Ovaj vodič pomaže odvjetnicima i pravnim tvrtkama da zaštite podatke o litigaciji i transakcijama prema NIS2 regulativi. Saznajte konkretne mjere za zaštitu povjerljive klijentske dokumentacije i obavezni incident reporting.
Odvjetničke kancelarije koje pružaju usluge važnih subjekata (financijske institucije, energetski sektor, zdravstvo, promet) ili samostalno čuvaju povjerljive podatke u važnim slučajevima (M&A transakcije, sporovi milijuna eura vrijedne) spadaju u obuhvat NIS2-a kao važni subjekti. Male lokalne kancelarije koja služe samo privatne klijente nisu obuhvaćene, ali one koje rade sa manjima vrijednostima mogu biti obuhvaćene ako čine dio lanca dobave važnih entiteta.
Svi dokumenti koji sadrže vještine pohranjene na serverima, laptopima ili u oblačnim sustavima moraju biti enkriptirani u mirovanju i u prijenosu prema EN 27001 standardima. Odvjetničke kancelarije trebaju implementirati end-to-end enkripciju za e-mail komunikaciju i koristiti ISMS.online za reviziju pristupa povjerljivim datotekama. Pristup tim datotekama mora biti ograničen samo na attorney-client privilegirane osobe s dokumentiranim ovlastima.
Svi sustavi upravljanja slučajima (case management), e-discovery platforme i dokumentacijski serverai trebaju biti zaštićeni MFA (multi-factor authentication) za sve korisnike, uključujući admine. 1Password je preporučeni alat za upravljanje sigurnim pristupom i parolama bez dijeljenja lozinki po e-mailu. MFA mora biti obavezna za vanbirovne pristupe i rad s povjerljivim datotekama.
Svaka sumnja na neovlašteni pristup ili curenje podataka koji se koriste u aktivnoj litigaciji ili transakciji mora biti prijavljena Agenciji za zaštitu od hakerskih napada (AZOP) u roku od 72 sata. Odvjetničke kancelarije trebaju dokumentirani plan incident response-a s jasnim rolama i nalazima koji će biti dostavljeni klijentu i nadležnim tijelima u zavisnosti od vrste podataka.
Svi laptopi odvjetnika trebaju biti zaštićeni punom disk enkriptacijom (full-disk encryption), sigurnosnim softverom s real-time zaštitom i automatskim ažuriranjem OS-a i aplikacija. Povjerljivi dokumenti nikada ne smiju biti prenosivi na USB ili ostale eksterne pogone bez šifriranja i logiranja pristupa. Redovite sigurnosne preglede trebaju biti dio godišnje procjene rizika koju provodi ISMS.online.
Svaki dobavljač softvera koji čuva ili obrađuje povjerljive podatke (case management, e-discovery, cloud storage) trebao bi biti uključen u proces procjene rizika temeljen na NIS2 zahtjevima. Ugovori s dobavljačima trebaju sadržavati klauzule o enkripciji, incident reporting-u i redovitim sigurnosnim auditima. Reglyze može automatizirati procjenu rizika dobavljača i osigurati kontinuiranu nadzor.
Ako vašu kancelariju koriste kao dio lanca dobave važnog subjekta (primjerice pružate usluge banci ili energetskoj kompaniji), tada ste obuhvaćeni NIS2-om. Ako ste potpuno samostalni bez klijentela iz važnih sektora, te ako ne imate preko 50 zaposlenih, vjerojatno niste u obuhvatu, ali preporučujemo formalnu procjenu s AZOP-om jer su litigacijski podaci često osjetljivi i zaslužuju visoku razinu zaštite.
Odmah morate zaustaviti pristup tom dokumentu, dokumentirati sve detalje curenja (što je procurelo, kamo, kada) i prijaviti AZOP-u u roku od 72 sata. Trebate obavijestiti i klijenta prema ugovoru. ISMS.online može vam pomoći da dokumentirate incident i pratite sve korake obnove kako biste demonstrutirali brzu i odgovarajuću akciju.
AZOP može izdati redovitu preporuku s rokom od 3-6 mjeseci za ispravljanje, a ako je to teško kršenje, kaznena novčana санкција može biti do 10 milijuna eura ili 2% globalnog godišnjeg prometa, ovisno o tome što je više. Dodatno, klijenti mogu zahtijevati naknadu ako je curenje dovelo do štete u njihovom sporu ili transakciji, što stvara dodatnu financijsku izloženost.