izv. prof. dr. sc. Robert Mikac
Tijekom kolovoza 2023. godine na aplikaciji e-Savjetovanja objavljen je nacrt prijedloga Zakona o kibernetičkoj sigurnosti Republike Hrvatske koji je pobudio veliki interes stručne javnosti. Ovim osvrtom nastoji se dati doprinos trenutnoj raspravi.
Kibernetički prostor sa svim funkcionalnostima i mogućnostima koje pruža, predstavlja jedan od ključnih krvotoka današnjeg društva o kojem na nebrojne načine ovise države, međunarodne organizacije, razni poslovni subjekti, kritične infrastrukture, lokalne zajednice pa sve do pojedinaca. Suvremeni svijet kakvog poznajemo, nezamisliv je bez kibernetičkog prostora, koji je u velikoj mjeri i brojnim procesima postao jednako važan kao i 'fizički' prostor i aktivnosti koje se provode u 'stvarnom' svijetu.
Premda kibernetički prostor olakšava, ubrzava i pospješuje naše živote, isto tako otvara brojne rizike i opasnosti s kojima se susrećemo svaki dan. Stoga je potrebno stalno pratiti razvoj kibernetičkog prostora, njegovih dijelova, tako i raznih izazova, rizika i prijetnji unutar navedenoga te regulirati mnoštvo različitih aktivnosti i procesa u cilju zaštite korisnika kibernetičkog prostora. Jedan od načina regulacije jest putem razvoja i implementacije skupa procesa, mjera i standarda iz područja kibernetičke sigurnosti kojima se nastoji ostvariti odgovarajuća razina pouzdanosti pri korištenju proizvoda i usluga u kibernetičkom prostoru, tako i suzbiti ilegalne aktivnosti.
Izvještaj Agencije Europske unije za kibernetičku sigurnost
Koliko je kibernetička sigurnost važna možemo vidjeti uvidom u aktualni izvještaj Agencije Europske unije za kibernetičku sigurnost (ENISA) iz 2022. godine pod nazivom ENISA Threat Landscape 2022. Tijekom godina, ENISA Threat Landscape postao je ključni dokument i pokazatelj u razumijevanju trenutnog statusa kibernetičke sigurnosti diljem Europske unije. U predmetnom dokumentu iz 2022. godine istaknuto je kako se nastavlja trend povećanja broja različitih napada unutar kibernetičkog prostora i to u smislu vektora napada i njihova utjecaja. Rusko-ukrajinska kriza definirala je novu geopolitičku eru u području kibernetičkog ratovanja, njegovu ulogu i utjecaj na sveopću sigurnost europskog prostora.
Navedeni rat stvara novu sigurnosnu paradigmu korištenja kibernetičkog prostora i provedbe različitih kibernetičkih aktivnosti (ofenzivnih i defenzivnih) što sve ima brojne implikacije na međunarodne norme u regulaciji kibernetičkog prostora i kibernetičke sigurnosti. Glavne opasnosti svima prijete od državno sponzoriranih napadača, kibernetičkih kriminalaca, unajmljenih hakera i haktivista, putem sljedećih najvećih kibernetičkih prijetnji: Ransomware; Malware; Prijetnje socijalnog inženjeringa; Prijetnje digitalnim podacima; Prijetnje koje uzrokuje nedostupnost usluge (Denial of Service); Prijetnje koje uzrokuje nedostupnost usluge (Internetske prijetnje); Dezinformiranje; Napadi na lance opskrbe. Suprotstavljanje svim štetnim izazovima moguće je ciljanim aktivnostima na jačanju otpornosti i zaštiti ključnih vrijednosti i građana, procesa i institucija unutar svake države, ali i zajednički na razini Unije.
Područje kibernetičke sigurnosti pored zajedničke dimenzije na razini Unije, neposredna je odgovornost svake države članice gdje ne postoje identični kibernetički izazovi, rizici i prijetnje, tako ni ista strateška, normativna i organizacijska rješenja. Svaka država je jedinstvena i na optimalan način nastoji uskladiti vlastite sposobnosti i vanjsku suradnju. Općenito gledajući, kibernetička sigurnost ostvaruje se harmoniziranim djelovanjem na svim područjima razvoja, a ne samo sigurnosnim instrumentima i aktivnostima. Sve države, tako i Hrvatska, nastoje razvijati nacionalne sigurnosne politike, strukturu i sposobnosti kojima će osigurati djelovanje unutar vlastitog prostora, tako i izvan njega, samostalno i združenim međunarodnim aktivnostima u postizanju sigurnijeg kibernetičkog prostora. Hrvatska je do sada bila vrlo uspješna u navedenom, gdje uvažavamo činjenicu kako apsolutna sigurnost ne postoji niti ju je moguće ostvariti, pogotovo ne u kibernetičkom prostoru. Stoga je nastavak nadogradnje normativnog okvira vrlo bitan alat u nastavku razvoja nacionalnih kibernetičkih sposobnosti.
