatornog pristupa kibernetičkog sigurnosti u svim članicama EU. No, vrlo je brzo nakon inicijalne implementacije NIS direktive postalo jasno da je inicijalna NIS direktiva neadekvatna za postizanje namjeravanih ciljeva, primarno iz razloga rapidnog razvoja potencijalnih kibernetičkih prijetnji, potencijalnih meta tih prijetnji i posljedica ostvarenja tih prijetnji. Osim toga, zamijećeno je da su države članice ponešto raznoliko implementirale odredbe originalne NIS direktive te je rezultat bila neujednačenost subjekta obveznika, a time i smanjena mogućnost ostvarenja namjeravanog cilja usklađenja sustava za zaštitu od kibernetičkih prijetnji na razini EU.
Glavni cilj NIS2 direktive je stoga unaprijediti sigurnost mreža i informacijskih sustava u EU na način da proširi i konkretizira odredbe originalne NIS direktive.
NIS2 nadograđuje prethodnu NIS direktivu na način da:
- Širi opseg subjekata i konkretnije određivanje subjekata obveznika: NIS2 se primjenjuje na širi raspon subjekata od NIS1, koji osim očekivanih sektora povezanih s pružanjem digitalnih usluga i digitalne infrastrukture obuhvaćaju „klasične“ sektore poput opskrbe vodom i odvodnje, zdravstva, prehrane, proizvodnje itd. Osim toga, kriteriji za određivanje tih obveznika dodatno su specificirani kako bi se ujednačila njihova klasifikacija na razini EU.
- Osnažuje sigurnosne zahtjeve: NIS2 postavlja strože sigurnosne zahtjeve za subjekte obveznike koji pružaju ključne i važne usluge od vitalnog značaja za društvo.
- Širi obvezu izvješćivanja o incidentima: NIS2 subjektima obveznicima uvodi široke obveze prijavljivanja sigurnosnih incidenata nadležnim tijelima i, ako je potrebno, korisnicima usluga i široj javnosti.
- Povećana suradnja i koordinacija: NIS2 postavlja okvire za suradnju između subjekata i nadzornih tijela, ali i između nadzornih tijela različitih država članica te ujedno potiče stvaranje zajedničkih skupina za koordinaciju kako bi se učinkovito upravljalo sigurnosnim incidentima na razini EU. Osim toga, ustanovit će se novi subjekti i mehanizmi za međusobnu suradnju, informiranje i djelovanje na razini EU.
- Veće ovlasti nacionalnih regulatornih tijela i nova regulatorna tijela: Osim postojećih regulatornih tijela koja nadziru razinu kibernetičke sigurnosti u određenim sektorima (telekomunikacije npr.) NIS2 uvodi potpuno nova nacionalna regulatorna tijela koja će provoditi nadzor nad subjektima-obveznicima.
NIS2 direktiva neće se neposredno primjenjivati u državama članicama, već se očekuje da sve države članice EU donesu vlastite provedbene propise temeljene na NIS2 direktivi i da ti propisi stupe na snagu najkasnije do 17. listopada 2024. godine.
U RH je u zakonodavnu proceduru poslan novi Zakon o kibernetičkoj sigurnosti (ZKS) čija je svrha transpozicija odredaba NIS2 u zakonodavstvo. Savjetovanje se održavalo do 16.8.2023.g., a prijedlog zakona je do tog dana dobio preko 100 komentara. Bez obzira na rezultat zakonodavne procedure te eventualne prepravke teksta novog ZKS, vjerujemo da će novi ZKS svakako stupiti na snagu unutar roka koji je određen NIS2 direktivom. U ovom članku ću se referirati na određene predložene odredbe ZKS budući da je izvjesno da bi te odredbe trebale ostati nepromijenjene, primarno jer se radi o izravnoj transpoziciji konkretnih odredaba NIS2.
Što NIS2 konkretno znači za poduzetnike?
Prema odredbama NIS2, poduzetnici koji će biti kvalificirani kao obveznici bit će obvezni osigurati mjere kibernetičke sigurnosti svojih sustava, kao i izvještavati nadležna tijela o sigurnosnim incidentima.
Načelno će se svi subjekti obveznici dijeliti na ključne ili na važne subjekte. Obveze će biti komplementarne za obje vrste obveznika, no postojat će razlika u strogoći određenih obveza.
