Nacionalna sajber konferencija ŠTA JE TO NIS2 I KAKO SE SRBIJA UKLAPA U BEZBEDNOSNU SLIKU EVROPE
Nacionalna sajber konferencija koju 23. oktobra po drugi put zajedno organizuju Fondacija „Registar nacionalnog internet domena Srbije“ (RNIDS) i Nacionalni CERT Republike Srbije (RATEL) ove godine u centar interesovanja postavila je NIS2 direktivu Evropske unije, koju je ovih dana trebalo da implementiraju na lokalu sve zemlje EU, uz pitanje da li će se i koliko od nje razlikovati budući Zakon o informacionoj bezbednosti, koji bi trebalo da se donese do sredine 2025. godine.
O tome, ali i o drugim sajber pretnjama, uključujući i sajber pretnje na društvenim mrežama, raspravljalo se na Nacionalnoj sajber konferenciji pred punom salom Radison Mil hotela. Bilo je tu predstavnika velikih kompanija, koje uglavnom spremno dočekuju promenu propisa vezanih za sajber bezbednost, ali i pravnika, IT stručnjaka i predstavnika domaćih i međunarodnih institucija koje su učestvovale u pripremi i primeni nove strategije EU posvećene borbi za bolju sajber sigurnost.
-Šestu godinu zaredom okupljamo stručnjake iz ove oblasti sa ciljem da u sajber prostoru omogućimo što viši stepen bezbednosti. Do 2023.godine nacionalni CERT je zabeležio porast broja prijavljenih incidenata za 40 posto u odnosu na 2022, a taj trend se nastavlja i danas– rekao je u uvodnom izlaganju Duško Kodžić, direktor Sektora za informacionu bezbednost i tehnologije RATEL-a. – Zato je neophodno kontinuirano raditi na informacionoj bezbednosti kroz tri osnovna segmenta, a to su ljudi, procesi i tehnologija.
Uvodne govore održali su i Dejan Đukić, direktor Registra nacionalnog internet domena Srbije, Milan Vojvodić iz Ministarstva informisanja i telekomunikacija, ambasador Jan Braathu, šef Misije OEBS-a u Srbiji i Plamena Halačeva, zamenica šefa Delegacije Evropske unije u Srbiji.
Prvi panel bio je posvećen NIS 2 direktivi, njenoj primeni u zemljama Evropske unije, koje su imale rok do 17. oktobra da implementiraju ove odredbe u svoju legislativu (neke zemlje ipak nisu to još učinile), a bilo je reči i o tome kako i koliko je naša država Nacrtom zakona o informacionim delatnostima odgovorila na zahteve koje postavlja Direktiva. Kako smo saznali od učesnika, neke kompanije odavno primenjuju ove standarde, a ono što se sada očekuje jeste bolja i veća saradnja između sektora, uz pitanje kako odredbe ove direktive, koje podrazumevaju korišćenje i manipulisanje ličnim podacima, uskladiti s odredbama Zakona o zaštiti podataka o ličnosti, čiji je cilj upravo njihova zaštita. Mina Tomić, iz kompanije A1 rekla je da telekomunikacione kompanije prednjače u implementaciji ovih direktiva, dok je Gorazd Božič, SI-CERT Slovenia, podelio iskustva Slovenije u građenju sajber bezbednosne legislative. Milan Vojvodić istakao je da će Srbija imati dovoljno vremena da isprati kako teče implementacija NIS2 direktive pre nego što i sama usvoji novi Nacrt zakona.
Pretnje i društvene mreže
Na konferenciji je bilo reči o vrlo širokom spektru pretnji koje dolaze sa društvenih mreža – od prevara i fišing poruka do preuzimanja naloga radi iznude ili zloupotrebe identiteta, koje ugrožavaju ne samo privatne, već i poslovne korisnike. Uz analizu problema uvođenja veštačke inteligencije u priču, bilo je reči o tome kako pretnje evoluiraju, kakva i kolika je odgovornost platformi, ali i o poželjnim bezbednosnim procedurama koje treba primeniti da bi se predupredili rizici.
-Zemlje EU koje su implementirale NIS2 direktivu donele su nacionalne zakone i kod njih je definisan rok kada će početi primena tog zakona s jasnim odredbama koje s uobaveze IKT sistema – rekao je Dejan Đukić, direktor Registra nacionalnog internet domena Srbije. - Za nas to znači da ćemo moći da vidimo u praksi kako to funkcionše, jer je kod nas zakon još u fazi nacrta.
-Budući zakon potpisuje i procedure koje moraju da definišu IKT sistemi koji su definisani kao sistemi od posebnog značaja. Takođe, propisuje kako reaguju u slučaju incidenata, propisuje kako moraju da drže rezervne kopije, odnoso bekap svojih podataka – kaže Đukić. -to svakako diže operativni trošak rada svih organizacija, pogotovo onih koje još nisu na nivou kao što su telekom operateri, recimo.
Kako je rekao, ostali sistemi, kao što je zdravstvo prosveta ne mogu da pariraju svojim sistemima telekom operaterima, pa će morati puno toga da urade, da bi dostigli taj nivo. Poseban problem je nedostatak ljudstva, pošto sada imamo samo dva inspektora, a Inspektorijat tek treba da se, kako su najavili na panelu, otvori 2027. godine.
-Na ministarstvu je da vidi kako će popuniti ljudstvom, mi smo tu da sarađujemo s institucijama. Mi smo još od prvog zakona IKT sistem od posebnog značaja, tako da smo morali puno toga da uradimo, da bismo dostigli te standarde. Imamo i ISO27001, koji je praktično implementiran u NIS direktivu. Taj nivo standardne bezbednosti i dobre prakse mi već posedujemo, kaže Đukić.
Šta ustvari donosi NIS2? Sve ono što je u pojedinim velikim kompanijama bila dobra praksa kad je u pitanju sajber bezbednost i brzo reagovanje na pretnje, sad je postalo obaveza. NIS2 direktiva proširuje obuhvat preduzeća i organizacija koje moraju poštovati strože standarde sajber bezbednosti, uključujući obavezno prijavljivanje incidenata, jaču saradnju između država članica EU i razvijanje zajedničkih standarda za sajber bezbednost. Organizacije koje ne poštuju ovu regulativu mogu se suočiti sa značajnim prekršajima, iako, kako su istakli, nijedan prekršaj ne potpada pod krivično delo..
Glavne novine NIS2 direktive uključuju proširenje broja sektora i vrsta preduzeća koja potpadaju pod regulativu, uvođenje strožih pravila o izveštavanju o incidentima, jačanje odgovornosti rukovodstva kompanija za sajber bezbednost, kao i promovisanje saradnje i razmene informacija između zemalja članica.
Konferencija je organizovana uz podršku Ministarstva informisanja i telekomunikacija, fondacije Mreža sa sajber bezbednost, Misije OEBS-a u Srbiji, organizacija eGA, ICANN, CILC i NUKIB.
Ivana Radoičić
Foto: I. R.
