Novi Zakon o kibernetičkoj sigurnosti, usklađen s Direktivom Europske komisije NIS2, zahvatit će tri do četiri puta više tvrtki u Hrvatskoj nego što je to do sada bio slučaj, zbog čega će poduzetnici morati uložiti više sredstava u ICT sigurnost. Rastom digitalizacije poslovanja rastu i prijetnje od kibernetičkih napada, no osim prilagodbe novom zakonu, za hrvatske tvrtke on znači i nove prilike. Naime, kako je danas istaknuto tijekom panel rasprave na konferenciji o novom zakonu, održanoj na Visokom učilištu Algebra, veća potražnja za rješenjima kibernetičke sigurnosti povećat će potražnju i za tvrtkama koje se u tome specijaliziraju, što je prilika za razvoj hrvatskog gospodarstva.
Investicija će biti, teško je procijeniti koliko jer to ovisi o tome koliko su pojedine tvrtke već uložile u kibernetičku sigurnost, rekao je Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost, voditelj Odjela kibernetičke sigurnosti u tvrtki Atos Hrvatska te član Izvršnog odbora HUP-ICT-ja. U tvrtkama ima prostora za pomake u kibernetičkoj sigurnosti i bez investicija, napomenuo je Bajtl, a gospodarske prilike uključuju otvaranje novih radnih mjesta i povlačenje sredstava iz EU fondova.
– Novi zakon će povećati potražnju za tim uslugama, samim time će se povećati i ponuda, a to je automatski prilika – rekao je Bajtl, dodajući da će Hrvatska udruga poslodavaca biti uključena u savjetovanje prilikom donošenja uredbi tako da će imati priliku prenijeti zahtjeve poslodavaca i sudjelovati u tom procesu.
Rupa u tržištu
Reviziju sukladnosti s NIS2 zakonima će raditi pravne osobe odobrene za to, objasnio je dr.sc. Aleksandar Klaić iz Centra za kibernetičku sigurnost Sigurnosno obavještajne agencije (SOA), a riječ je o više stotina subjekata i velikom broju takvih aktivnosti za sve tvrtke koje se odluče ići u tom smjeru. Sve tvrtke u sektoru ICT-ja će se morati uskladiti s NIS 2 zakonom, neovisno o veličini, pa imaju i dodatnu priliku da svoje kibernetičke usluge na određeni način certificiraju i da ih kao takve primjenuju preko EU registra ne samo u Hrvatskoj, već i šire.
– To je velika promjena jer danas te usluge ne možete nuditi na standardizirani način jer one ne postoje – pojasnio je Klaić, dodajući da će usklađivanje s NIS2 direktivom tvrtkama će donijeti i bolju konkurentnost u natječajima za EU financiranje.
– Na razini EU nema toliko mnogo tvrtki koje mogu davati napredne usluge i to je područje relativno slobodno i na razini velikih i na razini malih država – rekao je Klaić.
Tvrtke će direktivu uvoditi postupno, napomenuo je Klaić, a cijeli proces bi se trebao odvijati godinu dana od donošenja zakona.
– Tek po dobivanju obavijesti pojedini subjekti bilo kojeg sektora trebali bi poduzimati radnje i usklađivati sustave kibernetičke sigurnosti, za što imaju godinu dana. Dakle, u toj obavijesti subjekti će dobiti i tehničke informacije – dodao je Klaić.
Tvrtke i državna tijela koja već primjenjuju ISO/IEC 27001 međunarodnu normu za upravljanje informacijskom sigurnošću, bit će u prednosti jer će malo toga morati prilagoditi prema NIS-u 2.
– U svakom slučaju, svi koji provode neku normu, bilo da se radi o norm industrijske ili poslovne sigurnosti, bit će u određenoj prenosti jer će veliki broj stvari imati prilagođenu i uređeno u vrijeme kada budu na to obvezni – objasnio je Klaić dodajući da će svaki poslodvni subjekt sam provesti procjenu rizika kibernetičke sigurnosti, i to na tri razine – uprave, nezavisne revizije i nadzora.
Nove tehnologije kao dodatan razlog za oprez
Svaka se nova tehnologija može koristiti za dobro, ali i za ono loše, napomenuo je Marko Gulan, konzultant za kibernetičku sigurnost u Schneider Electricu SEE. Alati umjetne inteligencije, upozorio je Gulan, mogu vam reći što da napravite da upadnete u neki sustav, ne izravno, već ako ih pitate što morate napraviti da ne budete žrtva, pa reverznim putem dobijete odgovor. No, napadi ne dolaze samo s interneta, nego i preko deep fake tehnologije, stoga tvrtke moraju biti oprezne koga puštaju da pristupi u sustav, upozorio je Gulan, koji je uvjeren da Hrvatska može kvalitetno i dobro provesti nove regulative te tako ojačati gospodarstvo i napraviti ga otpornijim.
Što se tiče hrvatskih banaka, novac hrvatskih štediša je siguran, naglasio je Milan Parat, predsjednik Odbora za sigurnost Hrvatske udruge banaka, budući da su sve banke bile obveznice direktive NIS 1 i bit će obveznice direktive NIS 2, no neće se mnogo promijeniti osim što će se dodatno unaprijediti sigurnost financijskih institucija u Hrvatskoj.
– Banke nastoje spriječiti prijevare. Imaju sustave za praćenje neuobičajenih transakcija i sprečavaju veliku većinu tih transakcija, a korisnici trebaju prijaviti neuobičajene transakcije što prije – rekao je Parat, uz napomenu da su bankarski procesi visoko digitalizirani, pa niti digitalni novac neće donijeti velike promjene, ali je dodatan razlog da se povećaju ulaganja u kibernetičku sigurnost.
Ljudi su ključni
Niti proizvodnja hrane nije isključena iz kibernetičkih napada, rekao je Dario Rajn, glavni službenik za informacijsku sigurnost u Podravci, te napomenuo da se tvrtke dijele na one koje su bile napadnute i one koje će to tek biti.
– Digitalizacija je nešto što ne možemo izbjeći. Svakom investicijom u proizvodne linije izlažemo se sve više. Danas proizvodna linija prati efikasnost i povezana je s ERP sustavom koji prati proizvodnju – pojasnio je Rajn, napomenuvši da Podravka nije bila obveznik direktive NIS 1, ali će biti direktive NIS 2.
Da nikada nismo potpuno sigurni istaknuo je Stjepan Jambrak, koordinator informacijske i kibernetičke sigurnosti u JANAF-u.
– Shvatili smo da nekad tehnika nije sve, nego je više stvar na ljudima. Svjesnost osoblja koji upravljaju transportom nafte mora biti na visokoj razini, jer kroz ljude se može riješiti nešto što tehnika ne može riješiti – rekao je Jambrak.
Svi su se sudionici rasprave složili da će, uz tehničke alate, obrazovanje zaposlenika o kibernetičkoj sigurnosti u budućnosti igrati ključnu ulogu u obrani od kibernetičkih napada.