Tako npr. trenutačni prijedlog ZKS predviđa da su ključni i važni subjekti dužni provoditi provjeru suglasnosti sa zahtjevima kibernetičke sigurnosti, s time da će provjeru suglasnosti u ključnim subjektima provoditi treće strane – tijela za procjenu suglasnosti i to svake dvije godine, dok će važni subjekti provoditi samoocjenu suglasnosti svake dvije godine. Osim toga, ključni su subjekti podložni obveznim stručnim nadzorima provedbe zahtjeva kibernetičke sigurnosti od strane nadležnog tijela svakih 3.5 godina, dok se nad važnim subjektima stručni nadzor provodi tek u slučaju sumnje da važni subjekt ne provodi mjere upravljanja kibernetičkim rizicima. Još jedna bitna napomena je da, prema trenutačnom prijedlogu ZKS, troškove provjere suglasnosti, kao i stručnih nadzora snose sami nadzirani subjekti.
Klasifikacija subjekata, odnosno tko će biti obveznik?
Subjekti će se klasificirati kao obveznici prema nekoliko kriterija. Prvi bitan kriterij bit će pripadnost jednom od naznačenih „kritičnih“ sektora.
Kritični sektori prema NIS2 direktivi su:
- energetika
- promet
- bankarstvo
- infrastruktura financijskog tržišta
- zdravstvo
- vodoprivreda (opskrba i odvodnja)
- digitalna infrastruktura
- upravljane IKT usluge
- svemir
- poštanske i kurirske usluge
- gospodarenje otpadom
- izrada, proizvodnja i distribucija kemikalija
- proizvodnja, prerada i distribucija hrane
- određeni podsektori proizvodnje
- istraživanje i obrazovanje.
Unutar svakog pojedinog kritičnog sektora specificirani su točno određeni podsektori i povezane djelatnosti temeljem kojih će biti moguće utvrditi potpada li neki subjekt pod inicijalni kriterij klasifikacije. Osim toga, za razliku od mnogobrojnih EU propisa koji najčešće obuhvaćaju samo privatni sektor te donose nove troškove i obveze, predmetne obveze iz NIS2 će obuhvatiti i značajan dio javnog sektora.
Ovisno o sektoru, podsektoru ili djelatnosti, kao dodatni kriterij uvodi se kriterij veličine subjekta, odnosno, uzimaju se kriteriji za klasifikaciju subjekata malog gospodarstva, te će se temeljem kriterija broja zaposlenika i godišnjih prihoda/imovine za pojedine sektore odrediti kriterij veličine subjekta-obveznika. Dakle, da bi pojedini subjekt (ovisno o sektoru) bio obveznik potrebno je da pripada jednom od sektora/podsektora koji su određeni kao kritični, ali i da ima više od određenog broja zaposlenika i/ili određeni iznos godišnjih prihoda. S druge strane, za određene sektore/podsektore kao što su pružatelji DNS usluga ili pružatelji telekom usluga javnih telekomunikacijskih mreža kriterij veličine se vjerojatno neće primjenjivati, već će se svi subjekti koji pružaju navedene usluge smatrati obveznicima.
Važno je napomenuti poseban kriterij koji se može primijeniti i na subjekte koji se ne bi smatrali obveznicima prema prva dva kriterija, a to je subjektivan kriterij nadležnog tijela koje može klasificirati pojedini subjekt kao ključan ako se radi:
- o subjektu koji je jedini pružatelj usluge za održavanje ključnih društvenih ili gospodarskih djelatnosti,
- ako bi poremećaj u funkcioniranju usluge koju pruža subjekt mogao imati znatan utjecaj na javnu sigurnost, javnu zaštitu ili javno zdravlje,
- ako bi poremećaj u pružanju usluge mogao uzrokovati znatne sistemske rizike u „kritičnim“ sektorima ili
- ako bi subjekt bio značajan zbog svoje posebne važnosti na nacionalnoj, regionalnoj ili lokalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u RH.
Dobra vijest za poduzetnike je da se ne očekuje od poduzetnika da se „samoklasificiraju“, nego će klasifikaciju u razdoblju od godine dana (prema sadašnjem prijedlogu ZKS) provoditi nadležno tijelo, te će na temelju provedene klasifikacije obavijestiti sve klasificirane subjekte o njihovoj klasifikaciji.
