S prvim danom ove godine počela je primjena Fiskalizacije 2.0 koja obuhvaća oko 330.000 poduzetnika i čak 80 posto platnog prometa u državi i kojom je uveden institut informacijskog posrednika. To su pravne ili fizičke osobe koje pružaju tehničke usluge elektroničke razmjene e‑računa, fiskalizacije i povezane komunikacije s Poreznom upravom. Iako se čini da je riječ o novini, u Hrvatskoj oni rade već skoro deset godina u sklopu primjene Zakona o elektroničkom izdavanju računa u javnoj nabavi.
Oni za poduzetnike zaprimaju njihove e‑račune ili im pružaju aplikacije za izdavanje e‑računa, brinu o digitalnom potpisivanju i enkripciji e‑računa te da je razmjena e‑računa usklađena sa zakonom i tehničkim standardima, a poduzetnici preko njih preuzimaju e‑račune u svoj sustav za upravljanje računima.
U ovom trenutku, prema popisu Porezne uprave, u Hrvatskoj rade 34 informacijska posrednika. Nakon što informacijski posrednik zadovolji sve zakonom propisane uvjete i pribavi potvrdu o sukladnosti, Porezna uprava upisuje ga na javno dostupan popis informacijskih posrednika.
Pojedini kritičari sustava tvrde da su kriteriji za dobivanje dozvole za informacijske posrednike minimalni i da je za dozvolu "potreban samo jedan papir". Marko Emer, vlasnik tvrtke Elektronički računi koja mjesečno razmjenjuje više od dva milijuna računa vrijednih oko četiri milijarde eura, za Nedjeljni Jutarnji nedavno je izjavio "da su kriteriji koje je Porezna uprava postavila za obavljanje djelatnosti informacijskog posrednika, nažalost, vrlo slabi. Traži se samo jedan ISO standard (ISO 27001), a ne postoji stroga provjera iskustva, broja zaposlenika, poslovne etike ili dugoročne stabilnosti tvrtke koja želi raditi kao informacijski posrednik".
Naši sugovornici tvrde da je situacija zapravo dijametralno suprotna te da su uvedena mnoga pravila i vrlo visoki standardi sigurnosti koje informacijski posrednici moraju zadovoljiti kako bi mogli obavljati ovaj posao. Između ostalog, moraju se uskladiti sa Zakonom o kibernetičkoj sigurnosti kojim su svrstani u najznačajniju kategoriju prema propisima kibernetičke sigurnosti - kategoriju ključnih subjekata. Oni su zakonom označeni kao iznimno važni za funkcioniranje hrvatskog društva, pa se za njih primjenjuju najstrože mjere po pitanju kibernetičke zaštite.
Stoga nije ni čudno da, kako navode naši sugovornici, rad informacijskih posrednika, osim Porezne uprave i drugih tijela, konstantno nadzire i Sigurnosno-obavještajna agencija.
Postavljanje visokih standarda sigurnosti za informacijske posrednike nije slučajno s obzirom na to da je fiskalizacija iznimno važan dio financijskog sustava države. "Kad bih htio napasti državu, napao bih proces fiskalizacije", rekao je kibernetički stručnjak prije mnogo godina na jednom stručnom skupu o fiskalizaciji. To dovoljno govori o važnosti sigurne razmjene e‑računa i zaštite interesa poreznih obveznika u obavljanju fiskalizacije. Uostalom, nije slučajno da je fiskalizacija dio kibernetičke kritične infrastrukture.
Alen Delić, zamjenik predsjednika Udruge menadžera sigurnosti, ističe da u nadzoru informacijskih posrednika Porezna uprava i SOA imaju različite uloge. Pojednostavljeno gledajući, Porezna uprava je "vlasnik" dijela sustava: definira pravila Fiskalizacije 2.0, provodi postupak sukladnosti, vodi popis informacijskih posrednika i nadzire ispunjavanje uvjeta vezanih uz funkcioniranje fiskalizacije. SOA kroz Nacionalni centar za kibernetičku sigurnost pokriva kibernetički okvir: kategorizaciju i očekivane sigurnosne mjere vezane uz Zakon o kibernetičkoj sigurnosti, uključujući postupanje s incidentima i nadzor nad provedbom tih mjera.
Pojednostavljeno, Porezna gleda "radi li sustav po fiskalnim pravilima", a sigurnosni sustav države gleda "je li dovoljno otporan i što se događa kad nastupi incident", naglašava Delić.
Svi oni koji su se prijavili za obavljanje poslova informacijskog posrednika, između ostalog, morali su razviti informatičko rješenje usklađeno s propisanim tehničkim i sigurnosnim zahtjevima te proći postupak provjere i testiranja pred Poreznom upravom. Tek nakon toga upisani su na službeni popis i mogli su početi s radom. Da bi se uskladili s važećim zakonskim i sigurnosnim zahtjevima, između ostalog, moraju ispravno upotrebljavati Adresar metapodatkovnih servisa (AMS) i ne smiju koristiti paralelna ili zaobilazna rješenja koja bi mogla ugroziti integritet razmjene podataka.
