U veljači ove godine donesen je i usvojen Zakon o kibernetičkoj sigurnosti. Prema informacijama zakonodavca, prateći podzakonski akt u obliku uredbe trebao bi biti objavljen na e-Savjetovanju početkom rujna ove godine. Novi Zakon o kibernetičkoj sigurnosti (NIS2) - pravni okvir Europske unije - uvodi niz mjera s ciljem jačanja otpornosti organizacija na kibernetičke prijetnje. Uredba koja uskoro stupa na snagu odnosit će se na veći broj sektora - njih 19 - te uvodi velike promjene za mnoge organizacije. Iako izazovi postoje, stručnjaci smatraju da zakon dugoročno donosi brojne prednosti, poput smanjenja rizika od kibernetičkih napada, a time i financijskih gubitaka
Da je takav zakon potreban, pokazuju i nedavni napadi na hrvatske institucije, među ostalim na bolnicu i zračnu luku, stoga bi implementacija mogla pomoći u zaštiti kritične infrastrukture.
Hrvatska udruga poslodavaca aktivno surađuje sa zakondavcem na razradi podzakonskih akta kako bi Zakon, navode iz HUP-a, bio provediv i učinkovit za hrvatske tvrtke. Premda je Zakon već usvojen, dodatni podzakonski akti uskoro će biti predmet javne rasprave.
'Vrlo smo zahvalni na visokom stupnju razumijevanja i uvažavanju većine primjedbi i komentara koje je HUP iznio. Premda proces još nije završen, čvrsto vjerujemo da će zahvaljujući konstruktivnoj suradnji, zakonodavni okvir biti oblikovan na način koji omogućuje usklađivanje s potrebama poslovne zajednice, istovremeno zadovoljavajući visoke sigurnosne standarde Europske unije', kaže Andro Galinović iz HUP-a.
A kako bi s poduzetnicima podijelili ključne informacije o zakonskim obavezama, najboljim praksama te metodama zaštite od kibernetičkih prijetnji, HUP u srijedu 28. kolovoza u hotelu DoubleTree by Hilton u Zagrebu organizira konferenciju 'Sigurnost na prvom mjestu', na kojoj će sudjelovati stručnjaci za kibernetičku sigurnost i predstavnici regulatornih tijela.
Povodom toga razgovarali smo s predstavnicima HUP-a - Borisom Bajtlom iz Evidena te Androm Galinovićem iz Infobipa. Pobliže su nam objasnili što sve donosi novi zakon, kako će utjecati na tvrtke i što nas čeka na HUP-ovoj konferenciji.
Veći broj sektora
Bajtl tako ističe da se implementacijom Zakona o kibernetičkoj sigurnosti uvodi niz kontrolnih mjera usmjerenih na jačanje otpornosti organizacija na kibernetičke prijetnje. Uredba koja uskoro stupa na snagu odnosit će se na veći broj sektora - njih 19 - te uvodi velike promjene za mnoge organizacije
'Učinci zakona osjetit će se u širokom spektru industrija. To znači da će brojne organizacije koje do sada nisu bile obveznike zakona biti podložne strožim sigurnosnim pravilima i morat će prilagoditi svoje poslovanje novim zahtjevima. Tvrtke koje budu obuhvaćene morat će osigurati usklađenost sa strogim sigurnosnim standardima, uz rizik suočavanja s visokim kaznama u slučaju neispunjavanja obaveza ili nedovoljne pripreme za kibernetičke napade. Složenost nove regulative i visoki troškovi usklađivanja mogli bi predstavljati teret za mnoge organizacije.
Veće izazove imat će manje tvrtke jer možda neće imati dovoljno resursa za ispunjenje svih zahtjeva, ali zato će zakonodavac osigurati primjenu načela proporcionalnosti ovisno o izloženosti organizacija kibernetičkim prijetnjama. Iako ove promjene donose brojne izazove, njihove su prednosti također značajne. Povećana sigurnost i otpornost organizacija na kibernetičke napade dugoročno će smanjiti rizik od financijskih gubitaka i narušavanja ugleda. Uz to, standardizacija sigurnosnih praksi diljem EU-a olakšat će suradnju između organizacija i stvoriti jedinstven okvir za kibernetičku sigurnost', smatra Bajtl.
Osvrnuli smo se i na nedavne kibernetičke napade u Hrvatskoj, čija su meta bile važne institucije, tvrtke, bolnice i zračne luke. Bajtl ističe da je to naglasilo ranjivost kritične infrastrukture na kibernetičke prijetnje, tim više što kibernetički napadi mogu imati dalekosežne posljedice - poremećaj ključnih usluga, financijske gubitke, narušavanje povjerljivosti podataka, a često i ugrožavanje sigurnosti građana.
'Zakon nije samo potreban, već i neophodan'
'Hrvatska nije izuzetak u globalnom trendu porasta broja i sofisticiranosti kibernetičkih prijetnji. Napadi na zdravstvene ustanove, primjerice, mogu dovesti do ozbiljnih prekida u pružanju medicinskih usluga, a napadi na zračne luke ili transportne sustave mogu izazvati kaos u svakodnevnom životu, što je već realnost u svijetu.
U takvom kontekstu zakon postaje nužnost. Osiguravanje visokog stupnja kibernetičke sigurnosti ključno je za zaštitu nacionalne infrastrukture. Uvođenjem strogih sigurnosnih standarda i obaveze prijavljivanja incidenata, ovaj zakon pomaže institucijama i tvrtkama da budu bolje pripremljene za obranu od napada te omogućuje brzu reakciju u slučaju kompromitacije.
