Piše: Dijana Kladar, Head of Compliance Innovation & Client Services, Vision Compliance

Prošla je godina bila rekordna po broju kibernetičkih napada i povreda podataka. Više od milijardu zapisa kompromitirano je diljem svijeta, a najveći pojedinačni incident pogodio je 1,3 milijarde ljudi. Stoga se više ne postavlja pitanje hoće li se dogoditi incident, već kada – i koliko ćemo biti spremni reagirati. Globalni val kibernetičkih prijetnji itekako se odražava i na domaćem prostoru, gdje su sve češće mete napada različiti sektori koji pružaju usluge ili nude određene proizvode.

Kibernetički napadi više nisu rijetkost niti rezultat slučajnosti. Oni su planirani, ciljani i često tehnički vrlo sofisticirani, s jasnim ciljevima i značajnim posljedicama. Upravo zato kibernetička sigurnost više ne može biti tretirana isključivo kao tehničko pitanje – ona se danas sve više shvaća kao pitanje strateške važnosti koje zahtijeva jasno postavljene pravne okvire, institucionalnu suradnju i kontinuirano jačanje otpornosti – kako unutar društava, tako i na razini države.

ZAKON O KIBERNETIČKOJ SIGURNOSTI

U odgovoru na te izazove, Hrvatska je u 2024. godini donijela novi Zakon o kibernetičkoj sigurnosti, čime je u nacionalno zakonodavstvo prenesena Direktiva (EU) 2022/2555, poznata kao NIS2 Direktiva. Riječ je o krovnom europskom propisu u području kibernetičke sigurnosti koji značajno proširuje krug obveznika – tzv. ključni i važni subjekti.

U Hrvatskoj to uključuje stotine organizacija iz javnog i privatnog sektora, poput proizvođača, osiguravajućih kuća, pružatelja IT usluga, pružatelja digitalnih usluga i slično. Organizacija koja nije formalno određena kao ključni ili važni subjekt ne izuzima se automatski od obveze primjene sigurnosnih mjera predviđenih Direktivom NIS2, osobito u slučajevima kada surađuje s obveznicima, odnosno ključnim i važnim subjektima, jer tada može biti ugovorno, tehnički ili operativno obvezna provoditi određene mjere kibernetičke sigurnosti.

Time zakonodavni okvir funkcionalno proširuje doseg regulative, stvarajući mehanizam u kojem su i manji subjekti motivirani na usklađivanje kako bi mogli nastaviti ili uspostaviti suradnju s većim, zakonski obveznim sustavima.

Za ključne i važne subjekte zakon propisuje obveze kao što su provedba procjene rizika, uspostava tehničkih i organizacijskih sigurnosnih mjera, edukacija zaposlenika te prijava svih ozbiljnih incidenata putem nacionalne platforme PiXi, koju održava CARNET. Dodatno, ‘ključni subjekti’ obvezni su provoditi neovisne sigurnosne revizije i izrađivati planove poslovnog kontinuiteta kako bi se osigurala brza i učinkovita reakcija u slučaju incidenta.

CYBERSECURITY BLUEPRINT

Nadalje, na razini Europske unije, u lipnju 2025. donesen je EU Cybersecurity Blueprint, dokument koji uspostavlja koordinirani odgovor na velike prekogranične kibernetičke krize. Blueprint definira protokole za zajedničko djelovanje nacionalnih sigurnosnih timova (CERTova), agencije Europske unije za kibersigurnost (ENISA), tijela za upravljanje krizama i ostalih dionika. Umjesto da zamijeni nacionalne mehanizme, cilj Blueprinta je da ih poveže u cjelovitu, brzu i učinkovitu mrežu reagiranja na najopasnije prijetnje.

Kao država članica EU, Hrvatska ima obvezu uskladiti svoje nacionalne protokole s ovim mehanizmom i osigurati da Nacionalni centar za kibernetičku sigurnost (NCSC-HR) može pravovremeno komunicirati i djelovati zajedno s europskim institucijama. To u praksi znači organizaciju redovitih zajedničkih vježbi, ažuriranje internih procedura i jačanje stručnih kapaciteta u institucijama i društvima koja djeluju u sektorima od posebne važnosti.