Višestruki ciljevi
Prvo je potrebno navesti kako se budućim Zakonom o kibernetičkoj sigurnosti nastoje ostvariti višestruki ciljevi. Zakonom će biti uređeni postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti i kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, dobrovoljni mehanizmi kibernetičke zaštite, odredit će se nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.
Zakonom će se osnažiti okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrditi nacionalni okvir upravljanja kibernetičkim krizama. Isto tako, Zakonom će se postići i održati visoka zajednička razina kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti.
Sljedeće je važno istaknuti kako će Zakon o kibernetičkoj sigurnosti, pored svega do sada navedenog, biti nadogradnja postojećeg Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga iz 2018. godine, te predstavlja nastavak operacionalizacije postavljenih ciljeva u Nacionalnoj strategiji kibernetičke sigurnosti iz 2015. godine, i donosi usklađivanje propisa s pravnim aktima Europske unije, konkretno s Direktivom (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (NIS2 Direktiva).
Treće bitno jest kako se Zakon odnosi na mrežne i informacijske sustave subjekata koji će biti identificirani i određeni kao nacionalna kritična informacijska infrastruktura i samim time spadaju u područje nacionalne sigurnosti Republike Hrvatske o čemu je potrebno voditi posebnu brigu i skrb. Zakonom neće biti obuhvaćeni građani, civilno društvo, brojni privredni subjekti i svi koji na dnevnoj osnovi koriste kibernetički prostor, a ne spadaju u skupinu aktera prepoznatih kao značajnima za provedbu politika nacionalne sigurnosti u kibernetičkom prostoru. Svi oni će imati benefite u širem smislu zbog općeg unapređenja kibernetičke sigurnosti koje će donijeti implementacija odredbi novog Zakona.
Analizirajući odredbe budućeg Zakona, fokusirajući se na pojedine njegove dijelove, potrebno je istaknuti određen broj rješenja koje su autori razvili pod utjecajem svih iznad navedenih argumenata. Kibernetička sigurnost je snažno postavljena kao neizostavni dio nacionalne sigurnosti Republike Hrvatske i dio mnogih procesa važnih za funkcioniranje državno bitnih sustava i usluga koje se odnose na održavanje ključnih društvenih ili gospodarskih djelatnosti, javnu sigurnost, javnu zaštitu i javno zdravlje, te prekogranične učinke.
Odgovornost za nastavak razvoja kibernetičke sigurnosti dodijeljen je sigurnosno-obavještajnom sustavu, gdje su se i da sada odvijali svi ključni procesi, međutim sada je navedeno dodatno naglašeno. Primjeri za ovakav razvoj mogu se naći diljem svijeta, a jedan od najkvalitetnijih modela je iz Velike Britanije. Prijedlog Zakona predviđa centralizaciju upravljanja kibernetičkom sigurnošću u Hrvatskoj, odnosno transformaciju postojećeg Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije u Nacionalni centar za kibernetičku sigurnost.
Pri tome će se nastojati koristiti mogućnosti koje su do sada razvijene u području tehničkih, organizacijskih i stručnih sposobnosti, kao i kapaciteti koje je Sigurnosno-obavještajna agencija već uspostavila u području kibernetičke sigurnosti. Važno je istaknuti kako za Nacionalni centar za kibernetičku sigurnost nije predviđena uloga da bude regulatorno tijelo, već sigurnosno tijelo koje će biti zaduženo za usklađivanje organizacijsko-tehničke koordinacije u provedbi sigurnosnih kibernetičkih mjera i pomoć u rješavanju kibernetičkih napada.
Proširenje na dodatne sektore i vrste subjekata
Sljedeće bitno je istaknuti kako prijedlog Zakona predviđa da osim novih nadležnosti u području kibernetičke sigurnosti koje će imati Sigurnosno-obavještajna agencija, čitav niz državnih institucija zadržava ili dobiva djelomično proširene ovlasti. Radi se o sljedećim tijelima i područjima: Ured Vijeća za nacionalnu sigurnost za javni sektor; Ministarstvo znanosti i obrazovanja za sektor obrazovanja i sektor istraživanja, te za registar naziva vršne nacionalne internetske domene; Hrvatska narodna banka za sektor bankarstva; Hrvatska agencija za nadzor financijskih usluga za infrastrukture financijskog sektora; Hrvatska agencija za civilno zrakoplovstvo za sektor zračnog prometa; Hrvatska regulatorna agencija za mrežne djelatnosti za sektor elektroničkih komunikacija; Središnji državni ured za razvoj digitalnog društva za pružatelje usluga povjerenja; te, Nacionalni CERT ustrojen u CARNET-u (Hrvatska akademska i istraživačka mreža) zadržava ulogu nadležnog CSIRT-a (uz Nacionalni centar za kibernetičku sigurnost).
