Kibernetička sigurnost više ne može biti tretirana isključivo kao tehničko pitanje – ona se danas sve više shvaća kao pitanje strateške važnosti koje zahtijeva jasno postavljene pravne okvire, institucionalnu suradnju i kontinuirano jačanje otpornosti, kako unutar društava, tako i na razini države
Piše: Dijana Kladar, Head of Compliance Innovation & Client Services, Vision Compliance
Prošla je godina bila rekordna po broju kibernetičkih napada i povreda podataka. Više od milijardu zapisa kompromitirano je diljem svijeta, a najveći pojedinačni incident pogodio je 1,3 milijarde ljudi. Stoga se više ne postavlja pitanje hoće li se dogoditi incident, već kada – i koliko ćemo biti spremni reagirati. Globalni val kibernetičkih prijetnji itekako se odražava i na domaćem prostoru, gdje su sve češće mete napada različiti sektori koji pružaju usluge ili nude određene proizvode.
Kibernetički napadi više nisu rijetkost niti rezultat slučajnosti. Oni su planirani, ciljani i često tehnički vrlo sofisticirani, s jasnim ciljevima i značajnim posljedicama. Upravo zato kibernetička sigurnost više ne može biti tretirana isključivo kao tehničko pitanje – ona se danas sve više shvaća kao pitanje strateške važnosti koje zahtijeva jasno postavljene pravne okvire, institucionalnu suradnju i kontinuirano jačanje otpornosti – kako unutar društava, tako i na razini države.
ZAKON O KIBERNETIČKOJ SIGURNOSTI
U odgovoru na te izazove, Hrvatska je u 2024. godini donijela novi Zakon o kibernetičkoj sigurnosti, čime je u nacionalno zakonodavstvo prenesena Direktiva (EU) 2022/2555, poznata kao NIS2 Direktiva. Riječ je o krovnom europskom propisu u području kibernetičke sigurnosti koji značajno proširuje krug obveznika – tzv. ključni i važni subjekti.
U Hrvatskoj to uključuje stotine organizacija iz javnog i privatnog sektora, poput proizvođača, osiguravajućih kuća, pružatelja IT usluga, pružatelja digitalnih usluga i slično. Organizacija koja nije formalno određena kao ključni ili važni subjekt ne izuzima se automatski od obveze primjene sigurnosnih mjera predviđenih Direktivom NIS2, osobito u slučajevima kada surađuje s obveznicima, odnosno ključnim i važnim subjektima, jer tada može biti ugovorno, tehnički ili operativno obvezna provoditi određene mjere kibernetičke sigurnosti.
Time zakonodavni okvir funkcionalno proširuje doseg regulative, stvarajući mehanizam u kojem su i manji subjekti motivirani na usklađivanje kako bi mogli nastaviti ili uspostaviti suradnju s većim, zakonski obveznim sustavima.
Za ključne i važne subjekte zakon propisuje obveze kao što su provedba procjene rizika, uspostava tehničkih i organizacijskih sigurnosnih mjera, edukacija zaposlenika te prijava svih ozbiljnih incidenata putem nacionalne platforme PiXi, koju održava CARNET. Dodatno, ‘ključni subjekti’ obvezni su provoditi neovisne sigurnosne revizije i izrađivati planove poslovnog kontinuiteta kako bi se osigurala brza i učinkovita reakcija u slučaju incidenta.
CYBERSECURITY BLUEPRINT
Nadalje, na razini Europske unije, u lipnju 2025. donesen je EU Cybersecurity Blueprint, dokument koji uspostavlja koordinirani odgovor na velike prekogranične kibernetičke krize. Blueprint definira protokole za zajedničko djelovanje nacionalnih sigurnosnih timova (CERTova), agencije Europske unije za kibersigurnost (ENISA), tijela za upravljanje krizama i ostalih dionika. Umjesto da zamijeni nacionalne mehanizme, cilj Blueprinta je da ih poveže u cjelovitu, brzu i učinkovitu mrežu reagiranja na najopasnije prijetnje.
Kao država članica EU, Hrvatska ima obvezu uskladiti svoje nacionalne protokole s ovim mehanizmom i osigurati da Nacionalni centar za kibernetičku sigurnost (NCSC-HR) može pravovremeno komunicirati i djelovati zajedno s europskim institucijama. To u praksi znači organizaciju redovitih zajedničkih vježbi, ažuriranje internih procedura i jačanje stručnih kapaciteta u institucijama i društvima koja djeluju u sektorima od posebne važnosti.
SURADNJA SA SLOVENIJOM
U tom kontekstu vrijedi istaknuti i primjer dobre prakse regionalne suradnje između Hrvatske i Slovenije, koji je dodatno potvrđen u srpnju 2025. kroz projekt Cyber Range Connect 25. Riječ je o bilateralnoj inicijativi kojom su nacionalni cyber-trenažni centri povezani u zajedničku digitalnu infrastrukturu za simulaciju stvarnih napada i kriznih situacija. Cilj je bio ojačati sposobnost obrane od napada na energetske sustave, testirati reakciju timova te unaprijediti prekograničnu koordinaciju u realnom vremenu. Ovo je jedan od prvih primjera u EU gdje se dvije članice povezuju na tehničkoj, operativnoj i edukativnoj razini u području kibernetičke sigurnosti.
PROIZVODI S DIGITALNIM ELEMENTIMA
Osim toga, od kraja 2024. godine na snazi je i EU Cyber Resilience Act (Regulativa (EU) 2023/2847) kojom se uvode nove obveze za proizvođače i pružatelje digitalnih proizvoda. Puna primjena propisanih zahtjeva predviđena je od prosinca 2027. godine, čime se svim obveznicima ostavlja prijelazno razdoblje za usklađivanje s tehničkim i sigurnosnim standardima.
Ova regulativa nalaže da svi ‘proizvodi s digitalnim elementima’ moraju biti projektirani s ugrađenim sigurnosnim značajkama (princip security by design), moraju imati sustav nadogradnji, kao i mehanizme za pravovremeno prijavljivanje sigurnosnih ranjivosti. Time se odgovornost za sigurnost širi s korisnika na proizvođače i pružatelje usluga, čime se dodatno osnažuje zaštita digitalnog tržišta EU.
Sve navedeno pokazuje da se pristup kibernetičkoj sigurnosti razvija u smjeru složenog, višerazinskog sustava, u kojem se pravne obveze, tehnička rješenja i međunarodna suradnja moraju usklađeno provoditi. Upravljanje kibernetičkim rizicima više nije samo tehnički izazov za IT odjele – to je pravno, strateško i operativno pitanje koje zahtijeva angažman uprava, pravnih službi, sigurnosnih timova i državnih institucija.
ZAKLJUČAK
Svi dionici – od malih i srednjih poduzeća do velikih infrastrukturnih sustava – moraju se pripremiti na realnu mogućnost ozbiljnih incidenata. To uključuje više od pukog ispunjavanja zakonskih obveza: traži se aktivno upravljanje rizicima, redovita edukacija, vježbe i ulaganje u sigurnosne sustave. U eri digitalne povezanosti, otpornost sustava više nije prednost – ona je preduvjet opstanka i povjerenja. A to se postiže samo ako sigurnost prestane biti reakcija i postane navika.
