NIS2 čl. 20 čini upravljačka tijela osobno odgovornima za kibernetičku sigurnost. Direktori moraju biti educirani. Naša NIS2 edukacija pokriva opseg, obveze, prijavu incidenata i hrvatsku transpoziciju.
Ključni vs. važni subjekti, sektorska klasifikacija, pragovi veličine, implikacije lanca opskrbe i kako utvrditi primjenjuje li se NIS2 na vašu organizaciju.
Čl. 20 osobna odgovornost, zahtjevi za edukaciju na razini uprave, nadzor upravljanja kibernetičkom sigurnošću, odobravanje mjera upravljanja rizicima i posljedice neusklađenosti za pojedine direktore.
Zahtjevi čl. 21: analiza rizika, postupanje s incidentima, kontinuitet poslovanja, sigurnost lanca opskrbe, mrežna sigurnost, postupanje s ranjivostima, kibernetička higijena, kriptografija, HR sigurnost i upravljanje pristupom.
Trostupanjska prijava: rano upozorenje u 24 sata, obavijest o incidentu u 72 sata i završno izvješće u jednom mjesecu. Što aktivira prijavu, što uključiti i koordinacija s CERT-om.
Upravljanje rizicima trećih strana, dubinska analiza dobavljača, ugovorne sigurnosne klauzule, prevencija napada na lanac opskrbe i praćenje kibernetičke sigurnosti dobavljača.
Kibernetička sigurnost kao tema dnevnog reda uprave, delegiranje vs. odgovornost, odluke o sigurnosnim investicijama, definiranje apetita za rizik i okviri izvještavanja uprave.
Kako Hrvatska provodi NIS2: Zakon o kibernetičkoj sigurnosti, uloga CERT.hr, struktura nacionalnog tijela, zahtjevi za registraciju i sektorske smjernice.
Edukacija je namijenjena članovima uprave, CISO-ima i službenicima za usklađenost u organizacijama koje spadaju u opseg NIS2 direktive.
Članovi uprave i nadzornog odbora koji su osobno odgovorni prema čl. 20 i moraju odobriti mjere upravljanja kibernetičkim rizicima.
Glavni službenici za informacijsku sigurnost i IT voditelji odgovorni za provođenje NIS2 tehničkih i organizacijskih mjera.
Stručnjaci za usklađenost i upravljanje rizicima koji nadziru NIS2 implementaciju, izvještavanje i kontinuirano praćenje usklađenosti.
NIS2 edukacija obrađuje najznačajniju EU regulativu o kibernetičkoj sigurnosti, koja zamjenjuje izvornu NIS direktivu značajno proširenim opsegom i strožim zahtjevima.
Besplatna 30-minutna konzultacija — procijenite NIS2 opseg, planirajte edukaciju uprave, primite ponudu
NIS2 se primjenjuje na srednje i velike organizacije u 18 sektora uključujući energetiku, transport, bankarstvo, zdravstvo, digitalnu infrastrukturu, ICT usluge i javnu upravu. 'Ključni subjekti' imaju najstrože zahtjeve; 'važni subjekti' imaju slične ali nešto lakše obveze. Koristite naš NIS2 alat za brzu procjenu.
Da. Čl. 20(2) izričito zahtijeva da 'članovi upravljačkih tijela ključnih i važnih subjekata moraju pohađati edukaciju.' To nije opcija — to je zakonska obveza s implikacijama osobne odgovornosti.
Ključni subjekti: do 10 mil. EUR ili 2% godišnjeg globalnog prometa (što je više). Važni subjekti: do 7 mil. EUR ili 1,4% globalnog prometa. Dodatno, upravljačka tijela mogu biti osobno odgovorna, a subjektima može biti privremeno suspendirano djelovanje.
NIS2 je usvojen u siječnju 2023. s rokom za transpoziciju u listopadu 2024. Hrvatska provodi kroz Zakon o kibernetičkoj sigurnosti. Organizacije bi već trebale raditi na usklađenosti jer je provedba neposredna.
NIS2 dramatično proširuje opseg (s ~300 na ~10.000+ subjekata samo u Hrvatskoj), uvodi osobnu odgovornost za upravu, harmonizira prijavu incidenata (24h/72h), obvezuje sigurnost lanca opskrbe i povećava kazne. Također ukida razliku između operatora ključnih usluga i pružatelja digitalnih usluga.
Započnite procjenom nedostataka prema zahtjevima čl. 21. Osigurajte edukaciju upravljačkog tijela (čl. 20). Implementirajte procedure prijave incidenata. Pregledajte sigurnost lanca opskrbe. Registrirajte se kod nadležnog tijela. Razmotrite ISO 27001 certifikaciju kao temelj. Naša edukacija pokriva sve ove korake pripreme.
Čl. 20 osobna odgovornost znači da direktori ne mogu delegirati odgovornost za kibernetičku sigurnost. Naša NIS2 edukacija osigurava da vaša uprava razumije svoje obveze, vaš tim poznaje procedure prijave i vaša organizacija je pripremljena.