NIS2 DIREKTIVA

Uvodi se red u digitalni prostor: Što donose novi zakoni o kibernetičkoj sigurnosti

30.10.2023 u 15:15

Bionic
Reading

U Algebra Spark Spaceu održanaje konferencija 'Zakon i red u digitalnom prostoru: Što nam donose novi zakoni o kibernetičkoj sigurnosti', na temu transpozicije nove NIS2 direktive i njenih posljedica za privatne i javne poslovne subjekte u domaćem gospodarstvu

Na konferenciji su se okupili stručnjaci i predstavnici industrije koji su zajednički razmijenili iskustva, znanja i perspektive o novim zakonskim okvirima koji reguliraju kibernetičku sigurnost. U digitalnom dobu, cyber napada je sve više, porast je broja incidenata, samo lani je u svijetu bilo preko 1.000 velikih incidenata.

Porastao je i broj ransomware napada koji sa sobom donose i značajnije financijske posljedice. U prosjeku je potrebno 270 dana da se napad otkrije – od trenutka provale u sustav do njegove detekcije, a za smanjenje svih tih rizika potrebna su puno veća ulaganja u kibernetičku sigurnost.

'Kad govorimo o novom zakonu on ima dva ključna aspekta: jedan je da ćemo morati upravljati sigurnosnim rizicima, što je nešto što gotovo svaka tvrtka već sad radi, a druga stvar je obveza izvješćivanja o cyber napadima, u slučaju potrebe za zaštitom kompanije. Kibernetička sigurnost je investicija, prilika svake kompanije da poveća svoju poslovno otpornost, a ne trošak. U narednom periodu implementacije direktive u hrvatsko zakonodavstvo trebat će nam puno veći broj cyber stručnjaka koje neće biti moguće pronaći bez dodatne edukacije, prekvalifikacije, upskillinga i reskillinga postojećih kadrova', istaknuo je uvodno Zlatan Morić, voditelj Katedre za kibernetičku sigurnost Visokog učilišta Algebra.

U svom predavanju dr.sc. Aleksandar Klaić, iz Centra za kibernetičku sigurnost Sigurnosno obavještajne agencije (SOA) pojasnio je kako se NIS2 razlikuje od NIS1 direktive te koje su njene posljedice za gospodarstvo:

'Kroz NIS2 plan je uvesti i nacionalno tijelo za kibernetičku sigurnost. U siječnju ove godine direktiva je stupila na snagu i imamo kao zemlja dvije godine za provedbu i početak njene primjene. Za razliku od NIS1, NIS2 donosi centralizirani način upravljanja sigurnosti te će se broj obveznika povećati čak tri do četiri puta. Prijašnja direktiva bila je usko fokusirana te se moglo dogoditi da poslovni sustavi pojedinih tvrtki zahvaćeni ransomwareom, dok će sada sigurnost morati obuhvatiti sve aspekte poslovanja kompanija.'

Vlatka Jajetić, voditeljica službe za obradu incidenata u Nacionalnom CERT pojasnila je ulogu Pixi platforme preko koje će se prijavljivati incidenti te istaknula da je CERT do danas evidentirao 1085 incidenata te čak 200 lažnih web trgovina u Hrvatskoj. S NIS2 direktivom otvara se mogućnost integracije s platformama na EU razini te kvalitetnija komunikacija među državama članicama.

Europski parlament i vijeće usvojili su Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (Dora), koja se počinje primjenjivati 17.1.2025. godine na financijski sektor, ali i na treće strane pružatelje IKT usluga. U usporedbi s NIS 2 direktivom koja propisuje mjere za visoku zajedničku razinu kibersigurnosti širom EU za ključne i važne subjekte, Dora predstavlja lex specialis za obveznike njezine primjene i posebno će obuhvatiti financijske subjekte (banke i ostale financijske institucije).

Dražen Ljubić, pomoćnik ravnatelja Zavoda za sigurnost informacijskih sustava govorio je o sustavu kibernetičke sigurnosne certifikacije:

'Tri su glavne certifikacijske sheme koje se donose na razini EU-a. Prva je Common Criteria shema (CC schema) koja predstavlja zapravo transpoziciju SOGIS certifikacijskog okvira i ne sadrži posebne zahtjeve. Njeno donošenje se očekuje u prvom kvartalu 2024. Izdavanje certifikata od strane proizvođača vjerojatno će se dogoditi u 2024. Druga je shema za računalstvo u oblaku (Cloud schema). Nacrt sheme za računalstvo u oblaku je završen, no još uvijek se ne može ocijeniti kad će biti upućen u postupak donošenja. U tijeku je niz konzultacija o sadržaju na EU razini (ENISA, pravna služba Komisije, Služba za unutarnje tržište, trgovinske organizacije, države članice…).

Neke države članice traže da se u shemu ugrade posebni zahtjevi, odnosno da se za visoku jamstvenu razinu sheme za računalstvo u oblaku kao sigurnosni uvjet uvede imunitet od primjene prava trećih država te da se propiše obveza fizičke vezanosti poslužitelja za teritorij EU-a dok druge članice smatraju da takvi zahtjevi nisu potrebni i da se tržište u tom segmentu treba što je to moguće više liberalizirati. Treća je shema za 5G tehnologiju (5G schema) čije se donošenje planira vjerojatno u 2024.'

Na panel raspravi na temu utjecaja novih Zakona o provedbi kibernetičke sigurnosne certifikacije sudjelovali su dr.sc. Aleksandar Klaić, Centar za kibernetičku sigurnost, SOA; Marko Gulan, Cyber Security Consultant, South East Europe, Schneider Electric; Milan Parat, predsjednik Odbora za sigurnost HUB-a; Dario Rajn, Chief Information Security Officer, Podravka; Stjepan Jambrak, Koordinator informacijske i kibernetičke sigurnosti, JANAF i Boris Bajtl, član Izvršnog odbora HUP-ICT-a.

'Kontinuirana komunikacija s javnošću o novim zakonima i podzakonskim aktima u području kibernetičke sigurnosti pridonosi podizanju opće svijesti o važnosti adekvatne zaštite od kibernetičkih prijetnji. U novom zakonu sektori visoke kritičnosti uključuju energetiku, promet, bankarstvo, infrastrukturu financijskog tržišta, zdravstvo, vodoopskrbu, upravljanje otpadnim vodama, digitalnu infrastrukturu, upravljanje IKT uslugama, javni sektor i svemir. Međutim, Zakon će se također primjenjivati na mnoge druge male i srednje poduzetnike, što će na njih imati značajan utjecaj.

Članove smo uključili u komentiranje novog Zakona. Izrazili smo i želju da se uključimo u formiranje podzakonskih akata kako bi znali točne obveze. Ovo je svakako pozitivan razvoj, s obzirom na to da trenutno stanje kibernetičke sigurnosti u Republici Hrvatskoj ukazuje na značajan prostor za unaprjeđenje, kako u zakonodavnim okvirima, tako i u implementaciji najnovijih sigurnosnih tehnologija', istaknuo je Bajtl iz HUP-ICT-a.

U zadnjih par godina ulaganja u kibernetičku sigurnost u hrvatskim kompanijama su se višestruko povećala, međutim ako uzmemo u obzir rizike kojima smo svakodnevno izloženi to je još uvijek nedovoljno da bi mogli mirnije spavati, smatra Dario Rajn, Chief Information Security Officer Podravke:

'Imamo donekle olakšavajuću okolnost da Hrvatska nije u grupi zemalja koje su najviše izložene globalnim kibernetičkim izazovima. U korporativnom svijetu najveći rizik je svakako ransomware napad, a zaposlenici najčešće ne znaju da neodgovornim ponašanjem mogu omogućiti neovlašten upad u informacijski sustav koji posljedično može završiti upravo ransomware napadom i prekidom poslovanja kompanije. Kontinuiranom edukacijom podizanja svijesti kod zaposlenika osiguravamo kontinuitet poslovanja kompanije.'

'Do kraja 2024. direktiva će biti implementirana u domaće zakonodavstvo, rok je 17. listopada 2024., potom do 2026. slijede analize i dopune, a tek početkom 2027. slijedi nadzor implementacije. Tvrtke će imati dovoljno vremena za prilagodbu prije početka nadziranja', kazao je Aleksandar Raić iz Sigurnosno obavještajne agencije (SOA).

'Kibernetička higijena može jako puno pomoći tvrtkama, a za to je potrebno angažirati stručnjake – ne moramo moći sve sami napraviti. Sigurnost nije tu da nas ograničava nego nam pomaže da posao napravimo najbolje što možemo napraviti. Svaki korak koji učinimo u digitalnom svijetu je rizik, a rizike je potrebno rješavati pametno i na vrijeme. Ne smijemo svesti NIS2 direktivu i ulaganja u cyber security na listu koju treba ispuniti – nego se tim ulaganjima treba posvetiti dugoročno i kvalitetno, jedino tad možemo biti sigurni da nam je firma zaštićena od napada koji su svakim danom sve kreativniji', istaknuo je Marko Gulan, cybersecurity konzultat u tvrtki Schneider Electric.

'Jako je važno odvojeno držati voditelje IT sigurnosti od voditelja IT odjela s obzirom na fokus internih ulaganja kompanija. Elektronički novac vidim kao dobru priliku, a ne prijetnju. Banke su već sada vrlo digitalizirane pa nam neće donijeti velike promjene, za nas će to biti jedan u nizu novih proizvoda. Banke u cijeloj Europskoj uniji pa tako i u Hrvatskoj već dugi niz godina ulažu značajna sredstva u digitalizaciju svojih proizvoda i usluga istovremeno vodeći računa o najvišim sigurnosnim standardima. Sigurnost digitalne imovine nužan je uvjet daljnjeg razvoja jer je to ipak glavna usluga koju potrošači trebaju imati', smatra Milan Parat, predsjednik Odbora za sigurnost HUB-a.

'Apsolutna sigurnost ne postoje – pitanje je samo kad će i vaš sustav biti meta napada, zato je važno implementirati smjernice NIS2 direktive koje će pomoći kompanijama podići nivo sigurnosti na bolju razinu i tako spriječiti ugroze0, naglasio je Stjepan Jambrak, Koordinator informacijske i kibernetičke sigurnosti JANAF-a.

Leon Lozančić, voditelj Odjela za kibernetičku sigurnost pri HP-Hrvatska pošta d.d. izjavio je: 'Kibernetička sigurnost neizostavan je aspekt poslovanja i nacionalne sigurnosti, a njena važnost samo će rasti s razvojem novih tehnologija poput umjetne inteligencije. Hrvatska pošta pridaje veliku pažnju kibernetičkoj sigurnosti.'

Svi se slažu da je kibernetička sigurnost jedan od glavnih elemenata nacionalne sigurnosti. Na koji način ćemo kao zemlja u nju ulagati postaje pitanje dugoročne otpornosti domaćeg gospodarstva i infrastrukture. Cyber napada je sve više, a da bi se oni spriječili, nije dovoljno samo ulaganje u tehnologiju, već i u ljude koji će tu tehnologiju koristiti te s obzirom na značajan manjak IT stručnjaka u zemlji, rješenje koje će polučiti najviše rezultata je u dodatnoj edukaciji postojećih IT specijalista te njihovoj prekvalifikaciji u područje cyber sigurnosti – zaključeno je na konferenciji.