Sustav kibernetičke sigurnosti poprilično je detaljno reguliran, no svakako je u idućim godinama za očekivati još veći razvoj ovog sustava te sve veća ulaganja u stručnjake i industriju cyber sigurnosti s obzirom na kontinuirani rast cyber napada.

Ukupno 70 posto građana Europske unije, među kojima i 96 posto mladih, svakodnevno se služi internetom, dok je broj internetom povezanih uređaja oko 20 milijardi. Kibernetički napadi, osobito oni koji dolaze iz drugih zemalja, prepoznati su kao glavna prijetnja nacionalnoj sigurnosti u svim zemljama EU-a s obzirom na kontinuirani rast broja takvih napada.

Na razini Europske unije važeća je EU Cyber security strategija – tzv. NIS Direktiva (EU 2016/1148), čiji je cilj viša razina sposobnosti zaštite od cyber napada za sve zemlje Europske unije.

U domaćem je zakonodavstvu NIS Direktiva implementirana kao dio Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) koji je na snazi od 26. srpnja 2018. godine. Vlada Republike Hrvatske prethodno je donijela i Odluku o donošenju nacionalne strategije kibernetičke sigurnosti i akcijskog plana za provedbu nacionalne strategije kibernetičke sigurnosti, a dana 26. srpnja 2018. godine i Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga.

ŠTO JE KIBERNETIČKA SIGURNOST?
Riječ je o sustavu organizacijskih i tehničkih aktivnosti i mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka, kao i mrežnih i informacijskih sustava u kibernetičkom prostoru. Kibernetički prostor je virtualni prostor unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani na internet.

Dakle, Zakon o kibernetičkoj sigurnosti odnosi se na operatore ključnih usluga i davatelje digitalnih usluga. Pritom, operator ključnih usluga je bilo koji javni ili privatni subjekt koji će biti određen kao operater ključnih usluga ako pruža neku od izrijekom navedenih ključnih usluga, ako pružanje ključne usluge kod tog subjekta ovisi o mrežnim i informacijskim sustavima te ako bi incident imao znatan negativan učinak na pružanje ključne usluge.

Zakonom o kibernetičkoj sigurnosti propisano je da operatori ključnih usluga tako mogu biti iz područja energetike (električna energija, nafta, plin), prijevoza (zračni, željeznički, vodni, cestovni prijevoz), bankarstva, infrastrukture financijskog tržišta, zdravstvenog sektora (primarna, sekundarna i tercijarna zdravstvena zaštita, transfuzijska medicina i transplantacija organa, zdravstveno osiguranje i prekogranična zdravstvena zaštita, sigurnost hrane, zaštita od opasnih kemikalija, distribucija i sigurnost lijekova i medicinskih proizvoda, nadzor nad zdravstvenim stanjem stanovništva i ljudskim resursima u zdravstvu kroz vođenje javnozdravstvenih registara), opskrbe vodom za piće i njezina distribucija, digitalne infrastrukture (DNS usluga za .hr TLD, Registar naziva domena za .hr TLD, Sustav za registriranje i administriranje sekundarne domene, Usluga IXP, Usluge u sustavu e – Građani), te poslovnih usluga za državna tijela.

Druga kategorija subjekata na koje se odnosi Zakon o kibernetičkoj sigurnosti predstavljaju davatelji digitalnih usluga, a to može biti bilo koji privatni subjekt koji pruža digitalnu uslugu Internetskog tržišta, Internetske tražilice ili Usluge računalstva u oblaku na području Europske unije.

SPRJEČAVANJE INCIDENATA
Osnovni cilj NIS Direktive EU-a te Zakona o kibernetičkoj sigurnosti je sprječavanje tzv. incidenata ili osiguravanje adekvatnog odgovora na tzv. incidente. Naime, incident je bilo koji događaj koji ima stvaran negativni učinak na sigurnost mrežnih i informacijskih sustava, dok rješavanje incidenta uključuje sve postupke koji podupiru otkrivanje, analizu i zaustavljanje incidenta te odgovor na njega. Kako bi se utvrdio opseg i važnost negativnog učinka koji bi incident imao na pružanje ključne usluge potrebno je uzeti u obzir nekoliko kriterija, i to broj i vrstu korisnika kojima subjekt pruža uslugu, postojanje ovisnosti drugih djelatnosti ili područja o pružanju usluge, tržišni udio subjekta koji pruža uslugu, kao i zemljopisnu raširenost subjekta u pružanju usluge.

