Sajber bezbednost se ne tiče više samo IT sektora: kako NIS2 pomera odgovornost na upravni odbor?

sajber bezbednost.jpg — Foto: Shutterstock

Zamislite direktora firme srednje veličine, recimo distributera koji opslužuje nekoliko kupaca u Evropskoj uniji. U ponedeljak ujutru sazna da je preko vikenda neko ušao u sistem i da polovina naloga ne radi. Prvi instinkt je da pozove „čoveka iz IT-ja” i pita kako se to desilo i kada će biti rešeno.

Ali kada stigne pravnik, prvo pitanje neće biti upućeno IT sektoru. Biće upućeno direktoru lično: da li je on, kao član uprave, odobrio mere zaštite, da li je prošao obuku, i da li može da dokaže da je nad svim tim imao nadzor.

To pomeranje, sa pitanja „čija je ovo greška u serverskoj sali” na pitanje „ko je u upravi za ovo odgovoran”, upravo je suština nove evropske regulative o sajber bezbednosti.

NIS2 direktiva

NIS2 direktiva je naslednik starije NIS direktive iz 2016. i predstavlja okvir kojim Evropska unija pokušava da podigne nivo sajber bezbednosti u celoj Uniji.

Države članice su bile dužne da je prenesu u svoje zakone do 17. oktobra 2024. Mnoge to nisu stigle, pa je Evropska komisija krajem 2024. pokrenula postupke zbog kašnjenja, a u maju 2025. uputila zvanično upozorenje čak devetnaest država. To je ubrzalo proces. Do proleća 2026. transpoziciju je završila velika većina, više od dvadeset od dvadeset sedam članica, uključujući i Nemačku, čiji je zakon na snazi od decembra 2025. Tako da pravila već važe, ali se primenjuju u različitom tempu i sa lokalnim razlikama od države do države.

Ono što NIS2 čini važnim nije samo da je proširio krug firmi i sektora koje obavezuje. Najvažnija promena je ko je odgovoran za procese.

Najveća promena nije tehnička

Godinama je sajber bezbednost u praksi bila u IT sektoru u firmama. Direktori u kompanijama je do sada mogla mirno da kaže da je to „tehnička stvar” i da prebaci problem nadole.

NIS2 to menja. Član 20 direktive izričito traži da upravni organi obveznih firmi sami odobre mere za upravljanje rizicima i da nadziru njihovu primenu. Uz to, članovi uprave moraju da prođu obuku, dovoljnu da znaju da prepoznaju i procene rizik, a podstiču se da sličnu obuku obezbede i zaposlenima. To zahteva i član 10 Zakona o informacionoj bezbednosti.

Najozbiljniji deo je lična odgovornost. Direktiva traži od država da omoguće da članovi uprave snose odgovornost kada firma ne ispuni svoje obaveze, a kod najkritičnijih, takozvanih ključnih firmi, predviđena je i mogućnost da se odgovornom licu privremeno zabrani obavljanje rukovodeće funkcije u toj firmi. To je odredba kakve u evropskom pravu o sajber bezbednosti do sada nije bilo, i primenjuje se samo u slučajevima većih incidenata.

Na koga se sve odnosi direktiva?

NIS2 deli firme u dve kategorije. Prvu čine takozvane ključne firme, u sektorima visoke kritičnosti, gde spadaju energetika, saobraćaj, bankarstvo, zdravstvo, snabdevanje vodom i digitalna infrastruktura, uključujući klaud servise i data centre. Drugu čine važne firme, u sektorima poput proizvodnje hrane, prerađivačke industrije, upravljanja otpadom i poštanskih usluga. U opseg ulaze i organi državne i regionalne uprave, čime su obuhvaćene i mnoge javne službe koje ranije nisu imale ovakve obaveze.

