Ova stranica namijenjena je operatorima kritične energetske infrastrukture u Hrvatskoj koji moraju zadovoljiti obveze NIS2 regulacije. Saznajte kakve sigurnosne mjere trebate primjenjivati na OT/ICS sustavima i kako izbjegnuti tipične greške u compliance-u.
Kao bitni subjekt NIS2 regulacije kvalificiraju se proizvođači električne energije, operatori prenosnih i distribucijskih mreža, distributeri prirodnog plina, operatori sistema za daljinsko grijanje i dobavljači goriva čiji prekid rada ima značajan utjecaj na stabilnost energetskog sustava ili sigurnost ljudske populacije u Hrvatskoj. U pravilu se radi o srednjim i većim subjektima koji upravljaju kritičnom infrastrukturom.
Mora se osigurati tehnička i organizacijska zaštita sustava za upravljanje proizvodnjom i distribucijom energije, uključujući SCADA, PLC i industrijske kontrolne sustave. Sistemi trebaju biti fizički i logički odvojeni od korporativnih IT mreža, s jasnom segmentacijom i mogućnosti nadzora u realnom vremenu. Preporučuje se primjena kontrola pristupa, enkripcije komunikacija i redovitih sigurnosnih provjera.
Operatori su obvezni izvijestiti Sigurnosno-analitički centar (SAC) i nadležne nacionalne vlasti o sigurnosnim incidentima koji mogu utjecati na stabilnost energetskog sustava ili imati prekogranični utjecaj. Izvještaj mora biti podnesen u propisanom roku s detaljima o vrsti incidenta, zahvaćenim sustavima i primijenjenim mjerama za oporavak.
Potrebno je uspostaviti proces evaluacije rizika za sve kritične dobavljače mrežne opreme, SCADA komponenti i industrijskih sustava. Trebaju se provjeravati sigurnosni standardi dobavljača, njihova dostupnost sigurnosnih zakrpa, povremeni sigurnosni audit i jasni ugovori sa zahtjevima za brzo obavijestiti o odkrivenim ranjivostima.
Transformatorske stanice i kritični energetski objekti trebaju biti zaštićeni fizičkim kontrolama pristupa, video nadzor om i detektorima neovlaštenih pokušaja pristupa. Istovremeno se mora primijeniti cyber nadzor fizičkog sloja — logiranje pristupa, praćenje anomalija i integracija signala s IT sustavima za detekciju napada.
Svi zaposlenici s pristupom OT sustavima moraju proći redovitu sigurnosnu obuku. Potrebno je uspostaviti sustav upravljanja privilegijama, s detaljnom kontrolom pristupa temeljem principa najmanje potrebne ovlasti. Trebaju se redovito provjeravati i dokumentirati sve promjene pristupa osobitom pažnjom na udaljenipristup i zaduživanje vanjskih izvoditelja.
Minimalno se zahtjeva segmentacija SCADA mreže od korporativnog IT-a, šifriranje svih komunikacija, kontrola pristupa s jakim autentifikacijom, nadzor anomalija u realnom vremenu i redovite sigurnosne testove penetracijskog tipa. Svi uređaji trebaju biti inventorizirani, sa verzijama softvera i zakrpama praćenim i ažuriranim prema rasporedu.
Prema NIS2 regulaciji, incidenti s potencijalnim prekograničnim utjecajem trebaju biti prijavljeni Sigurnosno-analitičkom centru (SAC) u roku od 72 sata od otkrivanja. Za incidente koji direktno utječu na stabilnost mreže ili proizvodnju, SAC može zahtijevati puno brža izvještavanja u satu ili manjoj mjeri vremena.
Novčane kazne za bitne subjekte mogu dosegnuti do 10 milijuna eura ili 2% godišnjeg prometa (ovisno što je veće) za ozbiljne povrede. Za manje povrede primjenjuju se nižje kazne, ali redoviti nadzor i auditi od strane regulatora znate da su obvezni do 2026. godine.