Ova stranica je namijenjena rukovoditeljima sigurnosti i operativnim timovima tvrtki s povezanim proizvodnim linijama. Saznajte koje su obveze za važne entitete prema NIS2/ZKS i kako ispuniti zahtjeve do 2026. godine.
NIS2 obaveze se primjenjuju na industrijske proizvođače s proizvodnim linijama povezanim s korporativnom mrežom, PLC sustavima ili Industry 4.0 infrastrukturom koji su klasificirani kao važni entiteti. To uključuje tvrtke s kritičnom proizvodnom infrastrukturom čije bi prekide moglo prouzročiti značajne ekonomske ili sigurnosne posljedice za Hrvatsku.
Moraju implementirati sustave nadzora i kontrole (SCADA, PLC) s primijenjenim sigurnosnim mjerama. To uključuje zaštitu od neovlaštenog pristupa, enkripciju komunikacija između kontrolnih sustava i detekciju anomalija u proizvodnim procesima. Svi industrijski kontroleri moraju biti inventarizirani i redovito provjeravani na ranjivosti.
Proizvodne linije moraju biti fizički ili logički odvojene od korporativne IT mreže s implementiranim firewall-ima i sustavima za kontrolu pristupa. Nadzor mreže mora detektirati neovlaštene pokušaje pristupa između segmenata. Svi tokovi podataka između OT i IT dijelova moraju biti jasno dokumentirani i kontrolirani.
Tvrtke moraju provjeravati sigurnosne prakse svojih dobavljača industrijskih komponenti, firmware-a i PLC uređaja. Ugovori s dobavljačima moraju sadržavati odredbe o sigurnosti, pravovremenim ažuriranjima i izvještavanju o ranjivostima. Svi dobavljeni softver i firmware moraju biti provjeravani na autentičnost i integritet prije instalacije.
Veliki sigurnosni incidenti koji uzrokuju prekid proizvodnje ili značajne ekonomske gubitke moraju biti izvješteni Službi od stranog uskraćivanja (SOA) u propisanom roku. Tvrtke moraju imati postupke za brzu detekciju, analizу i dokumentaciju incidenata te komunicirati s nadzorom prema utvrđenim vremenskim okvirima.
Moraju uspostaviti formalizirane procese procjene i primjene sigurnosnih ažuriranja za sve PLC, SCADA i industrijskie IoT uređaje. Sustavi moraju biti praćeni za dostupne zakrpe, a rizici neprimjene zakrpi moraju biti dokumentirani i odobravani. Potrebno je planiranje testiranja zakrpa bez prekida proizvodnje.
Da, segmentacija je obavezna prema NIS2. Međutim, moguće je koristiti kontrolirane tokove podataka preko demilitarizirane zone (DMZ) ili industrijskih firewall-a koji omogućavaju samo specificirane komunikacijske protokole. Važno je da je svaka veza dokumentirana i nadzirana.
NIS2 ne specificira točnu frekvenciju, ali preporučuje se najmanje godišnja procjena kritičnih dobavljača (firmware, komponente) i polugodišnja za druge. Procjena trebala bi biti proporcionalna riziku koji dobavljač predstavlja za proizvodnu infrastrukturu.
Prema hrvatskom ZKS-u, novčane kazne za neispunjenje mogu dosegnuti do 10 milijuna EUR ili 2% globalnog godišnjeg prihoda, ovisno što je veće. Za važne entitete kazne su generalno veće nego za druge subjekte. Rizik također uključuje suspenziju dozvole za rad ili isključenje iz javnih nabava.