Razlika između dve grupe nije toliko u tome šta moraju da urade, jer su obaveze veoma slične, koliko u tome kako ih nadgledaju i koliko plaćaju ako pogreše. Ključne firme su pod stalnim, proaktivnim nadzorom i prete im kazne do deset miliona evra ili dva odsto godišnjeg prometa na svetskom nivou, šta god je veće. Važne firme se nadziru tek kada se pojavi sumnja ili incident, a kazne idu do sedam miliona evra ili 1,4 odsto prometa.

U opseg, po pravilu, ulaze srednje i velike firme, mada postoje izuzeci u kojima i manje firme upadaju zbog uloge koju imaju u sistemu. Procene govore da je samo u Uniji obuhvaćeno više od sto šezdeset hiljada firmi, što je daleko više nego po starom pravilu.

Najveće promene

Prva je upravljanje rizikom. Član 21 traži takozvani pristup svim opasnostima, dakle zaštitu ne samo od hakera, nego i od kvarova, ljudskih grešaka i fizičkih pretnji. Tu spadaju analiza rizika, plan reagovanja na incidente, kontinuitet poslovanja, kontrola pristupa i, sve važnije, bezbednost lanca snabdevanja. Direktiva pritom izričito pominje i konkretne tehničke mere, poput višefaktorske autentifikacije, kriptografije i redovnog proveravanja koliko su uvedene mere zaista delotvorne.

Druga je prijava incidenata, i tu su rokovi neumoljivi. Kod ozbiljnih incidenata firma mora da pošalje ranu najavu nadležnom telu u roku od 24 sata, detaljniju prijavu u roku od 72 sata, i konačan izveštaj u roku od mesec dana.
Treća je upravljanje i odgovornost uprave, o čemu je već bilo reči, i to je deo koji povezuje sve ostalo. Mere i prijave ne vrede mnogo ako iza njih ne stoji neko ko je za njih lično odgovoran.

Zašto ovo važi i za firme iz Srbije?

Logično je pomisliti da se sve ovo tiče samo firmi u Uniji. Ali tu se obično pravi najveća greška.
Bezbednost lanca snabdevanja znači da ključne i važne firme u EU moraju da odgovaraju i za rizik koji unose njihovi dobavljači. A jedini način da to urade jeste da obaveze prenesu na vas, ugovorom. U praksi to izgleda ovako: firma iz Srbije koja isporučuje softver, uslugu ili komponentu nekom evropskom kupcu sve češće dobija bezbednosne upitnike, ugovorne klauzule o nivou zaštite, i obavezu da kupca o incidentu obavesti dovoljno brzo da on stigne da ispuni svoj rok od 24 sata.

Drugim rečima, vaša firma ne mora formalno da bude na spisku obveznika da bi morala da poštuje suštinu pravila. Dovoljno je da ste karika u lancu nekoga ko jeste obveznik. Što je vaš kupac kritičniji, to su zahtevi prema vama precizniji. Za izvozno orijentisanu privredu to znači da sajber bezbednost prestaje da bude trošak i postaje uslov pristupa tržištu.

Šta donosi domaća regulativa?

Srbija je u međuvremenu napravila svoj korak. Narodna skupština je u oktobru 2025. usvojila novi Zakon o informacionoj bezbednosti, koji je stupio na snagu, a kojim se domaći okvir usklađuje upravo sa NIS2 direktivom.

Novi zakon proširuje krug obveznika i uvodi podelu na operatore prioritetnih i važnih IKT sistema, što odgovara evropskoj podeli na ključne i važne firme. U zaštitu sada ulaze i sektori koji ranije nisu bili prepoznati kao osetljivi, poput proizvodnje hrane, automobilske industrije, upravljanja otpadom i zdravstva. Jača se uloga nacionalnog CERT-a, predviđa stroži nadzor, novi sistem kazni, a uvodi se i prekršajna odgovornost operatora i odgovornih lica u njima. Propisi su pritom usklađeni i sa zaštitom podataka o ličnosti.

Zakon je na snazi, ali će tek podzakonski akti da preciziraju ko se tačno smatra operatorom prioritetnog ili važnog IKT sistema, uključujući kriterijume veličine, koje su obavezne mere zaštite, i kako tačno teče postupak prijave incidenata.

