EU direktiva · upravljanje kibernetičkim rizikom

NIS2

NIS2 (Direktiva 2022/2555) podiže razinu kibernetičke sigurnosti za organizacije u 18 sektora. U Hrvatskoj se primjenjuje kroz Zakon o kibernetičkoj sigurnosti, koji određuje obveznike, obveze i nadležna tijela.
Na koga se odnosi
Srednji i veliki subjekti u 18 sektora (energetika, promet, bankarstvo, zdravstvo, digitalna infrastruktura, javna uprava i drugi)
Manji subjekti obuhvaćeni kao ključni dobavljači ili kroz izričito propisane iznimke
Provedba je uređena nacionalnim zakonom, uz izravnu odgovornost uprave
Što zahtijeva
Obveze, jasno objašnjene.
01
Mjere upravljanja rizicima
Tehničke i organizacijske mjere razmjerne riziku, od osnovnih kontrola do sigurnosti lanca dobave.
02
Prijava incidenata
Rana dojava u roku od 24 sata i potpunija prijava u roku od 72 sata od značajnog incidenta.
03
Sigurnost lanca dobave
Sigurnosni zahtjevi koji se ugovorima prenose na dobavljače i pružatelje usluga.
04
Upravljanje i odgovornost
Uprava odobrava i nadzire mjere upravljanja rizicima te za propuste može osobno odgovarati.
Kako Raptoric pomaže
Radimo inženjerski posao, ne samo dokumentaciju.
Analiza nedostataka
Utvrđujemo trenutno stanje u odnosu na zahtjeve NIS2 i Zakona o kibernetičkoj sigurnosti.
Uspostava programa
Uvodimo upravljanje rizicima, politike i kontrole koje propis zahtijeva.
Spremnost na incidente
Uspostavljamo detekciju i odgovor koji omogućuju prijavu incidenata u propisanim rokovima.
Pregled lanca dobave
Procjenjujemo izloženost prema trećim stranama, koju regulatori sve detaljnije nadziru.
Pripremamo organizaciju i isporučujemo dokaze. Nadzor i provedba u nadležnosti su nacionalnog tijela.
Česta pitanja
Pitanja i odgovori
Odnosi li se NIS2 na moju tvrtku?
Ako ste srednji ili veliki subjekt u jednom od 18 obuhvaćenih sektora, vrlo vjerojatno da. Manje tvrtke mogu biti obuhvaćene kao ključni dobavljači ili kroz propisane iznimke. Mjerodavan je hrvatski Zakon o kibernetičkoj sigurnosti, a status obveznika možemo utvrditi formalnom procjenom.
Koji su rokovi za prijavu incidenta?
Rana dojava u roku od 24 sata i potpunija prijava u roku od 72 sata od saznanja za značajan incident. Uspostavljamo detekciju i postupke prijave koji te rokove čine ostvarivima.
Može li uprava odgovarati prema NIS2?
Da. Upravljačka tijela odobravaju i nadziru mjere upravljanja rizicima te mogu osobno odgovarati za propuste. Upravljanje sigurnošću zato mora biti uređeno na razini uprave.
Kako izgleda priprema?
Provodimo analizu nedostataka prema NIS2 i nacionalnom propisu, uspostavljamo kontrole i pripremamo dokaze za nadzor. Nadležnost za nadzor ostaje na nacionalnom tijelu.
Trebamo li NIS2 konzultanta?
Većini obveznika pomaže iskusan partner, ali kod nas NIS2 ne vodi junior konzultant nego senior inženjer koji i testira sustave. Radimo analizu nedostataka, usklađivanje sa Zakonom o kibernetičkoj sigurnosti i pripremu za nadzor, pa usklađenost proizlazi iz stvarne sigurnosti, a ne iz papira.
Nudite li NIS2 edukaciju za upravu i zaposlenike?
Da. Zakon o kibernetičkoj sigurnosti traži da uprava prođe osposobljavanje o upravljanju kibernetičkim rizikom. Provodimo edukaciju uprave i zaposlenika prilagođenu vašim obvezama i sektoru.
Koliko stoji NIS2 usklađivanje?
Ovisi o veličini, sektoru i polaznom stanju. Krećemo od analize nedostataka koja pokaže opseg posla, a zatim dajemo jasan plan i cijenu usklađivanja, bez napuhanog projekta.
Trebate biti spremni za NIS2?
Naš tim s vama će definirati opseg posla u 30-minutnom razgovoru.
Dogovorite razgovor ili pišite na contact@raptoric.com