NIS2 direktiva posve će sigurno natjerati kompanije da o sigurnosti i zaštiti svojih informacijskih sustava počnu razmišljati, a onda u njih i ulagati. Da je ovo nužno govori i činjenica da dobar dio kompanija u Hrvatskoj u informacijsku sigurnost uopće ne ulaže ili ulaže premalo. Na zaštitu sustava od hakerskih napada rukovodstvo domaćih tvrtki, naime, još gleda samo kao na trošak.
Šteta od 10,5 milijuna eura nastala lani zbog hakerskih napada (podaci Službe kibernetičke sigurnosti MUP-a) najbolji je dokaz da je svako ulaganje u informacijsku sigurnost itekako isplativo. Kristina Oršanić Kopić, savjetnica za kibernetičku sigurnost iz tvrtke Combis, stoga se veseli ažuriranim pravilima o kibernetičkoj sigurnosti koja su na snagu stupila lani kroz NIS2 direktivu.
“Kada sam Upravi kompanije govorila da razinu sigurnosti treba podići, oni su odgovarali da neće valjda baš nas napasti. Sretna sam stoga da je došla NIS2 direktiva”, poručuje Oršanić Kopić s konferencije Poslovnog dnevnika “Kibernetičke prijetnje i sigurnost – Defend Tech&Insure”, odnosno panela na kojem su stručnjaci iz više kompanija i institucija raspravljali o tome što donosi NIS2 direktiva.
Mnogo više obveznika
Ivona Loparić, konzultantica za informacijsku sigurnost iz Diverta, pojasnila je da će broj sektora i kompanija koje podliježu novim pravilima sada biti mnogo veći, ali i da dolazi do promjena u opsegu sustava. “Direktiva koja je stupila na snagu 2018. propisala je da pravila kibernetičke sigurnosti moraju ispunjavati samo pružatelji ključnih usluga, a sada se ona odnose na sve informacijske i mrežne sustave”, ističe Loparić.
Oršanić Kopić: Kada sam Upravi kompanije govorila da razinu sigurnosti treba podići, oni su odgovarali da neće valjda baš nas napasti.
Naime, NIS1 direktiva odnosila se na sektor energije, transporta, financijske infrastrukture i banaka, vode, zdravstva, pružatelje digitalnih usluga i digitalnu infrastrukturu. NIS2 direktivom opseg obuhvata proširio se na javnu administraciju, sektor hrane, istraživanja, svemir, otpad, poštu, proizvodnju kritičnih proizvoda, pružatelje javnih elektroničkih komunikacijskih mreža i servisa, ICT servise.
To je proširenje jako dobro, ocjenjuje Oršanić Kopić iz Combisa. “Jako je dobro da je Europa prepoznala da moramo krenuti od lanaca opskrbe jer nije dovoljno da smo samo mi sigurni, već sigurni moraju biti svi s kojima poslujemo. Svjedoci smo milijunskih šteta i ako ne shvatimo da svi moramo doći na jednaku razinu sigurnosti bit ćemo u velikim problemima”, poručuje Oršanić Kopić.
Bruno Pavić, glavni direktor za sigurnost u Končaru, jednom od najvećih domaćih izvoznika, kaže da je nužno povećati otpornost tvrtki jer je sve danas digitalizirano. Končar na tome, ističe, intenzivno radi. Riječ je, objašnjava, o kompaniji koja zapošljava više od 5000 ljudi te u svom portfelju ima 12 tvrtki.
“U tijeku je konsolidacija tvrtki kako bismo sve stavili na jednu domenu. Sada sve što imamo moramo popisati, napraviti migraciju te zaštititi. Ulažemo i u vlastiti sigurnosno-operativni centar (SOC)”, navodi Pavić. Koliko će ih u konačnici ulaganje u kibernetičku sigurnost stajati, nisu još izračunali.
