Nejasna kategorizacija u Zakonu o kibernetičkoj sigurnosti može zakačiti i pola gospodarstva

Nejasna kategorizacija u Zakonu o kibernetičkoj sigurnosti može zakačiti i pola gospodarstva

Bliži nam se dan donošenja novog Zakona o kibernetičkoj sigurnosti kojim bi se domaća legislatura napokon uskladila s europskom direktivom. Uz poznatog domaćeg stručnjaka iz tog područja, ali i sugovornike iz kompanija koje su sudjelovale u komentiranju nacrta, prolazimo detalje oko prijedloga zakona koji bi mogao zahvatiti par tisuća novih subjekata.

eSavjetovanje o nacrtu prijedloga novog Zakona o kibernetičkoj sigurnosti, u kojem su sudjelovali mnogi predstavnici zahvaćenih kompanija i domenski stručnjaci, zaključeno je prošli tjedan.

Potreba za tim dolazi ne samo zbog vreménā, već EU zahtjeva – moramo se uskladiti s novom Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti diljem Unije (NIS2). Nacrtom ovog zakona u cijelosti tako mijenjamo stari zakon koji je bio transpozicija NIS-a iz 2016. godine.

Direktivom se planira osuvremeniti zaštita javnog interesa od kibernetičkih prijetnji te povezano s tim nužnost osiguranja kontinuiteta rada kritične infrastrukture.

Zakon će svakako doprinijeti da se poveća svijest o informacijskoj i kibernetičkoj sigurnosti, smatra Vlatko Košturjak, CTO Diverta, tvrtke kojoj je temelj poslovanja upravo kibernetička sigurnost.

Ono što je vidljivo isto tako je svijest da sigurnost organizacije ovisi i o drugim organizacijama s kojima surađuje, komunicira i posluje. Zakon će tu svijest proširiti na mnogo više područja odnosno sektora što će imati za posljedicu ukupno povećanu razinu sigurnosti. Što svakako treba pozdraviti.

Iako to širenje znači veću sigurnost za sve u lancu, pitanje je hoće li zakon na nacionalnoj razini dobro definirati i spojiti sve karike. Upravo o tome smo pričali s Vlatkom, ali i poznatim konzultantom na području informatičkih sustava Markom Rakarom te Martinom Dragičević, direktoricom regulatornih poslova i EU fondova u A1 Hrvatska.

Sporni članak 24.

Jedno od glavnih pitanja koje je A1 adresirao tijekom javnog savjetovanja tiče se članka 24. Prijedloga zakona koji navodi kako:

Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata temeljem posebnih kriterija iz članka 11. ovog Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 2. i članka 13. ovog Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovog Zakona propisuje Vlada Republike Hrvatske uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.”

Kriteriji su definirani nizom članaka i priloga koje je najlakše ilustrirati ovime:

Evo kako su navedeni subjekti koji će u digitalnoj branši biti kategorizirani kao važni (iz II. priloga Prijedloga Zakona o kibernetičkoj sigurnosti koji bi trebao služiti kao temelj za uredbu o razvrstavanju subjekata).

Problem ovakvih sporadičnih kriterija je što obveze i prava subjekata ovise upravo o kategorizaciji (da li su važni ili ključni), baš zato je A1 u eSavjetovanju zatražio da se u izradu uredbe uključe svi ključni subjekti.

Problematiku tog članka, istaknuo je u svom komentaru i sam Marko:

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost. Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Martina također navodi koliko je u ovom procesu, za njih kao telekome, ključan HAKOM koji prema samom prijedlogu Zakona treba sve telekome detaljnije uputiti u prava i obveze prema prijedlogu Zakona.

Iz primjera nekih EU zemalja, nadležni regulatori su pripremili tzv. factsheet kako bi se izbjegle dvojbe oko primjene pojedinih obveza i njihovog sadržaja.

S druge strane, za tvrtke poput Diverta, koje se bave kibernetskom sigurnošću, novi zakon neće donijeti ništa posebno novo. U najgorem slučaju, samo više klijenata, odnosno zahvaćenih tvrtki kojima će biti potrebna pomoć u savjetovanju ili implementaciji. Vlatko komentira:

Većinu smo toga imali kroz Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. Postoji već mnogo organizacija koje su se prilagodile i implementirale “stari” zakon odnosno NIS. Većina promjena odnosi se na proširenje područja i organizacije koje će biti zahvaćene.

