Hrvatska nakon usvajanja Zakona o kibernetičkoj sigurnosti u veljači ove godine, ulazi u finalizaciju posljednjih propisa koji su ključni za implementaciju vrlo opsežnog EU regulatornog paketa iz područja kibernetičke sigurnosti u Republici Hrvatskoj. Zahvaćen je vrlo veliki broj sektora te je proširen opseg obaveza sve sa ciljem značajnog podizanja kibernetičke sigurnosti diljem EU.
Hrvatska udruga poslodavaca (HUP) aktivno je uključena u izradu Uredbe o kibernetičkoj sigurnosti kroz međuresornu radnu skupinu pod pokroviteljstvom SOA-e, a kako bi podijelili svoja saznanja i savjete poduzetnicima HUP-ICT udruga organizira Konferenciju o kibernetičkoj sigurnosti: „Sigurnost na prvom mjestu – sve što trebamo znati o zakonskim obavezana i zaštiti od cyber napada“. Konferencija će se održati 28. kolovoza u hotelu DoubleTree Hilton u Zagrebu.
S obzirom na kompleksnost regulative i na sve veću važnost osvještavanja važnosti kibernetičke sigurnosti među poduzetnicima, posebno u osiguravanju kontinuiteta poslovanja, ali i same konkurentnosti u digitalnom dobu, u HUP-ICT-u naglašavaju da je svrha ove konferencije približiti poduzetnicima regulativu iz područja kibernetičke sigurnosti i njezinu praktičnu implementaciju uz razmjenu svih potrebnih informacija i najbolje poslovne prakse.
HUP je organizirao i posebnu Radnu skupinu za kibernetičku sigurnost koja okuplja više od 70 članova, stručnjaka za različita pitanja iz područja kibernetičke sigurnosti, koja će funkcionirati kao svojevrsni think tank i prema poduzetnicima imati savjetodavnu i implementacijsku ulogu u primjeni nove regulative. Dodatno, HUP je i sam kroz članstvo predstavnik poduzetnika koji mogu ponuditi već gotova rješenja za ispunjenje pojedinih zakonskih obveza svim drugim poduzetnicima i koji će se imati priliku predstaviti na konferenciji.
Pred samu konferenciju razgovarali smo sa članovima HUP-ICT-a i članovima Radne skupine, Martinom Dragičević, direktoricom odjela za regulatorne poslove i EU fondove iz kompanije A1 i Androm Galinovićem, izvršnim direktorom za informacijsku sigurnost iz kompanije Infobip, o tome u što nova regulativa o kibernetičkoj sigurnosti donosi poduzetnicima.
Kakva je ocjena stanja kibernetičke sigurnosti u RH?
Unatoč nedavnim većim cyber napadima u Hrvatskoj koji su izazvali priličnu pozornost i koji bacaju sjenu na ocjenu stanja sigurnosti, u Hrvatskoj se već godinama gradi zdrava baze stručnjaka za kibernetičku sigurnost te je moguće vidjeti primjenu vrlo naprednih tehnologija i uspostavljenih procesa zaštite.
No ubrzana digitalizacija društva potpomognuta tehničkim inovacijama najnaprednijih globalnih kompanija te korona krizom koja je dodatno ubrzala cijeli proces digitalizacije gospodarstva, stvorili su situaciju u kojoj smo svi dio jedinstvenog globalnog digitalnog okruženja. U tim dubokim ”međunarodnim vodama” vrebaju svi svjetski kibernetički kriminalci i svi, bilo u kojem dijelu svijeta, moraju biti stalno na oprezu s najmodernijim sustavima kibernetičke sigurnosti jer smo svi potencijalne mete.
Zbog toga hrvatska firma ili bolnica moraju posjedovati kibernetičku zaštitu na najvišoj razini. U tom pogledu potrebno je veće ulaganje u kibernetičku sigurnost. Ovo što se nedavno nama dogodilo, možemo promatrati u kontekstu činjenice da su velike bolnice, ministarstva i sveučilišta diljem EU bile napadnute prije puno godina i da svi iz tih napada zapravo trebamo učiti i prilagođavati zaštitu.
