Nove (sigurnosne) prilike kroz NIS 2 direktivu

Autor: Goran Račić, Infigo IS

Ruku na srce, velik dio EU direktiva i tko zna čega sve ne previše nas ne dira. I pod nas mislimo na nas, narod, šljakere, ljude koji nešto tipkaju radi posla i onda još tipkaju nešto iz gušta. Te direktive se pretaču u države članice preko zakona i dalje nas, opet narod, ne diraju previše – da, čovjek pazi da ne krši zakon i tu nekako stvari prestaju.

No, postoje neki događaji na koje bismo, ovaj put kao informatičari, trebali malo pažljivije gledati. U Infigo IS-u bavimo se sa svime što ima veze s IT sigurnosti, a to znači da naš konzultantski dio itekako pazi na nove zakone, propise, direktive i što već ne, kako bi ostatku tvrtke osigurao da ne radimo stvari koje nisu po zakonu ili se ne poklapaju s propisima. Što je poprilično važno za naš sektor.

Kad je 2016. donesena NIS (The Network and Information Systems) direktiva, za koju smo kao zemlja članica imali par godina da je “prevedemo” u svoje zakone, svi su malo sa strahom gledali što ona donosi. NIS je bio jedan od većih koraka kojim je EU pokušala dignuti razinu sigurnosti kritičnih sustava – drugim riječima, otežati i spriječiti bilo kome da nam svima kolektivno isključi struju, vodu, prekine komunikacije… Bitne stvari za funkcioniranje društva, kritična infrastruktura, morala se (sigurnosno) osnažiti.

Ispostavilo se da je EU bila malo preoptimistična u razmišljanju što su kritični sustavi jer nam je stigla NIS 2 direktiva koju je izbacila onu originalnu iz opticaja i do kraja ove godine u Hrvatskoj očekujemo novi zakon koji počiva na onome što se u dvojci spominje.

NIS 2 donosi mnogo toga, ako želite utrošiti par sati na čitanje, samo dajte, no glavna stvar je da se višestruko povećava broj sektora koji obuhvaća i broj obveznika (procjenjuje se da raste za više od trostruko) te da su sigurnosni zahtjevi sveobuhvatniji.

Što su te direktive ikad napravile za nas?

Da li to ima ikakvog smisla, tj. kako je prošlo u originalu? Pa, neloše. Pružatelji kritičnih usluga morali su poboljšati sigurnost, to je uvijek dobro. SOA (Sigurnosno-obavještajna agencija) je 2019. uspostavila Centar za kibernetičku sigurnost, a SOA i ZSIS (Zavod za sigurnost informacijskih sustava) izgradili su sustav SK@UT koji služi za otkrivanje, rano upozoravanje i zaštitu od državno sponzoriranih napada koji su, nažalost, svake godine u porastu.

NIS 2 bi, kad se prevede u hrvatske zakone, trebao nastaviti takav trend – sve ono kritično i važno bi trebalo biti dodatno osigurano s mjerama koji prelaze preko tri glavna sastojka sigurnosti (ljudi, procesi i tehnologija). SOA, koja ovaj put koordinira transpoziciju direktive u zakon, predlaže da se njihov Centar za kibernetičku sigurnost transformira u Nacionalni centar za kibernetičku sigurnost – kažu da je to jedino logično jer su najkompletniji nacionalni resurs za kibernetičku sigurnost.

Ruku na srce, Infigo IS ima svoj SOC (Security Operations Center) koji koristimo kako za interne potrebe tako i za “iznajmljivanje” svoje sigurnosne stručnosti tvrtkama diljem Europe, pa vam iz prve ruke možemo reći koliko je uspostavljanje SOC-a zahtjevno. Na nacionalnoj razini graditi tako neki sigurnosni centar od nule, u vremenu kada ne možete dopustiti da ste sekunde bez konstantnog nadzora IT sustava, to je vjerojatno suludo teško.

Dobro, što mi možemo imati od toga?

No što tvrtke u Hrvatskoj mogu imati od nove direktive? Dosta toga. Zapravo, ne od same direktive nego i od ostatka nastojanja EU da poboljša sigurnost diljem Unije. Jedan od aktova, The EU Cybersecurity Act, omogućio je stvaranje frameworka za cybersecurity certificiranje proizvoda, usluga i procesa. Na još uvijek šturom webu možete vidjeti o čemu se radi, no sažetak svega je da će uskoro tvrtke biti u mogućnosti certificirati svoje proizvode za određenu sigurnosnu razinu. Takvim će se onda certifikatom moći javljati na natječaje diljem Unije koja je ogromno i isplativo tržište – svaka domaća developerska tvrtka trebala bi početi pratiti kako napreduje taj projekt jer bi se prvi dio sheme za certifikaciju, ICT proizvodi od hardvera do softvera, uskoro trebao pojaviti.

U sljedećih par godina trebali bismo vidjeti sličnu certifikacije za usluge u oblaku i 5G tehnologije.

EU će u narednih dosta godina jako gurati kibernetičku sigurnost, i sve vezano uz nju, tako da ne bi bilo loše pratiti što se događa u toj sferi. Mi u Infigo IS-u itekako hoćemo.