Zahtjevi za usklađenost
Uvođenjem EU direktive 2022/2555, skraćeno nazvane NIS 2, porasli su zahtjevi za usklađenost u poduzećima. NIS 2 odgovara na prijetnje kibernetičkih napada u EU. Direktiva uređuje kibernetičku i informacijsku sigurnost poduzeća i institucija. Kibernetički napadi sada se globalno smatraju jednim od najvećih poslovnih rizika za poduzeća.
NIS 2 zamjenjuje EU direktivu 2016/1148 (NIS 1) i ima za cilj poboljšanje kibernetičke sigurnosti u Europskoj uniji te bolju zaštitu poduzeća. Provedba NIS-2 direktive tako predstavlja i povećane zahtjeve za upravljanje rizicima i usklađenost u mnogim poduzećima. Ako mjere u poduzećima nisu primjereno provedene, to može rezultirati sankcijama, kako navodi gospodarska pravna firma MTR Legal Rechtsanwälte.
EU je usvojila NIS-2 direktivu 2023. godine i do 2025. države članice trebaju je implementirati u nacionalno zakonodavstvo. Koja su poduzeća pogođena direktivom, uvelike ovisi o prirodi njihove djelatnosti. Direktiva se proširila na dodatna poduzeća koja se smatraju bitnima (esencijalna) i važnima (važna). To dovodi do značajnog porasta broja poduzeća i institucija koje prema Saveznom uredu za sigurnost informacijskih tehnologija (BSI) imaju zakonske obveze koje trebaju ispuniti.
Pogođeni kritični sektori
Kritična infrastruktura koja je već obuhvaćena NIS-1 direktivom kao što su energija, promet, zdravstvo, financije, vodoprivreda i digitalna infrastruktura, od NIS-2 direktive dodatno su pogođeni i drugi sektori. Tu spadaju javne elektroničke usluge, dodatne digitalne usluge poput društvenih platformi, zbrinjavanje otpadnih voda i otpada, poštanske i kurirske usluge, javna uprava ili proizvođači kritičnih proizvoda. Prema procjenama, u Njemačkoj će otprilike 29.000 poduzeća iz različitih industrija biti pogođena provedbom NIS-2 direktive. Ponajprije će srednja i velika poduzeća u kritičnim sektorima biti pozvana na poduzimanje odgovarajućih mjera za kibernetičku sigurnost i uspostavljanje učinkovite usklađenosti. Oni će također biti dužni obavještavati nadležne vlasti o sigurnosnim incidentima sa značajnim poremećajima ili štetama.
NIS-2 direktiva također sadrži odredbe za nadzor, provedbu i dobrovoljne kolegijalne preglede, kako bi se ojačalo međusobno povjerenje i kibernetička sigurnost u cijeloj Europskoj uniji. To također znači da je uprava odgovorna ako se ne pridržava mjera za upravljanje rizicima kibernetičke sigurnosti.
Reakcija na napade na kibernetičku sigurnost
S NIS-2 direktivom također se uspostavlja mreža timova za odgovor na incidente računalne sigurnosti, kako bi se razmjenjivale informacije o sigurnosnim prijetnjama i adekvatno reagiralo na incidente. Osim toga, stvorena je europska mreža organizacija za vezu u krizama kibernetičke sigurnosti. Ova mreža podržava redovitu razmjenu informacija između država članica i EU organa, kako bi se moglo odgovoriti na incidente i krize velikih razmjera.
Kako će točno NIS 2 biti implementiran u nacionalno zakonodavstvo Njemačke, još nije jasno. Razlog je što je provedba odgođena zbog prijevremenih izbora za Bundestag. Jasno je, međutim, da će s provedbom kibernetička sigurnost postati tema i za mnoga srednja poduzeća.
Poduzeća moraju implementirati sigurnosne mjere
Oni su pred izazovom postavljenim od strane NIS 2 da implementiraju potrebne sigurnosne mjere za zaštitu podataka i kritične infrastrukture od mogućih kibernetičkih napada. U tu svrhu moraju se poduzeti potrebne tehničke i organizacijske mjere. Ako poduzeće postane žrtva kibernetičkog napada, moraju postojati planovi za brzo obuzdavanje štete i povratak sustava u funkciju. Uz to, nadležne vlasti moraju biti informirane. Poduzeća također moraju redovito provoditi testiranja kako bi se otkrile i uklonile slabosti. Kibernetička sigurnost treba postojati i unutar lanca opskrbe. Prema tome, i ovdje se mora reagirati na rizike.
Implementacija NIS-2 direktive znači izazove za učinkovitost usklađenosti u pogođenim poduzećima, pogotovo jer također članovi upravnih odbora i rukovodna tijela mogu osobno biti odgovorni ako potrebne sigurnosne mjere nisu provedene.
MTR Legal Rechtsanwälte podržava poduzeća u implementaciji učinkovitih sustava usklađenosti i osigurava da se ispunjavaju zakonski zahtjevi. Kao gospodarska pravna firma, MTR Legal savjetuje o usklađenost i ostalim temama gospodarskog kaznenog prava.
Slobodno nam se obratite !
