3.7.2024.

NIS 2 direktiva: Pokušaj uvođenja reda u digitalni svijet

Danijel Antonić, pomoćnik pročelnika za informatiku i informacijsku sigurnost, Grad Rijeka

Ubrzani razvoj digitalne tehnologije, uključujući napredna rješenja u procesima automatizacije, poput umjetne inteligencije, strojnog učenja i automatizacije proizvodnih procesa, nedvojbeno predstavljaju brojne prednosti, ali istodobno nose i rizike za kibernetičku sigurnost. Europska komisija, svjesna neodgovarajućeg zakonskog okvira za kibernetičku sigurnost u EU i galopirajućeg razvoja digitalne tehnologije, donijela je novu direktivu, poznatu kao NIS 2, s ciljem jačanja otpornosti na kibernetičke napade. Ova direktiva zamjenjuje prethodnu NIS direktivu iz 2016. godine, proširujući obuhvat na nove gospodarske i javne sektore te uvodeći strože sigurnosne zahtjeve i kazne za nepoštivanje.

NIS 2 direktiva postavlja novi zakonodavni okvir EU za kibernetičku sigurnost, s ciljem povećanja sigurnosti unutar EU-a, proširenjem opsega subjekata koji podliježu sigurnosnim mjerama, poboljšanjem suradnje među državama članicama te unapređenjem nadzora i izvještavanja o kibernetičkim incidentima. Direktiva obuhvaća sektore poput zdravstva, energetike, transporta, bankarstva, financijskog tržišta i digitalne infrastrukture.

Hrvatska je, u skladu s NIS 2 direktivom, donijela Zakon o kibernetičkoj sigurnosti (ZKS). Ovaj zakon donosi obvezu primjene sigurnosnih mjera za operatore ključnih usluga i pružatelje digitalnih usluga, uspostavlja nacionalno tijelo za kibernetičku sigurnost te uvodi strože kazne za nepoštivanje propisanih mjera i neizvještavanje o incidentima.

Kazne za nepoštivanje Zakona

Kazne su definirane u člancima 101. i 102. Zakona o kibernetičkoj sigurnosti. Kazne za prekršaje koje počine ključni subjekti iznose od 10.000 do 10.000.000 eura ili od 0,5 posto do 2 posto ukupnog godišnjeg prometa subjekta na svjetskoj razini, ovisno o tome koji je iznos veći. Za važne subjekte, kazne iznose od 5.000 do 7.000.000 eura ili od 0,2 posto do 1,4 posto ukupnog godišnjeg prometa subjekta na svjetskoj razini, ovisno o tome koji je iznos veći. Također su predviđene kazne za odgovorne osobe. Osim ovih kazni, zakon predviđa i dodatne prekršaje i korektivne mjere koje nadležna tijela mogu izreći ključnim i važnim subjektima za nepoštivanje propisanih mjera upravljanja kibernetičkim sigurnosnim rizicima, neobavještavanje o značajnim incidentima te druge povrede.

Provedba i kategorizacija

Za provedbu NIS 2 direktive u Hrvatskoj bit će odgovorna Sigurnosno-obavještajna agencija (SOA), u suradnji s drugim relevantnim tijelima. Ključni datum je 19. listopada 2024. godine kada direktiva stupa na snagu. Do tada se očekuje donošenje provedbenih akata na nacionalnoj razini, uspostava sustava izvještavanja o incidentima te obuka svih uključenih subjekata. Provedbene propise ZKS Vlada će donijeti u roku od devet mjeseci od donošenja Zakona. Nadzorno tijelo ima rok od godinu dana za provedbu kategorizacije subjekata sukladno ZKS, što bi bilo do 15. veljače 2025. Prilikom obavještavanja organizacije o promjeni kategorizacije, nadzorno tijelo daje rok za usklađenje koji ne može biti kraći od 60 dana, niti duži od šest mjeseci.

Izazovi za Hrvatsku

Realno je za očekivati da će veliki broj subjekata biti naknadno kategoriziran, zbog ograničenih kapaciteta nadzornog tijela. U kategorizaciji gradova, važnim subjektima bit će kategorizirani svi gradovi koji su po Zakonu o lokalnoj i regionalnoj samoupravi klasificirani kao veliki gradovi s više od 35.000 stanovnika. Izuzimajući četiri najveća grada u Hrvatskoj i poneki manji grad koji je podigao razinu sigurnosti, usklađivanje s NIS 2 direktivom predstavljat će veliki financijski, procesni, tehnološki i kadrovski izazov za sve gradove. NIS 2 direktiva neće obuhvatiti 108 od ukupno 127 gradova i 428 općina u Hrvatskoj, iako sve te jedinice lokalne uprave obrađuju osobne podatke građana i podliježu istim rizicima kao i veliki gradovi. Iz navedenog možemo zaključiti da željena razina kibernetičke otpornosti neće biti sveobuhvatno postignuta. Odbor regija EU također je poslao preporuke Europskoj komisiji, zaključujući da digitalna otpornost Europe neće biti postignuta ako ne obuhvati sve velike i male regije te gradove.

