Na konferencijama posvećenima NIS2 i Zakonu o kibernetičkoj sigurnosti (ZKS) sa pozornice se ponavljaju snažne poruke: sigurnost je temelj otpornosti, usklađenost je obveza, a rizici su stvarni i rastu. Sve zvuči uvjerljivo, čak i inspirativno.
No, čim se ugase reflektori i krene pauza za kavu, priča se mijenja. Od sudionika čujem:
„Još jedan namet. Samo papiri. Idemo zadovoljiti minimum i maknuti to s dnevnog reda.“
I tu leži prava vijest: Zakon se ne doživljavaja na način na koji je zamišljen.
Službeni narativ i stvarna percepcija
Službeni narativ ZKS-a govori o otpornosti društva, usklađenosti s europskim direktivama i minimalnim standardima zaštite. U teoriji, to je temelj sigurnijeg poslovnog okruženja i stabilnijih javnih usluga.
U praksi, mnogi ga doživljavaju tek kao administraciju. Kao još jedan zahtjev koji se mora „odraditi“, bez obzira na stvarne koristi. Umjesto da se govori o otpornosti, govori se o trošku.
Forma bez sadržaja
Ovakav stav vodi u situaciju da se projekti usklađivanja pretvaraju u papirnate politike i checkliste. Na papiru sve izgleda uredno. Postoje napisane procedure, a na prezentacijama se hvale kako su „ispunjeni zahtjevi“.
Ali kada se dogodi napad, papiri ne pomažu. Semafori ne rade zato što postoji pravilnik. Vodovod se ne može nadzirati zato što je kupljena licenca. Hitna pomoć neće stići brže zato što se popunila tablica usklađenosti.
Forma bez sadržaja znači – nismo otporniji.
Pritisnuti sa svih strana
Razlog zašto se Zakon često doživljava negativno je i u položaju onih koji trebaju donijeti odluku o strategiji usklađivanja. Oni se nalaze između pritisnuti tri strane:
- Zakonodavca, koji traži usklađenost i prijeti kaznama.
- IT trgovaca, koji Zakon vide kao kanal prodaje i uvjeravaju da je rješenje u kupnji nove opreme i softvera – iako je većina organizacija već investirala značajna sredstva u sigurnosnu infrastrukturu.
- Uprave, koja ne želi slušati detalje i samo traži da se „problem skine s vrata“.
Rezultat je osjećaj pritiska i frustracije. Umjesto da se radi na procjenama rizika, procesima i kulturi sigurnosti, novac se troši na „kante i licence“ – jer je to najlakše opravdati.
Gdje je razlika?
Ono što je zanimljivo: organizacije u kojima su uprave savjesne i informirane – otpornost su postigle i bez Zakona. U takvim tvrtkama i institucijama kibernetička sigurnost već je dio strategije, jer uprava razumije da je ona ključ poslovnog kontinuiteta i povjerenja.
Suprotno tome, tamo gdje uprava nije osviještena, Zakon teško može napraviti razliku. Možete kupiti najskuplju opremu i platiti konzultante, ali ako uprava ne shvaća sigurnost kao stratešku temu, sve će se svesti na formu.
Prvi korak prema stvarnoj otpornosti nije kupnja tehnologije, nego promjena stava uprave.
Zašto je to važno
U digitalnom društvu, forma bez sadržaja ne znači samo propuštenu priliku. Ona znači da sustavi neće izdržati prvi ozbiljan napad.
Danas protivnici nisu „klinici u kapuljačama“. To su dobro organizirane, često državno sponzorirane grupe s resursima i ciljevima. Njihov interes nije samo financijska otkupnina, nego i testiranje otpornosti, destabilizacija i gubitak povjerenja u institucije.
U takvom okruženju Zakon ne smije biti doživljen kao birokratski okvir. On mora biti okvir za preživljavanje.
Kako promijeniti percepciju
Ako želimo promijeniti percepciju ZKS-a, fokus komunikacije mora biti na koristima, a ne na kaznama. Ljudi u organizacijama trebaju vidjeti da:
- dobar projekt usklađivanja štiti poslovanje – prekid rada tvrtke ili gradske uprave mjeri se milijunima, a reputacija se teško vraća,
- sigurnost gradi povjerenje – građana prema institucijama, kupaca prema tvrtkama, partnera prema dobavljačima,
- otpornost smanjuje troškove – ulaganje u prevenciju uvijek je jeftinije od cijene oporavka nakon incidenta.
Namet ili investicija?
Ljudi danas Zakon o kibernetičkoj sigurnosti najčešće doživljavaju kao namet jer ga gledaju kroz prizmu kazni i pritisaka. Ali prava vrijednost ZKS-a nije u dokumentima ni u prodaji opreme – nego u mogućnosti da društvo i gospodarstvo nastave raditi i kada kibernetički napad zakuca na vrata.
Tamo gdje je uprava savjesna i informirana, otpornost se već gradi – i bez zakona. Tamo gdje nije, prvi zadatak sigurno nije kupnja nove opreme, nego edukacija uprave. Ovih dana Sveučilište u Zagrebu, FOI Varaždin organizira edukaciju za uprave upravo o ovoj temi. Ali na takvim se događajima obično pojavlju uprave koje su veće debelo svjesne rizika i već upravljaju kibernetičkom sigurnošću. Oni drugi, obično imaju važnijeg posla.
Ako ZKS shvatimo kao namet, dobit ćemo hrpu beskorisnih dokumenata i frustraciju.
Ako ga shvatimo kao investiciju, dobit ćemo otpornije institucije, sigurnije poslovanje i povjerenje građana i klijenata.
Na kraju, izbor je jednostavan:
Želimo li zadovoljiti formu – ili izgraditi otpornost?