NIS2 usklađenost za tvrtke | Aegis SOC platforma

Što je NIS2 direktiva?

NIS2 (Network and Information Security Directive 2) je europska direktiva koja zamjenjuje izvornu NIS direktivu iz 2016. godine. Stupila je na snagu u siječnju 2023., a države članice EU -- uključujući Hrvatsku -- dužne su je transponirati u nacionalno zakonodavstvo do listopada 2024. Direktiva značajno proširuje krug obveznika i pooštrava sigurnosne zahtjeve.

Za razliku od prethodne NIS direktive koja je obuhvaćala samo operatere ključnih usluga (OES) i davatelje digitalnih usluga, NIS2 uvodi podjelu na bitne i važne subjekte i obuhvaća mnogo više sektora -- od energetike i transporta do proizvodnje hrane, upravljanja otpadom i digitalne infrastrukture.

Koje hrvatske tvrtke su obuhvaćene NIS2 direktivom?

NIS2 obuhvaća organizacije u 18 sektora. U Hrvatskoj to konkretno znači:

Energetika -- HEP, distributeri energije, proizvođači iz obnovljivih izvora
Transport -- Hrvatske željeznice, luke, zračne luke, logističke tvrtke
Zdravstvo -- bolnice, klinike, laboratoriji, proizvođači medicinskih proizvoda
Financije -- banke, osiguravajuća društva, burzovni posrednici
Digitalna infrastruktura -- ISP-ovi, data centri, cloud provideri, DNS operateri
Javna uprava -- državna i lokalna tijela, agencije
Proizvodnja -- proizvođači kemikalija, hrane, elektronike, strojeva
Upravljanje otpadom -- komunalna poduzeća, reciklažni centri

Opće pravilo: tvrtke sa 50+ zaposlenika ili 10+ milijuna EUR prometa u obuhvaćenim sektorima automatski podliježu NIS2 obvezama. Ali pažnja -- i manje tvrtke mogu biti obuhvaćene ako su kritične za opskrbni lanac ili pružaju usluge bitnim subjektima.

Ključni NIS2 zahtjevi koje Aegis pokriva

NIS2 pravila u content packu

100+

Audit trail događaja

24h

Rok za prijavu incidenta

1. Kontinuirani sigurnosni nadzor (Clanak 21)

NIS2 zahtijeva od organizacija da implementiraju sustave za otkrivanje i praćenje sigurnosnih događaja. Aegis SIEM to pokriva putem centralnog prikupljanja logova iz svih izvora, korelacije događaja u realnom vremenu i automatskog alertiranja na sumnjive aktivnosti. Sustav koristi 15 paralelnih workera za obradu logova s prosječnim vremenom detekcije ispod 60 sekundi.

2. Upravljanje incidentima (Clanak 23)

NIS2 propisuje obvezu prijave značajnih incidenata nadležnom tijelu (u Hrvatskoj će to biti CERT ili SOA) unutar 24 sata od detekcije. Aegis Case Management sustav automatski dokumentira svaki korak istrage -- od inicijalnog alerta do zaključka -- i generira izvještaje koji zadovoljavaju NIS2 format prijave incidenta. Svaki slučaj ima potpuni audit trail koji pokazuje tko je što napravio i kada.

3. NIS2 Content Pack sa 7 detekcijskih pravila

Aegis dolazi s gotovim NIS2 content packom koji sadrzi 7 specifičnih detekcijskih pravila dizajniranih za zadovoljavanje zahtjeva direktive:

Detekcija neovlaštenog pristupa kritičnim sustavima
Praćenje promjena na administratorskim racunima
Nadzor neobicnih obrazaca prijave (brute force, credential stuffing)
Detekcija lateralnog kretanja unutar mreže
Praćenje izvlacenja podataka (data exfiltration)
Nadzor integriteta kritičnih datoteka (FIM)
Detekcija komunikacije s poznatim malicioznim destinacijama

4. Audit trail s 100+ pracenih događaja

Svaka radnja na Aegis platformi biljezi se u nepromjenjivi audit trail. To uključuje više od 100 različitih vrsta događaja: prijave korisnika, promjene konfiguracije, aktiviranje/deaktiviranje pravila, promjene na nodovima, generiranje izvještaja i jos mnogo toga. Ovaj audit trail kritična je komponenta za NIS2 revizije jer pruža nepobitan dokaz o aktivnostima na sustavu.