Dalji koraci

Vidno je da sajber bezbednost postaje ključno pitanje za funkcionisanje svih kompanija. Pitanje više nije samo da li firma ima dobar firewall, nego ko u firmi odgovara kada zaštita popusti.

Ono što lično mislim jeste da je najveća zamka shvatiti NIS2 kao još jedan papir koji treba da popuni neko iz ITa. Njegova prava poruka je da uprava mora da nauči da postavlja prava pitanja: šta zapravo štitimo, ko ima pristup, šta radimo prvih sati posle napada, i na koga se taj napad preliva dalje niz lanac. Firme koje to shvate na vreme neće samo izbeći kaznu. Dobiće poverenje, jer je gubitak poverenja mnogo veća kazna od bilo koje novčane i može biti veliki udarac za poslovanje kompanija.

Stefan Badža

Stefan Badža je direktor akceleratora i globalnih partnerstava "HUB 201". Bio je inicijator i rukovodilac izrade i sprovođenja prve Strategije razvoja veštačke inteligencije Vlade Republike Srbije, čija je realizacija dovela do osnivanja Instituta za veštačku inteligenciju, uvođenja sadržaja iz oblasti veštačke inteligencije u osnovne i srednje škole, pokretanja sedam novih master programa posvećenih veštačkoj inteligenciji, kao i uspostavljanja Nacionalne superračunarske platforme za veštačku inteligenciju. Takođe je radio na razvoju i širenju mreže naučno-tehnoloških parkova i inovacione infrastrukture u Srbiji, kao i na povezivanju države, akademske zajednice i privrede sa ciljem ubrzanog tehnološkog razvoja.

Prethodna vestSledeća vest

Tagovi

Budi deo EUpravo zato zajednice.

Komentariši

Sajber bezbednost se ne tiče više samo IT sektora: Ko je odgovoran kada zaštita popusti?

NIS2 direktiva

Najveća promena nije tehnička

Na koga se sve odnosi direktiva?

Najveće promene

Zašto ovo važi i za firme iz Srbije?

Šta donosi domaća regulativa?

Dalji koraci

Novi lek daje nadu obolelima od raka pankreasa: U testiranju gotovo udvostručio stopu preživljavanja

Flamingo svoj novi dom našao u Veneciji: Zašto sve više ovih ptica dolazi u tu lagunu?

Koji su najpopularniji ukusi sladoleda u Evropi: Ko najviše jede omiljenu letnju poslasticu?

Gde u Evropi možete da popijete česmovaču u restoranima? Presuda iz Italije pokrenula je često pitanje turista

Nacisti su ih opljačkali, a sada su izložena u Parizu sa jednom svrhom: "Ko poseduje ova dela?"

Oružje protiv suše možda nije pitanje nove tehnologije: Ekološki pristup dovoljan za proizvodnju bageta u Francuskoj?

Plutajuća elektrana na vodonik: Da li je ovo budućnost pomorskog saobraćaja?

Kako se otpad od drveta može pretvoriti u dobru izolaciju: Naučnici u gljivama pronašli rešenje

Magarci kao terapeuti: Francuska bolnica koristi životinje u lečenju mentalnih poremećaja, a pacijenti su oduševljeni

Manje zaposlenih, a više radnih sati: Nemci promenili tržište rada

Zašto su čepovi pričvršćeni za flašu? Direktiva EU koja je razbesnela Evropljane i te kako opravdana

Uvodi se kazna za one koji se sami voze u automobilima: Novi radari prepoznaju broj putnika i automatski kažnjavaju

Nude platu i od 200.000 dinara, ali se niko ne javlja: Gazda Paja šokiran iako nudi slobodne vikende i besplatan obrok

Top 5 pouzdanih automobila do 3.000 evra: Delovi se lako nalaze, stručnjaci i taksisti ih preporučuju

Imaju prosečnu platu od oko 4.500 EUR i savršenu prirodu! Ovo je najbolja država za preseljenje u 2025.