Većina hrvatskih tvrtki kibernetičkom se sigurnošću i dalje bavi tek onda kada se dogodi napad, sustavi padnu ili podaci procure. Takav reaktivan, stihijski pristup najskuplji je mogući način ulaganja u sigurnost – upozorava stručnjak za kibernetičku sigurnost Marko Gulan.
Upravo tu slabost pokušava ispraviti novi Zakon o kibernetičkoj sigurnosti RH, koji za nekoliko mjeseci ulazi u punu primjenu i donosi kudikamo veće obveze, ali i osobnu odgovornost uprava. Masovni val digitalizacije, uz istodobni rast broja kibernetičkih napada, natjerao je Europsku uniju i Hrvatsku na strožu regulaciju.
Kompetentne treće strane
Statistike su neumoljive: u svijetu se danas bilježi jedan kibernetički napad svakih jedanaest sekundi, a procjene govore da će se do 2030. napadi događati svake dvije sekunde. U takvim okolnostima kibernetička sigurnost više nije tehničko pitanje IT odjela, nego temelj stabilnosti poslovanja, reputacije i pravne odgovornosti uprave. Upravo zato Hrvatska gospodarska komora diljem zemlje organizira Akademiju kibernetičke sigurnosti – edukacijske radionice namijenjene tvrtkama i institucijama koje novi zakon svrstava među tzv. ključne i važne subjekte.
“Zakon o kibernetičkoj sigurnosti RH donesen je i na snazi je od 15. veljače 2024. godine. Rokovi za prilagodbu zapravo su već počeli teći iako je prošla gotovo godina dana dok svi kategorizirani subjekti nisu dobili formalne odluke”, pojašnjava Gulan, voditelj edukacijskih radionica HGK. Odluke o kategorizaciji ključnih i važnih subjekata dostavljene su u ožujku i travnju 2025. godine, a od dana zaprimanja odluke tvrtke imaju godinu dana za implementaciju propisanih mjera.
Nakon toga slijedi nova godina u kojoj su obvezne provoditi samoprocjene ili revizije sustava, ovisno o kategoriji u koju spadaju. “Iako se nešto zove samoprocjena, preporuka je zakonodavca da se i ona povjeri kompetentnim trećim stranama. To je jedini način da procjena zaista ima smisla i donese stvarnu sigurnost”, naglašava Gulan.
Ozbiljni financijski gubici
Razlog donošenja zakona, dodaje, leži u činjenici da gospodarstvo i javni sektor danas u potpunosti ovise o digitalnim procesima i internetu. Od 2020. godine bilježi se snažan porast masovnih kibernetičkih napada, a posljedice više nisu samo tehnički problemi već i ozbiljni poslovni i financijski gubici.
“Tvrtke načelno znaju da postoji kibernetički rizik, ali kada pokušate konkretno identificirati te rizike unutar poslovnih procesa, to postaje iznimno teško. Kibernetička sigurnost još je uvijek prepuštena isključivo IT-ju, a to je pogrešan pristup”, upozorava Gulan. Prije tehnologije potrebno je urediti procese i odgovornosti ljudi.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu