Što ako se ne uskladimo?

Prema NIS2 direktivi (Directive (EU) 2022/2555), prekršitelji mogu biti suočeni sa znatnim kaznama koje su proporcionalne težini prekršaja. Hrvatski ZKS prepisuje ove kazne iz NIS2 direktive, a one mogu biti:

  • Korektivne mjere
  • Novčane kazne
  • Sankcije za upravu

Korektivne mjere

Svaka država članica ima svoje središnje tijelo nadležno za sektor kojim se subjekt bavi koje može propisati nenovčane kazne među kojima su:

  • Upozorenja o povredama zakona.
  • Obvezujuće upute ili nalozi kojima se zahtijeva da se otklone utvrđeni nedostatci ili povrede Zakona.
  • Izdavanje naloga za provedbu sigurnosnih revizija primijenjenih kibernetičkih mjera.
  • Objava aspekta povrede kibernetičke sigurnosti.

Zakon o kibernetičkoj sigurnosti dodaje još dvije korektivne mjere koje se mogu propisati:

  • Nalog nadležnog tijela da se prestane s postupcima kojima se krši Zakon.
  • Nalog da se provedu preporuke iz izvješća o provedenoj reviziji kibernetičke sigurnosti ili analize sigurnosti.

Novčane kazne

Direktiva predviđa i novčane kazne značajnih iznosa. Prema novoj direktivi, države članice EU samostalno određuju visine iznosa ovih kazni uz uvjet da se pridržavaju kriterija donjih granica maksimalnih kazni određenih NIS2 direktivom.

U skladu s time, maksimalne kazne za ključne subjekte moraju biti najmanje 10 milijuna eura ili 2 % globalnog godišnjeg prihoda ovisno o tome koji je veći.

Za važne subjekte maksimalna kazna mora biti barem 7 milijuna eura ili 1,4 % globalnog godišnjeg prihoda ovisno o tome koji je veći.

Sankcije za upravu društva

Prema članku 20. Direktive (EU) 2022/2555 uprave važnih i ključnih subjekata moraju odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati njihovu provedbu te redovito prolaziti obuku kako bi stekla potrebna znanja i vještine za procjenu i upravljanje rizicima. Ukoliko organizacija ne poštuje ove obveze, članovi uprave mogu biti osobno odgovorni, što uključuje mogućnost privremene zabrane obavljanja upravljačkih funkcija​.

Prema direktivi, uprave društva mogu biti osobno odgovorne za svaki incident koji se dogodi u organizaciji. Iz tog razloga moraju posvetiti veliku pažnju da svi osjetljivi dijelovi organizacije imaju visoku kibernetičku otpornost.

U slučaju da se ogluše na zahtjeve NIS2 direktive uvedene u ZKS, članovi uprave društava mogu dobiti zabranu obavljanja dužnosti u svojoj industriji, ili se od njih može zahtijevati da objave informaciju da su prekršili direktivu te popis odgovornih osoba.