Upravo se u tom segmentu krije Markova briga koji smatra da bi ovaj Zakon mogao zahvatiti i one subjekte kojima će ovo biti potpuno nova sfera, za koju nisu nimalo spremni.

Zakon bi mogao obuhvatiti polovicu naše ekonomije?

Broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona mogao biti veći nego što očekujemo s obzirom na kriterije koji nisu jasno definirani, objašnjava Martina:

…kriteriji za identifikaciju obveznika zakona su široki i nedovoljno jasni što bi moglo uzrokovati da određeni broj subjekata utvrdi kako se moraju uskladiti s odredbama tek nakon zaprimljene obavijesti o kategorizaciji subjekta od strane tijela nadležnih za pojedini sektor obveznika s obzirom na usluge koje pružaju.

Kao dobar primjer koliko velike implikacije ta kategorizacija subjekata može imati, Marko se prisjeća istraživanja koje je analiziralo situaciju u Češkoj. Tamo je broj zahvaćenih subjekata s 400 narastao na 6.000, što je povećanje od 12 puta.

Češka je svojim ustrojem slična nama, a top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni.

Marko pojašnjava kako se 6.000 subjekata možda ne čini puno u odnosu na ukupni broj, no ako znamo da su praktički svi veliki i/ili srednji: komunalne organizacije, vodoopskrba, plinare, bolnice, prometna i druga javna poduzeća – te ako promatramo njihovu veličinu i broj zaposlenih – lako je zaključiti koliki je to dio ekonomije.

“Realno gledajući, podići razinu sigurnosti i u manjem opsegu nije jednostavan zadatak, a kamoli na takvom uzroku”, zaključuje i Vlatko.

Ono ključno je da se svaka organizacija pravovremeno pripremi za usklađivanje, obrati pažnju na tumačenje nejasnih aspekata zakona i prilagodi svoje poslovanje kako bi odgovorila na zahtjeve.

Ali to nisu jedine stvari koje brinu stručnu zajednicu

Marko Rakar u vezi prijedloga novog Zakona izdvaja još neke značajne stranputice.

Prvi problem vidi u tome što je predlagač zakona Ministarstvo hrvatskih branitelja, ministarstvo koje se bavi isključivo i jedino socijalnim temama (op.e. vidljivo iz priloženog opisa djelovanja niže) zbog čega Marko, bez dlake na jeziku kao uvijek, zaključuje:

Dakle, imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.

Osim što je autor ovog zakona nepoznat, a zakonska je obveza javno objaviti članove radne skupine, pogledajmo što još “bode u oči”…

Nacrt nije u skladu s EU direktivom

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebu „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“, navodi Marko u svojem blogu te objašnjava zašto Nacrt nije usklađen s Direktivom:

Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Zatim, u NIS2 direktivi na više se mjesta spominje potreba koordinacije različitih javnih tijela, a Nacrt cjelokupnu regulaciju svodi na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju, dodaje Marko, a u tome vidi i ogroman problem.

SOA kao regulator?

Marko ne razumije zašto je Sigurnosno obavještajnoj agenciji (SOA) dodijeljena uloga koju inače provodi Nacionalni centar za kibernetičku sigurnost (CSIRT). Smatra kako je to nespojivo s ulogom SOA-e jer govorimo o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka:

Aktivnosti SOA-e su po svojoj prirodi tajne te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja.

Ovaj potez Marko smatra suprotnim cijelom nizu krupnijih koncepata poput slobode, demokracije i prava da nismo nadzirani.

Dok ne izađu podzakonski akti – neizvjesno je što nas čeka!

Zakon je trenutno napisan na veoma visokoj razini, slažu se Vlatko i Martina te ističu da će tek po donošenju svih navedenih akata biti moguće napraviti cjelovitu analizu i procjenu koliko će se uspješno moći odraditi implementacija obveza.

U NIS2 direktivi definirano je da će EU komisija podzakonske akte kojima će detaljnije urediti područja iz ovog Zakona donijeti do 17. listopada 2024.

