Nejasna kategorizacija u Zakonu o kibernetičkoj sigurnosti može zakačiti i pola gospodarstva

eSavjetovanje o nacrtu prijedloga novog Zakona o kibernetičkoj sigurnosti, u kojem su sudjelovali mnogi predstavnici zahvaćenih kompanija i domenski stručnjaci, zaključeno je prošli tjedan.

Potreba za tim dolazi ne samo zbog vreménā, već EU zahtjeva – moramo se uskladiti s novom Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti diljem Unije (NIS2). Nacrtom ovog zakona u cijelosti tako mijenjamo stari zakon koji je bio transpozicija NIS-a iz 2016. godine.

Direktivom se planira osuvremeniti zaštita javnog interesa od kibernetičkih prijetnji te povezano s tim nužnost osiguranja kontinuiteta rada kritične infrastrukture.

Zakon će svakako doprinijeti da se poveća svijest o informacijskoj i kibernetičkoj sigurnosti, smatra Vlatko Košturjak, CTO Diverta, tvrtke kojoj je temelj poslovanja upravo kibernetička sigurnost.

Ono što je vidljivo isto tako je svijest da sigurnost organizacije ovisi i o drugim organizacijama s kojima surađuje, komunicira i posluje. Zakon će tu svijest proširiti na mnogo više područja odnosno sektora što će imati za posljedicu ukupno povećanu razinu sigurnosti. Što svakako treba pozdraviti.

Iako to širenje znači veću sigurnost za sve u lancu, pitanje je hoće li zakon na nacionalnoj razini dobro definirati i spojiti sve karike. Upravo o tome smo pričali s Vlatkom, ali i poznatim konzultantom na području informatičkih sustava Markom Rakarom te Martinom Dragičević, direktoricom regulatornih poslova i EU fondova u A1 Hrvatska.

Sporni članak 24.

Jedno od glavnih pitanja koje je A1 adresirao tijekom javnog savjetovanja tiče se članka 24. Prijedloga zakona koji navodi kako:

“Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata temeljem posebnih kriterija iz članka 11. ovog Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 2. i članka 13. ovog Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovog Zakona propisuje Vlada Republike Hrvatske uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.”

Kriteriji su definirani nizom članaka i priloga koje je najlakše ilustrirati ovime:

Problem ovakvih sporadičnih kriterija je što obveze i prava subjekata ovise upravo o kategorizaciji (da li su važni ili ključni), baš zato je A1 u eSavjetovanju zatražio da se u izradu uredbe uključe svi ključni subjekti.

Problematiku tog članka, istaknuo je u svom komentaru i sam Marko:

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost. Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Martina također navodi koliko je u ovom procesu, za njih kao telekome, ključan HAKOM koji prema samom prijedlogu Zakona treba sve telekome detaljnije uputiti u prava i obveze prema prijedlogu Zakona.

Iz primjera nekih EU zemalja, nadležni regulatori su pripremili tzv. factsheet kako bi se izbjegle dvojbe oko primjene pojedinih obveza i njihovog sadržaja.

S druge strane, za tvrtke poput Diverta, koje se bave kibernetskom sigurnošću, novi zakon neće donijeti ništa posebno novo. U najgorem slučaju, samo više klijenata, odnosno zahvaćenih tvrtki kojima će biti potrebna pomoć u savjetovanju ili implementaciji. Vlatko komentira:

Većinu smo toga imali kroz Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. Postoji već mnogo organizacija koje su se prilagodile i implementirale “stari” zakon odnosno NIS. Većina promjena odnosi se na proširenje područja i organizacije koje će biti zahvaćene.

Upravo se u tom segmentu krije Markova briga koji smatra da bi ovaj Zakon mogao zahvatiti i one subjekte kojima će ovo biti potpuno nova sfera, za koju nisu nimalo spremni.

Zakon bi mogao obuhvatiti polovicu naše ekonomije?

Broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona mogao biti veći nego što očekujemo s obzirom na kriterije koji nisu jasno definirani, objašnjava Martina:

…kriteriji za identifikaciju obveznika zakona su široki i nedovoljno jasni što bi moglo uzrokovati da određeni broj subjekata utvrdi kako se moraju uskladiti s odredbama tek nakon zaprimljene obavijesti o kategorizaciji subjekta od strane tijela nadležnih za pojedini sektor obveznika s obzirom na usluge koje pružaju.

