Premda su hrvatski poslovni subjekti itekako zreli i svjesni opasnosti i rizika kad je kibernetička sigurnost u pitanju, novi zahtjevi koji su se iskrojili u Bruxellesu i koje moramo implementirati lagano ipak dižu paniku. Što se sve mora implementirati, nejasno je za mnoge, jer se čekaju pojedini podzakonski akti, a ono što se zna sa sigurnošću jest da novi propisi znače i nova ulaganja. Trošak će imati gotovo sve industrije.
Financijski sektor sprema se primjerice za DORA-u (Digital Operational Resilience Act), Akt o digitalnoj otpornosti, koji se odnosi na sve pružatelje financijskih usluga, na banke, osiguravajuća i investicijska društva, ali i velike pružatelje tehnoloških usluga od posebne važnosti za financijski sektor EU-a, poput ključnih pružatelja usluga računarstva u oblaku, kao i na trgovine kriptoimovinom. Tim se aktom propisuje cijeli niz novih obveza koji imaju jedan zajednički nazivnik – ti propisi moraju zajamčiti da su svi dionici u industrijama na koje se odnosi sposobni izdržati, odgovoriti i na kraju oporaviti se od svih vrsta poremećaja povezanih s informacijskom i komunikacijskom tehnologijom.
– Implementacijom regulative DORA dodatno ćemo unaprijediti procese upravljanja rizicima informacijsko-komunikacijske tehnologije, izvještavanja o incidentima i nadzora nad pružateljima IKT usluga. Sve te prilagodbe uklapaju se u postojeću strategiju Addiko banke koja je usmjerena k održavanju visokih standarda sigurnosti, s ciljem zaštite interesa naših klijenata – rekao je Željko Mažić, voditelj informacijske sigurnosti u Addiku.
Promjena su svjesni i u Zagrebačkoj banci, koja se aktivno priprema za usklađivanje s novim propisima.
Točne i netočne informacije
Nije DORA jedina koja mijenja perspektivu na kibernetičku sigurnost. Tu govorimo i o direktivama NIS2 i NIS 2.0 odnosno o Zakonu o kibernetičkoj sigurnosti koji će utjecati na više industrija, npr. na energetiku, promet, zdravstvo i digitalnu infrastrukturu, poštanske i kurirske usluge, gospodarenje otpadom, proizvodnju te istraživanje i obrazovni sustav. Ti se sektori moraju jače pozabaviti i sigurnošću i otpornošću, što će zasigurno promijeniti model poslovanja onih na koje se primjenjuju, ističe Antonija Vojnović, governance, risk and compliance menadžerica u Spanu. Međutim, ne teče sve glatko i nastala je lagana panika.
– Još uvijek čekamo podzakonske akte koji će nam jasnije definirati mjere kibernetičke sigurnosti koje DORA, odnosno NIS2 propisuju. Upravo je to jedan od razloga zašto su do javnosti došle netočne informacije, što je na kraju rezultiralo stvaranjem panike i promocijom krivih načina usklađivanja sa zakonskim zahtjevima. Vidjet ćemo s vremenom kako će se trend razvijati. Trenutačno u cijeloj šumi edukacija, konferencija i sličnih događaja ljudi sve teže prepoznaju prave i točne informacije – naglašava Vojnović.
NIS2 ima veći opseg nego dosadašnji propisi, tako da će se njegova pravila primjenjivati i na one industrije i organizacije koje do sada nisu (dovoljno) razmišljale o svojoj sigurnosti u kibernetičkom prostoru. Srećom, Podravka informacijsku sigurnost nije zanemarivala, kako kaže Marinko Beljo, direktor sektora Korporativna i informacijska sigurnost, i za tu je tvrtku taj segment jedan od ključnih aspekata digitalne transformacije.
– Kao budući obveznik NIS2 direktive stalno ulažemo u nadzorne alate i zaštitu informacijskog sustava s ciljem osiguranja kontinuiteta poslovanja kompanije. Općenito, s obzirom na to da je Podravka proizvodna kompanija te da ima uveden sustav upravljanja informacijskom sigurnošću, s čim je krenula prije pet godina, usklađivanje s navedenim europskim normama ne predstavlja problem. Kontinuirano se provode edukacije i podizanje svijesti zaposlenika o važnosti informacijske sigurnosti, što je ključno za uspješan sustav upravljanja informacijskom sigurnošću. Možemo reći da Podravka danas ima odlične temelje informacijske sigurnosti, koje će u budućnosti dodatno razvijati kontinuiranim ulaganjima i naporima – rekao je Beljo.
Određivanje digitalne sigurnosti
Sve nove sigurnosne direktive itekako će utjecati i na javna poduzeća. U Hrvatskoj elektroprivredi (HEP) primjerice napominju da su zaštita i otpornost vrlo važni strateški ciljevi te kompanije jer, kako ističu, ‘samo visoka razina sigurnosti može jamčiti stabilnost i uspješnost poslovanja, kontinuitet usluge svim korisnicima, uvjete za funkcioniranje i razvoj ukupnoga hrvatskoga gospodarstva te sigurnost svih građana‘.