Okvirna je procjena da će se broj obveznika ZKS u RH kretati negdje oko 1000, no preostalo je još previše pitanja oko kriterija veličine u prijedlogu ZKS, kao i nepoznanica vezana uz „posebno određene“ kritične subjekte da bismo mogli točnije procijeniti broj obveznika.
Što se očekuje od obveznika?
Obveze prema NIS2 se mogu ugrubo podijeliti u dvije grupe obveza: obveze koje su po svojoj prirodi proaktivne (mjere upravljanja kibernetičkim sigurnosnim rizicima) i obveze koje su po svojoj prirodi reaktivne (obveze prijave i postupanja po nastanku sigurnosnog incidenta).
- Mjere upravljanja kibernetičkim sigurnosnim rizicima
Radi se o tehničkim, operativnim i organizacijske mjerama koje bi organizacije morale implementirati kako bi što uspješnije upravljale rizicima kojima su izloženi mrežni i informacijski sustavi kojima se služe u svom poslovanju ili u pružanju svojih usluga. Osim toga, organizacije su dužne implementirati i mjere čija je svrha sprečavanje i/ili smanjivanje na najmanju moguću mjeru utjecaja sigurnosnih incidenata na vlastite mrežne i informacijske sustave, ali i njihov utjecaj na korisnike njihovih usluga ili „prelijevanje“ posljedica sigurnosnog incidenta na druge sektore, subjekte i usluge u digitalnom prostoru.
Primjera radi, prijedlog ZKS navodi neke mjere poput prethodne analize rizika i sigurnosti informacijskih sustava obveznika, mjere o postupanju u slučaju sigurnosnih incidenata, mjere osiguranja kontinuiteta poslovanja, sigurnost lanaca opskrbe (sigurnost dobavljača i pružatelja usluga obvezniku), mjere sigurnosti u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, praćenje djelotvornosti mjera, osposobljavanje zaposlenika za korištenje dobrih praksi kibernetičke sigurnosti, korištenje kriptografije, implementacije kontrole pristupa sustavima i imovini, korištenje najboljih praksi kod kontrole pristupa i autentičnosti (MFA i 2FA) itd.
Ukratko, radi se implementaciji rješenja i procedura čija je svrha da se u najvećoj mogućoj mjeri spriječe potencijalni sigurnosni incidenti, a u slučaju da do njih i dođe, da njihov utjecaj bude minimalan. Bitno je naglasiti da će osnova za određivanje koje bi sve od navedenih mjera bile potrebne biti analiza rizika za mrežne i informacijske sustave svakog pojedinog obveznika. Obveznici koji se npr. u manjoj mjeri koriste mrežnim i informacijskim sustavima u svom poslovanju logično će imati manju potrebu za kompleksnim i opširnim mjerama za upravljanje kibernetičkim sigurnosnim rizicima.
- Obveze prijave i postupanja po nastanku sigurnosnog incidenta
Subjekti obveznici bit će obvezani prijaviti sve „značajne“ sigurnosne incidente nadležnom CSIRT tijelu. CSIRT (Computer Security Incident Response Team) tijela su tijela nadležna za prevenciju i zaštitu od sigurnosnih incidenata. CSIRT tijela će biti određena za svaki pojedini sektor, sukladno budućem provedbenom propisu.
U određenim će slučajevima obveznici biti obvezni obavijestiti vlastite korisnike, ali i širu javnost, o sigurnosnom incidentu.
Detalje o obvezi prijave ne možemo procijeniti iz trenutačnog prijedloga ZKS budući da je predviđeno da se navedeno uredi posebnom uredbom Vlade.
Certificiranje i zaštita lanaca opskrbe
Osim konkretnih obveza subjekata koji će biti klasificirani prema NIS2 implementacijskoj regulativi, ističemo još nekoliko vrlo bitnih odredaba koje će biti važne na puno širi krug subjekata od onih koji su izravni obveznici prema NIS2.
Naime, EU je već 2019. godine donošenjem UREDBE (EU) 2019/881EUROPSKOG PARLAMENTA I VIJEĆA od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije (tzv. Akt o kibernetičkoj sigurnosti) sigurnosti ustanovila posebnu agenciju (ENISA) čija je nadležnost nadzor stanja kibernetičke sigurnosti na razini EU i djelovanje na međusobnom povezivanju nadležnih tijela iz članica EU, organiziranje okvira za njihovu suradnju i donošenje smjernica, preporuka i standarda radi postizanja usklađenosti na razini EU.
