Financijske institucije, telekomunikacijske tvrtke i industrijski sektor sve češće se nalaze na udaru sofisticiranih kibernetičkih napada čija su meta postala čak i mala i srednja poduzeća. Tvrtka Eviden pruža poslovna rješenja za zaštitu

Kako se poslovanje sve više oslanja na digitalnu infrastrukturu, kibernetička sigurnost postaje nužnost za dugoročnu održivost i zaštitu podataka. Pitanje koje se često postavlja jest: Vrijedi li investirati u kibernetičku sigurnost? Iako na prvu djeluje kao nepotrebni dodatni trošak, ulaganje u sigurnosne mjere u konačnici može značajno smanjiti troškove nastale zbog sigurnosnih incidenata, a zbog novih regulatornih zahtjeva, osiguravanje kibernetičke otpornosti više nije opcionalno.

Statistike pokazuju da se broj kibernetičkih napada na poslovne subjekte povećava iz godine u godinu. Financijske institucije, telekomunikacijske tvrtke, a sve češće i industrijski sektor, nalaze se na udaru sofisticiranih napada. Ranije su takvi napadi bili usmjereni prema velikim korporacijama, no danas su i mala i srednja poduzeća sve češće mete. Razlog tome leži u činjenici da su takve organizacije često slabije zaštićene, što ih čini lakšom metom za hakere.

Novi regulatorni okvir

U kontekstu Europske unije, Direktiva NIS2 donosi strože zahtjeve za kibernetičku sigurnost koji obuhvaćaju široki spektar djelatnosti, od ključnih infrastrukturnih sektora do privatnih poduzeća koja pružaju usluge u osjetljivim područjima.

Dana 15. veljače 2024. godine na snagu je stupio Zakon o kibernetičkoj sigurnosti, čime je Direktiva NIS2 transponirana u hrvatsko zakonodavstvo. Novi zakon znatno povećava broj obuhvaćenih sektora s ranijih 7 na njih 19. Cilj ovog zakona je povećanje razine zrelosti kibernetičke sigurnosti kroz strože sigurnosne standarde i mjere za poduzeća u javnom i privatnom sektoru.

Upravo je završeno javno savjetovanje vezano uz Uredbu o kibernetičkoj sigurnosti koja detaljno propisuje sve mjere zaštite temeljene na provjerenim i ustaljenim dobrim praksama s kojom su se mnoge tvrtke već susrele te predstavlja dobru kibernetičku higijenu i prikladno upravljanje informacijskom sigurnošću. Uredba bi trebala biti prihvaćena do kraja ove godine.

Cijeli proces započinje prvom kategorizacijom obveznika Zakona na ključne i važne subjekte kojom će se uspostaviti Registar i koja će biti završena u prvom kvartalu 2025., nakon čega započinje obveza implementacije zakonskih obveza koja inicijalno traje godinu dana uz dodatne dvije godine za unaprjeđenje sigurnosnih mjera. Uzimajući u obzir ove rokove, redoviti stručni nadzor nadležnih tijela predviđen je tek početkom 2029. godine. Ovako dugačko prijelazno razdoblje omogućit će tvrtkama prilagodbu tehničkim i organizacijskim zahtjevima.

Novi Zakon predviđa sankcije za tvrtke koje ne ispunjavaju obveze – kazne mogu iznositi do dva posto godišnjeg prometa. Osiguranje resursa za provedbu zakonskih obveza, osobito za manja poduzeća, predstavlja izazov, ali regulativa donosi dovoljno vremena i okvir za minimalne tehničke i proceduralne standarde koji olakšava pristup usklađivanju sa zakonom.

Ključne odredbe novog Zakona

Zakon predviđa niz obveza za javne institucije, kao i privatne tvrtke iz 19 različitih sektora, a glavne odredbe uključuju:

Obveza obavještavanja o značajnim incidentima – Svaki obveznik zakona mora prijaviti kibernetički incident nadležnim tijelima unutar zakonski propisanih rokova. Incidente će klasificirati prema vrsti i ozbiljnosti, čime se omogućuje brza reakcija i smanjuju potencijalne štete.

