Obveznici NIS2 direktive morat će primjenjivati kibernetičku sigurnost u svim aspektima poslovanja

Hrvatska udruga menadžera sigurnosti, pod visokim pokroviteljstvom Vlade Republike Hrvatske, od 27. do 29. rujna u Opatiji, Hotel Ambasador,  organizirala je Hrvatske dane sigurnosti 2023, kao sveobuhvatno događanje gotovo 300 menadžera sigurnosti i predstavnika industrije sigurnosti koji su zajednički razmijenili iskustva, znanja i perspektive o korporativnoj, privatnoj i urbanoj sigurnosti.

U doba 4. industrijske revolucije veliki dio poslovanja premješten je u digitalni svijet, prepun ranjivosti i cyber napada. Samo prošle godine u svijetu je zabilježeno više od 1.000 velikih incidenata. Eksperti za kibernetičku sigurnost okupljeni na panelu „Na kome je red da plati kaznu?“, istaknuli su da je zabilježen porast broja ransomware napada koji sa sobom donose i značajnije financijske posljedice, te da je u prosjeku  potrebno 210 dana da se napad otkrije.

Stoga je i razumljiv veliki interes sudionika za izlaganjem „Upravljanje kibernetičkom sigurnošću u Republici HrvatskojI“, koje je u prepunoj kongresnoj dvorani Hotela Ambasador, 27. rujna 2023., održao dr.sc. Aleksandar Klaić, iz Centra za kibernetičku sigurnost Sigurnosno obavještajne agencije (SOA). 

Predstavljajući temu izlaganja, dr.sc. Klaić je istaknuo da će vrijeme izlaganja iskoristiti da se osvrne na mehanizme koji su prenijeti u prijedlog Zakona o kibernetičkoj sigurnosti kao i da se osvrne na netočnosti koje su u javnosti bile posljednjih mjeseci vezano za ulogu SOA-e u donošenju novog zakona.

20 godina kibernetičke sigurnosti u RH

Transpozicija NIS2 direktive nije početak upravljanja kibernetičkom sigurnošću u RH. Upravljanje je započelo 2004/2005 godine sa Nacionalnim programom informacijske sigurnosti koji je rezultirao Zakonom o informacijskoj sigurnosti, pri čemu su uvedena CERT tijela u zakonodavni prostor u RH.

U 2015. godini donijeta je Nacionalna Strategija kibernetičke sigurnosti koja je i danas aktualna i koja će u budućnosti biti zamijenjena novim zahtjevima za buduće strategije iz Zakona o kibernetičkoj sigurnosti. Isto tako, dr.sc. Klaić je istaknuo prilično važno područje koje nije toliko bilo izloženo javnost, a to je područje upravljanja  kibernetičkim krizama na nacionalnoj razini. U posljednje 3 godine prije početka transpozicije NIS2 direktive puno se radilo na stvaranju modela upravljanja odgovorima na kibernetičke incidente velikih razmjera i kibernetičke krize. To je bio projekt koji je  vodio Centar za kibernetičku sigurnost SOA-e, a u kojem su sudjelovali MUP RH, MORH Nacionalni CERT, CARNET, ZSIS, ali i dva glavna regulatora HNB i HAKOM. Taj projekt je u velikoj mjeri predstavljao osnovu koja je poslije razrađena, proširena za  potrebe NIS2 direktive, rekao je  Klaić.

Uvod u NIS 2 direktivu

Što se tiče NIS2 direktive ne treba puno pričati o tim visokim zajedničkim mjerama, ali radi se o opsežnom aktu NIS2 direktive kako bi se mogao na sličan način transponirati u svih 27 država članica. Zajednička mjera je u stvari NIS2 direktiva.

Problemi na koje NIS2 direktiva želi odgovoriti su poznati svima, od digitalne tehnologije, kriznih stanja, kvantnih računala i umjetne inteligencije. Na ove probleme kibernetička sigurnost u narednih 5-10 godina mora odgovoriti.