5. File Integrity Monitoring (FIM)

NIS2 zahtijeva praćenje integriteta kritičnih datoteka i konfiguracija. Aegis FIM modul automatski detektira promjene na kritičnim sistemskim datotekama, konfiguracijskim fajlovima i izvršnim programima. Svaka promjena generira alert s potpunim kontekstom: koja datoteka, što se promijenilo, tko je napravio promjenu i kada.

6. Vulnerability Management

Redovita procjena ranjivosti jedan je od eksplicitnih NIS2 zahtjeva. Aegis automatski identificira poznate ranjivosti (CVE) na vašim sustavima i pruža CIS benchmark provjere za konfiguracijsku usklađenost. Rezultati su dostupni u izvještajima koji se mogu izravno korištiti kao dokumentacija za NIS2 revizije.

Kako Aegis pokriva NIS2 zahtjeve -- pregled

🔎

Kontinuirani nadzor

SIEM + UEBA za neprekidno praćenje sigurnosnih događaja s MITRE ATT&CK mapiranjem.

🕵

Incident Response

Case Management s automatskim dokumentiranjem i izvještajima za prijavu incidenata.

🔒

Kontrola pristupa

RBAC s 19 tabova i 11 permisija. Svaka prijava i radnja logirana.

📄

Dokumentacija

Audit trail 100+ događaja. Generiranje izvještaja za regulatore.

🛡

Zaštita web aplikacija

WAF modul s 12 OWASP pravila za zastitu javno dostupnih servisa.

📊

Procjena ranjivosti

Automatska identifikacija CVE-ova i CIS benchmark provjere konfiguracije.

NIS2 vremenski okvir za Hrvatsku

Siječanj 2023.

NIS2 direktiva stupila na snagu

Europski parlament i Vijece usvojili su Direktivu (EU) 2022/2555.

Listopad 2024.

Rok za transpoziciju

Drzave članice trebale su transponirati direktivu u nacionalno zakonodavstvo.

2025. — 2026.

Provedba i nadzor

Nacionalna tijela počinju s nadzorom usklađenosti. Kazne za neusklađenost: do 10 milijuna EUR ili 2% godisnjeg prometa.

Sada

Vrijeme za pripremu

Organizacije koje jos nisu implementirale potrebne mjere trebaju odmah početi s pripremom.

Kazne za neusklađenost

NIS2 uvodi značajne kazne za organizacije koje ne ispune obveze. Za bitne subjekte kazne mogu doseci do 10 milijuna EUR ili 2% ukupnog godisnjeg prometa (ovisno sto je vece). Za važne subjekte gornja granica je 7 milijuna EUR ili 1.4% prometa. Osim financijskih kazni, uprava tvrtke može biti osobno odgovorna za propuste u kibernetičkoj sigurnosti.

Zašto Aegis za NIS2 usklađenost?

Aegis platforma posebno je pogodna za NIS2 usklađenost hrvatskih tvrtki iz nekoliko razloga:

Brza implementacija -- postavljanje traje 1-3 dana, ne mjesecima
EU hosting -- svi podaci ostaju u EU, u skladu s GDPR-om
Fiksna cijena -- predvidiv trošak od 490 EUR/mj, bez iznenađenja
Lokalna podrška -- na hrvatskom jeziku, u vašoj vremenskoj zoni
Sve u jednom -- SIEM + WAF + UEBA + Case Management + NMS u jednoj platformi
Gotovi content packovi -- NIS2 pravila aktivna od prvog dana

Pripremite se za NIS2 na vrijeme

Kontaktirajte nas za besplatnu procjenu vaše NIS2 spremnosti i demo pristup Aegis platformi.

Zatrazite NIS2 procjenu

Povezane stranice

🔎 SIEM nadzor 🛡 SOC as a Service 🛡 WAF zaštita 🏢 MSSP platforma

NIS2 usklađenost za hrvatske tvrtke