U veljači 2024. Hrvatska je dobila novi, sveobuhvatni Zakon o kibernetičkoj sigurnosti (NN 14/2024) koji značajno mijenja način na koji organizacije pristupaju zaštiti svojih IT sustava. No što to zapravo znači u praksi?
U ovom blogu donosimo jasan i razumljiv sažetak najvažnijih stvari koje trebate znati.
Zašto je donesen ovaj zakon?
Glavni cilj Zakona je postizanje visoke razine kibernetičke sigurnosti u cijeloj državi, posebno u sektorima ključnim za društvo i gospodarstvo.
Drugim riječima, država želi osigurati da:
- kritične usluge (npr. energija, zdravstvo, financije) rade bez prekida
- organizacije budu otpornije na kibernetičke napade
- postoji koordiniran odgovor na velike incidente
Zakon također prenosi EU NIS2 direktivu u hrvatsko zakonodavstvo.
Na koga se zakon odnosi?
Zakon uvodi podjelu na dvije ključne kategorije:
1. Ključni subjekti
Organizacije čiji bi pad imao ozbiljne posljedice (npr. energetika, promet, zdravstvo).
2. Važni subjekti
Organizacije koje su također važne, ali s nešto manjim utjecajem.
Obuhvat je značajno proširen – zakon pokriva 19 sektora, uključujući i javni sektor.
Koje su glavne obveze organizacija?
Organizacije koje spadaju u obuhvat zakona moraju:
✔ Upravljati rizicima
Uvesti mjere za zaštitu mrežnih i informacijskih sustava.
✔ Prijavljivati incidente
Svaki značajan sigurnosni incident mora se prijaviti nadležnim tijelima.
✔ Provoditi procjene i revizije
Redovite samoprocjene i nadzori postaju standard.
✔ Osigurati kontinuitet poslovanja
Planovi oporavka i otpornosti više nisu opcija – nego obveza.
Zakon detaljno propisuje i nadzor, kazne i odgovornosti za nepoštivanje.
Tko upravlja sustavom kibernetičke sigurnosti?
Zakon uvodi jasnu strukturu upravljanja:
- Nacionalni centar za kibernetičku sigurnost (NCSC-HR) kao središnje tijelo
- CERT-ovi (CSIRT timovi) za upravljanje incidentima
- različita nadležna tijela po sektorima
Time se uvodi koordinirani nacionalni sustav odgovora na incidente i krize.
Što je novo u odnosu na stari zakon?
Novi zakon donosi nekoliko ključnih promjena:
- znatno veći broj obveznika
- uključivanje javnog sektora
- fokus na proaktivnu zaštitu, a ne samo reakciju
- uvođenje strateškog upravljanja i kriznih mehanizama
- jača suradnja između države i privatnog sektora
Stari zakon iz 2018. godine time je stavljen izvan snage.
Postoje li obveze i za manje organizacije?
Da – zakon uvodi i dobrovoljne mehanizme kibernetičke zaštite.
To znači da i organizacije koje nisu formalno obveznici mogu:
- provoditi samoprocjene
- prijavljivati incidente
- koristiti nacionalne sigurnosne alate
Cilj je podizanje ukupne razine sigurnosti u cijelom društvu.
Što to znači u praksi?
Za većinu organizacija ovaj zakon znači:
- sigurnost više nije samo IT pitanje – nego poslovna odgovornost uprave
- potrebno je uvesti strukturirani pristup (politike, procedure, kontrole)
- očekuju se redoviti nadzori i dokazivanje usklađenosti
Zaključak
Zakon o kibernetičkoj sigurnosti predstavlja veliki korak prema sustavnom upravljanju kibernetičkim rizicima u Hrvatskoj.
Njegova glavna poruka je jasna:
👉 kibernetička sigurnost više nije opcija, nego temelj stabilnog poslovanja i funkcioniranja društva.