– Možemo reći da je na povećanje svijesti o kibernetičkoj sigurnosti u HEP-u i općenito našoj industriji presudno utjecala NIS2 direktiva, koja izravno određuje digitalnu, odnosno kibernetičku sigurnost naše organizacije. Primjena toga i drugih, novih sigurnosnih propisa uklapa se i u operativne i financijske planove izgradnje, primjene i stalnoga usavršavanja sustava upravljanja informacijskom i kibernetičkom sigurnošću HEP grupe kao ključne nacionalne elektroenergetske kompanije – odgovorili su iz HEP-a.
NIS2 direktiva i Zakon o kibernetičkoj sigurnosti aktualna su tema i u ZET-u, u kojem odgovaraju da se sukladno definiranim rokovima pripremaju za uspostavu sustava upravljanja sigurnosnim rizicima i incidentima, ‘koji će, između ostalog, pomoći i u podizanju svijesti svih zaposlenika ZET-a o važnosti informacija kojima imaju pristup kao i poštovanju sigurnosnih pravila, za što će biti potrebno provoditi stalnu edukaciju zaposlenika i ulagati u nove tehnologije informacijske sigurnosti‘.
– Očekujemo da će provedba rješenja kojima će se odgovoriti na zahtjeve nove zakonske regulative otkrivati manjkavosti postojećih poslovnih procesa te omogućiti njihovo postupno i kontinuirano unaprjeđenje i optimizaciju – napominju u ZET-u.
Pritisak na internu organizaciju
Hrvatska pošta primjerice radnike redovito educira o načinima zaštite od potencijalnih kibernetičkih napada te kako ih prepoznati. Primjena novih propisa utjecat će na njihovo poslovanje, stoga već razmatraju, poručili su, potrebna ulaganja u nove tehnologije i obuku radnika kako bi osigurali usklađenost s novim zahtjevima. I A1 intenzivno prati sve promjene u regulativi kibernetičke sigurnosti te je upoznat sa svim njihovim zahtjevima, ali kako ističe Martina Dragičević, tamošnja direktorica regulatornih poslova i EU fondova, za potpuno razumijevanje promjena koje će ta telekomunikacijska kompanija trebati uvesti potrebno je pričekati donošenje nacionalnih propisa te sigurnosnih standarda, koji imaju vrlo važnu ulogu u definiranju obveza.
– S obzirom na to da je sektor elektroničkih komunikacija već sad vrlo reguliran i da je razina zrelosti u sigurnosnim politikama i standardima viša u odnosu na neke druge industrije, bilo koje promjene neće biti novost u primjeni, pogotovo ako nove mjere budu razumne – tumači Dragičević.
U Hrvatskom Telekomu kontinuirano i aktivno rade na podizanju razine digitalne sigurnosti organizacije i usluga, a regulatorni okvir pruža im određeni fokus na specifična područja koja moraju, kaže Saša Ilić, head of cyber security & CISO, adresirati.
– Iako je riječ o vrlo zahtjevnim standardima, odnosno sigurnosnim pravilima, naša početna pozicija što se tiče sigurnosnih tehnologija i procesa, kao i relativno uređeni regulatorni okvir u industriji, daju nam za pravo vjerovati da nećemo imati posebnih izazova s usklađenjem – smatra Ilić.
Dodaje i to da novi propisi neće direktno utjecati na ključne usluge, barem kako se one vide izvana, ali će zahtijevati analizu i potencijalnu doradu internih procesa, kontrola i tehnologija koje se koriste za isporuku pojedinih usluga. To će rezultirati stabilnijim, sigurnijim, boljim uslugama, ali pritisak zahtjeva ponajprije je orijentiran na internu organizaciju.
– Financijska ulaganja u sigurnosne tehnologije nužna su da bi se uopće uveo, ali i održavao sigurnosni sustav. On je redovito planiran i osiguran, ali da bi se dosegnula razina koja je definirana i očekivana u novim propisima, dodatna ulaganja ipak će biti potrebna – rekao je Ilić.
Ključni sektori
Voditelj Katedre za kibernetičku sigurnost Sveučilišta Algebra Zlatan Morić kaže da nova sigurnosna pravila iz EU-a, uključujući DORA-u i NIS2, zahtijevaju od tvrtki iz različitih sektora da implementiraju strože mjere sigurnosti, uspostave bolje planove oporavka i analize rizika te da unaprijede svoje sustave za rano otkrivanje i prijavljivanje sigurnosnih incidenata. Tvrtke u tim sektorima moraju se posebno pridržavati strožih normi propisanih novim zakonom, koje uključuju obveze poput nezavisne revizije ili razvijenih planova za hitne situacije. Ti sektori prepoznati su kao visokorizični zato što su ključni za društvo i ekonomiju, pa samim time i za nacionalnu sigurnost, što znači da bi njihova kompromitacija mogla imati dalekosežne posljedice.
– Važno je napomenuti da je uspostavljena međuresorna radna skupina koja trenutačno radi na definiranju pojedinosti podzakonskih propisa Zakona o kibernetičkoj sigurnosti koji će detaljnije definirati obveze. Očekuje se da će nacrti tih akata biti dostupni za javno čitanje sredinom ljeta, što će dodatno razjasniti specifične obveze i zahtjeve za pojedine sektore – zaključio je Morić.