Sukladno postojećem Zakonu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga iz 2018. godine, umjesto postojećih obveznika – operatora ključnih usluga i davatelja digitalnih usluga – prijedlog novog Zakona predviđa proširenje na dodatne sektore i vrste subjekata gdje se primarno radi o velikim i srednjim tvrtkama prema kategorizaciji predviđenoj putem NIS2 Direktive. Pored toga, i manje tvrtke moguće je da će biti obveznici Zakona ako su primjerice jedini davatelji posebne vrste usluga na određenom području. Na državama članicama je odluka hoće li postojeći operatori ključnih usluga i davatelji digitalnih usluga ostati obveznici primjene zahtjeva kibernetičke sigurnosti, u okvirima koje postavlja NIS2 Direktiva.
Uvodno spomenutim Nacrtom prijedloga Zakona o kibernetičkoj sigurnosti predviđa se revidiranje njihova statusa, odnosno provedba kategorizacije tih subjekata prema novim, NIS2 kriterijima za kategorizaciju subjekata. Identifikaciju i određivanje obveznika Zakona provesti će sektorski nadležna tijela navedena u prethodnom odlomku i kategorizirati će ih u dvije skupine – u prvoj skupini će biti ključni subjekti, u drugoj važni subjekti. Pravna osoba koja će biti kategorizirana kao ključni subjekt, dobit će obavijest o kategorizaciji od nadležnog sektorskog tijela, u roku od godinu dana od dana donošenja Zakona. Nakon toga, u roku od godine dana pravna osoba samostalno mora provesti procjenu rizika i prilagoditi vlastite mjere kibernetičke sigurnosti sukladno izrađenoj procjeni. U sljedećem koraku, pravna osoba ima obvezu provjeriti vlastite uvedene mjere, procijeniti njihovu učinkovitost i po potrebi ih nadograditi.
Sve veći broj izazova
Pored navedenog, u obvezi je provesti neovisnu vanjsku stručnu ocjenu sukladnosti provedbe mjera zaštite. Dok u sljedećem koraku bit će proveden stručni nadzor od strane sektorski nadležne institucije. Za pravne osobe koje će biti kategorizirane kao važni subjekti predviđen je manji obuhvat obveza. Nakon što prime obavijest o kategorizaciji od nadležnog sektorskog tijela imati će godinu dana da izrade procjenu rizika i prilagode mjere kibernetičke sigurnosti sukladno procjeni. Nakon toga, pravna osoba dužna je provjeriti svoje uvedene mjere, procijeniti njihovu učinkovitost i po potrebi ih uskladiti, te zatim provesti samoprocjenu sukladnosti (internu reviziju). Redoviti stručni nadzor važnih subjekata nije predviđen, nego su navedeni dužni svake dvije godine provoditi samoprocjenu i dostaviti podatke o njoj sektorski nadležnom tijelu. Ključni i važni subjekti dužni su samostalno rješavati manje sigurnosne izazove, a odmah prijaviti tzv. značajne incidente prema nadležnom sektorskom CSIRT-u.
Vezano uz sve do sada navedeno, ovako postavljen Zakon omogućiti će dodatnu primjenu SK@UT sustava, kao jednog od dobrovoljnih mehanizama kibernetičke zaštite koji se također uvode i uređuju novim Zakonom. SK@UT je najveći projekt kibernetičke sigurnosti u zaštiti nacionalnog kibernetičkog prostora, kojeg su osmislili i izgradili Sigurnosno-obavještajna agencija i Zavod za sigurnost informacijskih sustava. Navedeni sustav uključuje mrežu senzora za otkrivanje, rano upozorenje i zaštitu od državno sponzoriranih kibernetičkih napada, dok u cjelini omogućuje otkrivanje sofisticiranih kibernetičkih napada u najranijim fazama napada i u bilo kojem dijelu kibernetičkog prostora.
Sustavom SK@UT upravlja se iz Centra za kibernetičku sigurnost, što će se ubuduće raditi iz Nacionalnog centra za kibernetičku sigurnost. SK@UT-om se štite ministarstva i pojedina državna tijela, operatori kritične infrastrukture, primarno iz sektora energetike i transporta, kao i niz privatnih tvrtki značajnih za zemlju, a koje su se dobrovoljno uključile u SK@UT. Sukladno novom Zakonu SK@UT se može uvesti kao obvezujući samo za subjekte javnog sektora, poput primjerice ministarstava i drugih tijela državne uprave, dok će biti omogućeno dobrovoljno uključivanje u sustav svim važnim gospodarskim tvrtkama, što će pospješiti partnerstvo i suradnju javnog i privatnog sektora.
Zaključno, Unija i sve države članice svaki dan izložene su sve većem broju izazova, rizika i prijetnji u kibernetičkom prostoru te združeno i pojedinačno rade na osmišljavanju i implementaciji kibernetičkih rješenja kojima nastoje zaštititi sve ključne vrijednosti i građane, procese i institucije unutar svake države, tako i na razini Unije. Novi Zakon o kibernetičkoj sigurnosti predstavlja nastavak kvalitetnog razvoja regulacije, strukturiranja i upravljanja kibernetičkim prostorom i kibernetičkom sigurnosti s izravnim fokusom na područje nacionalne sigurnosti, te je od najšireg interesa svih nas u Republici Hrvatskoj.