Inhaltsverzeichnis

NIS2 direktiva

NIS2 direktiva

Provedba EU direktive 2022/2555 (NIS2) za mrežnu i informacijsku sigurnost s post-kvantnom kriptografijom.

Pregled

NIS2 direktiva¹⁾ je revidirana EU direktiva za kibernetičku sigurnost kritičnih infrastruktura. Stupila je na snagu 16. siječnja 2023. i mora se prenijeti u nacionalno pravo do 17. listopada 2024.

flowchart TB subgraph NIS2["NIS2 direktiva (EU) 2022/2555"] A21["Članak 21
Upravljanje rizicima"] A23["Članak 23
Obveze prijave"] A32["Članak 32
Nadzor"] end subgraph A21D["Čl. 21(2) - Minimalne mjere"] A21a["(a) Analiza rizika"] A21d["(d) Lanac opskrbe"] A21e["(e) Nabava"] A21h["(h) Kriptografija"] A21j["(j) MFA/Pristup"] end subgraph WVDS["WvdS provedba"] RISK["Doku rizika"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Klijentski cert."] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Obuhvaćeni sektori

NIS2 proširuje područje primjene na više sektora:

Bitni subjekti (Essential Entities)

Sektor	Primjeri	WvdS relevantnost
Energetika	Elektroenergetske mreže, vjetroelektrane, nafta/plin	Scenariji energetike
Promet	Željeznica, zrakoplovstvo, pomorstvo	Transportni certifikati
Bankarstvo	Kreditne institucije	Sigurnost transakcija
Zdravstvo	Bolnice, laboratoriji	Scenariji zdravstva
Pitka voda	Vodoopskrba	SCADA komunikacija
Digitalna infrastruktura	DNS, TLD, Cloud	PKI, TLS

Važni subjekti (Important Entities)

Sektor	Primjeri	WvdS relevantnost
Pošta/Kurirske službe	Logistika	Autentifikacija
Gospodarenje otpadom	Odlaganje	OT sigurnost
Kemija	Proizvodnja	Scenariji industrije
Hrana	Proizvodnja, trgovina	Lanac opskrbe
Proizvodnja	Strojevi, vozila	Scenariji automobilske industrije
Digitalne usluge	Tržišta, tražilice	API sigurnost

Članak 21(2) - Mjere upravljanja rizicima

Direktiva u članku 21(2)²⁾ zahtijeva konkretne minimalne mjere:

(a) Analiza rizika i sigurnost informacijskih sustava

Zahtjev	WvdS dokaz
Identifikacija rizika	Dokumentacija rizika
Kvantna prijetnja analizirana	Harvest-Now-Decrypt-Later scenarij
Potreba za zaštitom utvrđena	Klasifikacija podataka prema trajanju

(d) Sigurnost lanca opskrbe

Zahtjev	WvdS dokaz
Procjena dobavljača	OpenSSL 3.6 = Open Source, revidirano
Minimiziranje ovisnosti	Samo OpenSSL + .NET Runtime
Osiguranje ažuriranja	NuGet paket, automatska ažuriranja

(e) Sigurnost pri nabavi, razvoju i održavanju

Zahtjev	WvdS dokaz
Siguran razvoj	Pregled koda, testovi
Upravljanje ranjivostima	GitHub Security Advisories
Upravljanje zakrpama	Semantic Versioning

(h) Koncepti za kriptografiju

Ključni zahtjev za WvdS:

Zahtjev	WvdS provedba	Status
Odgovarajuća kriptografija	NIST FIPS 203/204 algoritmi	✅
Stanje tehnike	Post-Quantum od NIST 2024	✅
Šifriranje po potrebi	Hibridna kriptografija	✅
Upravljanje ključevima	HKDF, PBKDF2, Argon2id	✅

// NIS2-usklađena kriptografska konfiguracija
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Hibridni certifikati: klasično + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Višefaktorska autentifikacija

Zahtjev	WvdS provedba	Status
MFA ili kontinuirana autentifikacija	mTLS s klijentskim certifikatima	✅
Sigurna komunikacija	TLS 1.3 s PQ algoritmima	✅
Upravljanje identitetima	X.509 certifikati	✅

Članak 23 - Obveze prijave

Za sigurnosne incidente vrijede stroge obveze prijave³⁾:

Rok	Prijava	WvdS podrška
24 sata	Rano upozorenje	Revizijsko zapisivanje za forenziku
72 sata	Prijava incidenta	Detaljni logovi dostupni
1 mjesec	Završno izvješće	Potpuna dokumentacija

Preporuka: Aktivirajte revizijsko zapisivanje za sve kriptografske operacije kako biste incidente mogli dokumentirati i pratiti.

Rokovi provedbe

timeline title NIS2 provedba section 2023 16. sij : NIS2 na snazi Inventarizacija : Provjera obuhvaćenosti section 2024 17. lis : Rok provedbe Gap analiza : Identifikacija mjera section 2025 Obveze prijave : Potpuno aktivne Nadzor : Kontrole počinju section 2026+ Sankcije : Kazne moguće Revizije : Redovite provjere

Sankcije za kršenja:⁴⁾

Bitni subjekti: do 10 mil. EUR ili 2% godišnjeg prometa (čl. 34(4))
Važni subjekti: do 7 mil. EUR ili 1,4% godišnjeg prometa (čl. 34(5))

Kontrolna lista za NIS2 usklađenost

#	Točka provjere	WvdS dokaz	✓
—	—————-	————	—
1	Analiza rizika dokumentirana	Rizik	☐
2	Kriptografija „stanje tehnike“	NIST FIPS 203/204 (2024)	☐
3	Hibridna kriptografija aktivna	CryptoMode.Hybrid	☐
4	Upravljanje ključevima dokumentirano	KeyDerivation	☐
5	Lanac opskrbe transparentan	OpenSSL 3.6 Open Source	☐
6	MFA implementiran	mTLS s klijentskim certifikatima	☐
7	Revizijsko zapisivanje aktivno	Kripto događaji protokolirani	☐
8	Proces prijave definiran	Incident-Response-Plan	☐

Hrvatska provedba

Zakon o kibernetičkoj sigurnosti provodi NIS2 u hrvatsko pravo:

NIS2	Hrvatsko pravo	Nadležno tijelo
Bitni subjekti	Operatori bitnih usluga	CARNET/SOA
Važni subjekti	Operatori važnih usluga	CARNET/SOA
Obveze prijave	Članci zakona	CERT.hr
Sankcije	Prekršajne odredbe	Nadležna tijela

Daljnje informacije

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

nis2, eu, compliance, kritis, artikel-21

¹⁾

EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555

²⁾

NIS2 direktiva čl. 21 st. 2: „Mjere upravljanja rizicima kibernetičke sigurnosti“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e3507-80-1

³⁾

NIS2 direktiva čl. 23: „Obveze izvještavanja“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e3835-80-1

⁴⁾

NIS2 direktiva čl. 34: „Upravne sankcije“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e4802-80-1