Sama NIS2 direktiva je središnji akt koji je samo dio dva velika paketa akata – Stronger EU capabilities for effective operational cooperation, solidarity and resillience  – EU Cyber Solidarity Act, EU Cyber security Skills Academy, Certification Shemes for Managed Security Services – Cyber security Act (CSA)amenaments.

Klaić je naveo dva elementa koja su dovela do promjene u načinu pristupa u NIS2 transpoziciji.  Prvi je decentralizirana primjena, gdje se u NIS1 direktivi imao mali broj sektora s puno više nadležnih tijela nego sektora, dok je drugi element bio nedostatak resursa u nadležnim tijelima. NIS1 direktiva se prema operatorima koji su bili njeni obveznici odnosilo selektivno. NIS2 navedene elemente mijenja u potpunosti. Budući subjekti, obveznici NIS2 direktive, morat će primjenjivati mjere kibernetičke sigurnosti u cijelosti  poslovanja, jer je  poslovanje povezano i nije ga moguće razdijeliti primjerice na na ključnu uslugu ili samo na IT.

Okvir NIS2 direktive

„Regulirani pristup kibernetičkoj sigurnosti je nešto potpuno različito od reguliranih pristupa u vertikalnim industrijskim sektorima, primjerice bankarstvu ili telekomunikacijama. Kada gledate kibernetičku sigurnost, niti NIS2 uvodi regulirani pristup, niti će tijela koja se osnivaju preko NIS2 direktive, primarno, nacionalni centri za kibernetičku sigurnost, biti regulatori kibernetičke sigurnosti. Taj pojam u smislu reguliranih vertikalnih sektora nije niti približno sličan. Ono što ćemo u budućnosti doživjeti je ne samo zakonsko propisivanje, nego puno više normiranja koje će onda pratiti odgovarajuće akreditacije i certifikacije, bilo uređaja, bilo usluga, bilo pravnih osoba. To je taj viši regulirani pristup, ali on je daleko drugačiji od vertikalnih sektora jer je kibernetička sigurnost horizontalno raspršena po svim sektorima društva“, ističe Klaić.

U NIS2 direktivi se 3-4 puta povećao broj sektora, odnosno vrsta usluga koje se pokrivaju, a umjesto selektivnog pristupa, kibernetičke mjere će se provoditi u cijelosti poslovanja.

Kod sadržaja NIS2 direktive, temelj je proces upravljanja kibernetičkim sigurnosnim rizicima. Broj područja za procjenu rizika je povećan, dok će se procjena rizika morati raditi u nešto većem broju elemenata poslovanja, dok će revizija biti obvezujuća svake dvije godine. Za svaki ključni subjekt, nadzor će se obavljati jednom svakih 3-5 godina, sukladno procjeni rizika.

Transpozicija NIS2 direktive

Transpozicija NIS2 direktive u RH je provedena na potpuno identičan način kao i NIS1 direktiva. Formalni nositelj transpozicije je Ministarstvo hrvatskih branitelja iz jednostavnog  razloga jer je formalni nositel,j član Vlade zadužen za nacionalnu sigurnost, a to je ministar branitelja.

Nakon provedenog javnog savjetovanja, zaprimljeno je 119 komentara, na koje se odgovorilo. Prikupljeno je i 23 komentara državnih institucija. Vlada je Nacrt prijedloga Zakona o kibernetičkoj sigurnosti prihvatila i uputila u daljnju proceduru.