Općenito je, kažu stručnjaci, teško navoditi iznos ulaganja u informacijsku sigurnost jer ovisi o veličini kompanije, broju zaposlenika, trenutačnoj razini sigurnosti, kao i cilju koji se želi postići. No, svi naglašavaju da je osiguranje sigurnosti sustava kompanije dugotrajan proces, pa bi u taj proces trebalo krenuti što prije.
Financijska pomoć
Ivona Loparić iz Diverta pritom napominje da je velika pogreška što kompanije ne izrađuju strategiju razvoja informacijske sigurnosti.
“Mora postojati plan razvoja kako bi se znalo gdje se ide. Usto, nužan je i akcijski plan provedbe koji bi se trebao temeljiti na kvalitetnoj procjeni rizika. Tu pak često dolazi do problema jer se procjena, što informacijske imovine, što mjera, rijetko provodi kako treba. To pak rezultira kupovinom skupih alata koje zaposlenici ne znaju koristiti”, upozorava Loparić.
Takvih problema nemaju u AKD-u, državnoj agencije za komercijalnu djelatnost koja proizvodi osobne iskaznice, putovnice, vize, vozačke dozvole… U kompaniji koja raspolaže s podacima gotovo svih građana RH sigurnost je vrlo važna tema, ističe Kristina Leko Kuštrak, direktorica Sektora IT-a u AKD-u. Napominje i da tvrtka redovito ulaže u sigurnost. Visina ulaganja ovisi o procjeni rizika i procjeni zrelosti sigurnosti kompanije.
“AKD redovito provodi obje procjene, a po pitanju razine zrelosti smo vrlo visoko”. Leko Kuštrak napominje da AKD u sigurnost ulaže vlastiti novac no, ostale kompanije, posebno male i srednje mogu računati na pomoć EU-a u investiranju u sigurnost.
“EU je prepoznala da mala i srednja poduzeća neće imati dovoljno novca za podizanje razine sigurnosti stoga je za tu namjenu predvidjela značajna sredstva. Ona su već dostupna kroz više poziva”, poručuje Leko Kuštrak.
Uloga SOA-e
NIS2 direktiva donijet će više posla i HAKOM-u, agenciji zaduženoj za kontrolu telekomunikacijskog tržišta. Do sada je HAKOM nadzirao samo velike operatere, a prema novim pravilima njihov će se nadzor proširiti na 200 novih subjekata, rekla je Jagoda Peleponjko, članica cyber tima i stručne radne skupine za transpoziciju NIS2 iz HAKOM-a. Napominje i da se novi obveznici NIS2 direktive, koja se u Hrvatskoj provodi putem Zakona o kibernetičkoj sigurnosti, ne trebaju bojati kazni.
“Zakon o kibernetičkoj sigurnosti propisuje da prvo ide opomena i rok za usklađenje. Kazna slijedi tek ako do toga ne dođe. Ideja zakona i direktive je pomoći kompanijama da se usklade, a ne ih kažnjavati”, kaže Peleponjko.
Isto ističe i Aleksandar Klaić iz Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije (SOA), agencije koja ima središnju ulogu u provođenju kibernetičke sigurnosti u Hrvatskoj.
Klaić pojašnjava i da će vremena za usklađivanje s novim pravilima koje nameće Europa biti dovoljno. To vrijeme, kaže, nije još niti počelo iako je Zakon o kibernetičkoj sigurnosti na snagu stupio u veljači. “Ono počinje kada određeni kategorizirani subjekt zaprimi službenu obavijest od nadležnog tijela za taj sektor. Razdoblje u kojem će se provoditi kategorizacija je između studenog ove godine i veljače, odnosno ožujka iduće.
Ranije ne možemo krenuti s kategorizacijom jer Europska komisija još mora donijeti određene provedbene akte koje moramo uključiti u uredbu. Rok da sve to napravimo je 17. listopada”, pojašnjava Klaić te najavljuje da bi kroz mjesec dana u javno savjetovanje trebao biti pušten Nacionalni program za upravljanje kibernetičkim krizama.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu