Choose language:
Pratite nas:
back

Sve što ste kao davatelj digitalnih usluga (DSP) željeli znati o NIS direktivi, a niste se usudili pitati…

07.05.2019

…a uz odgovore, umjesto seta noževa, potpuno besplatno dobijete i Infigov MS Excel predložak koji vam kao davatelju digitalnih usluga može pomoći u procjeni i praćenju usklađenosti s NIS direktivom.

MS Excel upitnik za samoprocjenu usklađenosti s zahtjevima NIS Direktive za DSP-ove možete dohvatiti ovdje.


Nažalost, i dalje velik broj ljudi odgovornih za donošenje odluka na informacijsku sigurnost gleda isključivo kao na trošak, sve dok osjetljivi podaci ne završe kod konkurencije, kompromitirani korisnički računi ne dospiju u medije ili e-commerce poslužitelji postanu nedostupni uslijed hakerskog napada.

Stoga, kao stručnjak koji je veći dio svoje profesionalne karijere posvetio upravo informacijskoj sigurnosti, mogu isključivo pozitivno promatrati svaku regulatornu inicijativu koja za cilj ima njezino unaprjeđenje kako bi se sigurnosni incidenti spriječili i kontrolirali, a ne samo da se nešto poduzima nakon što se zbroje štete.

Direktiva 2016/1148 EU, široj javnosti znanoj kao NIS direktiva, pred operatore ključnih usluga i davatelje digitalnih usluga (DSP) postavlja ne baš jednostavne zahtjeve za upravljanje informacijskom sigurnošću. Nema sumnje da će NIS direktiva donijeti pozitivne pomake na ovom polju, ali u ovom trenutku otvara veliki broj pitanja i nedoumica. Pogotovo sam stekao takav dojam za DSP-ove, od kojih se značajan broj prvi put susreo s nekom vrstom regulative na području informacijske, odnosno u ovom slučaju kibernetičke sigurnosti.

Temeljem svog dosadašnjeg iskustva u komunikaciji s odgovornim ljudima DSP-ova pokušao sam pripremiti jedan Q&A i MS Excel upitnik  za koji se nadam da će pomoći oko nekih nedoumica i pomoći DSP-ovima oko usklađenja sa zahtjevima.

Q: Što je NIS direktiva i zašto se to mene zapravo tiče?

A: Europska Unija donijela je direktivu 2016/1148 (NIS direktiva) kojom se propisuju mjere za sigurnost mrežnih i informacijskih sustava u EU. Temeljem Vlada RH je 2018. godine donijela Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/2018) kojom se NIS direktiva preuzima u hrvatsko zakonodavstvo. To sve odnosi se i na davatelje digitalnih usluga, tj. DSP-ove.

Q: I dalje mi nije jasno zašto se mene ovo tiče. Želiš reći da je moja tvrtka DSP?

A: Gore spomenutom Uredbom, DSP-ovima se smatraju privatni subjekti, izuzev mikro i malih subjekata malog gospodarstva, koji pružaju neku od sljedećih digitalnih usluga:

  1. Internetsko tržište
  2. Internetska tražilica
  3. Usluge računalstva u oblaku

Q: Mikro? Tražilica? Oblak? Tek mi sad nije ništa jasno.

A: Definicije ovih pojmova nalaze se u Zakonu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. Ja bih ipak preporučio da za bolje razumijevanje preuzmete Tehničke smjernice za implementaciju minimalnih sigurnosnih mjera za DSP-ove koje je izdala Europska agencija za mrežnu i informacijsku sigurnost (ENISA), a na koje se naslanjaju i hrvatski propisi, te proučite poglavlje 1.1.3.

Evo i link: https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers

Q: Meni se to baš i ne čita. Može ukratko?

A: Naravno!

  • Internetsko tržište odnosi se zapravo na razne varijante web trgovina, gdje krajnji korisnik sklapa ugovor s tvrtkom putem njezinog on-line kanala. U ovo zapravo spadaju i platforme za prodaju i distribuciju aplikacija trećih strana, npr. Google Play Store. Jednako je važno znati što NE SPADA u ovo: on-line platforme za usporedbu cijena i posredovanje između trećih strana. Po ovome npr. eBay teoretski ne bi spadao u DSP-ove jer samo ima ulogu posrednika, za razliku od bilo koje tvrtke koja svoje proizvode prodaje putem vlastite web trgovine.
  • Internetska tražilica odnosi se na tražilice koje opslužuju opće upite korisnika. Za primjer ne treba dugo razmišljati: Google. U Hrvatskoj, koliko znam, od kad je ugašen pogodak.hr takvih tražilica nema. Ne odnosi se na tražilice namijenjene uskom pretraživanju jednog sitea, npr. za upite za traženje proizvoda na nekoj web trgovini.
  • Usluge računalstva u oblaku. Da ne ulazim sad u definicije Cloud računalstva, ovo se odnosi na razne web hostinge, Cloud Storage, IaaS, PaaS, SaaS i slično. Ukoliko ne znate što znače ove kratice, velika je šansa da niste obveznik po ovoj osnovi 😊. Cloud sustavi koji služe samo za potrebe tvrtke, tj. nisu namijenjeni širokom tržištu, se ne računaju.

