Istekao rok za prijavu kibernetičkih incidenata, slijede upozorenja i kazne

Od prošle godine na snazi je Zakon o kibernetičkoj sigurnosti, a u ponedjeljak, 5. svibnja istekao je rok do kojeg su kategorizirane tvrtke morale uspostaviti sustav izvještavanja o kibernetičkim incidentima. Problem koji kibernetički napadi predstavljaju ozbiljan je - stopa prijava u Hrvatskoj 2024. godine iznosila je tek 20 posto, dok je stopa rasta štete dosegla i više od 50 posto.

Uspostava sustava izvještavanja o kibernetičkim incidentima prvi je korak koji dospijeva tvrtkama koje podliježu tom zakonu, kaže za Bloomberg Adria TV Boris Bajtl, dopredsjednik Hrvatskog instituta za kibernetičku sigurnost. Manje je poznato, naglašava, kako taj sustav ima nekoliko razina.

"Osim izvješćivanja nadležnih tijela o značajnim sigurnosnim incidentima, zakonski su tvrtke obvezne obavještavati i korisnike njihovih usluga ukoliko (sic!) ti incidenti imaju utjecaj na dostupnost usluga, a isto tako u određenim slučajevima dužni su obavještavati i javnost", govori Bajtl.

Zakon obvezuje tvrtke kategorizirane do ovog trenutka da u najkraćem mogućem roku, a najdulje u roku od 24 sata, izvijeste nadležno tijelo o sigurnosnim incidentima, pokušajima ili ranjivostima, objašnjava.

Postoji veliki dio tvrtki, srednjih ili čak i velikih, koje taj zakon veže, a "koje nemaju vlastite timove za kibernetičku sigurnost i u ovom trenutku možda ni dovoljno kapaciteta za obradu takvih incidenata", upozorava Bajtl. "Upravo to je i razlog zbog kojeg je uveden ovaj zakon. Njegova svrha je dizanje razine zrelosti i povećanje otpornosti na kibernetičke incidente."

Tvrtke ipak nisu prepuštene same sebi, kaže Bajtl i naglašava kako postoji niz koraka koje mogu poduzeti.

"Ono što preporučujem svima koji se ne osjećaju dovoljno sigurni da se sami uhvate ukoštac s ovim zahtjevima je da naprave outsourcing svojih sigurnosnih usluga, odnosno da angažiraju vanjske stručnjake koji će nadzirati njihovu mrežu", govori. "To ne znači da oni odgovornost prenose na nekog drugog, oni su i dalji odgovorni da ispunjavaju sve odredbe zakona, međutim samo upravljanje sigurnosti prepuštaju stručnjacima."

Nadležno tijelo za zaprimanje incidenata nije tu samo da primi obavijest o samom incidentu, već i da pomogne tvrtkama u slučaju da im je to potrebno, dodaje.

Nisu dostupni službeni podaci o broju subjekata koji podliježu tom zakonu, kao ni podaci o tvrtkama koje su uvele taj sustav.

"Pretpostavljam da (popisa) neće ni biti s obzirom (na to) da je to sigurnosno pitanje i hakerima bi se na taj način izložio popis strateški bitnih tvrtki u Hrvatskoj", objašnjava.

No hoće li biti sankcija za tvrtke koje ne ispune svoje obveze u rokovima?

"Za očekivati je da nisu sve tvrtke prijavile sustav, no smisao ovog zakona nije kažnjavanje već povećanje razine zrelosti kibernetičke sigurnosti... Vjerojatnije će se najprije ići s upozorenjima."

Sankcije su ipak iznimno ozbiljne. "Zakon o kibernetičkoj sigurnosti predviđa značajne novčane kazne, slično kao i GDPR. Kazne mogu iznositi ili do 10 milijuna eura ili dva posto ukupnih godišnjih prihoda subjekta, ovisi o tome koji iznos je veći. To su maksimalne kazne koje ovise o mnogo faktora", kaže i naglašava da su predviđene i kazne za odgovorne, fizičke osobe. "Te kazne iznose do šest tisuća eura."

--- Cijeli razgovor pogledajte u videu.