Podzakonski akti bi svakako trebali biti konkretniji, pojašnjava Vlatko:

Tek tada će se moći reći u potpunosti koliko je izvediv, ali ako se već veliki broj organizacija prilagodio “starom” Zakonu, vjerujemo da će uspjeti i ostale organizacije koje će biti obuhvaćene “novim” Zakonom.

Sporna uredbi Vlade iz čl. 24. Prijedloga zakona bit će očito ključan dokument za implementaciju na razini države. A uz same podzakonske akte, novi Zakon predviđa i donošenje nacionalnog plana za upravljanje kibernetičkim krizama, kao i nacionalnog plana razvoja kibernetičke sigurnosti s akcijskim planom za njegovu provedbu.

Zadatak zakonodavca je stoga da sve navedene brige stručne zajednice i subjekata uzmu u obzir u sastavljanju istih. Pratimo hoće li tako i biti.

Ako želite dulje zaroniti u ovu temu, pročitajte Markove blogove Zakon o kibernetičkoj sigurnosti (prijedlog) i Zakon o kibernetičkoj sigurnosti (moje primjedbe njima).


Članak su pripremili Marin Pavelić i Ana Marija Kostanić.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

eUsluge

Grad Zagreb omogućio potpun uvid u proračun kroz aplikaciju iTransparentnost

Nova aplikacija omogućuje svakom građaninu da detaljno prouči gradski porarčun po različitim parametrima.

Startupi

Što je to R&D potencijal – i kakve veze ima s razvojem startupa?

Je li startup nacija u kojoj su nastali tech giganti kao Skype, Wise, Bolt i Pipedrive to postala slučajno, otkrijte sa mnom na putu u Estoniju.

Nesortirano

Što je Akt o čipovima – i kako će doprinjeti tehnološkom razvitku Hrvatske

Jačanje konkurentnosti Europske unije u industriji poluvodiča prilika je i za Hrvatsku koja u sklopu 43 milijarde eura vrijedne incijative priprema otvaranje edukacijskih centara.

Što ste propustili

Panel

Hrvatski game developeri o stvaranju “ozbiljnih” videoigara

S predstavnicima game dev studija, ali i drugih privatnih tvrtki i dobrotvornih organizacija, raspravljamo o razvoju videoigara kojima svrha nije samo zabava, već i edukacija.

Intervju

Ivan Mrvoš: “Include više nije samo ‘onaj mali s pametnim klupama'”

Include, solinski startup poznat po pametnim klupama Steora, okrenuo se razvoju i proizvodnji novih proizvoda. Mrvoš, koji još nema ni 30 godina, a već je iskusni poduzetnik s respektabilnom karijerom, za Netokraciju je ispričao kako se i koliko ta tvrtka promijenila. Nedavno smo mogli pročitati da bi mogli promijeniti i vlasnika...

Esport

Peta sezona SET-a zaključena u Infobipu: Od 22 fakulteta pobjednički je varaždinski FOI

Student Esports Tournament, jedan od najpoznatijih studentskih esport događaja u Hrvatskoj, petu sezonu završio je u spektakularnoj LAN završnici koja se održala u prostorima Infobipa u Zagrebu.

Novost

Goran Bosankić u Field39 stiže na poziciju Chief Revenue Officera

Nakon više od 6 godina u Assecu SEE, a potom isto toliko u ABC Tech grupi, Goran Bosankić dolazi u Field39 kao Chief Revenue Officer i član Upravnog odbora.

Digitalni marketing

Super Bowl fenomen iliti “Vrijeme je da se vratite pred TV. Počinju reklame.”

Dok sam bio u Americi netom prije Super Bowla jedno mi je postalo jasno. Američki nogomet tamo je religija, a SuperBowl kao Božić. Samo što se za ovaj Božić svi okupe oko TV-a gledati reklame!

Novost

Teo Širola iz Muzeja iluzija proglašen najboljim mladim menadžerom 2023. godine

Hrvatsko udruženje menadžera i poduzetnika (HUM) CROMA dodijelilo je predsjedniku tvrtke Metamorfoza, koja upravlja globalnom mrežom Muzeja iluzija, nagradu za mladog menadžera 2023. godine.