Nova europska direktiva NIS2 unosi strože zahtjeve za kibernetičku sigurnost i znatno proširuje krug obveznika, stoga su na konferenciji Poslovnog dnevnika “Cyber Security Pulse 2025”, intervjui “jedan na jedan” izazvali veliko zanimanje. Koliko je zahtjevno usklađivanje u praksi i koliko hrvatske tvrtke ovise o partnerima, samo su neka od pitanja na koja su odgovorili sigurnosni stručnjaci iz industrije.
Sven Škrgatić, CSO u A1 Hrvatska, pojasnio je kako su telekomi prema direktivi NIS2 klasificirani kao temeljni subjekti u sektoru digitalne infrastrukture, što znači da su obveznici najviših sigurnosnih i organizacijskih standarda. Kao kritični pružatelji usluga i istovremeno kritični dobavljači, telekomi su tako “dvostruka meta” Zakona o kibernetičkoj sigurnosti, s obzirom na to da obrađuju goleme količine osjetljivih podataka i da o njihovim uslugama ovise brojna druga poduzeća.
Nitko ne može sam
Škrgatić je istaknuo kako ne može izdvojiti jedan najveći izazov jer, kako kaže, “taj proces nema ciljnu točku jer se neprestano mijenja”. Stoga ne postoji ni potpuno usklađenje: “nitko ne može postići stopostotnu usklađenost jer su izazovi kontinuirani”. Na pitanje može li se sve obveze ispuniti vlastitim snagama, odgovara da A1 velik dio toga doista odrađuje samostalno, ali dodaje: “Imamo i sreću što smo dio međunarodne grupacije te koristimo sinergijska znanja i dijelimo specifična iskustva unutar grupacije. Nema tvrtke koja sve može sama jer stručnjaka je malo, teško ih je zadržati i platiti. Dugoročno će upravo taj segment biti problematičan.”
Škrgatić, koji je, kako kaže, “profesionalni paranoik”, izražava bojazan da bi znanje moglo postupno nestajati ako se ne prenosi i ne gradi sustavno. Na pitanje koji bi bio njegov savjet za one koji nisu krenuli na vrijeme, već tek počinju s usklađivanjem, odgovara: “Najprije treba osvijestiti upravu tvrtke, dobiti podršku i razumjeti što točno treba štititi, što je imovina tvrtke, tko je odgovoran i koji su procesi ključni. Treba napraviti ozbiljnu ‘gap’ analizu, krenuti s osnovama, poput kibernetičke higijene, primjerice koncepta zero trust (model koji nikome ne vjeruje unaprijed, već zahtijeva stalnu provjeru pristupa) i jasnog upravljanja imovinom – ljudskom i tehničkom.”
Ivan Bilać, direktor prodaje u Eccos inženjeringu, istaknuo je kako se njihova tvrtka već duži niz godina sustavno bavi informacijskom sigurnošću. “Nositelji smo ISO/IEC 27001 certifikata, što znači da smo već uveli standarde za upravljanje rizicima i definirali ključne procese. Što se NIS2 tiče, ostalo nam je još implementirati procese izvještavanja o incidentima jer smo prepoznati kao važan subjekt.” Dodaje kako su oni prvenstveno dobavljač te da su njihovi softverski sustavi od početka projektirani s ugrađenim sigurnosnim mehanizmima: “Sigurnost je dio dizajna, nije nešto što se naknadno ‘lijepi’.” Korisnici njihovih rješenja, kako tvrdi, visoko su svjesni važnosti sigurnosti. “Nailazimo na dobar stupanj razumijevanja, a budžeti se osiguravaju u razumnim rokovima.”
Kao dugoročan izazov vidi nedostatak stručnjaka za sigurnost, no u Eccosu, kaže, na to promptno odgovaraju. “Aktivno tražimo kadrove već tijekom studija, na sajmovima poslova i događanjima koja organiziraju fakulteti. Time stvaramo vlastiti kadar i gradimo bazu znanja.” Bruno Pavić, CSO u tvrtki Končar – Digital, tvrdi da je Direktiva NIS2, odnosno Zakon o kibernetičkoj sigurnosti, kako kaže, “najbolje što nam se dogodilo”. “To nije nešto nametnuto – radi se o stvarnoj potrebi. Time se podižu standardi cijelog lanca.”
Problem je manjak stručnjaka
Končar – Digital već dugo razvija sustave industrijske sigurnosti, pa je, kako kaže, njihova usklađenost s direktivom već prilično visoka. “Imamo vlastiti softver koji koristimo interno, ali i kod drugih jer nam omogućuje procjenu sigurnosti kroz cijeli lanac. Ako ste vi dobro zaštićeni, ali vaš dobavljač nije, ni vi tada niste sigurni.”
Govoreći o novim tehnologijama, Pavić naglašava ulogu umjetne inteligencije: “AI nam je prijatelj. Koristimo ga u Security Operations Centru kao alat podrške, svakodnevno. S pravim inženjerskim pristupom, to je velika prednost.” Iako se često ističe manjak stručnjaka, Pavić smatra da je stvar više u kvaliteti nego u brojnosti. “Ne treba ih biti mnogo, ali ih treba usmjeriti i educirati. Fakulteti već idu u tom smjeru i to je dobar znak.”
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu