Zakon o kibernetičkoj sigurnosti: rok istječe u travnju

Zakon o kibernetičkoj sigurnosti (ZKS) stupio je na snagu u veljači 2024., čime je Hrvatska među prvim zemljama u Europskoj uniji unijela u svoje zakonodavstvo odredbe NIS2 (Network and Information Security Directive 2). Operatori ključnih usluga (u sektorima kao što su energija, transport, financije, zdravstvo, digitalna infrastruktura, vodoopskrba, otpad i drugi) te davatelji digitalnih usluga (pružatelji internetskih trgovina, pretraživača, računalnih oblaka) tako su dobili nove obveze, no rok za formalno usklađivanje sa ZKS-om još uvijek traje.

Naime, prvi zakonski rok u kojem se od kategoriziranih subjekata očekuje usklađenost s mjerama ZKS-a istječe u travnju, rekao je Marko Gulan, konzultant za kibernetičku sigurnost i vlasnik Astera Advisoryja. Velike pomake već sada vidi osobito kod tvrtki koje su i prije bile obveznice prema direktivi NIS1 te su razvile određenu razinu organizacijske i sigurnosne zrelosti. Najveće ipak teškoće primjećuje kod malih i srednjih tvrtki jer njihovi izazovi nisu samo tehnički nego i organizacijski te upravljački.

Odgovorne osobe

Budući da Zakon traži sustavan pristup, jasno definirane odgovornosti, sljedive procese, provjerljive procedure i stvarnu provedbu, kaže da se upravo tu najčešće javlja jaz između onoga što je dokumentirano i onoga što se doista provodi.

– Najviše teškoća pojavilo se već na početku, u organizacijskom dijelu usklađivanja. Mnogim tvrtkama izazovno je bilo imenovati odgovorne osobe ili timove za kibernetičku sigurnost te odrediti njihove ovlasti i odgovornosti. Poseban otpor u početku se pojavljivao i kod razumijevanja uloge upravljačkih tijela, jer Zakon izrijekom uvodi njihovu odgovornost u području sigurnosti.

S tehničke strane kao jedan od ključnih izazova pokazat će se implementacija kriptografskih rješenja u poslovne procese, kao i uspostava sustava za detekciju i prijavu većih incidenata. To je osobito izraženo kod manjih i srednjih tvrtki, koje često imaju samo osnovne sigurnosne mjere, nedovoljne za pravodobno prepoznavanje incidenata prema kriterijima koje Zakon propisuje – objasnio je Gulan.