Vodiči za rektore, prorektore za informatiku i službenike za kybernetsku sigurnost na hrvatskim sveučilištima i privatnim školama s digitalnom infrastrukturom. Saznajte konkretne korake za usklađenost s NIS2 zahtjevima i izbjegavanje prekršajnih kazni.
Hrvatska sveučilišta, državne i privatne visoške škole te akademije koje koriste digitalne sustave za nastavu, istraživanja ili upravljanje studentskim podacima obvezni su prijaviti se kao važni entiteti prema NIS2. Ova klasifikacija obuhvaća institucije s najmanje 500 studenata ili onih čije istraživačke mreže sadrže podatke od nacionalnog značaja.
Institucije moraju uspostaviti mehanizme enkripcije, kontrole pristupa i redovitih sigurnosnih pregleda za sve sustave koji obrađuju osobne podatke studenata, posebice platforme za e-učenje (Moodle, Canvas, Teams). Obvezna je i primjena standarda ISO 27001 ili ekvivalentnog okvira za upravljanje informacijskom sigurnošću.
Svaki sigurnosni incident koji utječe na podatke studenata ili rezultate istraživanja mora biti prijavljen Službi za kybernetsku sigurnost (SOA) u roku od 72 sata. Institucije moraju uspostaviti plan reagiranja na incidente s naznačenim odgovornim osobama i redovitim vježbama.
Institucije moraju provesti procjene rizika za sve eksterne dobavljače koji pristupaju sustavu, posebice davatelje oblačnih usluga (Google Workspace, Microsoft 365) i prodavače sustava upravljanja studentskim informacijama. Ugovori s dobavljačima moraju sadržavati jasne odredbe o kybernetskoj sigurnosti i pravima nadzora.
Sve djelatnike koji koriste sustave (administrativa, nastavnici, IT osoba) i studente s pristupom istraživačkim mrežama mora se obučiti o sigurnosti lozinki, prepoznavanju phishinga i pravnoj obvezi čuvanja podataka. Obuka mora biti provedena najmanje jednoga puta godišnje s dokumentacijom.
Institucije moraju provesti godišnje sigurnosne audite ili procjene rizika od vanjskog stručnjaka, a nalazi se trebaju dokumentirati i dostupni za provjeru SOA-u tijekom nadzora. Revizije moraju uključiti testiranje na penetracije i osjetljivost, posebice za javne istraživačke portale.
Da. Prema NIS2 zahtjevima, svi korisnici koji pristupaju digitalnim sustavima institucije moraju biti obučeni o osnovama sigurnosti (prepoznavanje phishinga, sigurne lozinke, zaštita osobnih podataka). Preporučuje se godišnja obuka s dokumentacijom pristanka i pohađanja.
Sveučilišta su klasificirana kao važni entiteti (Prilog II) jer su ključna za gospodarstvo i društvo kroz istraživanja i obrazovanje. Kritična infrastruktura obuhvaća samo određene sektore (energija, voda, sigurnost). Važni entiteti imaju niže zahtjeve nego kritična infrastruktura, ali obveze oko zaštite podataka i prijavljivanja incidenata su obavezne.
Prekršajne kazne prema NIS2 mogu iznositi do 2% godišnjeg prihoda institucije ili do 10 milijuna eura (ovisno o vrsti kršenja). Dodatno, mogu biti nametnuta jača upozorenja od SOA-a i obveza financiranja vanjskog audita do otklanjanja nedostatka.