Michal Baudys, Voditelj strategije javnog sektora za tržišta EU u Forscopeu za CroPC.net komentira direktivu NIS2 koju je odobrila Europska unija u prosincu 2022. godine, a pojedine zemlje EU-a bile su obvezne implementirati je do 18. listopada 2024. godine. U praksi, međutim, ona još nije implementirana u pravne poretke mnogih država članica EU-a
NIS2 - tko je pogođen?
Cilj direktive je poboljšati sigurnost mreža i informatičkih sustava unutar EU. Novo zakonodavstvo obuhvatit će desetke tisuća tvrtki diljem Europske unije, donoseći značajne promjene u načinu upravljanja kibernetičkom sigurnošću u javnom i privatnom sektoru, pokrivajući - za razliku od svoje prethodnice, NIS Direktive – između ostalog i javnu upravu, prehrambeni sektor, industriju i gospodarenje otpadom.
Direktiva definira dvije vrste entiteta:
- Osnovni subjekti s najširim rasponom odgovornosti.
- Važni subjekti koji moraju ispunjavati manje stroge zahtjeve, ali su i dalje regulirani.
Pojednostavljeno, u ove subjekte pripadaju srednje veliki (i veći) poduzetnici koji zapošljavaju najmanje 50 ljudi ili čiji godišnji promet prelazi 10 milijuna eura. Također, uključeni su i drugi subjekti definirani NIS2 direktivom, npr. subjekti javne uprave, subjekti identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557, pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga, kvalificirani pružatelji usluga povjerenja i registri naziva domena najviše razine kao i pružatelji DNS usluga, bez obzira na njihovu veličinu. Drugi subjekti također mogu biti uključeni na temelju nacionalnog zakonodavstva.
Međutim, Direktiva uključuje nekoliko iznimaka. Do 17. travnja 2025. sve države članice moraju izraditi popise gore navedenih subjekata koji će biti obuhvaćeni novim propisima.
NIS2 u odnosu na rabljeni softver
Prilikom odabira rabljenog softvera, koji često omogućuje optimizaciju troškova do 70 posto cijene, u usporedbi s kupnjom softvera izravno od proizvođača, treba imati na umu nekoliko pitanja kibernetičke sigurnosti.
Ovi savjeti dobro će doći ne samo u kontekstu primjene odredbi NIS2 direktive, već i za sigurno upravljanje IT infrastrukturom u organizaciji općenito.
Najvažnije, trebali biste nastojati koristiti softver čiji životni ciklus proizvoda nije završio. To znači da za takav proizvod proizvođač i dalje osigurava najnovija ažuriranja koja, između ostalog, utječu na poboljšanu kibernetičku sigurnost.
Ovaj ciklus ponekad traje i do desetak godina, ali uvijek se isplati pitati softverskog posrednika za detalje i stručnu pomoć. Bilo bi još preporučljivije da odabrani broker ponudi proširenu lepezu podrške, uključujući tehničke usluge, usluge licenciranja, usklađivanja i pravne usluge - pristup koji se odražava u ponudama vjerodostojnih tvrtki, kao što je Forscope.
Ovdje je vrijedno spomenuti da se životni ciklus softvera obično sastoji od četiri faze:
- Prva je potpuna podrška, gdje softver prima sva ažuriranja - koja pokrivaju sigurnosna pitanja i druga područja - i dopušta zahtjeve za promjenama proizvoda ili njegovih funkcija od proizvođača.
- Druga je proširena podrška. Razlikuje se od prvog prije svega jer više nije moguće zahtijevati promjene proizvoda ili funkcionalnosti jer više nisu dostupna ažuriranja koja nisu povezana s kibernetičkom sigurnošću. Ostali elementi, poput ažuriranja kibernetičke sigurnosti i pristupa podršci, ostaju isti.
- Treća je faza nakon podrške. Tijekom nje je još neko vrijeme moguće koristiti ažuriranja iz područja kibernetičke sigurnosti, ali samo uz dodatnu naknadu. Ujedno, ovo je zadnji trenutak da potražite noviji softver.
- U četvrtoj fazi softver više nije podržan.
Alternativa trećoj i četvrtoj fazi mogla bi uključivati korištenje namjenskih rješenja za poboljšanje kibernetičke sigurnosti softvera koji proizvođač više ne podržava. Ova rješenja također mogu preporučiti i ponuditi posrednici softvera.
Oni koji upravljaju IT infrastrukturom organizacije trebali bi stoga imati na umu da redovito instaliraju zakrpe i ažuriranja koja mogu pomoći u sprječavanju izlaganja sustava napadima.
Osim toga, uvijek se pobrinite da koristite provjereni softver koji nudi pouzdani broker. To je bitno jer na tržištu postoje lažni subjekti koji nude, na primjer, samo ključeve proizvoda bez odgovarajuće dokumentacije. Ilegalna kupnja takvog softvera povećava rizik od sudskih sporova, odštetne odgovornosti zbog povrijeđenih prava intelektualnog vlasništva te, u slučaju instalacije iz nepoznatih instalacijskih datoteka, rizik od instaliranja zlonamjernog softvera. Stoga je ključno odabrati pouzdanog dobavljača.
Dobro je zapamtiti da kibernetička sigurnost nije samo IT, već i fizička sigurnost i obrazovanje. Sredstva koja se mogu uštedjeti isplativom kupnjom licenci mogu se iskoristiti za jačanje fizičke sigurnosti, edukaciju korisnika ili druga ulaganja u IT sigurnost.
