Како ће изгледати примена Опште уредбе о заштити података, да ли ће административне новчане казне бити заиста тако високе и како ће се то одразити на сваког појединачног руковаоца подацима, само су нека од питања која су мучила привредни, али и јавни сектор Уније у периоду ишчекивања тог маја 2018. године, када је ова уредба почела да се примењује. ГДПР је након почекта примене променио доста тога, можда не толико колико се очекивало у контексту обраде података о личности и њихове безбедности, али је свакако значајно променио приступ тој теми и подигао свест о њеној важности на знатно виши ниво.
Данас, шест година касније, једна нова скраћеница пуни новинске ступце широм ЕУ, што се неминовно прелива и на територију Републике Србије. Реч је о тзв. НИС 2, односно Директиви о мерама за постизање високог заједничког нивоа сајбер безбедности, чији је службени број ЕУ 2022/2555. Ко је имао среће да га не каче обавезе из Директиве НИС 1, чији су фокус били махом одређени сектори од појачаног значаја за јавни интерес, сада ће, хтео или не хтео, тешко моћи да прође необавештен о њеној наследници НИС 2, јер нас вести на ову тему салећу са свих страна.
Додатно, иако се НИС 2 првенствено односи на субјекте унутар ЕУ, слично као и у случају ГДПР, директива ће имати дејство и ван Уније, у случајевима када су компаније из других земаља пословно увезане са ЕУ субјектима, односно пружају им услуге или инфраструктуру. С тим у вези, и неки субјекти из Србије мораће да се подвргну правилима овог прописа.
Међутим, чак и компаније у Србији које немају много повезаности са ЕУ, односно нису директно на удару НИС 2, неће моћи тек тако да се провуку. У склопу припрема за придруживање ЕУ, а на основу споразума са Унијом, Србија је ушла у поступак припреме и усвајања новог Закона о информационој безбедности који ће бити усклађен са Директивом НИС 2.
Да подсетимо, Директива НИС 2 о безбедности мрежних и информационих система усвојена је од стране Европског парламента и Савета Европске уније 14. децембра 2022. године. НИС 2 је заменила претходну Директиву НИС 1 из 2016. године, како би се унапредила отпорност на сајбер претње и осигурала боља заштита критичних мрежних и информационих система широм ЕУ. Директива је ступила на снагу у јануару 2023. године, али је државама чланицама ЕУ остављен рок до 17. октобра 2024. године да одредбе Директиве пренесу у своје националне законодавне оквире. Након тог датума, НИС 2 ће постати обавезујућа у свим државама чланицама.
Директива НИС 2 донета је са циљем унапређења сајбер безбедности на нивоу Европске уније, замењујући претходну НИС директиву и уводећи строже захтеве за заштиту мрежних и информационих система. Нова директива се односи на кључне секторе од виталног значаја за друштво и економију, с посебним акцентом на повећање отпорности на претње безбедности информационих система, али и унапређење сарадње међу државама чланицама ЕУ по том питању.
Овим прописом успоставља се свеобухватан и знатно строжи оквир за сајбер безбедност у ЕУ, с нагласком на јачање отпорности на сајбер претње и побољшање способности за брзо реаговање на инциденте. Њене одредбе у великој мери проширују обим субјеката који подлежу регулативи, а новчане казне и друге санкције требало би да осигурају високу усклађеност.
Примарни циљ Директиве јесте, дакле, усклађивање нивоа сајбер безбедности међу чланицама ЕУ и побољшање координације у одговору на сајбер инциденте. Укратко, организације које су обухваћене Директивом сада су обавезне и да редовно процењују ризике својих мрежних и ИТ система и да предузимају одговарајуће техничке и организационе мере за управљање претњама. Ове мере укључују анализу ризика, управљање рањивостима, као и примену криптографских решења и енкрипције. Такође, од организација се захтева успостављање процедура за праћење инцидената и кризно управљање, укључујући детекцију, анализу и класификацију безбедносних повреда, као и обавештавање надлежних органа у складу са задатим роковима.