Kao dobar primjer koliko velike implikacije ta kategorizacija subjekata može imati, Marko se prisjeća istraživanja koje je analiziralo situaciju u Češkoj. Tamo je broj zahvaćenih subjekata s 400 narastao na 6.000, što je povećanje od 12 puta.

Češka je svojim ustrojem slična nama, a top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni.

Marko pojašnjava kako se 6.000 subjekata možda ne čini puno u odnosu na ukupni broj, no ako znamo da su praktički svi veliki i/ili srednji: komunalne organizacije, vodoopskrba, plinare, bolnice, prometna i druga javna poduzeća – te ako promatramo njihovu veličinu i broj zaposlenih – lako je zaključiti koliki je to dio ekonomije.

“Realno gledajući, podići razinu sigurnosti i u manjem opsegu nije jednostavan zadatak, a kamoli na takvom uzroku”, zaključuje i Vlatko.

Ono ključno je da se svaka organizacija pravovremeno pripremi za usklađivanje, obrati pažnju na tumačenje nejasnih aspekata zakona i prilagodi svoje poslovanje kako bi odgovorila na zahtjeve.

Ali to nisu jedine stvari koje brinu stručnu zajednicu

Marko Rakar u vezi prijedloga novog Zakona izdvaja još neke značajne stranputice.

Prvi problem vidi u tome što je predlagač zakona Ministarstvo hrvatskih branitelja, ministarstvo koje se bavi isključivo i jedino socijalnim temama (op.e. vidljivo iz priloženog opisa djelovanja niže) zbog čega Marko, bez dlake na jeziku kao uvijek, zaključuje:

Dakle, imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.

Osim što je autor ovog zakona nepoznat, a zakonska je obveza javno objaviti članove radne skupine, pogledajmo što još “bode u oči”…

Nacrt nije u skladu s EU direktivom

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebu „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“, navodi Marko u svojem blogu te objašnjava zašto Nacrt nije usklađen s Direktivom:

Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Zatim, u NIS2 direktivi na više se mjesta spominje potreba koordinacije različitih javnih tijela, a Nacrt cjelokupnu regulaciju svodi na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju, dodaje Marko, a u tome vidi i ogroman problem.

SOA kao regulator?

Marko ne razumije zašto je Sigurnosno obavještajnoj agenciji (SOA) dodijeljena uloga koju inače provodi Nacionalni centar za kibernetičku sigurnost (CSIRT). Smatra kako je to nespojivo s ulogom SOA-e jer govorimo o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka:

Aktivnosti SOA-e su po svojoj prirodi tajne te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja.

Ovaj potez Marko smatra suprotnim cijelom nizu krupnijih koncepata poput slobode, demokracije i prava da nismo nadzirani.

Dok ne izađu podzakonski akti – neizvjesno je što nas čeka!

Zakon je trenutno napisan na veoma visokoj razini, slažu se Vlatko i Martina te ističu da će tek po donošenju svih navedenih akata biti moguće napraviti cjelovitu analizu i procjenu koliko će se uspješno moći odraditi implementacija obveza.

U NIS2 direktivi definirano je da će EU komisija podzakonske akte kojima će detaljnije urediti područja iz ovog Zakona donijeti do 17. listopada 2024.

Podzakonski akti bi svakako trebali biti konkretniji, pojašnjava Vlatko:

Tek tada će se moći reći u potpunosti koliko je izvediv, ali ako se već veliki broj organizacija prilagodio “starom” Zakonu, vjerujemo da će uspjeti i ostale organizacije koje će biti obuhvaćene “novim” Zakonom.

Sporna uredbi Vlade iz čl. 24. Prijedloga zakona bit će očito ključan dokument za implementaciju na razini države. A uz same podzakonske akte, novi Zakon predviđa i donošenje nacionalnog plana za upravljanje kibernetičkim krizama, kao i nacionalnog plana razvoja kibernetičke sigurnosti s akcijskim planom za njegovu provedbu.

Zadatak zakonodavca je stoga da sve navedene brige stručne zajednice i subjekata uzmu u obzir u sastavljanju istih. Pratimo hoće li tako i biti.

Ako želite dulje zaroniti u ovu temu, pročitajte Markove blogove Zakon o kibernetičkoj sigurnosti (prijedlog) i Zakon o kibernetičkoj sigurnosti (moje primjedbe njima).

Članak su pripremili Marin Pavelić i Ana Marija Kostanić.