Ujedno, navedenim je Aktom ustanovljena i shema certifikacije IKT usluga, sustava i proizvoda na razini EU s aspekta kibernetičke sigurnosti. Navedena bi certifikacija omogućila određenim IKT uslugama, sustavima i proizvodima da na jednostavniji način mogu dokazati određenu razinu sigurnosti. Shema je trenutačno u postupku implementacije standarda i provedbenih dokumenata za polje kibernetičke sigurnosti, 5G infrastrukture i pružanja usluga u oblaku.
NIS2-om je predviđeno da bi se za određene ključne i važne subjekte, ovisno o sektoru, mogla propisati obveza korištenja certificiranih IKT proizvoda, usluga i procedura. Štoviše, takva bi se obveza protegnula i na cjelokupni lanac opskrbe takvih subjekta, odnosno, svih relevantnih dobavljača takvog subjekta.
Iz takve formulacije nedvojbeno proizlazi da će za određene sektore postojati jasna i zakonski propisana obveza da cjelokupni lanac opskrbe, odnosno svi bitni dobavljači i partneri obveznika (a i dobavljači i partneri tih dobavljača i partnera) u lancu opskrbe zadovoljavaju određene uvjete i standarde propisane NIS2 i implementacijskim propisima, ali i uvjete i standarde buduće IKT certifikacijske sheme na razini EU.
No, osim posebno određenih sektora, predviđamo da će se obveze NIS2 prenijeti i na sve ostale lance opskrbe i drugih kritičnih sektora koji nisu nužno naznačeni kao sektori gdje je to obvezno budući da je logično da će obveznici koji koriste vanjske dobavljače ili pružatelje usluga nužno zahtijevati da vanjski dobavljači pružatelji usluga ispunjavaju istu razinu obveza kao i sam ključni ili važni subjekt, jer bi u suprotnom mogao biti odgovoran za izbor dobavljača ili pružatelja usluge koji nije osigurao dovoljnu razinu zaštite od kibernetičkih napada. Osim toga, sam prijedlog ZKS kao jednu od mjera upravljanja kibernetičkim rizicima navodi mjere „sigurnosti lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između subjekta i njegovih izravnih dobavljača ili pružatelja usluga“ iz čega proizlazi da će se očekivati od svih NIS2/ZKS obveznika da zahtijevaju od svojih dobavljača i pružatelja usluga da dokažu adekvatnu razinu mjera upravljanja kibernetičkim rizicima.
Zaključno
Nažalost, detaljnu analizu obveza i novosti koje nas očekuju implementacijom NIS2 nije moguće opisati u jednom članku, te bi za cjelokupnu analizu svih obveza za ključne i važne subjekte bilo potrebno značajno više prostora. Osim toga, značajan dio obveza bit će tek propisan budućim Zakonom o kibernetičkoj sigurnosti i provedbenim propisima (predviđena je Uredba Vlade). No, s druge strane, ono što već možemo predvidjeti je značajan fokus na pitanja kibernetičke sigurnosti u sljedećih nekoliko godina, kao i značajno proširenje izravno reguliranih subjekata, ali i prelijevanja regulative i na neizravne obveznike koji su dio lanca opskrbe izravno reguliranih subjekata. Slijedom navedenog, naša je preporuka što ranije krenuti s preliminarnom analizom hoće li Vaša kompanija biti izravno (ili neizravno) obveznik buduće regulative, te da s tim na umu pažljivo razmatrate uvođenje IKT poslovnih procesa, usluga i proizvoda u svoje poslovanje jer bi uvođenje takvih elemenata, bez prethodne analize s aspekta kibernetičke sigurnosti, moglo u konačnici rezultirati značajnim poslovnim troškovima i rizicima nakon stupanja na snagu NIS2 implementacijske regulative. U svakom slučaju, razdoblje pred nama bit će izazovno i zanimljivo i trebat će mu na pravi način odgovoriti, brinući o svim potrebnim aspektima kibernetičke sigurnosti.
Objavljeno 25. rujna 2023. Sva prava pridržana PoslovniFM.