Postoji li procjena koliko štete hrvatskom gospodarstvu uzrokuju kibernetički napadi?
U slučajevima kibernetičkih napada teško je procijeniti moguću štetu jer osim materijalne štete za bilo koga tko je predmet napada još veći rizik može biti reputacijska šteta koja posljedično može dovesti do odljeva korisnika i/ili smanjenja prihoda, posebno u vrlo konkurentnim industrijama.
Trend kibernetičkih napada u svijetu znakovito raste, skoro svaki drugi dan možete pročitati vijest o nekom uspješnom napadu, dio toga se mora preliti na nas i to je proporcionalno stupnju digitalizacije i “prometu informacija”.
Postoji li procjena koliko bi se moglo uštediti podizanjem stupnja kibernetičke sigurnosti na višu NIS2 razinu? Postoji li procjena koliko će poduzetnici trebati uložiti u prilagodbu na novu regulativu?
Kada govorimo o prilagodbi na višu NIS2 razinu ne možemo govoriti o uštedama već o podizanju sigurnosti poslovanja na višu razinu u smislu prevencije od napada, spremnosti odazva na napade u slučaju da se oni dogode te osiguranja kontinuiteta poslovanja u što kraćem roku nakon napada, pogotovo u slučajevima krađe podataka i/ili traženja otkupnine. To je iznimno važno razumjeti u situaciji u kojoj radimo i živimo u digitalnom i automatiziranom okruženju koje je je po prirodi meta kibernetičkih napada.
Nezahvalno je u ovom trenutku procjenjivati iznos investicije u prilagodbu na novu regulativu jer ona ovisi i trenutnoj zrelosti poduzetnika i spremnosti da investira. U svakom slučaju govorimo o postotku primarno IT budžeta koji određeni poduzetnik generalno planira.
S obzirom da su investicije u kibernetičku sigurnost direktno proporcionalne kibernetičkoj izloženosti, tj. stupnju digitalizacije, svjetske dobre prakse govore o pokazateljima koju su postotak investicija i troška kibernetičke sigurnosti u odnosu na cjelokupnu investiciju i trošak informacijsko telekomunikacije tehnologije, a taj postotak postepeno raste preko 5% za prosječne tvrtke pa preko 8 % za one s najvećim stupnjem digitalizacije.
Koje su ključne novosti koje donosi regulativa za poduzetnike općenito i u kojim industrijama će biti najviše promjena?
Nova regulativa višestruko povećava broj obuhvaćenih sektora sa 7 na 19 predefiniranih sektora tzv. visoke kritičnosti i druge kritične sektore. Sektori se dijele na podsektore i vrste subjekata te obuhvaćaju i tijela javne uprave i jedinice lokalne i područne (regionalne) samouprave. Pri tome je moguće uz primjenu posebnih kriterija za kategorizaciju definirati i dodatne obveznike zakona. Dodatno, zakonske obveze se odnose na cjelokupno poslovanje poduzetnika, a ne samo na pojedine usluge, uključivo i poduzetnikov lanac opskrbe i dobavljače koji se također moraju pridržavati zakonskih obveza. Nadalje, uvodi se obveza provođenja samoprocjene i revizije kao i strože provođenja redovitih i izvanrednih nadzora.
Mjere koje se nameću mogu se podijeliti u dvije osnovne kategorije - mjere upravljanja kibernetičkim sigurnosnim rizicima i obveza obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama.
Govorimo o širokom skupu mjera – od mjera okolišne i fizičke sigurnosti, sigurnosti pristupa mrežnim i informacijskim sustavima, do mjera upravljanja informacijskom imovinom, kibernetičkim rizicima, kriznog upravljanja, sigurnosti ljudskih resursa i identiteta, kriptografije i višefaktorske provjere, izvještavanja nadležnog tijela o kriznim situacijama putem posebne platforme kao i korisnika, osiguranja kontinuiteta poslovanja, te mjere odgovornosti upravljačkih tijela unutar poduzetnika.
