Ova stranica je namijenjena upraviteljima sigurnosti, operativnim direktorima i IT stručnjacima u komunalnim i opasnim otpadnim operacijama koji trebaju ispuniti zakonom obvezne NIS2 standarde. Saznajte specifične obveze za zaštitu flote, praćenja hazardnog otpada i sigurnosti IoT uređaja.
Pod NIS2 spadaju komunalni zbirajnici otpada, industrijski obrađivači i operatori opasnog otpada koji pružaju usluge od važnosti za održavanje kritične infrastrukture. Uključuju se operatori sa najmanje 250 zaposlenih ili godišnjom zaradom iznad 50 milijuna EUR, kao i manji operatori ako njihova operativna prekida može značajno utjecati na javnu sigurnost ili komunalne usluge u Hrvatskoj.
Svi sustavi za upravljanje voznom flotom, GPS praćenje i rutno planiranje moraju biti zaštićeni multifaktorskom autentifikacijom i enkriptiranom komunikacijom. Vozila opremljena telemetrijskim uređajima trebaju redovne sigurnosne preglede hardvera i softvera najmanje dva puta godišnje. Pristup podacima o rutama smiju imati samo ovlašteni operatori sa dokumentiranom sigurnosnom obukom.
Dokumentacija o hazardnom otpadu, uključujući manifeste, putne naloge i zapise o odlaganju, mora biti pohranjena u sustavima sa kontrolom pristupa baziranoj na ulogama. Sve pristupe i izmjene trebaju biti revidirane i auditor trebao pristupi najmanje dva puta godišnje. Fizička pohrana hazardne dokumentacije trebala biti u zaključanim prostorijama sa ograničenim pristupom i video nadzorom.
Operatori su dužni prijaviti Agenciji za zaštitu od kibernskih napada (HAAG) sve sigurnosne incidente koji uzrokuju prekide u prikupljanju otpada ili obrade hazardnog materijala u roku od 24 sata od otkrivanja. Domaćin mora dokumentirati sve incidente, uzroke, ublažavajuće mjere i vrijeme normalnog rada. Godišnje se trebaju provesti najmanje dvije redovne vježbe odgovora na incidente.
Svi IoT uređaji montaže na vozilima i u pogonima za obradu trebaju biti konfigurirani sa jačim lozinkama (ne fabričkim postavkama) i redovito ažuriranim firmverom. Komunikacija između uređaja i centralnih sustava trebala biti enkriptirana sa TLS 1.2 ili novijom verzijom. Dobavljači IoT rješenja trebaju pružiti sigurnosne ažuriranja najmanje pet godina nakon instalacije ili kupovine.
Organizacija trebala napisati i objaviti politiku sigurnosti specifično za IT rješenja instalirana na vozilima, uključujući računala, skenere i komunikacijske uređaje. Politika trebala sadržavati: procedure za sigurne kupnje, obaveznu enkripciju podataka, kontrolu pristupa, proceduru za brisanje podataka na kraju životnog ciklusa vozila. Redovit pregled politike trebao biti najmanje godišnje ili nakon većih promjena u voznoj floti.
Rok za postizanje pune compliance je 18 mjeseci od datuma objave Zakona o kibernetskoj sigurnosti (ZKS), što je za većinu operatora označilo kraju listopada 2025. godine. Sve važne institucije trebale bi imati dokumentirane sigurnosne politike, redovite vježbe incident reportinga i enkripciju kritičnih podataka najkasnije do kraja 2025. godine.
Ne postoji zahtjev za specifičnim softverom, ali sustav koji koristite trebao biti siguran sa multifaktorskom autentifikacijom, enkripcijom podataka i redovitim sigurnosnim ažuriranjima. Važno je provjeriti sa dobavljačem ili IT stručnjakom da li sustav ispunjava standarde za kontrolu pristupa, reviziju pristupa i incident reporting.
Kazne za neusklađenost sa NIS2 mogu biti do 10 milijuna EUR ili do 2% godišnje zarade organizacije, ovisno o stupnju povrede. Za subjekte koji ne prijave sigurnosne incidente u roku od 24 sata, mogu se primijeniti dodatne kazne i suspenzija dozvole za obavljanje opasne otpadne operacije do popravke.