27.5.2024.

Hrvatske tvrtke su nedovoljno otporne na kibernetičke prijetnje

Izvor: HGK

Da hrvatske tvrtke nisu dovoljno prilagođene izazovima kibernetičke sigurnosti pokazalo je istraživanje Hrvatske gospodarske komore provedeno na više od 200 tvrtki. Rezultati istraživanja predstavljeni su na prvoj, strateškoj radionici Akademije kibernetičke sigurnosti HGK.

Primjerice, iako je Zakon o kibernetičkoj sigurnosti donesen u veljači ove godine prepoznao dobavne lance kao ključni aspekt upravljanja kibernetičkom sigurnošću, čak 7 od 10 tvrtki nema nikakvu provjeru dobavnih lanaca na kibernetičke prijetnje i isto toliko ih navodi da nemaju plan i proceduru postupanja s incidentima.

"Incident s kibernetičkom sigurnošću može devastirati cijeli ekosustav, paralizirati gospodarstvo i društvene aktivnosti. Važno je to jače osvijestiti jer prema našoj anketi više od polovice ispitanih tvrtki ne educira sustavno zaposlenike o kibernetičkim rizicima. To reflektira nedovoljan doživljaj ozbiljnosti prijetnji, i nedovoljnu pripremljenost tvrtki na sve složenije zahtjeve za kibernetičkom sigurnosti i strože regulative. Budući da se obuhvat tvrtki obveznica prilagodbe tim zahtjevima naglo udvostručio s NIS2, naš je cilj, a i dužnost osnažiti gospodarstvo za otpornost i konkurentnost u svjetlu ovog rastućeg izazova", rekao je uvodno Tomislav Radoš, potpredsjednik HGK za industriju i održivi razvoj.

Prema anketi HGK, NIS2 Direktiva obuhvaća 37 posto ispitanih tvrtki, dok je NIS1 zahvaćala tek 15 posto. Tri četvrtine ispitanih su mala i srednja poduzeća koja će se morati uskladiti s novim propisima. Uspostava odgovarajuće minimalne razine sigurnosti za mnoge tvrtke će zahtijevati znatne financijske i ljudske resurse.

"Značajan je broj tvrtki u Hrvatskoj specijaliziranih za kibernetičku sigurnost koje mogu pridonijeti zaštiti povjerljivih podataka i informacijskih sustava. Mogu pomoći u usklađivanju s ISO normama i NIS2 direktivom. U sklopu digitalne transformacije gospodarstva, ključni faktori bit će implementacija kibernetičke sigurnosti i umjetne inteligencije pa je HGK ove godine pokrenula dvije akademije za prijenos znanja i uspješnu implementaciju tih tehnologija", naglasio je Alojzije Jukić, predsjednik Udruženja za IT HGK.

Tvrtke u IT industriji dodatno regulira Cyber Resilience Act koji postavlja jasne zahtjeve za kibernetičku sigurnost zbog zaštite potrošača i osiguranja usklađenosti proizvođača i prodavača softwarea i hardwarea.

"Proizvodi i usluge kibernetičke otpornosti predstavljaju značajne prilike za gospodarstva EU. Procjena kibernetičke zrelosti sustava ključna je za strateška ulaganja u sigurnost, jer omogućuje identificiranje slabosti i efikasno usmjeravanje resursa. Zato polaznicima akademije kao još jedan resurs nudimo izradu dokumenta samoprocjene s analizom i mišljenjem eksperata te predloženim mjerama poboljšanja sustava i podizanja razine otpornosti", rekao je Marko Gulan, savjetnik za kibernetičku sigurnost i predavač na Akademiji.

Velika novost Zakona o kibernetičkoj sigurnosti je da dijeli obveznike u dvije kategorije: ključne subjekte, koji upravljaju kritičnom infrastrukturom poput energetike, financija, zdravstva, i važne subjekte, koji pružaju značajne usluge kao što je pošta, gospodarenje otpadom, proizvodnja hrane. Čak 65 posto ispitanika u anketi HGK o kibernetičkoj sigurnosti pripada kategoriji važnih subjekata.

"Očekujemo da će nam ova edukacija HGK rasvijetliti manevarski prostor vezan uz sigurnosne zahtjeve NIS2 Direktive te pružiti praktične smjernice za usklađivanje s regulativom. Razumijevanje direktive i potrebne infrastrukture ključno je za učinkovito upravljanje sigurnosnim incidentima na razini EU. Cilj nam je pravodobno planirati i provesti potrebne korake za ispunjavanje zahtjeva",  pojasnila je Marija Grgić Bukovac, direktorica Financija i kontrolinga tvrtke Saponia.

Na Akademiji kibernetičke sigurnosti HGK predavači će pojasniti koncepte na kojima se danas oblikuju politike kibernetičke sigurnosti. Nakon strateške, nadolazeće sektorske radionice uključuju edukaciju za tvrtke iz kategorije ključnih subjekata, važnih subjekata, dijelova dobavnih lanaca ključnih i važnih subjekata, te za davatelje upravljanih usluga sigurnosti.