SURADNJA SA SLOVENIJOM

U tom kontekstu vrijedi istaknuti i primjer dobre prakse regionalne suradnje između Hrvatske i Slovenije, koji je dodatno potvrđen u srpnju 2025. kroz projekt Cyber Range Connect 25. Riječ je o bilateralnoj inicijativi kojom su nacionalni cyber-trenažni centri povezani u zajedničku digitalnu infrastrukturu za simulaciju stvarnih napada i kriznih situacija. Cilj je bio ojačati sposobnost obrane od napada na energetske sustave, testirati reakciju timova te unaprijediti prekograničnu koordinaciju u realnom vremenu. Ovo je jedan od prvih primjera u EU gdje se dvije članice povezuju na tehničkoj, operativnoj i edukativnoj razini u području kibernetičke sigurnosti.

PROIZVODI S DIGITALNIM ELEMENTIMA

Osim toga, od kraja 2024. godine na snazi je i EU Cyber Resilience Act (Regulativa (EU) 2023/2847) kojom se uvode nove obveze za proizvođače i pružatelje digitalnih proizvoda. Puna primjena propisanih zahtjeva predviđena je od prosinca 2027. godine, čime se svim obveznicima ostavlja prijelazno razdoblje za usklađivanje s tehničkim i sigurnosnim standardima.

Ova regulativa nalaže da svi ‘proizvodi s digitalnim elementima’ moraju biti projektirani s ugrađenim sigurnosnim značajkama (princip security by design), moraju imati sustav nadogradnji, kao i mehanizme za pravovremeno prijavljivanje sigurnosnih ranjivosti. Time se odgovornost za sigurnost širi s korisnika na proizvođače i pružatelje usluga, čime se dodatno osnažuje zaštita digitalnog tržišta EU.

Sve navedeno pokazuje da se pristup kibernetičkoj sigurnosti razvija u smjeru složenog, višerazinskog sustava, u kojem se pravne obveze, tehnička rješenja i međunarodna suradnja moraju usklađeno provoditi. Upravljanje kibernetičkim rizicima više nije samo tehnički izazov za IT odjele – to je pravno, strateško i operativno pitanje koje zahtijeva angažman uprava, pravnih službi, sigurnosnih timova i državnih institucija.

ZAKLJUČAK

Svi dionici – od malih i srednjih poduzeća do velikih infrastrukturnih sustava – moraju se pripremiti na realnu mogućnost ozbiljnih incidenata. To uključuje više od pukog ispunjavanja zakonskih obveza: traži se aktivno upravljanje rizicima, redovita edukacija, vježbe i ulaganje u sigurnosne sustave. U eri digitalne povezanosti, otpornost sustava više nije prednost – ona je preduvjet opstanka i povjerenja. A to se postiže samo ako sigurnost prestane biti reakcija i postane navika.

“Neke od najvećih svjetskih kompanija svoje poslovanje zasnivaju na trgovanju osobnim podacima internetskih korisnika. To jasno pokazuje o kako vrijednom biznisu se radi i zašto se kaže – ako je usluga besplatna, sam korisnik je proizvod koji se prodaje. Stoga je iznimno važno upoznati građane i poduzetnika o zakonodavnom okviru zaštite njihovih osobnih podataka, a HGK sustavno radi na toj edukaciji kroz suradnju s AZOP-om i stručnjacima”, istaknuo je savjetnik predsjednika Hrvatske gospodarske komore i voditelj Odjela za obrazovanje, kvalitetu i informacijsku sigurnost Petar Mišević.

