Najmanje 600 milijuna kibernetičkih napada dogodi se svaki dan u svijetu, podaci su Microsofta iz studenoga 2024. Phishing, malware, ransomware, DDoS (Distributed Denial of Service), MITM (Man-in-the-Middle)… neki su od kibernetičkih napada zbog kojih se tvrtke diljem svijeta suočavaju s krađom osobnih i financijskih podataka, prekidom poslovanja, uništenjem podataka, krađom novca i sl. Prema procjenama Cybersecurity Venturesa, globalni troškovi kibernetičkog kriminala lani su dosegnuli 9,5 bilijuna američkih dolara, što odgovara iznosu od približno 26 milijardi dolara dnevno.
Kako bi ojačala otpornost tvrtki na kibernetičke prijetnje i osigurala snažnu sigurnosnu zaštitu mreža i informacijskih sustava, EU je donijela do sada najopsežniju NIS2 direktivu o kibernetičkoj sigurnosti. Naime, države članice EU imale su rok do 17. listopada 2024. uvesti njene odredbe u svoje nacionalne zakone i odrede kriterije za kategorizaciju subjekata, dok je za proces usklađenja s NIS2 direktivom predviđeno prosječnih 12 mjeseci. Četiri su ključne stavke koje poduzetnici moraju zadovoljiti. Prvi je upravljanje rizicima, što konkretno znači da tvrtke, uz razvijanje sigurnosnih mjera, moraju provoditi procjene rizika. Nadalje, uprave društava moraju pokazati visoku razinu korporativne odgovornosti i osigurati da se pravilno nadgledaju, odobravaju i provode mjere kibernetičke zaštite. Direktivom se želi osigurati i pojačana suradnja između država članica pa postoji i obveza izvještavanja o sigurnosnim incidentima. I, četvrto, ne manje važno, poduzetnici moraju planirati kontinuitet poslovanja kako bi važne usluge i procesi nastavili raditi tijekom i nakon kibernetičkih incidenata.
Tvrtke u Hrvatskoj koje podliježu direktivi do sredine bi ovog mjeseca trebale dobiti obavijest o kategorizaciji. Prvo što im se preporučuje napraviti je provođenje GAP analize kojom će se utvrditi gdje su u odnosu na zahtjeve NIS2 direktive i identificirati potrebne mjere za usklađivanjem IT infrastrukture.
Vrijeme za tehničke, financijske i organizacijske pripreme, očito, curi, a mnogi poduzetnici nemaju potrebne resurse za implementaciju svih sigurnosnih zahtjeva iz NIS2 direktive, pa im A1 Hrvatska, kaže Siniša Staničić, direktor odjela ICT prodaje i rješenja, nudi niz usluga kao što su automatsko penetracijsko testiranje, sustav za skeniranje ranjivosti kompanije, sustav za obranu od distribuiranog napada i sl. kako bi se što bolje pripremili za ono što neminovno slijedi.
Jedno od ključnih rješenja za nadzor i detekciju sigurnosnih prijetnji je A1 Sigurnosni operativni centar (SOC). Riječ je o neprekidnom nadzoru svih komponenti IT sustava, uključujući mrežni promet, servere i aplikacije, kao i naprednu detekciju svih vrsta prijetnji.
“Postupak uvođenja ove usluge kod poslovnih korisnika vrlo je jednostavan. A1 korisnicima nudi analizu postojeće IT infrastrukture i sigurnosnih zahtjeva, nakon čega se A1 SOC prilagođava njihovim specifičnim potrebama i postojećim sustavima, bez ometanja poslovanja. Po završetku implementacije, A1 SOC odmah preuzima aktivno praćenje i odgovara na incidente, a redovitim provođenjem testova osigurava se potpuna operativnost i učinkovitost sustava. Lokalna podrška koju pružamo, uz visoku razinu sigurnosti, našim će poslovnim korisnicima u konačnici osigurati da se usredotoče na svoje poslovanje, dok stručni tim A1 brine o njihovoj sigurnosti“, kaže Siniša Staničić.
Jedno od najpopularnijih sigurnosnih rješenja tvrtke A1 je i Automatsko penetracijsko testiranje. Rješenje kontinuirano otkriva unutarnje i vanjske površine za napad, provodi sigurnosnu validaciju pripremljenosti za najnovije napredne prijetnje, dokazuje potencijalni utjecaj eksploatacije svakog sigurnosnog nedostatka i sukladno tome daje rješenje za otklanjanje problema. Pojednostavljeno rečeno, automatskim penetracijskim testom dobije se dubinska provjera sigurnosnih pravila i alata za rješavanje eventualnih problema.
Tko su, uopće, obveznici usklađivanja s NIS2 direktivom? U direktivi piše da su to ključni i važni subjekti prema kriteriju veličine poduzeća i sektora u kojima posluju. Ključni su oni koji imaju više od 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura ili djeluju u ključnim sektorima poput energetike, prometa, bankarstva, zdravstva, opskrbe vodom…, bez obzira na veličinu. Važni subjekti su, pak, oni koji imaju 50 do 250 zaposlenih, godišnji promet manji ili jednak 50 milijuna eura i bilancu manju ili jednaku 43 milijuna eura, ali i oni koji nisu kategorizirani kao ključni, ali djeluju u ključnim sektorima poput obrazovanja, sektoru poštanskih usluga, upravljanja otpadom… Dakle, više-manje, svima se preporučuje usklađivanje s novom direktivom, ako ne zbog same direktive, onda zbog svjesnosti o nužnosti zaštite vlastitog poslovanja od sve brojnijih kibernetičkih prijetnji.
Tko to ne učini, a obveznik je, kazna će prvo biti korektivna, a onda i novčana. Maksimalne kazne za ključne subjekte moraju biti najmanje 10 milijuna eura ili 2 % globalnog godišnjeg prihoda, ovisno o tome koji je veći. Za važne subjekte, pak, maksimalna kazna mora biti barem 7 milijuna eura ili 1,4 % globalnog godišnjeg prihoda.
Sadržaj omogućio A1
