Kako će izgledati primena Opšte uredbe o zaštiti podataka, da li će administrativne novčane kazne biti zaista tako visoke i kako će se to odraziti na svakog pojedinačnog rukovaoca podacima, samo su neka od pitanja koja su mučila privredni, ali i javni sektor Unije u periodu iščekivanja tog maja 2018. godine, kada je ova uredba počela da se primenjuje. GDPR je nakon počekta primene promenio dosta toga, možda ne toliko koliko se očekivalo u kontekstu obrade podataka o ličnosti i njihove bezbednosti, ali je svakako značajno promenio pristup toj temi i podigao svest o njenoj važnosti na znatno viši nivo.
Danas, šest godina kasnije, jedna nova skraćenica puni novinske stupce širom EU, što se neminovno preliva i na teritoriju Republike Srbije. Reč je o tzv. NIS 2, odnosno Direktivi o merama za postizanje visokog zajedničkog nivoa sajber bezbednosti, čiji je službeni broj EU 2022/2555. Ko je imao sreće da ga ne kače obaveze iz Direktive NIS 1, čiji su fokus bili mahom određeni sektori od pojačanog značaja za javni interes, sada će, hteo ili ne hteo, teško moći da prođe neobavešten o njenoj naslednici NIS 2, jer nas vesti na ovu temu saleću sa svih strana.
Dodatno, iako se NIS 2 prvenstveno odnosi na subjekte unutar EU, slično kao i u slučaju GDPR, direktiva će imati dejstvo i van Unije, u slučajevima kada su kompanije iz drugih zemalja poslovno uvezane sa EU subjektima, odnosno pružaju im usluge ili infrastrukturu. S tim u vezi, i neki subjekti iz Srbije moraće da se podvrgnu pravilima ovog propisa.
Međutim, čak i kompanije u Srbiji koje nemaju mnogo povezanosti sa EU, odnosno nisu direktno na udaru NIS 2, neće moći tek tako da se provuku. U sklopu priprema za pridruživanje EU, a na osnovu sporazuma sa Unijom, Srbija je ušla u postupak pripreme i usvajanja novog Zakona o informacionoj bezbednosti koji će biti usklađen sa Direktivom NIS 2.
Da podsetimo, Direktiva NIS 2 o bezbednosti mrežnih i informacionih sistema usvojena je od strane Evropskog parlamenta i Saveta Evropske unije 14. decembra 2022. godine. NIS 2 je zamenila prethodnu Direktivu NIS 1 iz 2016. godine, kako bi se unapredila otpornost na sajber pretnje i osigurala bolja zaštita kritičnih mrežnih i informacionih sistema širom EU. Direktiva je stupila na snagu u januaru 2023. godine, ali je državama članicama EU ostavljen rok do 17. oktobra 2024. godine da odredbe Direktive prenesu u svoje nacionalne zakonodavne okvire. Nakon tog datuma, NIS 2 će postati obavezujuća u svim državama članicama.
Direktiva NIS 2 doneta je sa ciljem unapređenja sajber bezbednosti na nivou Evropske unije, zamenjujući prethodnu NIS direktivu i uvodeći strože zahteve za zaštitu mrežnih i informacionih sistema. Nova direktiva se odnosi na ključne sektore od vitalnog značaja za društvo i ekonomiju, s posebnim akcentom na povećanje otpornosti na pretnje bezbednosti informacionih sistema, ali i unapređenje saradnje među državama članicama EU po tom pitanju.
Ovim propisom uspostavlja se sveobuhvatan i znatno stroži okvir za sajber bezbednost u EU, s naglaskom na jačanje otpornosti na sajber pretnje i poboljšanje sposobnosti za brzo reagovanje na incidente. NJene odredbe u velikoj meri proširuju obim subjekata koji podležu regulativi, a novčane kazne i druge sankcije trebalo bi da osiguraju visoku usklađenost.
Primarni cilj Direktive jeste, dakle, usklađivanje nivoa sajber bezbednosti među članicama EU i poboljšanje koordinacije u odgovoru na sajber incidente. Ukratko, organizacije koje su obuhvaćene Direktivom sada su obavezne i da redovno procenjuju rizike svojih mrežnih i IT sistema i da preduzimaju odgovarajuće tehničke i organizacione mere za upravljanje pretnjama. Ove mere uključuju analizu rizika, upravljanje ranjivostima, kao i primenu kriptografskih rešenja i enkripcije. Takođe, od organizacija se zahteva uspostavljanje procedura za praćenje incidenata i krizno upravljanje, uključujući detekciju, analizu i klasifikaciju bezbednosnih povreda, kao i obaveštavanje nadležnih organa u skladu sa zadatim rokovima.
