Direktiva NIS2 (Direktiva EU 2022/2555) u Hrvatskoj je implementirana Zakonom o kibernetičkoj sigurnosti, koji je stupio na snagu 15. veljače 2024., značajno poboljšavajući protokole kibernetičke sigurnosti za određene subjekte u zemlji. Ovaj sažetak istražuje okvir i implikacije zakona, s posebnim naglaskom na obveze i zahtjeve za subjekte koji su kategorizirani kao “ključni” ili “važni”.
Kategorizacija subjekata
Zakon razlikuje “ključne” i “važne” subjekte na temelju njihovog operativnog utjecaja i veličine, pri čemu ove kategorizacije određuju regulatorne obveze koje subjekti moraju ispunjavati. Bez obzira na veličinu subjekta, ključni i važni subjekti su oni čije su usluge ključne za održavanje ključnih društvenih ili ekonomskih aktivnosti ili čiji bi prekidi usluga mogli značajno utjecati na javnu sigurnost, javno zdravlje ili uzrokovati sustavne rizike u različitim sektorima.
Odgovornost za provedbu mjera
Jedna od glavnih odredbi Zakona o kibernetičkoj sigurnosti je osiguranje korporativne odgovornosti. Upravljačka tijela subjekata imaju obvezu odobravanja i nadziranja provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima. Ova odgovornost uključuje odobravanje strategija upravljanja kibernetičkim sigurnosnim rizicima i osiguravanje da su prakse kibernetičke sigurnosti subjekta na visokoj razini. Odgovornost se također proteže na redovitu obuku za donositelje odluka i zaposlenike, kako bi se izgradio educiran kadar sposoban za učinkovito upravljanje kibernetičkim sigurnosnim rizicima. Subjektima je dodijeljen rok od godinu dana od primitka obavijesti o kategorizaciji za usklađivanje s ovim zahtjevima.
Obavještavanje o značajnim incidentima
Subjekti moraju prijaviti kibernetičke incidente koji imaju “značajan utjecaj” na njihovo poslovanje ili na kontinuitet njihovih usluga. Zakon o kibernetičkoj sigurnosti predviđa da ova obveza dostave obavijesti stupa na snagu unutar 30 dana od primitka obavijesti o kategorizaciji. Definicija “značajnog incidenta” uključuje ozbiljne operativne poremećaje, znatne financijske gubitke ili znatnu štetu drugim fizičkim ili pravnim osobama. Prijave se podnose nacionalnom CSIRT-u putem određene nacionalne platforme kojom upravlja CARNET.
Mjere kibernetičke sigurnosti
Zakon nalaže da i ključni i važni subjekti provode robusne mjere kibernetičke sigurnosti prilagođene razini rizika povezanog s njihovim poslovanjem. Ove mjere, koje moraju biti uvedene u roku od godine dana od primitka obavijesti o kategorizaciji, uključuju tehničke, operativne i organizacijske strategije za zaštitu mrežnih i informacijskih sustava, kao i fizičkih okruženja tih sustava. Zakon naglašava pridržavanje najnovijih tehnoloških standarda i integraciju europskih i međunarodnih normi gdje je to primjenjivo.
Dodatne obveze
Osim usklađivanja s Direktivom NIS2, hrvatski Zakon o kibernetičkoj sigurnosti uvodi dodatne obveze. Na primjer, na zahtjev nadležnih tijela subjekti su obvezni dostaviti detaljne operativne i kontaktne informacije, olakšavajući točnu kategorizaciju i nadzor. Ovi podaci moraju biti dostavljeni u vremenskom roku koji uzima u obzir složenost traženih informacija, stoga rok ne može biti kraći od 15 dana niti duži od 45 dana od dana primitka zahtjeva za dostavu podataka.
Revizija i samoprocjena
Zbog provjere usklađenosti s odredbama Zakona o kibernetičkoj sigurnosti subjekti su podložni reviziji i samoprocjeni. Ključni subjekti moraju provoditi reviziju svake dvije godine ili na zahtjev nadležnih tijela, dok se važni subjekti revidiraju samo na zahtjev. Međutim, važni subjekti provode samoprocjenu svake dvije godine, pri čemu subjekti koji su usklađeni s odredbama sastavljaju izjavu o sukladnosti, a subjekti koji nisu usklađeni s odredbama utvrđuju plan daljnjeg postupanja i ispravljanje nedostataka.
Sankcije i provedba
Zakon o kibernetičkoj sigurnosti predviđa sveobuhvatan okvir sankcija, gdje neusklađenost može rezultirati korektivnim mjerama, obustavom poslovanja ili značajnim novčanim kaznama. Kazne ovise o globalnom prometu subjekta i prirodi neusklađenosti, ali mogu doseći iznos od 10 milijuna eura ili 2% godišnjeg globalnog prometa. Kazne za odgovorne fizičke osobe mogu doseći iznos od 6 tisuća eura.
Regulatorni nadzor
Provedbu i usklađenost sa zakonom nadziru Središnje državno tijelo za kibernetičku sigurnost i Nacionalni centar za kibernetičku sigurnost. Ova tijela osiguravaju da subjekti ispunjavaju svoje obveze u pogledu kibernetičke sigurnosti i pridržavaju se standarda utvrđenih zakonom.
Implementacijom i proširenjem EU direktive, hrvatski Zakon o kibernetičkoj sigurnosti ima za cilj ojačati infrastrukturu kibernetičke sigurnosti, štiteći i ublažavajući rizike kibernetičkih incidenata koji bi mogli poremetiti nacionalnu, regionalnu ili lokalnu stabilnost i sigurnost. Ovaj zakon predstavlja proaktivan korak prema zaštiti digitalne i fizičke infrastrukture Hrvatske od nadolazećih kibernetičkih prijetnji.
Osvrt je pripremio naš korporativni član, odvjetničko društvo Wolf Theiss