Захтев за усаглашеност
Са увођењем Директиве ЕУ 2022/2555, познатије као НИС 2, захтеви за усаглашеност у компанијама су порасли. НИС 2 реагује на претњу од сајбер напада у ЕУ. Директива регулише сајбер и информациону безбедност компанија и институција. Сајбер напади се сада сматрају једним од највећих пословних ризика за компаније широм света.
НИС 2 замењује Директиву ЕУ 2016/1148 (НИС 1) и треба да допринесе побољшању сајбер безбедности у Европској унији и бољој заштити компанија. Спровођење НИС-2 директиве стога представља повећане захтеве за управљање ризицима и усаглашеност у многим компанијама. Ако се мере не предузму у компанијама у складу са тим, то може довести до санкција, према економској адвокатској канцеларији MTR Legal.
ЕУ је усвојила НИС-2 директиву 2023. године, а државе чланице морају је до 2025. године спровести у национално законодавство. Које су компаније погођене директивом првенствено зависи од врсте њихове делатности. Директива је проширена на додатне компаније које се сматрају есенцијалним (основним) и важним. То доводи до значајног повећања броја компанија и институција које имају законске обавезе према Савезној канцеларији за информациону безбедност (БСИ).
Погођена критична инфраструктура
Критичне инфраструктуре које су већ подлегале НИС-1 директиви као што су енергија, саобраћај, здравство, финансије, водопривреда и дигитална инфраструктура, сада су погођени додатним секторима према НИС-2 директиви. Ту спадају јавне електронске услуге, додатне дигиталне услуге као што су друштвене платформе, управљање отпадним водама и отпадом, поштанске и курирске услуге, јавна управа или произвођачи критичних производа. Према проценама, у Немачкој око 29.000 компанија из различитих индустрија ће бити погођено спровођењем НИС-2 директиве. Пре свега, средње и велике компаније у критичним секторима биће позване да предузму одговарајуће мере за сајбер безбедност и успоставе ефикасну усаглашеност. Они ће такође бити обавезни да надлежним органима пријаве безбедносне инциденте са значајним поремећајима или штетама.
НИС-2 директива такође садржи одредбе за надзор, спровођење и добровољне вршњачке прегледе како би се оснажило међусобно поверење и сајбер безбедност у целој Европској унији. То такође значи да је менаџмент одговоран ако се мере управљања ризиком сајбер безбедности не поштују.
Реакција на нападе на сајбер безбедност
Са НИС-2 директивом се успоставља мрежа тимова за реаговање на рачунарске безбедносне инциденте како би се размениле информације о безбедносним претњама и на одговарајући начин реаговало на инциденте. Поред тога, се успоставља европска мрежа организација за повезивање у случају сајбер криза. Ова мрежа подржава редовну размену информација између држава чланица и органа ЕУ како би се могло реаговати на инциденте и кризе већих размера.
Како ће се тачно НИС 2 спровести у национално законодавство у Немачкој, још увек није одређено. Разлог је што је спровођење одложено због претходних избора за Бундестаг. Јасно је, међутим, да ће са спровођењем сајбер безбедност постати тема и за многе средње компаније.
Компаније морају имплементирати безбедносне мере
НИС 2 их ставља пред изазов да имплементирају неопходне безбедносне мере како би заштитили податке и критичну инфраструктуру од могућих сајбер напада. За то се морају предузети неопходне техничке и организационе мере. Ако компанија постане жртва сајбер напада, морају постојати планови за тренутно ограничавање штете и обнављање система. Такође, надлежни органи морају бити обавештени. Поред тога, компаније морају редовно спроводити тестове како би идентификовале и отклониле слабе тачке. Сајбер безбедност мора постојати и унутар ланца снабдевања. Због тога и овде морају реаговати на ризике.
Спровођење НИС-2 директиве значи изазове за ефикасну усаглашеност у погођеним компанијама, поготово што могу и чланови управних одбора и извршни органи бити лично одговорни ако се неопходне безбедносне мере не спроведу.
MTR Legal подржава компаније у имплементацији ефикасних система усаглашености и осигурава да се законски захтеви испуњавају. Као економска адвокатска канцеларија MTR Legal пружа савете усаглашеност и другим темама привредног кривичног права.
Слободно ступите у контакт са нама!