Također je potrebno uzeti u obzir i mogući utjecaj incidenta, s obzirom na njegovu težinu i trajanje, na gospodarske i društvene aktivnosti te na javnu sigurnost kao i važnost poslovanja subjekta za održavanje dostatne razine ključne usluge, uzimajući u obzir i raspoloživost alternativnih sredstava za pružanje te usluge ili druge sektorske kriterije poput količine pružene usluge, udjela u pružanju usluge ili imovine subjekta.

Operatori ključnih usluga i davatelji digitalnih usluga dužni su, radi osiguranja kontinuiteta u obavljanju tih usluga, poduzimati mjere za postizanje visoke razine kibernetičke sigurnosti svojih usluga. Mjere koje su dužni poduzimati sastoje se minimalno od tehničkih i organizacijskih mjera za upravljanje rizicima, uzimajući pri tome u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti, kao i od mjera za sprječavanje i ublažavanje učinaka incidenata na sigurnost mrežnih i informacijskih sustava.

Dužni su dakle poduzimati tehničke i organizacijske mjere za upravljanje rizicima koje obavezno obuhvaćaju mjere za utvrđivanje rizika od incidenata, za sprječavanje, otkrivanje i rješavanje incidenata, kao i za ublažavanje učinka incidenata na najmanju moguću mjeru. Slijedom navedenog, ovisno o tome je li incident već nastao ili je namjera prevencija incidenata, subjekti koji se svrstavaju u kategoriju operatora ključnih usluga dužni su poduzeti odgovarajuće tehničke i organizacijske mjere kako je navedeno.

Davatelji digitalnih usluga dužni su prilikom poduzimanja tehničkih i organizacijskih mjera za upravljanje rizicima voditi računa osobito o sigurnosti sustava i objekata, o rješavanju incidenata, o upravljanju kontinuitetom poslovanja, praćenju, reviziji i testiranju te naposljetku svakako i o sukladnosti s međunarodnim standardima.

IZVJEŠTAVANJE O INCIDENTIMA
U pogledu odgovornosti za primjenu mjera, potrebno je istaknuti kako su operatori ključnih usluga i davatelji digitalnih usluga dužni provoditi mjere za postizanje visoke razine kibernetičke sigurnosti bez obzira na to upravljaju li odnosno održavaju li svoje mrežne i informacijske sustave sami ili za to koriste vanjskog davatelja usluge.

Operatori ključnih usluga i davatelji digitalnih usluga dužni su nadležni CSIRT (tijelo koje je nadležno za prevenciju i zaštitu od incidenata), bez neopravdane odgode, obavješćivati o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju. Također, ako je incident na mrežnom i informacijskom sustavu davatelja digitalne usluge imao znatan učinak na pružanje neke ključne usluge, operator ključne usluge dužan je o tom incidentu obavijestiti nadležni CSIRT.

Smjernice za dostavu obavijesti o incidentima sa znatnim učinkom operatora ključnih usluga i pružatelja digitalnih usluga nalaze se na stranicama Zavoda za sigurnost informacijskih sustava te su na istim stranicama dostupni odgovarajući obrasci te kontakti za prijave.

Nadležni CSIRT može, po prethodno provedenom savjetovanju s operatorom ključne usluge i nadležnim sektorskim tijelom, obavijestiti javnost o pojedinačnim incidentima koji imaju znatan učinak na kontinuitet usluge koju operator pruža, ako je osviještenost javnosti nužna za sprječavanje širenja i jačanja učinka incidenta ili za rješavanje incidenta koji je u tijeku.

Dakle, sustav kibernetičke sigurnosti poprilično je detaljno reguliran, no svakako je u idućim godinama za očekivati još veći razvoj ovog sustava te sve veća ulaganja u stručnjake i industriju cyber sigurnosti s obzirom na kontinuirani rast cyber napada.