Ravnatelj AZOP-a Zdravko Vukić je izjavio kako GDPR nastoji odgovoriti na izazove koje moderno doba stavlja pred nas po tom pitanju te da su njegove odredbe dužne poštivati i američke tehnološke kompanije koje posluju u EU. “Ime i prezime, datum rođenja, kućna i IP adresa, podatak o lokaciji, broj osobne iskaznice, kolika vam je dioptrija, otisak prsta, registarska oznaka automobila, vaša fotografija i mnogi drugi podaci – sve su to vaši osobni podaci i vaša najvrjednija imovina koja vrlo lako može biti zloupotrijebljena. Stoga su vas voditelji obrade podataka dužni informirati o korištenju vaših podataka jasnim i razumljivim jezikom. Za koju svrhu ih koriste, koliko dugo će biti pohranjeni, s kime će se dijeliti i po kojoj pravnoj osnovi se koriste. Sve to imate pravo znati i možete dobiti uvid u svoje podatke, kao i ispraviti ih ako nisu ažurirani. Tu je i pravo na brisanje podataka, osim u slučaju kad je njihova obrada nužna”, pojasnio je Vukić, dodavši da je AZOP izradio aplikaciju GDPR Hrvatska koja olakšava građanima upoznavanje s vlastitim pravima,  a voditelje obrade podataka upoznaje s njihovim obvezama. 

Auditorica informacijske sigurnosti i privatnosti iz certifikacijske kuće TÜV NORD Natalija Parlov Una objasnila je kako se zaštiti od zlouporabe podataka. “Vaši podaci se koriste u marketingu kako bi oblikovali vaš stav. Preko kolačića, društvenih mreža i općenitog digitalnog otiska se stvara vaš profil, odnosno potrošačka persona prema kojem se prilagođavaju reklamne poruke. Ti podaci uključuju vaše ekonomsko i zdravstveno stanje, interese, ponašanje, lokaciju… Svaki taj podatak ima neizmjernu vrijednost i po njima se formira sadržaj koji vam se nudi. Zato sve na internetu trebate uzeti sa zrnom soli, propitkujte i informirajte se iz više izvora jer je rizik prilagođenog sadržaja u tome da vam oblikuje stav i da na osnovi toga odluke donosite na nesvjesnoj razini“, rekla je Parlov Una, uz napomenu da ciljana komunikacija ima i svoje dobre aspekte jer tako dolazite do vama relevantnog sadržaja i ponuda.

Dijana Kladar, odvjetnica specijalizirana za GDPR, na praktičnim je primjerima pokazala gdje poduzetnici najviše griješe i kako se potrošači mogu zaštiti. “Jako važno je znati kako izgleda zakonodavni sustav u Hrvatskoj, pratiti praksu AZOP-a te smjernice i presude suda EU. Web trgovine moraju znati da se kupcima u slučaju povrata robe moraju nadoknaditi i trošak njihove dostave, a ne samu cijenu proizvoda. Također, trgovci moraju nositi proizvod na servis, a ne kupac te moraju za sve proizvode dati zakonsko jamstvo. Ne kopirajte opće uvjete s drugih stranica jer često znaju biti neispravni i uvijek imajte točne informacije o tvrtki. Ne možete kupca upućivati na zakone i propise o njihovim pravima već sve informacije trebate imati jasno napisane i sažete na svojoj stranici pa čak i informaciju gdje vas može tužiti. Posebnu pažnju obratite na posljednji korak kupnje, da  bude jasan, u protivnom kupnja nije obvezujuća“, naglasila je Kladar.

Profesor Visoke policijske škole Nikola Protrka govorio je o najčešćim slučajevima internetskih prevara i kriminala. “Fizičke osobe su puno više izložene kaznenim djelima o zlouporabi podataka. Studija je pokazala da Facebooku podaci američkog korisnika vrijede 13,5 dolara, a europskog korisnika 4,5 dolara. Na dark webu je hakirani Facebook račun oko 75 dolara, naravno sve se plaća Bitcoinom i riječ je o velikom biznisu“, objasnio je Protrka, a u svom izlaganju se dotaknuo i doxinga, odnosno dijeljenja osobnih podataka po javnim forumima kao forme cyberbullyinga, ransomware-a i ostalih načina online prevara. Poručio je kako su uz drakonske novčane kazne za tvrtke koje zlouporabljuju osobne podatke korisnika zapriječene i zatvorske kazne za odgovorne osobe od 1 do 5 godina.