NIS2 direktiva (Direktiva EU 2022/2555) stupila je na snagu 17. siječnja 2023., a rok za nacionalnu transpoziciju bio je 17. listopada 2024. Od tada Hrvatska, kao i većina EU članica, provodi lokalni zakon koji implementira direktivu. Za web tvrtke, hosting providere i njihove klijente — ovo nije akademska stvar. NIS2 eksplicitno proširuje obveze na puno više sektora, a posljedice neusklađenosti su ozbiljne: administrativne novčane kazne do 10 milijuna EUR ili 2 % globalnog godišnjeg prometa (za "essential" subjekte).

Što je NIS2 i zašto je nastao

NIS2 zamjenjuje prvu NIS direktivu iz 2016. koja se pokazala preuskom i neujednačeno primjenjivanom po članicama. Nova verzija:

• značajno proširuje popis sektora na koje se primjenjuje
• uvodi dvostupanjsku kategorizaciju — essential entities i important entities
• propisuje stroge obveze upravljanja kibernetičkim rizicima i javljanja incidenata
• traži odgovornost najviše razine uprave (management body) — direktori moraju biti osposobljeni i osobno odgovorni

Koga pokriva — i zašto se hosting svakako nalazi unutra

NIS2 eksplicitno imenuje "DNS service providers", "TLD name registries", "cloud computing service providers", "data centre service providers", "content delivery network providers" i "providers of managed services / managed security services" kao essential entities kad prelaze veličinu srednjeg poduzeća. To znači da hosting providere i povezane servise pokriva regulacija bez iznimke.

Dodatno, "digital providers" (online marketplace, online search engine, platforms) ulaze kao important entities. Čak i web agencije koje pružaju "managed services" (upravljanje infrastrukturom, pach menadžment, monitoring) mogu biti povezane.

Što NIS2 zahtijeva u praksi

Članak 21. direktive definira minimalne mjere koje subjekti moraju poduzeti. Skraćeno:

1. Politike upravljanja rizicima — formalna procjena, dokumentacija, revizija
2. Incident handling — plan, procedure, testiranje
3. Business continuity — backup menadžment, disaster recovery, krizni menadžment
4. Supply chain security — odgovornost za dobavljače i partnere
5. Network and information systems security — tehnička razina (patch mgmt, access control, enkripcija)
6. Policies and procedures for effectiveness assessment — redovita procjena učinkovitosti
7. Basic cyber hygiene practices and training — treninzi zaposlenika, awareness
8. Kriptografske politike — enkripcija u mirovanju i prijenosu
9. HR sigurnost — procesi za zaposlenike, vanjske suradnike
10. Multifaktorska autentikacija — gdje je tehnički primjenjivo

Obveza javljanja incidenata

Ovo je konkretni dio koji mnogi preskaču dok nije prekasno. Kod značajnog incidenta:

• Early warning — u roku 24 sata nadležnom CSIRT-u / tijelu
• Incident notification — u roku 72 sata s punim pregledom
• Final report — u roku mjesec dana

U Hrvatskoj nadležno tijelo je SOA / ZSIS / CERT.hr (ovisno o sektoru). Kontaktne točke i obrasci dostupni su u Zakonu o kibernetičkoj sigurnosti (ZKS) koji je transponirao NIS2.

Kazne

Ovo je dio koji pokreće upravu:

• Essential entities: do 10 milijuna EUR ili 2 % godišnjeg globalnog prometa — ono što je veće
• Important entities: do 7 milijuna EUR ili 1,4 % globalnog prometa
• Osobna odgovornost menadžera — mogu biti privremeno zabranjeni obavljati upravljačku funkciju

Što ako ste manji (ispod praga srednjeg poduzeća)?

Mikro i mala poduzeća (do 50 zaposlenih, do 10M EUR prihoda) načelno su izvan obveze, ali:

• nadležno tijelo može ručno uključiti subjekt ako ocijeni da njegov ispad nosi sistemski rizik (TLD registry, DNS provider, critical service provider — bez obzira na veličinu)
• vaši klijenti koji su pod NIS2 moraju dokazati da vode supply-chain rizik — tražit će od vas ugovorno DPA-style odredbe, audit right, SLA, incident notification

Drugim riječima — i ako niste direktno obveznik, kroz ugovore s B2B klijentima ćete postati de facto obveznik.

Što učiniti sada

1. Mapirajte svoje servise — jeste li essential, important, izvan direktne obveze ili pod-obveza kroz klijente?
2. Napravite gap analizu — postojeće mjere vs članak 21. Iskoristite ISO 27001 ili NIST CSF kao okvir
3. Dokumentirajte incident response plan — tko, kada, na koji broj telefona, po kojem obrascu
4. Ažurirajte ugovore s dobavljačima — supply-chain obveze zahtijevaju pismene odredbe
5. Osposobite upravu — ovo NIJE IT pitanje, NIS2 traži dokaziv training upravnog tijela

Ako koristite WMD hosting, tehnička razina (backup, monitoring, enkripcija u prijenosu, MFA za cPanel) pokrivena je na našoj strani i u DPA dokumentu koji rado dijelimo klijentima koji grade svoj compliance dosje.