Sve veće prijetnje koje tvrtkama stižu iz cyber prostora zahtijevaju efikasniji rad na njihovoj kibernetičkoj otpornosti, u čemu će mnogima od njih pomoći i novi Zakon o kibernetičkoj sigurnosti. Riječ je o zakonu koji prenosi zahtjeve dosad često spominjane Direktive NIS2.
Nakon provedbe procesa klasifikacije tvrtki od strane nadležnih tijela iste će biti obvezne započeti s radom na svojoj usklađenosti s ovim zakonom što je za sve njih, s obzirom na okolnosti, prijeko potrebno kako bi u što većoj mjeri zaštitile svoje poslovanje. Ova tema je posljednjih mjeseci unutar brojnih tvrtki, ali i u javnom prostoru, otvorila i mnoga druga pitanja: što zapravo čeka mnoge hrvatske tvrtke te kako se one moraju prilagoditi novim zakonskim zahtjevima?
S druge strane, u javnom prostoru se sve češće nude rješenja za tvrtke kojima one mogu postati usklađenje s NIS2. Prije svega treba razjasniti – nitko se ne usklađuje sa Direktivom NIS2. Ona sadrži niz smjernica koje svaka država članica EU mora prenijeti u svoj lokalni zakon. RH je to napravila putem Zakona o kibernetičkoj sigurnosti. O ovoj se temi, dakle puno govori. No nisu baš sve informacije točne, a tvrtke koje sve to prate, na kraju možda nemaju jasnu sliku o tome što im je činiti.
Prvi korak – procjena rizika
Voditeljica odjela za upravljanja, rizike i usklađenost (GRC) u hrvatskoj IT kompaniji Span, Antonija Vojnović, vraća priču na početne postavke te ističe kako je vrijeme da Direktivu NIS2 ostavimo malo po strani jer je ona zapravo transponirana u najnoviji Zakon o kibernetičkoj sigurnosti s kojim će se hrvatske tvrtke trebati uskladiti.
Ideja da netko prodaje 'čarobnu kutiju' koja rješava sve vaše probleme vezane uz kibernetičku sigurnost i vi postajete nekim čudom usklađeni sa Zakonom o kibernetičkoj sigurnosti – ne postoji. Osim toga, primarni cilj Direktive NIS2 je visoka zajednička razina kibernetičke sigurnosti na razini cijele Europske unije zbog čega se značajno proširuje područje primjene Direktive, a ona se onda 'spušta' kroz lokalne zakone među kojima je i naš Zakon o kibernetičkoj sigurnosti. Prema njemu će puno veći broj poduzeća i institucija morati početi razmišljati o tome kakva je njihova razina informacijske sigurnosti, pojašnjava Antonija Vojnović.
Tu sad dolazimo do pitanja brojnih tvrtki i institucija, a to je – što će točno Zakon o kibernetičkoj sigurnosti od njih tražiti.
Prije svega, provedite procjenu rizika. Sigurnost bez procjene rizika ne funkcionira. Većina bi htjela tri kilograma informacijske sigurnosti, par tehničkih rješenja i to je to, ali stvarnost je malo drugačija. Koje mjere informacijske sigurnosti su vam potrebne, što u stvari štitite unutar društva, koje su financijske, reputacijske posljedice, postoje li neke zakonske obveze osim ZKS? Upravo to je procjena rizika, objašnjava Antonija te napominje kako procjena rizika nije sama sebi svrha već ona pomaže u donošenju boljih poslovnih odluka.
No, procjena rizika bit će dobra onoliko koliko su scenariji koje procjenjujete realni, koliko su timovi koji rade procjene rizika objektivni i koliko se u obzir uzimaju stvarne prijetnje i ranjivosti kojima je društvo izloženo. I tu zapravo vidimo kako i Direktiva NIS2, a time i Zakon o kibernetičkoj sigurnosti, vraća priču ljudima, ističe Vojnović. Ljudi su kritični dio poslovanja i čimbenik svakog procesa.
Visoke kazne i nadzor provedbe zakona
Antonija ističe i kako Zakon propisuje okvir informacijske sigurnosti, što podrazumijeva mjere sigurnosti kao što je edukacija zaposlenika, upravljanje identitetima i pravima pristupa, upravljanje sigurnosti u lancu dobavljača, kriptografske mjere.
No, sve što Zakon o kibernetičkoj sigurnosti opisuje su samo smjernice, čekamo Uredbu Vlade i druge podzakonske akte koji će jasnije definirati mjere sigurnosti i zahtjeve za implementaciju, pojašnjava Vojnović.
Direktiva, a samim time i Zakon o kibernetičkoj sigurnosti, privukli su veliku pažnju javnosti i zbog visokih kazni za one koji se neće pridržavati novih pravila. Tako se kazne za nepridržavanje Zakona o kibernetičkoj sigurnosti mogu kretati do 2 posto globalnih prihoda ili 10 milijuna eura, što može biti prilično bolna kazna. Postavlja se time i pitanje tko će nadzirati provođenje novih pravila, s obzirom na to da se potencijalno radi o tisućama poslovnih subjekata, iz različitih sektora.
Zakonom su definirana nadležna tijela za provedbu zahtjeva. Tako će na primjer za sektor energetike i prometa nadležno biti Središnje državno tijelo za kibernetičku sigurnost, za javni sektor Središnje državno tijelo za informacijsku sigurnost, dok će za sustav obrazovanja nadležno tijelo biti Tijelo državne uprave nadležno za znanost i obrazovanje, pojašnjava Vojnović te dodaje kako bi organizacije, koje već sad imaju neke pokazatelje da bi mogle potpasti pod primjenu ovog zakona, svakako već trebale započeti s pripremama, odnosno s analizom i revizijom svojih poslovnih procesa i mjera informacijske sigurnosti.
Span Arena – prilika za dodatne informacije o zakonu
Kao svojevrstan predložak može im poslužiti međunarodni standard ISO/IEC 27001 koji u sebi, zapravo, sadrži najbolje prakse, a koje se poklapaju sa zahtjevima iz Zakona o kibernetičkoj sigurnosti. Društva koja se usklade s tim standardom (ne znači da se moraju certificirati), odradit će dobar dio posla koji ih potencijalno čeka kod usklađivanja s novim zakonom, objašnjava Antonija koja će, zajedno s još brojnim drugim stručnjacima, svoja znanja, iskustvo i savjete na ovu temu podijeliti i na nadolazećoj konferenciji Span Cyber Security Arena 4. studenoga u hotelu The Westin.
Konferencija će na jednom mjestu okupiti renomirane domaće i svjetske lidere na području cyber sigurnosti te osigurati snažniju razmjenu znanja i iskustava s ciljem širenja svijesti i unaprjeđenja cyber otpornosti kompanija. Predavanja i panel rasprave koje su planirane na konferenciji privući će, osim IT stručnjaka, i sve koji se bave regulatornim i pravnim poslovima upravo zbog brojnih pitanja koje sa sobom donosi novi Zakon o kibernetičkoj sigurnosti.