Zakonodavstvo EU-a donošenjem NIS2 traži od država članica primjenu smjernica te direktive u nacionalno zakonodavstvo. Lazo Dodić, sales solution specialist u Compingu, objašnjava što to znači za kompanije i koja je uloga podatkovnih centara i usluga u oblaku u usklađenosti s tom direktivom i Zakonom o kibernetičkoj sigurnosti.
Što tvrtke trebaju uvesti?
– Tvrtke obuhvaćene Zakonom o kibernetičkoj sigurnosti odnosno direktivom NIS2 trebaju uvesti procese i politike za bolje upravljanje kibernetičkim rizicima. Također su obvezne pravodobno i transparentno obavještavati javnost i sve mjerodavne institucije o kibernetičkim napadima i njihovim posljedicama.
S kojim se izazovima i kibernetičkim rizicima susreću IT sustavi današnjih tvrtki?
– Istraživanje tvrtke Veeam iz 2023. pokazalo je da je 85 posto kompanija doživjelo napad ransomwareom ili zlonamjernim kodom, od čega je čak 75 posto imalo teškoće s vraćanjem sigurnosne kopije. Prosječno je vrijeme oporavka bilo tri tjedna jer su napadima bili zahvaćeni backup-server i backup-repozitorij. Stoga ispravno postavljena sigurnosna kopija i politika oporavka nakon incidenta postaju nužnost. Nastavno na direktivu NIS2 i Zakon o kibernetičkoj sigurnosti, tvrtkama je postavljen dodatni izazov u planiranju troškova za uspostavljanje pričuvnih lokacija za oporavak od katastrofe i kibernetičkih incidenata prema pravilima IT struke.
Koja je uloga podatkovnih centara i usluga u oblaku u usklađenosti s NIS2 i Zakonom o kibernetičkoj sigurnosti?
– Regulativa nalaže mjere upravljanja kibernetičkim sigurnosnim rizicima. Jedna od mjera koje propisuje jest kontinuitet poslovanja kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata. To znači da su kompanije dužne primijeniti najbolje prakse u izradi backupa, disperzirati sigurnosne kopije i imati DR lokaciju za oporavak poslovanja. Imajući na umu te izazove, oblak i podatkovni centar alternativna su rješenja za potrebe kompanija za usklađivanje s direktivom NIS2 i Zakonom o kibernetičkoj sigurnosti. Comping Cloud-usluge u modelu Managed Service i podatkovni centar Data Target omogućavaju tvrtkama predvidivost troškova zadovoljavajući sve važne aspekte u sigurnosti i jamče dostupnost servisa.
Kako onda oblak može pomoći u usklađivanju s regulativom?
– U oblak možete spremati dodatne ili sve sigurnosne kopije svojih podataka ili se oporaviti od ispada IT sustava na primarnoj lokaciji. Naša je preporuka da jedna sigurnosna kopija kao što je backup na NAS ili vanjski fizički disk nije dovoljna, već se treba napraviti više kopija na više različitih medija i sustava. U slučaju kompromitacije sustava ili ransomware-napada vrlo vjerojatno ostat ćete bez backupa, što su pokazali slučajevi s kompanijama koje su imale praksu jedne kopije backupa. Disaster recovery u oblaku povoljnija je opcija za kompaniju jer ne zahtijeva dodatna ulaganja, a ostvaruju se georedundancija i povratak u operativno stanje. Brzina oporavka može se mjeriti u sekundama.
Koje su kazne predviđene za kršenje regulative?
– Kazne za kršenje regulative nisu male ni za kompanije ni za njihove odgovorne osobe, stoga je preporuka svima, pa čak i onima koji nisu obveznici i rade s obveznicima o Zakonu o kibernetičkoj sigurnosti, da se na vrijeme počnu baviti politikama zaštite podataka i poslovnog kontinuiteta. Odgoda može biti kobna, može vas oštetiti i financijski i reputacijski. Bez obzira na kategorizaciju, tvrtke koje Zakon o kibernetičkoj sigurnosti ne obuhvaća morat će se u nekom trenutku prilagoditi ako žele raditi s tvrtkom obveznicom tog zakona jer on propisuje sigurnost dobavnog lanca.