U svjetlu nedavnih događaja, jasno je da zakon koji je proizašao iz EU-ove direktive NIS2 nije samo potreban, već i neophodan. Hrvatska, kao dio Europske unije, mora nastaviti ulagati napore u jačanje kibernetičke sigurnosti kako bi zaštitila svoje građane, institucije i gospodarske subjekte. Implementacija ovakvog zakona pomoći će u izgradnji sigurnijeg digitalnog okruženja, čime se smanjuje rizik od budućih napada i štiti kritična infrastruktura.'
Zakon o kibernetičkoj sigurnosti (NIS2)
Novi zakon znatno povećava broj obuhvaćenih sektora s ranijih sedam na njih 19 visoke kritičnosti i druge kritične sektore, što je vidljivo u samom zakonu. Ovaj prošireni obuhvat uključuje mnoge industrije koje do sada nisu bile dužne poštivati stroge sigurnosne mjere, ali su prepoznate kao ključne za nacionalnu sigurnost i ekonomsku stabilnost.
'Važno je istaknuti da će nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti (SOA, Ured Vijeća za nacionalnu sigurnost, HAKOM, Ministarstvo pravosuđa, uprave i digitalne transformacije, Ministarstvo znanosti i obrazovanja, Hrvatska narodna banka, Hrvatska agencija za nadzor financijskih usluga i Hrvatska agencija za civilno zrakoplovstvo) provesti prvu kategorizaciju subjekata te će oni dobiti obavijest o provedenoj kategorizaciji najkasnije do veljače 2025., do kada će biti uspostavljen i registar obveznika.
Uredba koja će definirati sve mjere zaštite temeljena je na provjerenoj i ustaljenoj dobroj praksi s kojom su se mnoge tvrtke već susrele te predstavlja dobru kibernetičku higijenu i prikladno upravljanje informacijskom sigurnošću. To uključuje, između ostalog, implementaciju odgovarajućih tehničkih i organizacijskih mjera za zaštitu podataka, kontinuirano praćenje sigurnosnih prijetnji i edukaciju zaposlenika.
Koordinaciju provedbe ovih mjera vodit će navedena nadležna tijela, a ona će također pružati podršku subjektima u razumijevanju i ispunjavanju novih obaveza', navodi Bajtl.
'Želimo da se čuje glas poslodavaca'
HUP kaže da ih je Vlada uključila u međuresornu radnu skupinu, nastojeći uskladiti zakonodavne zahtjeve s realnošću poslovnog okruženja. 'U tim naporima HUP je, kao ključan partner, osigurao da se glas poslodavaca čuje i uvažava', kaže Andro Galinović.
'Kao socijalni partner i predstavnik poslovne zajednice, HUP igra ključnu ulogu u komunikaciji između poslodavaca i Vlade, ističući specifične potrebe i zabrinutosti različitih industrija. Cilj je osigurati da zakonodavni okvir ne samo zadovoljava sigurnosne standarde Europske unije, već i da bude provediv i učinkovit za hrvatske tvrtke, obveznike zakona.
HUP stalno naglašava važnost prilagodbe direktive NIS2 lokalnim uvjetima kako bi se izbjegli preveliki pritisci na manje tvrtke i sektore koji možda nemaju iste resurse kao veće multinacionalne kompanije. Također ističemo potrebu za jasnim smjernicama i podrškom u implementaciji novih mjera.
Vrlo smo zahvalni na visokom stupnju razumijevanja i uvažavanju većine primjedbi i komentara koje je iznio HUP. Premda proces još nije završen, čvrsto vjerujemo da će, zahvaljujući konstruktivnoj suradnji, zakon biti oblikovan na način koji omogućuje usklađivanje s potrebama poslovne zajednice, istovremeno zadovoljavajući visoke sigurnosne standarde Europske unije', tvrdi Galinović.
HUP-ova konferencija 'Sigurnost na prvom mjestu'
Povodom toga HUP je odlučio 28. kolovoza organizirati konferenciju pod nazivom 'Sigurnost na prvom mjestu' kako bi, kažu, upoznali sve zainteresirane s ključnim informacijama o zakonskim obavezama i načinima zaštite od kibernetičkih napada.
'Kroz niz zanimljivih predavanja, sudionici će se upoznati sa stanjem kibernetičke sigurnosti u Hrvatskoj, dobiti kratak pregled najboljih svjetskih praksi te naučiti osnovne pojmove i definicije iz tog područja. Poseban naglasak bit će stavljen na vrste kibernetičkih napada i najčešće sigurnosne prijetnje s kojima se suočava poduzetništvo, uz praktične savjete kako se zaštititi i prepoznati kvalitetne tvrtke koje nude proizvode i usluge za zaštitu od kibernetičkih napada.
Gosti konferencije biti će renomirani eksperti za kibernetičku sigurnost te će predstaviti najčešće sigurnosne rizike i analizirati primjere nedavnih napada kojima smo svjedočili. Posebno će se ukazati na metode prevencije napada i kako se adekvatno zaštititi.
Jedan od panela ugostit će predstavnike tvrtki iz područja kibernetičke sigurnosti, a oni će podijeliti svoja iskustva i najbolje prakse u prilagođavanju novim regulatornim zahtjevima. Ovaj će panel biti izuzetno koristan za sve poduzetnike koji žele razumjeti kako se njihova tvrtka može prilagoditi i uskladiti s novim zakonodavnim okvirom.
Također, na panelu na kojem će sudjelovati predstavnici svih relevantnih regulatornih agencija bit će predstavljena njihova uloga u kontekstu nove zakonodavne regulative. Ovaj dio programa pružit će uvid u to kako se različite institucije i agencije uklapaju u novi okvir zaštite te kako će surađivati s privatnim sektorom na osiguranju kibernetičke sigurnosti', zaključuje Galinović.