NIS2 i novi Zakon o informacionoj bezbednosti: 5 promena koje utiču na vaše poslovanje

Sajber bezbednost u Srbiji ušla je u novu regulatornu fazu. Novi Zakon o informacionoj bezbednosti, značajno menja način na koji organizacije moraju da upravljaju IKT rizicima, incidentima, evidencijama, odgovornošću menadžmenta i odnosom prema nadzoru.

Ukoliko pratite regulatorno okruženje u oblasti sajber bezbednosti, sigurno ste čuli za NIS2 direktivu. Iako Srbija nije članica Evropske unije, novi zakon u značajnoj meri prati logiku ove direktive: širi krug obveznika, veći fokus na procenu rizika, obavezno prijavljivanje incidenata, strože mere zaštite i jasniju odgovornost rukovodstva.

Novi regulatorni okvir direktno pogađa upravu, pravne i compliance timove, risk funkciju, DPO, nabavku, operacije i sve organizacije koje zavise od digitalnih servisa ili ih pružaju drugima.

U nastavku izdvajamo pet promena koje svaka organizacija treba da razume pre nego što inspekcija, incident, zahtev klijenta ili tender otvore isto pitanje.

 Prioritetni ili važan IKT sistem – pitanje je sada mnogo više od formalnosti

Novi zakon deli IKT sisteme od posebnog značaja na dve kategorije: prioritetne i važne IKT sisteme. Kategorija u koju organizacija spada direktno utiče na obim obaveza, nivo nadzora, mere zaštite, dinamiku revizije, obaveze izveštavanja i potencijalnu izloženost kaznama.

• Prioritetni IKT sistemi obuhvataju sektore bez kojih bi ključne državne, ekonomske i društvene funkcije bile ozbiljno ugrožene, kao što su energetika, finansije, zdravstvo, digitalna infrastruktura i određeni pružaoci IKT usluga.
• Važni IKT sistemi obuhvataju organizacije čiji bi prekid rada ili kompromitovanje mogao imati značajan ekonomski ili društveni efekat, uključujući određene proizvodne, logističke, prehrambene, komunalne i druge sektore.

 

Posebno je važno da zakon zahvata i organizacije koje pružaju IKT usluge drugima: hosting provajdere, data centre, cloud i softverske platforme, managed service providere i druge tehnološke dobavljače. Ako ste deo digitalnog lanca snabdevanja, obaveze vas mogu pogoditi direktno ili indirektno, kroz zahteve vaših klijenata.

Pogrešna klasifikacija nije administrativna greška. Ako organizacija sebe tretira kao manje rizičnu nego što zaista jeste, može potceniti obim potrebnih mera, pogrešno planirati budžet, propustiti rokove i ući u regulatorni nadzor bez adekvatnih dokaza o usklađenosti.

Procena rizika postaje osnova svake ozbiljne odluke o sajber bezbednosti

Pre NIS2 i novog domaćeg regulatornog okvira, mnoge organizacije su imale bezbednosnu dokumentaciju koja je nastala jednom i ostala u fioci. Novi zakon takav pristup praktično ukida. Svaki operator IKT sistema od posebnog značaja dužan je da donese Akt o proceni rizika i da ga redovno preispituje. To je logičan zahtev, jer mere zaštite moraju odgovarati aktuelnom riziku, a ne stanju od pre tri godine.

Procena rizika je osnova za sve ostale odluke o bezbednosti: koje kontrole implementirati, koliko resursa alocirati i kako prioritizovati remedijaciju. Kvalitetna procena rizika daje upravi odgovor na tri ključna pitanja: gde smo najizloženiji, koje mere imaju najveći efekat i šta moramo dokazati regulatoru, klijentima ili revizorima.

Za menadžment, ovo je posebno važno zato što novi pristup sajber bezbednosti zahteva dokazivu vezu između rizika, budžeta, mera zaštite i odgovornosti. Drugim rečima, nije dovoljno reći da organizacija ima politiku informacione bezbednosti; potrebno je pokazati da su mere izabrane na osnovu stvarnog rizika i da se njihova efektivnost prati.

Incident se ne sme „stavljati pod tepih”

Prema novom zakonu, operatori su dužni da prijave bezbednosni incident u roku od 24 sata putem jedinstvenog sistema koji vodi nadležni nacionalni CERT. U NIS2 logici, rana prijava incidenta nije samo formalnost; ona je deo šireg sistema koordinacije, smanjenja štete i zaštite korisnika, tržišta i javnog interesa.

Svako ko je imao incident ili učestvovao u njegovoj sanaciji zna da su prva 24 časa najvažnija. Zato organizacije moraju imati definisane incident response procedure. U trenutku incidenta ne sme se gubiti vreme na dogovaranje ko šta radi, ko obaveštava menadžment, ko čuva dokaze, ko komunicira sa regulatorom i ko donosi odluku o eskalaciji.

U praksi, organizacija koja nema unapred definisan incident response model teško može kvalitetno ispuniti rok od 24 sata.

Ako nemate interni IR kapacitet, možete angažovati eksterni Incident Response tim koji će pomoći oko procedura, pripreme, tabletop vežbi, ali i upravljanja incidentom ukoliko se on već desio. Ovo je posebno važno za organizacije koje nemaju 24/7 SOC, DFIR tim ili jasno definisanu kriznu strukturu.

 Evidencija IKT sistema, IP adrese i izloženi servisi postaju regulatorno pitanje

Jedna od konkretnih novina jeste i obaveza dostavljanja podataka o IP adresama u okviru evidencije IKT sistema. Na prvi pogled, to može delovati kao administrativni detalj. U praksi, implikacije su operativne i bezbednosne.

Da biste ovu obavezu ispunili, morate znati šta imate. Mnoge organizacije nemaju ažurnu sliku sopstvene infrastrukture, posebno kada su u pitanju cloud resursi, hibridna okruženja, razvojna okruženja, izloženi servisi i sistemi koji su nastajali kroz godine bez centralizovanog pregleda.

Evidencija IP adresa nije samo Excel tabela. Ona je test zrelosti asset managementa, cloud governance-a, vulnerability managementa i attack surface managementa. Ako organizacija ne zna šta poseduje i šta je izloženo internetu, ne može tvrditi da upravlja sajber rizikom.

Ovo direktno pogađa tri oblasti:

Asset management – imate li tačnu i ažurnu evidenciju svih IP adresa, sistema, servisa i vlasnika resursa, uključujući cloud i hibridna okruženja?

Attack surface management – znate li šta je izloženo spolja, na kojim portovima, sa kojim tehnologijama i u kakvom bezbednosnom stanju?

Vulnerability management – pratite li ranjivosti na nivou konkretnih sistemskih resursa, sa jasnim vlasnicima, rokovima i dokazima o remedijaciji?

Pre novog zakona, organizacije koje nisu bile u fokusu regulatora često su odlagale sređivanje evidencija bez direktnih posledica. Sada evidencija postaje deo zakonske obaveze i jedan od prvih elemenata koji nadzor može proveriti.

Kancelarija za informacionu bezbednost donosi centralizovaniji nadzor i jasniju koordinaciju

Novi zakon predviđa osnivanje Kancelarije za informacionu bezbednost. Ona preuzima ključnu koordinacionu ulogu u sistemu informacione bezbednosti, uključujući poslove nacionalnog CERT-a, međunarodnu saradnju, koordinaciju, evidencije, programe obuka i dr.

Za kompanije ovo znači jasniju tačku kontakta sa državom po pitanjima sajber bezbednosti, ali i postepeni prelazak iz zone interne samoprocene u zonu dokazivog nadzora. Politike, procedure i tehničke kontrole moraće da budu potkrepljene dokazima: zapisnicima, logovima, izveštajima, procenama rizika, planovima obuka, rezultatima testiranja i evidencijama sprovedenih mera.

Važno je pratiti razvoj ove institucije, jer će njen kapacitet, metodologija rada i pristup nadzoru direktno uticati na to kako će organizacije dokazivati usklađenost u praksi.

Posebno važno: zakon će pogoditi i dobavljače koji formalno možda nisu direktni obveznici

Iako vaša organizacija formalno nije operator prioritetnog ili važnog IKT sistema, novi regulatorni okvir će vas verovatno dotaći kroz zahteve klijenata. Banke, osiguravajuća društva, javni sektor, zdravstvene ustanove, energetske kompanije i veliki privredni sistemi sve češće će tražiti dokaz da njihovi dobavljači imaju adekvatne mere sajber bezbednosti, incident response kapacitet, upravljanje ranjivostima, kontrolu pristupa i osnovnu regulatornu dokumentaciju.

Gde da počnete?

Prvi korak nije kupovina novog alata. Prvi korak je razumevanje obaveza, klasifikacije, rizika i trenutnog nivoa zrelosti.

Konkretni koraci koje treba preduzeti:

1. Utvrdite klasifikaciju – da li ste prioritetni IKT sistem, važan IKT sistem ili dobavljač koji će indirektno biti zahvaćen zahtevima svojih klijenata?
2. Pokrenite Risk Assessment – bez njega nemate osnovu ni za jedan sledeći korak.
3. Pregledajte Incident Response procedure – imate li kapacitet da reagujete, dokumentujete i prijavite incident u roku od 24 sata?
4. Ažurirajte evidenciju infrastrukture – posebno IP adrese, izložene servise, cloud resurse i kritične sisteme.
5. Edukujte menadžment i zaposlene – sajber bezbednost je sada organizaciona odgovornost, a ne samo tehničko pitanje.
6. Pripremite dokaze – politike, procedure, logove, zapisnike, rezultate testiranja i evidencije sprovedenih mera.

Kako možemo pomoći?

PULSEC pomaže organizacijama da novi Zakon o informacionoj bezbednosti i NIS2 zahteve prevedu u konkretan, dokaziv i izvodljiv program usklađivanja. Naš pristup povezuje regulatornu interpretaciju, GRC metodologiju, tehničku proveru i operativnu sajber odbranu.

• klasifikacija organizacije i inicijalni NIS2 / Zakon o informacionoj bezbednosti Gap Assessment;
• izrada Akta o proceni rizika i prioritizacija mera zaštite;
• uspostavljanje incident response procedura i 24h reporting modela;
• vCISO podrška menadžmentu, IT, risk i compliance timovima;
• vulnerability assessment, penetration testing i attack surface assessment;
• awareness obuke za zaposlene i menadžment;
• priprema dokumentacije, evidencija i dokaznog materijala za nadzor;
• podrška kroz SOC, Incident Response i DFIR kapacitete.

 

Ako niste sigurni odakle krenuti, počnite od jednog pitanja: da li danas možete dokazati da znate svoje rizike, svoje obaveze i svoje kritične sisteme?

Ako je odgovor „ne” ili „nismo sigurni”, pravo je vreme da razgovarate sa našim timom.