NIS2 i novi Zakon o kibernetičkoj sigurnosti: Što svaki poslodavac u Hrvatskoj mora znati?

Digitalna transformacija donijela je revoluciju u poslovanju, ali i nikad veće rizike. U svijetu u kojem su ransomware napadi i curenje podataka postali svakodnevica, Europska unija odgovorila je NIS2 direktivom, koja je u Hrvatskoj implementirana kroz novi Zakon o kibernetičkoj sigurnosti (NN 14/24).

Ako ste mislili da je kibernetička sigurnost isključivo briga vašeg IT odjela, vrijeme je za hitnu promjenu perspektive. Ovaj zakon donosi drastične promjene u odgovornosti menadžmenta, proširuje krug obveznika i propisuje rigorozne kazne.

U ovom članku donosimo sve što poslodavci i direktori moraju znati kako bi zaštitili svoje poslovanje i izbjegli zakonske sankcije.

Što je zapravo NIS2 (Zakon o kibernetičkoj sigurnosti)?

Važno je odmah razjasniti terminologiju: ne govorimo o sustavu NIAS (e-Građani), već o zakonu koji prenosi europsku direktivu Network and Information Security 2. Zakon je stupio na snagu u veljači 2024. godine, a cilj mu je podići razinu kibernetičke sigurnosti u ključnim sektorima gospodarstva.

Ovo više nije preporuka, to je zakonska obveza koja kibernetičku sigurnost stavlja u samu srž korporativnog upravljanja.

1. Tko su obveznici? (Vjerojatno i vi)

Stari zakon odnosio se prvenstveno na banke, telekome i energetiku. Novi zakon drastično širi taj opseg. Ako vaša tvrtka ima više od 50 zaposlenih ili godišnji promet/bilancu veću od 10 milijuna eura, velika je vjerojatnost da ste obveznik zakona.

Obveznici su podijeljeni u dvije kategorije:

• Ključni subjekti: Energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, voda, digitalna infrastruktura, upravljanje ICT uslugama, javna uprava i svemir.
• Važni subjekti: Poštanske usluge, gospodarenje otpadom, kemikalije, proizvodnja, prerada i distribucija hrane, proizvodnja (medicinskih uređaja, računala, elektroničkih proizvoda, vozila...), digitalni pružatelji usluga (tražilice, online trgovine).

Čak i ako ste manji poduzetnik, zakon vas može zahvatiti ako ste, primjerice, jedini pružatelj ključne usluge u državi ili pružatelj DNS usluga.

2. Osobna odgovornost Uprave: Nema više "nisam znao"

Ovo je najveća promjena ("game-changer") koju zakon donosi. Članovi uprave i direktori sada su izravno i osobno odgovorni za provedbu mjera kibernetičke sigurnosti.

To u praksi znači:

1. Uprava mora odobriti mjere upravljanja rizicima.
2. Uprava mora nadzirati provedbu tih mjera.
3. Obvezna edukacija: Članovi uprave moraju proći osposobljavanje kako bi mogli prepoznati rizike i procijeniti jesu li mjere adekvatne.

U slučaju nepoštivanja obveza, zakonodavac može privremeno zabraniti obnašanje menadžerske dužnosti odgovornoj osobi u ključnom subjektu.

3. Koje su vaše konkretne obveze?

Zakon ne traži samo "antivirusni program". Traži sustavni pristup koji uključuje:

• Upravljanje rizicima: Morate imati pisane politike analize rizika i sigurnosti informacijskih sustava.
• Sigurnost lanca opskrbe: Nije dovoljno da ste vi sigurni; morate provjeravati i sigurnosne prakse svojih dobavljača i partnera.
• Plan kontinuiteta poslovanja: Što ako vas napadnu? Morate imati spreman plan za oporavak od katastrofe (Disaster Recovery).
• Izvještavanje o incidentima: Rokovi su iznimno kratki. O svakom značajnom incidentu morate obavijestiti nadležno tijelo (NCSC-HR) u roku od 24 sata (rano upozorenje), a detaljno izvješće dostaviti unutar 72 sata.

4. Kazne: Rizik koji si ne možete priuštiti

Kazne za neusklađenost su dizajnirane da budu drastične i mogu ugroziti opstanak tvrtke:

• Za ključne subjekte: do 10.000.000 EUR ili 2% ukupnog godišnjeg prometa na svjetskoj razini (što je veće).
• Za važne subjekte: do 7.000.000 EUR ili 1.4% ukupnog godišnjeg prometa.

Osim financijskog udarca, zakon predviđa i javnu objavu imena pravnih osoba koje krše odredbe, što donosi nemjerljiv reputacijski rizik.

Najveći rizik je i dalje: čovjek (zaposlenik)

Možete kupiti najskuplji firewall i najmoderniji softver, ali statistika je neumoljiva: ljudski faktor je uzrok većine sigurnosnih incidenata. Phishing mailovi, slabe lozinke i nepažnja zaposlenika su ulazna točka za napadače.

Zakon o kibernetičkoj sigurnosti to prepoznaje i izričito zahtijeva redovitu edukaciju zaposlenika. To više ne smije biti formalnost jednom godišnje; edukacija mora biti mjerljiva, dokaziva i kontinuirana.

Kako vam Primo Manager može pomoći?

Usklađivanje s NIS2 direktivom ne mora biti administrativna noćna mora. Kada je riječ o edukaciji zaposlenika i smanjenju ljudskog rizika, Primo Manager nudi cjelovito rješenje koje štedi vaše vrijeme i resurse:

• Automatizirani Phishing testovi: Provjerite budnost svojih zaposlenika simuliranim napadima u sigurnom okruženju.
• Edukacija i ispiti: Sveobuhvatni tečajevi kibernetičke sigurnosti i provjere znanja na jednoj platformi.
• Dokaz usklađenosti: Sustav automatski ažurira profil svakog zaposlenika s njegovim zadnjim edukacijama i rezultatima testova. Kada dođe inspekcija, imate spremnu dokumentaciju o provedenim mjerama osposobljavanja.

Ne čekajte da postanete statistika. Kibernetička sigurnost je investicija u stabilnost vašeg poslovanja.

Jeste li spremni zaštititi svoju tvrtku? Isprobajte Primo Manager već danas i osigurajte da vaši zaposlenici budu vaša prva linija obrane, a ne najslabija karika.