Ministar Primorac hvali fiskalizaciju 2.0 i odbacuje optužbe o kaosu. Kritike Benčić su mu nejasne
Ne smiju mijenjati strukturu ni sadržaj e‑računa, moraju posjedovati certifikat ISO 27001 te primjenjivati visoke standarde informacijske sigurnosti i zaštite podataka. Uloga je SOA‑e, sukladno Zakonu o kibernetičkoj sigurnosti, nadzor i inspekcija informacijskih posrednika po pitanju provedbe mjera kibernetičke sigurnosti. Za to je zadužen Nacionalni centar za kibernetičku sigurnost koji djeluje u sklopu Agencije. Informacijski posrednici dužni su SOA‑i dostaviti svu traženu dokumentaciju o poduzetim mjerama kibernetičke zaštite, ali i provoditi korektivne mjere koje im SOA naredi. Također, obvezno moraju izvještavati SOA‑u o svim značajnim incidentima u poslovanju.
Nacionalni centar ima pravo redovnog i izvanrednog nadzora nad informacijskim posrednicima po pitanju mjera kibernetičke zaštite koje provode. Ako informacijski posrednik ne ispunjava obveze kibernetičke sigurnosti, SOA od Porezne uprave može zatražiti da posredniku privremeno suspendira ovlaštenje za pružanje usluga ili čak da fizičkim osobama privremeno zabrani obavljanje upravljačkih dužnosti u informacijskom posredniku. Izvanredni nadzor provodi se kada SOA ima informaciju da neki posrednik ne poštuje zakon ili se dogodi incident. Uz to, posrednici svake dvije godine moraju provesti neovisne revizije mjera zakona te izvješća dostaviti SOA‑i.
Delić ističe da je značaj Zakona o kibernetičkoj sigurnosti u ovom slučaju golem jer povezana uredba i podzakonski akti nisu općeniti, nego propisuju konkretan skup sigurnosnih mjera koje obveznici moraju provoditi. U praksi to znači da se ne gleda samo imaju li "papire" i politike, nego imaju li stvarne kapacitete za nadzor sustava, brzu reakciju i oporavak u slučaju incidenta. Kad takvi standardi vrijede za čvorišta poput informacijskih posrednika, diže se sigurnost cijelog sustava jer se smanjuje mogućnost da jedna slaba karika ugrozi velik broj korisnika.
On posebno naglašava primjenu pravila Secure SDLC koje posrednike obvezuje da moraju imati educirane razvojne inženjere o sigurnom pisanju koda, kombinaciju automatiziranih i ručnih sigurnosnih testiranja te kontrolirano čuvanje i upravljanje izvornim kodom. "Cilj je da se potencijalne ranjivosti unaprijed svedu na minimum i ako se pojave, da se otkriju što ranije dok je popravak najbrži i najjeftiniji."
Ovo pravilo posrednike, između ostalog, obvezuje da pri izradi softvera za razmjenu e‑računa koriste dvofaktorsku autentifikaciju za pristup sustavu te provode analizu prijetnji i penetracijska testiranja da bi se identificirali mogući načini hakerskih presretanja podataka i kako to spriječiti. Osim toga, kažu nam sugovornici, informacijski posrednici moraju koristiti kriptografska i enkripcijska rješenja, posebice u dijelu zaštite sigurnosti e‑računa, te kontrolirati tko sve ulazi u njihove prostorije i tko ima pristup sustavima i podacima. Da bi sve to ostvarili, posrednici moraju uložiti znatna sredstva u obuku zaposlenika i potrebne tehničke sustave kako bi odgovorili na stroge zahtjeve kibernetičke sigurnosti.
Delić napominje da se kazne za kršenje zakona kreću od naloga za korektivne mjere i pojačanog nadzora pa do višemilijunskih novčanih kazni u najtežim slučajevima. Novčane kazne mogu iznositi od 10.000 do čak deset milijuna eura ili u iznosu od 0,5 do najviše dva posto ukupnog godišnjeg prometa subjekta na svjetskoj razini u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći. Također se mogu aktivirati i druga nadzorna tijela, primjerice Agencija za zaštitu osobnih podataka ako incident uključuje povredu osobnih podataka.
Na pitanje postoji li mogućnost da, usprkos svim poduzetim propisanim mjerama zaštite, podaci korisnika Fiskalizacije 2.0 budu ugroženi, Delić odgovara da takva mogućnost uvijek postoji "jer niti jedan sustav nije apsolutno imun. Međutim, upravo zato je jedna od ključnih mjera sigurnosti upravljanje incidentima kako bi se takvi događaji što brže otkrili, ograničili i sanirali, kako bi se šteta i posljedice za korisnike minimizirale. U praksi se danas sigurnost više ne mjeri time hoće li se nešto dogoditi, nego koliko je sustav spreman posljedice držati pod kontrolom".
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....