Која категорија субјеката је обухваћена Директивом НИС 2
У односу на НИС 1, НИС 2 проширује обим субјеката који подлежу њеним одредбама, поделивши их у две категорије: кључни (приоритетни) субјекти и важни субјекти (Essential и Important субјекти).
Категорија кључних субјеката обухвата секторе попут енергетике, транспорта, финансијских услуга, здравства, водопривреде, дигиталне инфраструктуре као што је интернет провајдер. Ови приоритетни субјекти подлежу строжим обавезама и казненим мерама у поређењу са важним субјектима.
Важни субјекти су они који припадају делатностима поштанских услуга и курирских служби, производње, прераде и дистрибуције хране, производње хемикалија, отпада, као и производње и дистрибуције ИКТ опреме.
Обавезе у вези са управљањем сајбер безбедношћу:
Директива налаже да сви субјекти обухваћени њеним одредбама морају успоставити адекватне техничке и организационе мере за управљање ризицима и заштиту својих информационих и комуникационих система. Ове мере, између осталог, укључују:
- редовне процене ризика повезаних са мрежним и информационим системима;
- управљање рањивостима и предузимање одговарајућих мера заштите, укључујући и примену енкрипције;
- усвајање политика и процедура за обезбеђивање континуитета пословања у случају сајбер инцидената;
- успостављање система за детекцију, анализу и пријаву безбедносних инцидената.
Обавеза пријављивања инцидената:
Директива уводи строге рокове за пријаву сајбер инцидената надлежним органима. Субјекти су у обавези да иницијалну пријаву изврше у року од 24 сата од откривања инцидента, док детаљан извештај мора бити достављен у року од 72 сата. Коначан извештај, који укључује информације о озбиљности инцидента, његовом утицају и предузетим мерама, мора бити достављен у року од месец дана. Ови рокови осигуравају брзо реаговање и минимизирање штетних последица по мрежне и информационе системе.
Административне новчане казне:
Према члану 34. Директиве, предвиђене су значајне новчане казне за субјекте који се не придржавају одредбе НИС 2. Казне за кључне субјекте могу износити до 10 милиона евра или 2% њиховог укупног глобалног годишњег прихода, зависно од тога који је износ већи. Важни субјекти могу бити кажњени износом до седам милиона евра или 1,4% глобалног прихода, такође према већем износу. Поред новчаних казни, могу се изрећи и додатне санкције, као што су привремено одузимање сертификата или овлашћења за пружање одређених услуга, као и забрана обављања функција за одговорна лица унутар организације (нпр. генерални директор односно законски заступник).
Надзор над применом Директиве и извршне мере:
Директива НИС 2 предвиђа детаљне одредбе о надзору и спровођењу наложених мера. Надлежни органи држава чланица имају овлашћења да надзиру усклађеност субјеката са Директивом и изричу одговарајуће санкције у случају кршења. Државе чланице задржавају право да примене строже мере од оних предвиђених Директивом, али не могу уводити блаже стандарде.
Међудржавна сарадња и координација:
Директива унапређује сарадњу међу државама чланицама кроз успостављање механизама за размену информација о претњама и инцидентима, као и заједничке оперативне механизме за реаговање на сајбер инциденте. То укључује формирање мреже националних јединица за информациону безбедност, која ће олакшати размену података и координацију на нивоу ЕУ.
Дејство директиве на субјекте ван ЕУ:
НИС 2 се примењује и на субјекте са седиштем ван ЕУ који пружају услуге или обављају пословне активности унутар Уније, посебно оне који послују у кључним секторима. Такви субјекти су дужни да своје пословање ускладе са Директивом, укључујући именовање представника у ЕУ који ће бити одговоран за поштовање прописа и комуникацију са надлежним органима.