Povećana prijetnja kibernetičkih napada

Izvješće Europske agencije za kibernetičku sigurnost (ENISA) iz 2023. godine pokazuje da je broj kibernetičkih incidenata značajno porastao. ENISA je dokumentirala oko 2,580 kibernetičkih incidenata između srpnja 2022. i lipnja 2023., uključujući 220 incidenata koji su ciljali dvije ili više država članica Europske unije. Ransomware napadi činili su 34 posto svih prijetnji, dok su DDoS napadi činili 28 posto. Usporedba podataka ENISA-e za 2022. i 2023. godinu pokazuje značajno povećanje kibernetičkih prijetnji, s povećanjem broja napada i raznolikosti napadačkih vektora, uključujući napade na lance opskrbe, napade putem umjetne inteligencije i povećanu upotrebu društvenog inženjeringa.

Glavni napadači su organizirane kriminalne skupine i državne organizacije, što naglašava potrebu za koordiniranom obranom svih zemalja članica. Organizirane kriminalne organizacije koje se bave kibernetičkim kriminalom često imaju veća financijska i resursna sredstva od gospodarskih tvrtki i javnih institucija koje se brane. Poseban izazov predstavljaju napadi provedeni od strane službi pojedinih zemalja, zbog političkih, ekonomskih, vojnih i ideoloških interesa te za prikupljanje obavještajnih podataka.

Primjeri kibernetičkih napada

Jedan od najpoznatijih napada dogodio se 14. svibnja 2021. na zdravstveni sustav Irske, izveden ransomwareom Conti. Taj napad uzrokovao je blokadu većine sustava i prebacivanje bolnica na ručne metode rada, a potpuni oporavak trajao je četiri do šest tjedana. Financijske posljedice višestruko su premašile iznos od 20 milijuna dolara tražen za dekripciju, jer je bilo potrebno sve sustave postaviti iznova uz drastično unaprjeđenje sigurnosnih sustava.

Prema izvještajima ENISE, slični napadi svakodnevno se događaju, a veliki broj uspješno realiziranih napada nikada ne dopre do javnosti, zbog nedostatka obveze javne objave takvih incidenata u svim zemljama EU-a. Hrvatska nije izuzeta od računalnih napada koji se događaju svakodnevno, a javnost je upoznata samo s onim napadima koji su velikim tvrtkama, kao što su INA i Hrvatske vode, prouzročili značajnu štetu.

Zaključak

NIS 2 direktiva koja, kako je navedeno, na snagu stupa 19. listopada ove godine, neće riješiti sve probleme kibernetičke sigurnosti u EU, a to je datum kada EU komisija zahtijeva implementaciju svih propisanih smjernica. Međutim, pokrenut će uvođenje reda u korištenju digitalne tehnologije i implementaciju sigurnosnih standarda i tehnoloških rješenja, sukladno najboljim praksama. Klasificirani subjekti trebat će sistematično pristupiti upravljanju rizicima te implementirati procese i politike za suzbijanje tih rizika. Sigurnosna rješenja, poput multifaktorske autentikacije, enkripcije, logiranja pristupa resursima, XDR-a i Zero trust arhitekture, postat će dijelovi digitalnih ekosustava. Implementacija ovih mjera zahtijevat će značajne promjene procesa, tehnološka rješenja i angažman ljudskih resursa, što će rezultirati značajnim troškovima.

Direktiva ujedno zahtijeva da svi dobavljači pružatelja ključne i važne usluge primjenjuju sve sigurnosne standarde i procedure, kao i pružatelji tih usluga. Navedeno je iznimno važno jer smo sve češće svjedoci napada na lanac opskrbe, prilikom čega se hakiranjem jedne IT tvrtke ili rješenja kompromitira tisuće korisnike navedenog rješenja.

Hrvatski gradovi suočeni su s ozbiljnim i izazovnim zadatkom usklađivanja s NIS 2 direktivom. Da bi olakšali usklađenje, u sklopu udruge gradova osnovan je Internet Sharing and Analysis Center (ISAC) za gradove, s namjerom pružanja podrške gradskim upravama u zaštiti od kibernetičkih prijetnji, dijeljenju najboljih praksi i provođenju edukacija iz područja kibernetičke sigurnosti.

Provedba NIS 2 direktive predstavlja značajan korak prema jačanju kibernetičke sigurnosti u Hrvatskoj. Usvajanje i implementacija novih sigurnosnih standarda zahtijevat će napore svih uključenih subjekata, ali dugoročno će osigurati otpornost protiv kibernetičkih prijetnji i zaštitu ključne infrastrukture. Usklađenje s NIS2 direktivom predstavljat će značajan financijski i procesni izazov, ali opet znatno manji od oporavka nakon uspješnog kibernetičkog napada.