Europska unija i Republika Hrvatska pripremaju niz novih zakona i regulativa kojima će se značajno povećati obveze u području kibernetičke sigurnosti za javni i privatni sektor. Fokus je na zaštiti kritične infrastrukture, boljoj pripremljenosti na kibernetičke prijetnje te obvezi prijavljivanja incidenata. Najvažniji dokument koji dolazi u primjenu je Direktiva NIS2, koja proširuje opseg i uvodi strože sigurnosne zahtjeve.
Direktiva NIS2 (Network and Information Security Directive 2) stupa na snagu krajem 2024. godine, a u Hrvatskoj se implementira putem Zakona o kibernetičkoj sigurnosti. Obuhvaća organizacije koje pružaju ključne ili važne usluge – uključujući pružatelje digitalnih usluga, zdravstveni sektor, promet, energetiku, financije, javnu upravu i davatelje cloud usluga. Subjekti će biti dužni uspostaviti sustave upravljanja rizicima, provoditi sigurnosne mjere, redovito izvještavati nadležna tijela i imati odgovornu osobu za kibernetičku sigurnost.
Kazne za nepoštivanje novih propisa bit će značajne, uključujući novčane kazne u visini do nekoliko milijuna eura ili postotka ukupnog godišnjeg prihoda tvrtke. Male i srednje tvrtke također mogu biti obuhvaćene ako posluju u reguliranim sektorima. Priprema i ulaganje u sigurnosne sustave više neće biti opcija, već zakonska obveza.
Nadolazeće promjene zahtijevaju proaktivan pristup: organizacije moraju napraviti reviziju postojećih sigurnosnih praksi, definirati krizne planove i educirati osoblje o sigurnosnim protokolima. IT odjeli i rukovodeće osobe morat će surađivati kako bi se osigurala usklađenost s regulativom, jer će odgovornost biti i osobna, a ne samo institucionalna.
U nastavku je sažet pregled ključnih obveza i vremenskog okvira:
| Oblast regulacije | Što se mijenja | Do kada je obveza implementacije | Koga se tiče |
|---|---|---|---|
| Direktiva NIS2 | Strože mjere sigurnosti, prijava incidenata | 17. listopada 2024. | Srednje i velike organizacije u ključnim sektorima |
| Nacionalni zakon (RH) | Lokalne obveze usklađene s NIS2 | 31. prosinca 2024. | Privatni i javni sektor |
| ISO/IEC 27001 preporuka | Standard za upravljanje informacijskom sigurnošću | Neobavezno, ali se preporučuje | Tvrtke koje žele sustavno pristupiti sigurnosti |
| Uloga odgovorne osobe | Mora biti formalno imenovana | Prije početka 2025. | Sve obvezne organizacije |
| Plan upravljanja incidentima | Obvezan dokumentirani proces | Prije početka 2025. | Obveznici prema zakonu |
S obzirom na ozbiljnost i opseg nadolazećih zakona, preporučuje se što ranije započeti proces usklađivanja kako bi se izbjegle sankcije i osigurala otpornost poslovanja.