Mjere upravljanja sigurnosnim rizicima – Tvrtke moraju implementirati minimalne tehničke standarde i provoditi redovite procjene rizika. Ovo uključuje tehničke smjernice za zaštitu informacijskih sustava, kao i postupke za upravljanje rizicima.

Certifikacija i obuka – Certifikacija sigurnosnih stručnjaka i edukacija zaposlenika osiguravaju stručno upravljanje prijetnjama te pomažu u razvoju znanja i svijesti unutar tvrtki.

Suradnja – U cilju učinkovitije borbe protiv prijetnji, zakon promovira suradnju između državnih tijela, sektora kritične infrastrukture i privatnog sektora. Protokoli suradnje omogućuju brzu razmjenu informacija u slučaju incidenata.

Eviden je društvo Atos Grupe i tehnološki lider nove generacije s vodećim svjetskim pozicijama u naprednom računalstvu, kibernetičkoj sigurnosti, umjetnoj inteligenciji, oblaku i digitalnim platformama, pruža temeljitu stručnost za sve industrije u više od 47 zemalja

Što trebamo učiniti vezano uz novi zakon?

Za mnoge tvrtke, priprema za provođenje Zakona o kibernetičkoj sigurnosti bit će ključna za usklađenost i sigurnost njihovih poslovnih operacija. Zakon donosi opsežne obveze koje zahtijevaju promišljenu i sustavnu prilagodbu. U nastavku se nalazi prijedlog koraka koje bi tvrtke trebale poduzeti kako bi uspješno odgovorile na zahtjeve zakona:

Pričekati kategorizaciju – Do kraja prvog kvartala sljedeće godine, svaki obveznik Zakona dobit će službenu obavijest o razvrstavanju u kategoriju važnog ili ključnog subjekta. Ova kategorizacija temelj je za definiranje specifičnih obveza koje će se primjenjivati na svaku tvrtku.

Utvrditi obavezne mjere – Na temelju kategorizacije i Uredbe o kibernetičkoj sigurnosti, tvrtke bi trebale proučiti skup obaveznih mjera koje su relevantne za njihovu kategoriju, bilo da su ključni ili važni subjekti.

Snimka postojećeg stanja i gap analiza – U suradnji s vanjskim stručnjacima ili koristeći interne resurse, preporučljivo je napraviti snimku postojećeg stanja sustava kibernetičke sigurnosti. Gap analiza otkrit će neusklađenosti između trenutnih sigurnosnih mjera i zahtjeva zakona, omogućujući točno definiranje područja na koja se treba fokusirati.

Planiranje mjera za usklađivanje – Na temelju rezultata gap analize, tvrtke trebaju izraditi plan za provođenje mjera koje osiguravaju usklađenost sa zakonom. Ove mjere mogu uključivati implementaciju novih sigurnosnih tehnologija, razvoj sigurnosnih politika, uspostavu procedura prijave incidenata i redovite obuke za zaposlenike.

Implementacija sigurnosnih standarda – Obveznici zakona morat će implementirati tehničke i proceduralne sigurnosne standarde koji su propisani Uredbom. Za ovu aktivnosti predviđen je inicijalni rok od godinu dana koji započinje od trenutka razvrstavanja i nakon toga dodatne dvije godine za poboljšanja sustava.

Osigurati obuku i edukaciju – Kibernetička sigurnost nije samo tehnički izazov; zaposlenici su često prva linija obrane. Zakon nalaže edukaciju zaposlenika i certifikaciju stručnjaka, što je važan korak u podizanju svijesti i otpornosti unutar tvrtke.

Provođenje redovitih samoprocjena i/ili revizija za praćenje usklađenosti sustava kibernetičke sigurnosti i nastavak njegovog poboljšavanja.