E da ne zaboravim: tu je još priča o „mikro i malim subjektima“, što je definicija iz Zakona o poticanju razvoja malog gospodarstva:

  • Mikro subjekti malog gospodarstva su fizičke i pravne osobe koje:
    • prosječno godišnje imaju zaposleno manje od 10 radnika,
    • prema financijskim izvješćima za prethodnu godinu ostvaruju godišnji poslovni prihod u iznosu protuvrijednosti do 2.000.000,00 eura, ili imaju ukupnu aktivu ako su obveznici poreza na dobit, odnosno imaju dugotrajnu imovinu ako su obveznici poreza na dohodak, u iznosu protuvrijednosti do 2.000.000,00 eura,
  • Mali subjekti malog gospodarstva su fizičke i pravne osobe koje:
    • prosječno godišnje imaju zaposleno manje od 50 radnika,
    • prema financijskim izvješćima za prethodnu godinu ostvaruju godišnji poslovni prihod u iznosu protuvrijednosti do 10.000.000,00 eura, ili imaju ukupnu aktivu ako su obveznici poreza na dobit, odnosno imaju dugotrajnu imovinu ako su obveznici poreza na dohodak, u iznosu protuvrijednosti do 10.000.000,00 eura.

Ukoliko spadate u jednu od ove dvije kategorije, možete se opustiti jer se NIS direktiva i sve što piše u ostatku ovog teksta ne odnosi na vas!

Q: Ok, po ovoj definicija moja tvrtka je DSP. Što sad?

A: U grubo, odgovor na ovo pitanje bih podijelio u dvije cjeline:

  1. Primjena sigurnosnih mjera. Direktiva i prateći dokumenti vrlo su šturi oko konkretnih mjera koje je potrebno primijeniti. Zato preporučujem da se okrenete gore spomenutim smjernicama ENISA-e ili Infigovoj tablici za praćenje usklađenosti.
  2. Prijava incidenata. Incidente sa značajnim učinkom na pružanje digitalne usluge dužni ste prijavljivati ZSIS / CARNET – CERT službi i to ni manje ni više nego putem 3 izvješća: inicijalno (najkasnije 4h od otkrivanja incidenta), prijelazno (u roku 3 dana od podnošenja inicijalnog izvješća) te završno (u roku 15 dana od ponovne uspostave usluge).

Q: Uh. To je mnogo sustava s mnogo sigurnosnih mjera i mnogo potencijalnih incidenata. Odnosi li se to na cijeli informacijski sustav moje tvrtke?

A: Ne. I primjena sigurnosnih mjera i prijava incidenata odnosi se samo na sustave koji su bitni za pružanje digitalnih usluga u kontekstu Direktive. Primjerice, ako ste tvrtka koja ima web trgovinu, sigurnosne mjere i prijava incidenata odnose se samo na sustave koji su izravno ili neizravno vezani za funkcioniranje web trgovine, ali ne i na sustave koji podržavaju računovodstvene, kadrovske, proizvodne i slične procese. Također, temeljem vlastite procjene rizika možete primjenu određenih sigurnosnih mjera preskočiti, ali onda riskirate da će vam nadležno sektorsko tijelo u slučaju incidenta prigovoriti da niste poduzeli sve potrebne mjere. Budite sigurni da je vaša procjena rizika zaista dobro napravljena!

Q: Čekaj malo. Gore si spomenuo „ZNAČAJNI UČINAK INCIDENTA“. Kako da znam što je značajni učinak?

A: U Provedbenoj uredbi komisije (EU) 2018/151 incident sa značajnim učinkom definiran je kao jedna od sljedećih situacija:

  • usluga koju pruža pružatelj digitalnih usluga nije bila dostupna više od 5.000.000 korisničkih sati, pri čemu se izraz korisnički sat odnosi na broj pogođenih korisnika u EU u trajanju od 60 minuta,
  • incident koji je doveo do gubitka integriteta, autentičnosti ili povjerljivosti pohranjenih ili prenesenih ili obrađenih podataka ili srodnih usluga koje nudi pružatelj digitalnih usluga ili su dostupne putem njegovih mrežnih i informacijskih sustava utjecao je na više od 100.000 korisnika u EU,
  • incident je stvorio opasnost za javnu sigurnost, javnu zaštitu ili gubitak ljudskih života,
  • incident je uzrokovao materijalnu štetu za barem jednog korisnika u EU, pri čemu šteta za tog korisnika prelazi 1.000.000 EUR.

Q: A što ako ja jednostavno ne primijenim ništa od svega toga?

A: U principu ništa (ako ne računamo da je primjerena informacijska sigurnost dio odgovornog poslovanja) sve dok nadležno sektorsko tijelo (za DSP-ove je to Ministarstvo gospodarstva) ne dobije dojavu da se u kontekstu vaše digitalne usluge desio incident sa značajnim učinkom ili da ne primjenjujete propisane sigurnosne mjere. Tad Ministarstvo pokreće nadzor koji može rezultirati različitim mjerama.

Q: Ok, uvjerio si me. Ali tko mi može pomoći da sve ovo primijenim u praksi?

A: Drago mi je da ste postavili ovo pitanje 😊.

Tvrtka Infigo IS posjeduje dugogodišnje iskustvo u savjetovanju oko uspostave i upravljanja sustavima informacijske sigurnosti, što uključuje procjenu rizika, primjenu sigurnosnih mjera i proces upravljanja incidentima zahtijevanima NIS direktivom. Slobodno se poslužite i Infigovom tablicom zamišljenom kao alat za praćenje usklađenosti s Direktivom.


Autor: Ivan Zelić INFIGO IS