Hakerski napadi su svakodnevni, nitko nije na njih imun, nitko ne može ustvrditi da nije meta, a nitko nije ni stopostotno siguran. Prema procjenama, hakeri u nekim sustavima borave 200-tinjak dana prije negoli napadnu. Tada uglavnom ‘pokupe’ podatke i ‘zaključaju’ procese tvrtke. Svojedobno, kada je napadnuta Ina, hakeri su u njezinim sustavima uoči same akcije boravili šest mjeseci, rečeno je jučer u Spanu, na čijem je dnevnom redu bila edukacija novinara na temu europske NIS2 direktive koja je implementirana u domaći Zakon o kibernetičkoj sigurnosti. Zakon je izglasan u Saboru te čeka na proceduru stupanja na snagu.

Krenuti čim prije

Nikola Dujmović, prvi čovjek Spana, hrvatske softverske tvrtke koja se u posljednje vrijeme intenzivno bavi edukacijom tvrtki i pojedinaca, ističe da cilj direktive odnosno Zakona nije da se smanje posljedice, već primarno onemogućiti napade. “Stoga je stoga iznimno važno primijeniti direktivu i čim prije se pozabaviti kibernetičkom sigurnošću vlastite tvrtke jer kada Zakon stupi na snagu, a cjelokupno vrijeme prilagodbe moglo bi se protegnuti i do tri godine, bit će posebno teško pronaći stručnjake koji već sada nedostaju u tom segmentu”, naglasio je Dujmović.

Kada se, pak, radi o novitetima, valja naglasiti da je NIS2 proširen na niz dodatnih sektora i obuhvaća veći tvrtki. Nadalje, preciznija je od prethodne NIS1 direktive kada se radi o rokovima i mjerama, naglašeno je u Spanu. Organizacije su podijeljene na one ključne, te važne subjekte. Ključni subjekti su oni sa 250 zaposlenika i godišnjim prometom većim od 50 milijuna eura ili im je ukupna godišnja bilanca iznad 43 milijuna eura, dok su važne tvrtke one koje broje 50 zaposlenika uz godišnji promet s više od 10 milijuna eura ili im je ukupna godišnja bilanca iznad 10 milijuna eura. Tvrtke će, slijedom Zakona, dobiti svoju kategorizaciju te potom biti obvezne uskladiti se s propisanim mjerama. Postoji niz izuzetaka. Primjerice banke koje jesu sektor kritične infrasturkture, no one podliježu vlastitom lex specialis propisu, jer je stroži od NIS2 direktive. Usto država, neovisno o propisanim parametrima, ima diskrecijsko pravo propisati za neku tvrtku ili društvo da je ključan subjekt ako tako procijeni i samim tim zahtijevati da implementira visoke mjere kibernetičke sigurnosti.

Tko provodi nadzor

A da bi sve profunkiconiralo, propisane su i visoke kaze za one koji se ne usklade s direktivom – za ključne subjekte je to 10,000.000 eura ili 2% ukupnog godišnjeg prometa, dok je za važne subjekte to 7,000.000 eura ili 1,4% ukupnog godišnjeg prometa. Nadzor će provoditi Sigurnosno-obavještajna agencija, a kad se radi o ključnim subjektima to može učiniti nenajavljeno i nasumično, neovisno o razlogu. A kad se radi o važnim subjektima, za nadzor ipak mora postojati razlog. Preciznije odredbe oko nadzora, kazni, kao i točnu kategorizaciju koja određuje tko je ključan, a tko važan subjekt tek treba definirati. Rok zakonodavcima za donošenje svih propisa je 18. listopada ove godine.