Nije novost, nažalost, da je broj incidenata povezanih s kibernetičkim napadima posljednjih godina u stalnom porastu. Gotovo da nema tvrtke, državne institucije ili pojedinca koji se do sada nije susreo s nekim oblikom pokušaja kibernetičkoga napada, bilo da se radi o ransomwareu, phishingu ili čak krađi identiteta. Problem je i što brojni napadi ostaju neprijavljeni. Kibernetičke je napade nemoguće spriječiti, no kako bi se ojačala otpornost na takve napade, na temelju europske direktive NIS2 s jučerašnjim je danom na snagu stupio novi Zakon o kibernetičkoj sigurnosti, kojega je svaka država članica Europske unije, pa time i Hrvatska, dužna implementirati u vlastito zakonodavstvo.
U odnosu na NIS Direktivu iz 2016. godine koju je Hrvatska preuzela 2018., novi Zakon značajno proširuje opseg primjene zakona na čak devetnaest sektora podijeljenih prema stupnju rizičnosti. Tako su, primjerice, u skupini visokog rizika energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, upravljanje i ospokrba pitkom vodom, otpadne vode, digitalna infrastruktura, upravljanje uslugama IKT-a, javni sektor i svemir. Drugi rizični sektori su poštanske i kurirske usluge, gospodarenje otpadom, kemijska industrija, prehrambena industrija, proizvodnja, digitalne usluge te obrazovanje.
Direktni i indirektni obveznici
Novi Zakon poduzetnike obvezuje da u svoje poslovanje implementiraju mjere kibernetičke sigurnosti, i to ne samo mjere tehničkog karaktera, već se čitav niz mjera odnosi na uspostavu sigurnosnih procedura. Sam opseg tih mjera ponajviše će ovisiti o navedenim kategorijama u koje će tvrtke biti svrstane, o čemu će svaka tvrtka biti obaviještena. Marko Gulan, konzultant za kibernetičku sigurnost u Schneider Electricu za jugoistočnu Europu, naglašava da tvrtke imaju rok od 18 mjeseci od dana stupanja Zakona na snagu (dakle, od 15. veljače) da svoje sustave usklade sa zakonskim propisima. Prvi korak u tome jest procjena rizika, no Gulan za to preporučuje angažiranje stručnjaka.
Važno je napomenuti i da novi Zakon u poseban fokus stavlja i lance opskrbe, što znači da će stvarnih obveznika implementacije sigurnosnih rješenja biti znatno više.
– Takve tvrtke bit će indirektni obveznici provođenja mjera. Ako pogledamo sektore koji su definirani NIS2 direktivom, već sada nam postaje jasno koje tvrtke će biti obveznici, a koje ne. Dakle, još je jedan ključan korak, a to je analizirati s kojim tvrtkama surađujemo i na vrijeme obavijestiti lanac opskrbe o obvezi usklađenja – napominje Gulan.
– Potrebno je napomenuti da će nadležna tijela svim subjektima poslati upitnike na temelju kojih će biti službeno klasificirani. Naravno, kako je informacijska sigurnost proces, subjekti se mogu već danas početi usklađivati s relevantnim sigurnosnim standardima, a na kojima leži i NIS2 – kaže Ždrnja.
Predviđene i kazne
Možda kazne ne bi smjele biti motivacija, mišljenja je Gulan, no za kršenje Zakona o kibernetičkoj sigurnosti predviđene su velike kazne koje će zasigurno motivirati tvrtke na investicije u implementaciju sigurnosnih mjera. Naime, kazne za prekršajno odgovorne ključne subjekte mogu iznositi od 10 tisuća do 10 milijuna eura ili od 0,5 posto do 2 posto ukupnog godišnjeg prometa tvrtke ostvarenog u prethodnoj financijskoj godini.
Za prekršajno odgovorne važne subjekte predviđene kazne idu od pet tisuća eura do sedam milijuna eura ili od 0,2 do najviše 1,4 posto ukupnog godišnjeg prometa tog subjekta, također ostvarenog u prethodnoj financijskoj godini.
Još je mnogo nepoznanica
Kao i kod novog zakona, tako i Zakon o kibernetičkoj sigurnosti donosi nedoumice, posebno sada tijekom početne faze. Trenutno je najveća nedoumica, kaže Ždrnja, spomenuta klasifikacija koju će nadležna tijela donijeti u roku od godinu dana. I Gulan ključnim korakom smatra izradu registra i slanje obavijesti tvrtkama o klasifikaciji u koju kategoriju spadaju. Također, iako je Zakon na snazi, Gulan ističe da zakonodavac još mora definirati podzakonske akte i uredbe koje će dati jasniji uvid u konkretne mjere.
– U pojedinim člancima Zakonu nalaze se vrlo općeniti naputci, poput ‘uspostava dostatnih mjera zaštite‘ gdje nije jasno koje su to dostatne mjere. Ako sustavi zaštite ne budu konkretno navedeni, postoje značajni izazovi implementacije nedostatnih mjera koje sustave neće učiniti otpornima. Kao poseban izazov možemo izdvojiti industrijske sustave koji i danas imaju nedostataka u osnovnim mjerama zaštite. Preporuka industrijskim sustavima svakako bi bilo usklađenje s odredbama IEC 62443 standarda, globalnog standarda za industrijska postrojenja. Isto tako, jedan od članaka Zakona koji se odnosi na rukovanje incidentima navodi da po nastanku incidenata tvrtka mora oformiti tim za rukovanje tim incidentom. Međutim, tvrtke bi trebale imati definirane procedure i prije nastanka incidenta, jer ako se po incidentu oformljava tim, ugroza može biti značajno veća – upozorava Gulan.
Dodatna otpornost za tvrtke
No, u skladu s ciljevima EU, ovaj prijeko potreban Zakon hrvatskim će građanima, tvrtkama i javnim institucijama osigurati višu razinu kibernetičke sigurnosti. Jedan od ciljeva Zakona jest da se subjekti koji su ključni za funkcioniranje društva dovedu na jednaku ili približno jednaku razinu informacijske sigurnosti, a to će, ističe Ždrnja, svakako rezultirati dodatnom otpornošću na kibernetičke prijetnje.
– Zakon kao takav je i određena ‘poluga‘ koja će subjektima dati mandat za povećana ulaganja u informacijsku sigurnost. Također, subjekti obuhvaćeni Zakonom bit će obvezni izvješćivati o sigurnosnim incidentima, što će omogućiti transparentniji uvid u stanje informacijske sigurnosti. Ključni subjekti morat će provesti i nezavisne nadzore akreditiranih tvrtki i državnih tijela, što će također u konačnici povećati razinu informacijske sigurnosti – smatra Ždrnja.
Sam Zakon i donošenje Zakona neće zaustaviti prijetnje, upozorava Gulan.
– Ako se Zakon ne bude provodio i ako ga obveznici ne shvate ozbiljno, prijetnje će biti razornije za poslovanje. Vremena koja su ispred nas donosit će samo sve veći broj prijetnji, a implementacijom sigurnosnih rješenja tvrtkama će pomoći da dosegnu značajnu razinu sigurnosti – zaključuje Gulan.