NIS2 usklađenost za hrvatske tvrtke

Što je NIS2 direktiva?

NIS2 (Network and Information Security Directive 2) je europska direktiva koja zamjenjuje izvornu NIS direktivu iz 2016. godine. Stupila je na snagu u siječnju 2023., a države članice EU — uključujući Hrvatsku — dužne su je transponirati u nacionalno zakonodavstvo do listopada 2024. Direktiva značajno proširuje krug obveznika i pooštrava sigurnosne zahtjeve.

Za razliku od prethodne NIS direktive koja je obuhvaćala samo operatere ključnih usluga (OES) i davatelje digitalnih usluga, NIS2 uvodi podjelu na bitne i važne subjekte i obuhvaća mnogo više sektora — od energetike i transporta do proizvodnje hrane, upravljanja otpadom i digitalne infrastrukture.

Koje hrvatske tvrtke su obuhvaćene NIS2 direktivom?

NIS2 obuhvaća organizacije u 18 sektora. U Hrvatskoj to konkretno znači:

• Energetika — HEP, distributeri energije, proizvođači iz obnovljivih izvora
• Transport — Hrvatske željeznice, luke, zračne luke, logističke tvrtke
• Zdravstvo — bolnice, klinike, laboratoriji, proizvođači medicinskih proizvoda
• Financije — banke, osiguravajuća društva, burzovni posrednici
• Digitalna infrastruktura — ISP-ovi, data centri, cloud provideri, DNS operateri
• Javna uprava — državna i lokalna tijela, agencije
• Proizvodnja — proizvođači kemikalija, hrane, elektronike, strojeva
• Upravljanje otpadom — komunalna poduzeća, reciklažni centri

Opće pravilo: tvrtke sa 50+ zaposlenika ili 10+ milijuna EUR prometa u obuhvaćenim sektorima automatski podliježu NIS2 obvezama. Ali pažnja — i manje tvrtke mogu biti obuhvaćene ako su kritične za opskrbni lanac ili pružaju usluge bitnim subjektima.

Ključni NIS2 zahtjevi koje Aegis pokriva

1. Kontinuirani sigurnosni nadzor (Članak 21)

NIS2 zahtijeva od organizacija da implementiraju sustave za otkrivanje i praćenje sigurnosnih događaja. Aegis SIEM to pokriva centralnim prikupljanjem logova iz svih izvora, korelacijom događaja u realnom vremenu i automatskim upozoravanjem na sumnjive aktivnosti. Sustav koristi 15 paralelnih radnih procesa za obradu logova s prosječnim vremenom detekcije ispod 60 sekundi.

2. Upravljanje incidentima (Članak 23)

NIS2 propisuje obvezu prijave značajnih incidenata nadležnom tijelu (u Hrvatskoj će to biti CERT ili SOA) unutar 24 sata od detekcije. Aegis sustav za upravljanje slučajevima automatski dokumentira svaki korak istrage — od početnog upozorenja do zaključka — i generira izvještaje koji zadovoljavaju NIS2 format prijave incidenta. Svaki slučaj ima potpuni revizijski trag koji pokazuje tko je što napravio i kada.

3. NIS2 skup pravila sa 7 detekcijskih pravila

Aegis dolazi s gotovim skupom NIS2 pravila koji sadrži 7 specifičnih detekcijskih pravila dizajniranih za zadovoljavanje zahtjeva direktive:

• Detekcija neovlaštenog pristupa kritičnim sustavima
• Praćenje promjena na administratorskim računima
• Nadzor neobičnih obrazaca prijave (brute force, credential stuffing)
• Detekcija lateralnog kretanja unutar mreže
• Praćenje izvlačenja podataka (data exfiltration)
• Nadzor integriteta kritičnih datoteka (FIM)
• Detekcija komunikacije s poznatim zlonamjernim destinacijama

4. Audit trail s 100+ praćenih događaja

Svaka radnja na Aegis platformi bilježi se u nepromjenjivi audit trail. To uključuje više od 100 različitih vrsta događaja: prijave korisnika, promjene konfiguracije, aktiviranje/deaktiviranje pravila, promjene na nodovima, generiranje izvještaja i još mnogo toga. Ovaj audit trail kritična je komponenta za NIS2 revizije jer pruža nepobitan dokaz o aktivnostima na sustavu.

5. File Integrity Monitoring (FIM)

NIS2 zahtijeva praćenje integriteta kritičnih datoteka i konfiguracija. Aegis FIM modul automatski detektira promjene na kritičnim sistemskim datotekama, konfiguracijskim fajlovima i izvršnim programima. Svaka promjena generira alert s potpunim kontekstom: koja datoteka, što se promijenilo, tko je napravio promjenu i kada.

6. Vulnerability Management

Redovita procjena ranjivosti jedan je od eksplicitnih NIS2 zahtjeva. Aegis automatski identificira poznate ranjivosti (CVE) na vašim sustavima i pruža CIS benchmark provjere za konfiguracijsku usklađenost. Rezultati su dostupni u izvještajima koji se mogu izravno korištiti kao dokumentacija za NIS2 revizije.

Kako Aegis pokriva NIS2 zahtjeve — pregled

NIS2 vremenski okvir za Hrvatsku

Kazne za neusklađenost

NIS2 uvodi značajne kazne za organizacije koje ne ispune obveze. Za bitne subjekte kazne mogu doseći do 10 milijuna EUR ili 2% ukupnog godišnjeg prometa (ovisno što je veće). Za važne subjekte gornja granica je 7 milijuna EUR ili 1,4% prometa. Osim financijskih kazni, uprava tvrtke može biti osobno odgovorna za propuste u kibernetičkoj sigurnosti.

Zašto Aegis za NIS2 usklađenost?

Aegis platforma posebno je pogodna za NIS2 usklađenost hrvatskih tvrtki iz nekoliko razloga:

• Brza implementacija — postavljanje traje 1-3 dana, ne mjesecima
• EU hosting — svi podaci ostaju u EU, u skladu s GDPR-om
• Fiksna cijena — predvidiv trošak od 490 EUR/mj, bez iznenađenja
• Lokalna podrška — na hrvatskom jeziku, u vašoj vremenskoj zoni
• Sve u jednom — SIEM + WAF + UEBA + Case Management + NMS u jednoj platformi
• Gotovi skupovi pravila — NIS2 pravila dostupna i aktivna od prvog dana

Povezane stranice