Unatoč brojnim obvezama koje će poduzetnicima donijeti novi Zakon o kibernetičkoj sigurnosti stupanjem na snagu 17. listopada ove godine, poput redovitih revizija i samoprocjena, ova provedba NIS2 Direktive Europske unije donosi i neke poduzetničke prilike. Naime, hrvatske će tvrtke, ponajviše iz IT sektora, moći biti u ulogama revizora i certifikatora za kibernetičku sigurnost, ne samo na razini Hrvatske nego i cijele EU.
Aleksandar Klaić iz Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije kaže da će tvrtke iz Hrvatske moći biti u ulogama revizora NIS2 sukladnosti ili certifikatora u područjima penetracijskog testiranja, odgovora na incidente i procjene rizika u cijeloj EU, pa bi bilo dobro da iskoriste te mogućnosti. Ovu priliku, naime, imaju tvrtke iz svih država članica EU-a, pa tako i one iz Hrvatske, stoga je konkurencija u tom vidu velika.
Dodatna ulaganja nužna
S druge strane, Boris Bajtl, dopredsjednik Hrvatskog instituta za kibernetičku sigurnost i član izvršnog odbora HUP ICT-ja, objašnjava što takva certifikacija znači za hrvatske tvrtke i na koji ju je način moguće dobiti.
– Certifikacija za NIS2 sukladnost pruža hrvatskim tvrtkama priliku da se pozicioniraju kao ključni igrači u području kibernetičke sigurnosti na razini EU, jer s izdanim EU sigurnosnim certifikatom za reviziju kibernetičke sigurnosti hrvatske tvrtke postaju ovlašteni revizori za provjeru usklađenosti s NIS2 direktivom na području cijele EU. Potencijal za hrvatske tvrtke da iskoriste ovu priliku i postanu konkurentne na EU tržištu je značajan, ali zahtijeva kontinuirana i značajna ulaganja u stručnost i tehnologiju. Hrvatski sektor kibernetičke sigurnosti već raspolaže stručnjacima, znanjima i iskustvom, no bit će potrebna dodatna ulaganja u edukaciju i razvoj vještina specifičnih za NIS2 zahtjeve. Potencijal je ogroman, pogotovo uzimajući u obzir očekivanu količinu posla te konkurentnost cijena na hrvatskom tržištu – mišljenja je Bajtl.
Spomenute revizije kibernetičke sigurnosti, koje će najmanje jednom u dvije godine morati provoditi tvrtke koje će do iduće godine biti kategorizirane kao ključni subjekti, provodit će ovlašteni revizori kibernetičke sigurnosti, pružatelji upravljanih sigurnosnih usluga koji posjeduju nacionalne ili europske certifikate. Tvrtke koje će biti u kategoriji važnih subjekata morat će najmanje jednom u dvije godine provoditi postupak samoprocjene.
Nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti hrvatskim će tvrtkama izdavati Zavod za sigurnost informacijskih sustava, i to na temelju strogih pravila. To su, primjerice, tehnički zahtjevi i norme za revizore koje će biti donesene najkasnije devet mjeseci nakon Uredbe o kibernetičkoj sigurnosti. Međutim, za to još ima podosta vremena jer se prve revizije prema NIS2 direktivi ne očekuju prije početka 2027. godine.
– Prethodno je nužno provesti inicijalnu kategorizaciju subjekata, najkasnije do 31. ožujka 2025. te implementaciju obaveznih mjera kibernetičke sigurnosti u roku od 12 mjeseci nakon te kategorizacije. Nakon toga, subjekti obuhvaćeni Zakonom imat će rok od dvije godine za doradu mjera kroz lokalnu procjenu rizika i provedbu najmanje jedne nezavisne revizije za ključne subjekte ili samoprocjene za važne subjekte. Ovaj vremenski okvir pruža hrvatskim tvrtkama dovoljno vremena za pripremu i iskorištavanje ove poslovne prilike – naglašava Bajtl.
Ipak, stručnjaci upozoravaju da poduzetnici za edukaciju i ulaganja u kibernetičku sigurnost ne čekaju zakonske rokove, već da na usklađivanju sa sigurnosnim standardima počnu raditi čim prije.
Poduzetnici spremni
Mnoge tvrtke već su krenule u smjeru certificiranja i poduzimaju potrebne korake, kaže Bajtl, a očekuje se da će s vremenom sve veći broj njih prepoznati potencijal i kvalificirati se za pružanje usluga revizije i certifikacije na EU tržištu.
– Generalno govoreći, pri primjeni Zakona o kibernetičkoj sigurnosti važno je osigurati ravnotežu između novih obveza za poduzetnike i potrebnih investicija u jačanje standarda kibernetičke sigurnosti – zaključuje Bajtl, koji smatra da je nova regulativa prilika koja bi mogla potaknuti rast domaćeg ICT sektora koji potrebna znanja i rješenja za kibernetičku sigurnost već ima.