Mnogo veći broj tvrtki u Hrvatskoj morat će ulagati u ICT sigurnost nakon što se donese novi Zakon o kibernetičkoj sigurnosti, usklađen s tzv. NIS2 direktivom. Vlada je krenula u njegovu pripremu i na internetskim stranicama e-Savjetovanja objavila uvod u tu proceduru kroz nešto što se zove obrazac prethodne procjene za taj zakon. No, već je i to izazvalo zanimljive komentare.
Postojeći zakon, usklađen s početnom NIS direktivom EU-a, propisao je devet strateški važnih sektora za funkcioniranje društva i gospodarstva u Hrvatskoj. Među njima su, kako smo tijekom pandemije mogli vidjeti, svakako zdravstveni sektor, digitalna infrastruktura i davatelji digitalnih usluga. Ali na popisu su i energetika, prijevoz, bankarstvo, infrastruktura financijskog tržišta, opskrba vodom za piće i njena distribucija, kao i usluge u sustavima državne informacijske infrastrukture.
Organizacije koje upravljaju takvom infrastrukturom u slučaju kibernetičkog napada o tome trebaju obavijestiti nadležne institucije. To su, ovisno od sektora, Nacionalni CERT smješten u CARNetu i Zavod za sigurnost informacijskih sustava (ZSIS), a nadležna tijela po sektorima u pravilu su različita.
Vlada tvrdi da je takav decentralizirani sustav primjene zakona "kontinuirano otežavao primjenu". Ističe da većina nadležnih tijela nije imala resurse za provedbu, a prijave obveznika zakona su bile "relativno slabe" pa predlaže da novu verziju zakona sastavi Ministarstvo branitelja te da se uvede centraliziran pristup kontrole kibernetičke sigurnosti koji bi vodila Sigurnosno obavještajna agencija (SOA).
Marko Rakar upozorava da obavještajni aparat nije transparentan i stoga nije dobro rješenje za kontrolu. Tim više što većina takve strateške infrastrukture nije u državnom već privatnom vlasništvu. Upozorava da Irska kontrolira kibernetičku sigurnost kroz centar unutar Ministarstva okoliša, klime i komunikacija. Slično je u Estoniji, Finskoj i Njemačkoj. U Austriji i Francuskoj su to uredi vlade, a u Češkoj i Italiji posebne agencije.
Vlada navodi i da nudi takvo rješenje, jer je problem "uska primjena zakona na mali broj sektora te samo na ključne usluge u identificiranim operatorima ključnih usluga, a ne na poslovanje operatora u cijelosti". Inače, zbog NIS2 direktive novi će zakon pokrivati dvostruko više sektora nego dosad, čak i poštanske i kurirske usluge, gospodarenje otpadom, rad s kemikalijama, hranom, industriju i R&D.
Rakar zato upozorava da je Ministarstvo branitelja podcijenilo učinak koji će to imati na male i srednje poduzetnike, kao i da njegov učinak na organizacije koje će ga morati primijeniti baš i neće biti "neznatan".
- Govorimo o značajnom širenju opsega i područja u kojima se implementira direktiva te je riječ o značajnim investicijama - zaključuje Rakar.