Hrvatske tvrtke do jeseni 2025. imaju vremena za usklađivanje s novim Zakonom o kibernetičkoj sigurnosti, čiji su obveznici u većoj ili manjoj mjeri gotovo sve tvrtke, što je važno zbog sigurnosti i otpornosti ukupnog gospodarstva, poručeno je u ponedjeljak s Akademije HGK o kibernetičkoj sigurnosti.
Akademija je okupila više od 150 predstavnika tvrtki raznih veličina, te izazvala veliko zanimanje članica HGK (Hrvatske gospodarske komore), čija je voditeljica odjela za industriju Tajana Kesić Šapić zbog takvog zanimanja za mjesec dana najavila održavanje još jedne takve akademije, kao i sektorske radionice.
Podsjetila je da je Zakon o kibernetičkoj sigurnosti u RH usvojen u veljači ove godine te da tvrtke imaju 18 mjeseci za usklađivanje, odnosno do otprilike jeseni 2025., kao i za usklađivanje s drugom EU direktivom NIS2 o kibernetičkoj sigurnosti.
- Akademija će u dva dana informirati, osvijestiti i educirati poduzetnike o zakonu i primjeni te njihovim obvezama i načinima kako da to ostvare. Zato smo proveli i anketu na uzorku od 200 tvrtki koja je pokazala da sada dvostruko više tvrtki postaju obveznici Zakona nego su to bili po prvoj EU direktivi NIS1 - istaknula je Kesić Šapić.
U istraživanju je 65 posto ispitanih navelo da prema novom zakonu spadaju u kategoriju važnih subjekata, što znači, objasnila je, i da realni sektor ima obvezu usklađenja s direktivom NIS2 i zakonom, a među njima je bilo i 73 posto malih i srednjih tvrtki.
Više od 50 posto tvrtki nema plan edukacije
Njih 60 posto navelo je da su ulagali u primjenu ISO standarda, ali ne i u njihovu nadogradnju, a više od polovice tvrtki se izjasnilo da nemaju usvojeni plan edukacije o kibernetičkim rizicima, niti plan rukovanja kibernetičkim incidentima. To ima samo 25 posto od ispitanih tvrtki, a većina ih je ili više od 70 posto problemom navelo i to da ne postoji provjera dobavnih lanaca na kibernetičke prijetnje, niti da provode simulacije kibernetičkih napada.
Kesić Šapić je kazala da sada zakonodavac treba donijeti i provedbene akte tog zakona, kojima će se detaljnije definirati obveze subjekata koji su obveznici zakona, a što su zapravo sve tvrtke koje imaju neku kritičnu infrastrukturu (energetika, vodoopskrba, transport i druge), bilo male ili velike, odnosno kompletne industrije, od kemijske, metaloprerađivačke do IT-ja, gospodarenja otpadom i mnoge druge.
- To je jako šarolik spektar obveznika, a prilagodba će zapravo krenuti tek onda kada Nacionalni centar za kibernetičku sigurnost donese kategorizaciju i obavijesti tvrtke u koju kategoriju pripadaju, u što su uključeni i dobavni lanci, i o kategoriji će ovisiti i obveze koje će spram toga biti različite - poručila je Kesić Šapić.
Ulaganja isplativa i manja od eventualne štete
Na pitanje koliko tvrtke košta takvo usklađivanje i hoće li biti kakvih potpora, rekla je da se za to mogu koristiti i digitalni vaučeri, ali i da se do sada nisu baš koristili za to. No, nada se da će u nekoj novoj ‘tranši‘ tih potpora biti i za to, jer ulaganja nisu mala, ali se svakako isplate i manja su od eventualne štete koju hakerski napadi mogu donijeti poduzećima.
Slično su upozorili i predsjednik Udruženja IT HGK Alojzije Jukić i savjetnik za kibernetičku sigurnost i predavač na akadmeiji Marko Gulan, naznačivši da ulaganja ovise i o veličini tvrtke i tome što već imaju.
- Važno je što u hrvatskoj postoji dosta IT tvrtki koje mogu tu pomoći i odraditi, od analize stanja do primjene zaštite i nadzora, i ima ih koje to već rade za po desetak domaćih tvrtki. U tome je važno svima prvo objasniti rizike i zašto je važno da u to investiraju - kazao je Jukić.
A važno je, dodao je, zbog hakerskih napada koji se pripremaju i događaju ne odjednom nego i po 200 dana, i moguće da nekima već kradu podatke, a da se to u tvrtkama i organizacijama ni ne zna, kao ni u javnosti, što je i inče rijetko, posebice kada se radi o velikim tvrtkama i kada im je šteta više reputacijska nego financijska.
U tom smislu Gulan je kazao da će i sve softverske tvrtke koje rade rješenja za tu namjenu morati biti certificirane, pri čemu je i iznio podatke da se svakih 11 sekundi u EU događa jedan ozbiljan kibernetički napad u kojemu se primjerice kradu podaci, dok se trenutno mjesečno u EU ukrade i do 10 terabajta podataka iz tvrtki.
- U Hrvatskoj trenutni stupanj zrelosti tržišta za primjenu rješenja kibernetičke sigurnosti nije na zavidnoj razini, kao ni tzv. kibernetička higijena, koja je također slaba, što se vidi i iz istraživanja da tek oko 70 posto ispitanih tvrtki smatra da tu trebaju dosta edukacije - zaključio je Gulan.