Boris Bajtl, voditelj Odjela kibernetičke sigurnosti u Evidenu i potpredsjednik Hrvatskog instituta za kibernetičku sigurnost (HIKS), FOTO: Eviden

Ekonomska opravdanost i tehnologija u službi sigurnosti

Ulaganje u kibernetičku sigurnost nije samo stvar zakonske obveze; dugoročno, ovo ulaganje smanjuje troškove povezanih s incidentima i povećava povjerenje klijenata. Uz napredne tehnologije kao što su umjetna inteligencija i strojno učenje, moguće je razviti sustave za prepoznavanje prijetnji u stvarnom vremenu, što omogućuje preventivno djelovanje. Algoritmi strojnog učenja analiziraju velike količine podataka i detektiraju anomalije koje mogu upućivati na sigurnosne incidente, čime se smanjuje broj lažnih uzbuna i povećava učinkovitost sigurnosnih timova. Automatizacija sigurnosnih procesa dodatno osnažuje kibernetičku otpornost. Automatizirani sustavi mogu prepoznati neuobičajeno ponašanje korisnika te odmah aktivirati zaštitne protokole, čime se vrijeme reakcije svodi na minimum. U Evidenu, koristimo kombinaciju AI rješenja i stručnjaka kako bismo osigurali visoku razinu zaštite i učinkovitu reakciju na prijetnje.

Zaposlenici su često prva linija obrane. Zakon nalaže edukaciju zaposlenika i certifikaciju stručnjaka

Edukacija zaposlenika – ključna karika sigurnosnog lanca

Jedan od najvećih izazova u kibernetičkoj sigurnosti ostaje ljudski faktor. Tehnologija može smanjiti rizik od napada, ali zaposlenici koji nisu educirani o osnovama sigurnosnih protokola mogu biti slaba točka sustava. Uvođenje redovitih treninga i edukacija ključno je za smanjenje rizika od incidenata.

Razvoj stručnog kadra, kontinuirana obuka i podizanje svijesti o važnosti sigurnosti

Kibernetička sigurnost ne ovisi samo o tehničkim rješenjima već i o ponašanju zaposlenika. Izgradnja sigurnosne kulture i povećanje svijesti unutar organizacija i šire zajednice ključni su za dugoročnu otpornost na prijetnje. Redoviti treninzi i podizanje svijesti svih dionika osiguravaju aktivno sudjelovanje u zaštiti podataka i sustava.
Novi zakon uvodi obvezu edukacija kako bi zaposlenici bili spremni prepoznati prijetnje i pravilno reagirati na sigurnosne incidente. To zahtijeva dodatna ulaganja u interne edukacije ili angažiranje vanjskih stručnjaka.

Kako bi uspješno prebrodile ove izazove, tvrtke koje nemaju dostatne interne kapacitete trebale bi razmotriti angažiranje specijaliziranih pružatelja upravljanih sigurnosnih usluga (Managed Security Services Providers – MSSP). Eviden d.o.o. koristi znanje i iskustvo svojih lokalnih i globalnih stručnjaka iz područja kibernetičke sigurnosti te nudi ekspertizu i resurse potrebne za učinkovitu implementaciju zakonskih mjera, od snimke trenutnog stanja i gap analize do implementacije i nadzora sigurnosnih mjera. Takav pristup omogućuje tvrtkama da postignu usklađenost na kvalitetan i troškovno učinkovit način.Premda je implementacija Zakona izazovan proces, podrška kroz financijske potpore i stručne usluge omogućuje tvrtkama da ojačaju svoje sigurnosne kapacitete i zaštite svoje poslovanje od sve složenijih prijetnji. Ulaganjem u sigurnost danas, organizacije ne samo da ispunjavaju zakonske zahtjeve već osiguravaju temelje za sigurno i održivo poslovanje u budućnosti.