Koja kategorija subjekata je obuhvaćena Direktivom NIS 2
U odnosu na NIS 1, NIS 2 proširuje obim subjekata koji podležu njenim odredbama, podelivši ih u dve kategorije: ključni (prioritetni) subjekti i važni subjekti (Essential i Important subjekti).
Kategorija ključnih subjekata obuhvata sektore poput energetike, transporta, finansijskih usluga, zdravstva, vodoprivrede, digitalne infrastrukture kao što je internet provajder. Ovi prioritetni subjekti podležu strožim obavezama i kaznenim merama u poređenju sa važnim subjektima.
Važni subjekti su oni koji pripadaju delatnostima poštanskih usluga i kurirskih službi, proizvodnje, prerade i distribucije hrane, proizvodnje hemikalija, otpada, kao i proizvodnje i distribucije IKT opreme.
Obaveze u vezi sa upravljanjem sajber bezbednošću:
Direktiva nalaže da svi subjekti obuhvaćeni njenim odredbama moraju uspostaviti adekvatne tehničke i organizacione mere za upravljanje rizicima i zaštitu svojih informacionih i komunikacionih sistema. Ove mere, između ostalog, uključuju:
- redovne procene rizika povezanih sa mrežnim i informacionim sistemima;
- upravljanje ranjivostima i preduzimanje odgovarajućih mera zaštite, uključujući i primenu enkripcije;
- usvajanje politika i procedura za obezbeđivanje kontinuiteta poslovanja u slučaju sajber incidenata;
- uspostavljanje sistema za detekciju, analizu i prijavu bezbednosnih incidenata.
Obaveza prijavljivanja incidenata:
Direktiva uvodi stroge rokove za prijavu sajber incidenata nadležnim organima. Subjekti su u obavezi da inicijalnu prijavu izvrše u roku od 24 sata od otkrivanja incidenta, dok detaljan izveštaj mora biti dostavljen u roku od 72 sata. Konačan izveštaj, koji uključuje informacije o ozbiljnosti incidenta, njegovom uticaju i preduzetim merama, mora biti dostavljen u roku od mesec dana. Ovi rokovi osiguravaju brzo reagovanje i minimiziranje štetnih posledica po mrežne i informacione sisteme.
Administrativne novčane kazne:
Prema članu 34. Direktive, predviđene su značajne novčane kazne za subjekte koji se ne pridržavaju odredbe NIS 2. Kazne za ključne subjekte mogu iznositi do 10 miliona evra ili 2% njihovog ukupnog globalnog godišnjeg prihoda, zavisno od toga koji je iznos veći. Važni subjekti mogu biti kažnjeni iznosom do sedam miliona evra ili 1,4% globalnog prihoda, takođe prema većem iznosu. Pored novčanih kazni, mogu se izreći i dodatne sankcije, kao što su privremeno oduzimanje sertifikata ili ovlašćenja za pružanje određenih usluga, kao i zabrana obavljanja funkcija za odgovorna lica unutar organizacije (npr. generalni direktor odnosno zakonski zastupnik).
Nadzor nad primenom Direktive i izvršne mere:
Direktiva NIS 2 predviđa detaljne odredbe o nadzoru i sprovođenju naloženih mera. Nadležni organi država članica imaju ovlašćenja da nadziru usklađenost subjekata sa Direktivom i izriču odgovarajuće sankcije u slučaju kršenja. Države članice zadržavaju pravo da primene strože mere od onih predviđenih Direktivom, ali ne mogu uvoditi blaže standarde.
Međudržavna saradnja i koordinacija:
Direktiva unapređuje saradnju među državama članicama kroz uspostavljanje mehanizama za razmenu informacija o pretnjama i incidentima, kao i zajedničke operativne mehanizme za reagovanje na sajber incidente. To uključuje formiranje mreže nacionalnih jedinica za informacionu bezbednost, koja će olakšati razmenu podataka i koordinaciju na nivou EU.
Dejstvo direktive na subjekte van EU:
NIS 2 se primenjuje i na subjekte sa sedištem van EU koji pružaju usluge ili obavljaju poslovne aktivnosti unutar Unije, posebno one koji posluju u ključnim sektorima. Takvi subjekti su dužni da svoje poslovanje usklade sa Direktivom, uključujući imenovanje predstavnika u EU koji će biti odgovoran za poštovanje propisa i komunikaciju sa nadležnim organima.