Planirani model upravljanja kibernetičkom sigurnošću u RH

Objašnjavajući planirani model upravljanja kibernetičkom sigurnošću u RH, dr.sc. Klaić je rekao da je prva aktivnost  koja je provedena , bilo objedinjavanje i profiliranje kibernetičkih nadležnosti unutar tijela sigurnosno-obavještajnog sustava. „Ovdje su nadležnosti bile raspršene. Odlučeno je da UVNS  sada bude dublje usmjeren u javni sektor, dok će ZSIS  u narednoj perspektivi biti primarno usmjeren  u evaluacije, certifikacije i akreditacije. SOA je neke elemente od UVNS i ZSIS-a, ipak preuzela. Ključni razlog je da je u ovoj fazi daljnjeg razvoja potrebno operativno tijelo sa tehničkim resursima i sposobnostima , i to je ključni razlog zašto je SOA išla na centralizaciju, ali ta centralizacija se provodi na temelju postojećeg Centra za kibernetičku sigurnost SOA-e, koji već četiri godine uspješno funkcionira“, kazao je dr.sc. Klaić.

Postojii niz drugih tijela koji zadržavaju postojeće nadležnosti (MUP, MO, HNB, HANF-a, HACZ, CARNET…)  i u određenoj mjeri ih proširuju odredbama budućeg Zakona o kibernetičkoj sigurnosti.                   

Transformacija Centra za kibernetičku sigurnost SOA-e u NCKS

Transformacija je logičan slijed samog procesa upravljanja kibernetičkom sigurnošću u RH, jednako kao što je logično da  inicijative u NIS2  proizlaze iz sigurnosno-obavještajnog sustava. Temelj su izgrađene sposobnosti SOA-e : sustav SK@UT (Odluka Vlade RH iz 2019. i 2021.), Centar za kibernetičku sigurnost SOA-e (2019.), EU-CyCLONe, koordinacija Pilot projekta EK, ENISA-e i EU-CyCLONe mreže, kibernetičke sigurnosne usluge za državna tijela i pravne osobe u RH, EU Horizontalna radna skupina za kibernetička pitanja (HWPCI),2022.

Sektorski pristup transpoziciji NIS2 direktive

Radi se o velikom broju sektora koja su u nacionalnom segmentu podijeljena na:

  • Autonomni sektori (3). Riječ je o sektorima koji već imaju vlastite sektorske propise u kojima je kibernetička sigurnost visoko regulirana. Riječ je o bankarstvu, proširenim infrastrukturama financijskog tržišta i zračnom prometu.
  • Polu-autonomni sektori (9). Kod ovih sektora postoji određena regulativa koja definira neke zahtijeve kibernetičke sigurnosti ali su ti zahtijevi bitno niži od NIS2 zahtjeva. Riječ je o državnom sektoru, sektoru istraživanja i obrazovanja, telekomu, elektorničkim uslugama povjerenja.
  • Ostali NIS2 sektori ( 34). Ovo je najbrojniji sektor, za kojeg će zahtjevi kibernetičke sigurnosti biti novina. U ovom sektoru su sektorski propisi slabo regulirani ili uopće ne reguliraju potrebnu razinu kibernetičke sigurnosti. razina sektorskih zakona znatno manja od NIS2 zahtijeva. U ovim sektorima trebati će uspostaviti sve NIS2 obveze: utvrđivanje popisa ključnih i važnih subjekata, nadzor, ocjenu sukladnosti i izvještavanje o sektorskim kibernetičkim napadima.

Kriteriji za određivanje ključnih i važnih NIS2 subjekata

Fokus NIS2 direktive primarno je na velikim i srednjim subjektima

V>250 zaposlenika s > od 43 mil Eura prihoda

S> 50 zaposlenika s > od 10 mil Eura prihoda

M>10 zaposlenika s > od 2 mil Eura prihoda

Kritični subjekti iz CER direktive postaju ključni subjekti u NIS2 direktivi.                                              

 Poslovne prilike za gospodarstvo

„NIS2 direktiva pruža niz mogućnosti posebno za pravne osobe u ulozi tijela za ocjenu NIS2 sukladnosti (revizora), zatim pravnim osobama  u ulozi pružatelja upravljanja IT/sigurnosnih usluga, i na kraju pravnim osobama u ulozi NIS2 verificiranih usluga na širem tržištu“, zaključio je dr.sc. Aleksandar Klaić.

 

 

Dijana Beg Ostojić/ Foto: HUMS/ Davor Denkovski

Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.