Sie befinden sich hier: start » hr » Interna dokumentacija » WvdS Kripto-biblioteka » 2. Poslovanje » 2.1 Usklađenost » NIS2 direktiva

Inhaltsverzeichnis

NIS2 direktiva

Provedba EU direktive 2022/2555 (NIS2) za mrežnu i informacijsku sigurnost s post-kvantnom kriptografijom.

Pregled

NIS2 direktiva1) je revidirana EU direktiva za kibernetičku sigurnost kritičnih infrastruktura. Stupila je na snagu 16. siječnja 2023. i mora se prenijeti u nacionalno pravo do 17. listopada 2024.

flowchart TB subgraph NIS2["NIS2 direktiva (EU) 2022/2555"] A21["Članak 21
Upravljanje rizicima"] A23["Članak 23
Obveze prijave"] A32["Članak 32
Nadzor"] end subgraph A21D["Čl. 21(2) - Minimalne mjere"] A21a["(a) Analiza rizika"] A21d["(d) Lanac opskrbe"] A21e["(e) Nabava"] A21h["(h) Kriptografija"] A21j["(j) MFA/Pristup"] end subgraph WVDS["WvdS provedba"] RISK["Doku rizika"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Klijentski cert."] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Obuhvaćeni sektori

NIS2 proširuje područje primjene na više sektora:

Bitni subjekti (Essential Entities)

Sektor Primjeri WvdS relevantnost
Energetika Elektroenergetske mreže, vjetroelektrane, nafta/plin Scenariji energetike
Promet Željeznica, zrakoplovstvo, pomorstvo Transportni certifikati
Bankarstvo Kreditne institucije Sigurnost transakcija
Zdravstvo Bolnice, laboratoriji Scenariji zdravstva
Pitka voda Vodoopskrba SCADA komunikacija
Digitalna infrastruktura DNS, TLD, Cloud PKI, TLS

Važni subjekti (Important Entities)

Sektor Primjeri WvdS relevantnost
Pošta/Kurirske službe Logistika Autentifikacija
Gospodarenje otpadom Odlaganje OT sigurnost
Kemija Proizvodnja Scenariji industrije
Hrana Proizvodnja, trgovina Lanac opskrbe
Proizvodnja Strojevi, vozila Scenariji automobilske industrije
Digitalne usluge Tržišta, tražilice API sigurnost

Članak 21(2) - Mjere upravljanja rizicima

Direktiva u članku 21(2)2) zahtijeva konkretne minimalne mjere:

(a) Analiza rizika i sigurnost informacijskih sustava

Zahtjev WvdS dokaz
Identifikacija rizika Dokumentacija rizika
Kvantna prijetnja analizirana Harvest-Now-Decrypt-Later scenarij
Potreba za zaštitom utvrđena Klasifikacija podataka prema trajanju

(d) Sigurnost lanca opskrbe

Zahtjev WvdS dokaz
Procjena dobavljača OpenSSL 3.6 = Open Source, revidirano
Minimiziranje ovisnosti Samo OpenSSL + .NET Runtime
Osiguranje ažuriranja NuGet paket, automatska ažuriranja

(e) Sigurnost pri nabavi, razvoju i održavanju

Zahtjev WvdS dokaz
Siguran razvoj Pregled koda, testovi
Upravljanje ranjivostima GitHub Security Advisories
Upravljanje zakrpama Semantic Versioning

(h) Koncepti za kriptografiju

Ključni zahtjev za WvdS:

Zahtjev WvdS provedba Status
Odgovarajuća kriptografija NIST FIPS 203/204 algoritmi
Stanje tehnike Post-Quantum od NIST 2024
Šifriranje po potrebi Hibridna kriptografija
Upravljanje ključevima HKDF, PBKDF2, Argon2id 
// NIS2-usklađena kriptografska konfiguracija
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Hibridni certifikati: klasično + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Višefaktorska autentifikacija

Zahtjev WvdS provedba Status
MFA ili kontinuirana autentifikacija mTLS s klijentskim certifikatima
Sigurna komunikacija TLS 1.3 s PQ algoritmima
Upravljanje identitetima X.509 certifikati

Članak 23 - Obveze prijave

Za sigurnosne incidente vrijede stroge obveze prijave3):

Rok Prijava WvdS podrška
24 sata Rano upozorenje Revizijsko zapisivanje za forenziku
72 sata Prijava incidenta Detaljni logovi dostupni
1 mjesec Završno izvješće Potpuna dokumentacija

Preporuka: Aktivirajte revizijsko zapisivanje za sve kriptografske operacije kako biste incidente mogli dokumentirati i pratiti.

Rokovi provedbe

timeline title NIS2 provedba section 2023 16. sij : NIS2 na snazi Inventarizacija : Provjera obuhvaćenosti section 2024 17. lis : Rok provedbe Gap analiza : Identifikacija mjera section 2025 Obveze prijave : Potpuno aktivne Nadzor : Kontrole počinju section 2026+ Sankcije : Kazne moguće Revizije : Redovite provjere

Sankcije za kršenja:4)

  • Bitni subjekti: do 10 mil. EUR ili 2% godišnjeg prometa (čl. 34(4))
  • Važni subjekti: do 7 mil. EUR ili 1,4% godišnjeg prometa (čl. 34(5))

Kontrolna lista za NIS2 usklađenost

# Točka provjere WvdS dokaz
—————-————
1 Analiza rizika dokumentirana Rizik
2 Kriptografija „stanje tehnike“ NIST FIPS 203/204 (2024)
3 Hibridna kriptografija aktivna CryptoMode.Hybrid
4 Upravljanje ključevima dokumentirano KeyDerivation
5 Lanac opskrbe transparentan OpenSSL 3.6 Open Source
6 MFA implementiran mTLS s klijentskim certifikatima
7 Revizijsko zapisivanje aktivno Kripto događaji protokolirani
8 Proces prijave definiran Incident-Response-Plan

Hrvatska provedba

Zakon o kibernetičkoj sigurnosti provodi NIS2 u hrvatsko pravo:

NIS2 Hrvatsko pravo Nadležno tijelo
Bitni subjekti Operatori bitnih usluga CARNET/SOA
Važni subjekti Operatori važnih usluga CARNET/SOA
Obveze prijave Članci zakona CERT.hr
Sankcije Prekršajne odredbe Nadležna tijela

Daljnje informacije

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,
1)
EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555
2)
NIS2 direktiva čl. 21 st. 2: „Mjere upravljanja rizicima kibernetičke sigurnosti“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e3507-80-1
3)
NIS2 direktiva čl. 23: „Obveze izvještavanja“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e3835-80-1
4)
NIS2 direktiva čl. 34: „Upravne sankcije“, EUR-Lex: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32022L2555#d1e4802-80-1
Zuletzt geändert: 30.01.2026. u 08:53

Seiten-Werkzeuge