Novost koja se uvodi je i izričita odgovornost upravljačkih tijela/uprava tijela obveznika odnosno čelnika tijela državne uprave, drugih državnih tijela i jedinica lokalne i područne (regionalne) samouprave.
Koja tijela su relevantna za poduzetnike, a koja su dio domaćeg sustava kibernetičke sigurnosti?
Nadležna tijela raspoređena su ovisno o sektoru, vrsti subjekta, propisu koji se primjenjuje i ima ih nekoliko. Hrvatska narodna banka, Hrvatska agencija za nadzor financijskih usluga, Hrvatska agencija za civilno zrakoplovstvo koje nadziru provedbu posebnih propisa dok Sigurnosno obavještajna agencija, Hrvatska regulatorna agencija za mrežne djelatnosti, Ministarstvo pravosuđa, uprave i digitalne transformacije i Ministarstvo znanosti i obrazovanja nadziru provedbu zahtjeva kibernetičke sigurnosti temeljem Zakona o kibernetičkoj sigurnosti.
Što bi svi poduzetnici trebali napraviti da se usklade s regulativom? Što mogu sami napraviti, a za što im treba stručna pomoć?
Uz primarno utvrđivanje kojoj vrsti sektora pripadaju te da li ulaze u skupinu ključnih ili važnih subjekata što će im pružiti osnovni set informacija koje se na njih obveze iz Zakona o kibernetičkoj sigurnosti primjenjuju, poduzetnici bi kao sljedeći korak trebali napraviti postupak samoprocjene. To se može napraviti bilo uz korištenje internih ili vanjskih resursa s ciljem utvrđivanja razine usklađenosti poslovanja sa regulatornim zahtjevima tj. koje od mjera kibernetičke sigurnost koje se na njih donose već imaju ili nemaju implementirane i u kojem periodu će ih biti potrebno implementirati. Stvar je poslovne odluke poduzetnika i stručnog kadra koje posjeduje da li će samoprocjenu provesti samostalno ili uz vanjsku pomoć. Osim navedenog, ključni subjekti moraju provesti i postupak revizije koji provode certificirani revizori kibernetičke sigurnosti.
HUP uvijek potiče komunikaciju prema nadležnom regulatoru koji u tzv. obavijesti provedenoj kategorizaciji subjekata određuje kojoj kategoriji obveznika iz zakona poduzetnik pripada i koje se slijedom toga na pojedinog poduzetnika primjenjuju određene obveze odnosno mjere.
Koji su glavni zahtjevi HUP-ICT-a u donošenju ove regulative i kako ste zadovoljni suradnjom s Radnom skupinom?
Razumijevajući u cijelosti novo regulatorno okruženje i paralelnu primjenu više regulatornih okvira na poduzetnike glavni cilj HUP ICT-a je da aktivnom ulogom u međuresornoj radnoj skupini pod pokroviteljstvom SOA-e pomogne svojim znanjem i stručnošću kako bi implementacijski dokumenti koje je potrebno donijeti primarno temeljem Zakona o kibernetičkoj sigurnosti definirali transparentne i racionalne mjere koje će biti proporcionalne cilju NIS2 Direktive pri tome uzimajući u obzir različite razine zrelosti poduzetnika u primjeni mjera kibernetičke sigurnosti, njihovu veličinu, kibernetičku izloženost te industriju kojoj pripadaju.
Način koji se vodi međuresorna radna skupina jedan je od primjera dobre i otvorene suradnje između javnog i privatnog sektora, s jedinstvenim ciljem a to je u Republici Hrvatskoj osigurati razinu kibernetičke sigurnosti koja je u rangu sa najboljom EU praksom i primjenjivim svjetskim standardima.