Zakon o kibernetičkoj sigurnosti nastao kao rezultat transpozicije NIS2 ( EU Direktive o sigurnosti mrežnih i informacijskih sustava 2022/2555) u hrvatsko zakonodavstvo.
Već nekoliko godina sa raznih se pozornica prijeti velikim kaznama za kršenje ove regulative, no gotovo nikad se ne priča o realnosti plaćanja tih kazni, konkretnim razlozima iz kojih će se one plaćati i njihovim realno očekivanim iznosima. Priznali mi to ili ne, ali to je jedna od najvažnijih informacija potrebnih za donošenje odluka o ulaganju u kibernetičku sigurnost. U ovom ćemo se tekstu pozabaviti upravo time.
Čisto boljeg razumijevanja radi, subjekti (tvrtke) s prihodima preko 500 milijuna eura plaćat će prema ZKS-u srazmjerno manje kazne od tvrtki sa prihodima ispod tog iznosa. Za ove je potonje maksimalna visina kazna naime određena fiksno na 10 milijuna eura, dok je ona za velike igrače određena kao postotak ukupnog prihoda.
Ista pravila uglavnom vrijede i za one koji se financiraju iz budžeta, ali obzirom da to u praksi znači da se kazna uplaćuje iz budžeta u budžet, teško je očekivati neki odvraćajući učinak. Štoviše, izricanje visokih kazni ovakvim tijelima vrlo bi vjerojatno utjecalo na njihovu sposobnost pružanja javnih usluga – dakle kazna bi direktno pogodila stanovništvo.
Ipak, postoji način…
Možda kazna koju mora platiti subjekt i nije toliko odvraćajuća tamo gdje se radi o javnom novcu, no Zakon predviđa i kazne za fizičke osobe –osobe odgovorne za upravljanje mjerama kibernetičke sigurnosti u kažnjenim subjektima. Da otklonimo svaku sumnju, radi se o članovima uprava, te čelnicima državnih i javnih tijela, jedinica lokalne uprave i dr. Iako su ove kazne ograničene na „samo“ 6.000 eur, kada se plaćaju iz vlastitog džepa – bole.
Zakon određuje rok od godinu dana po primanju obavijesti o kategorizaciji, za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima. To u praksi znači, imate godinu dana za usklađivanje sa ZKS-om. Razinu usklađenosti izmjerit ćete samoprocjenom – postupkom koji je definiran od strane ZSIS-a (Zavod za Sigurnost Informacijskih Sustava). Ovisno o tome jeste li zadovoljili kriterije samoprocjene, nadzornom ćete tijelu dostaviti ili:
Oba rezultata su dobra i oba dokumenta možete generirati sa ITrevizija.hr. Dakle, ako niste usklađeni sa ZKS, umjesto izjave o sukladnosti dostavljate plan daljnjeg postupanja i ne plaćate nikakvu kaznu. Zašto? Zato što je kibernetička sigurnost putovanje a ne cilj. Uvijek će trebati nešto popraviti i doraditi i uvijek ćete imati plan daljnjeg postupanja. Čak i kada ste u potpunosti usklađeni.
Da, ZKS u svom devetom dijelu jasno opisuje prekršaje odredbe, i da, tamo jasno piše da će se kazniti subjekt koji ne poduzima, djelomično poduzima ili ne poduzima u roku propisane mjere upravljanja kibernetičkim sigurnosnim rizicima, no za razumijevanje ZKS-a, morate istinski razumjeti i njegovu pravnu i njegovu stručnu stranu. Dokle god možete dokazati da ste poduzeli sve razumne korake u uspostavi kibernetičke otpornosti, te da je vaše postupanje u skladu sa rizikom i utjecajem potencijalnih incidenata, nitko vam neće napatiti kaznu. To tvrdim kao stručnjak koji u ovome savjetuje najzahtjevnije organizacije po cijelom zapadnom svijetu već trideset godina.
Najbolje primjere iz prakse kažnjavanja daje nam GDPR. Prekršaje odredbe u GDPR-u se vrlo slične ovima iz ZKS-a. Prema ZKS-u, za očekivati je da ćemo imati veći broj manjih kazni radi administrativno proceduralnih propusta poput zanemarivanja provedbe revizije i samoprocjene, slanja informacija o incidentima i sl.
Pravu veliku kaznu dobit će samo oni subjekti koji:
Svaki od gore navedenih kriterija značajno utječe na visinu propisane kazne. Dakle, ako vam se incident dogodi, a dogoditi se može svakome, obavijestite nadzorno tijelo i surađujte. U međuvremenu, pozabavite se izgradnjom kibernetičke otpornosti usklađene sa realnim potrebama vaše organizacije.
Manje od tri godine nakon početnog lansiranja, platforma Threads tvrtke Meta Platforms dosegla je 500 milijuna mjesečno aktivnih korisnika. Riječ je o važnoj prekretnici za platformu u trenutku kada pokušava dodatno produbiti angažman kroz nove alate za zajednice i personaliziranu kontrolu feeda.
Rast potražnje potaknut umjetnom inteligencijom dosegao je razinu na kojoj ni najveće tehnološke tvrtke ne mogu zadovoljiti potrebe isključivo vlastitom infrastrukturom. Prema dostupnim navodima, jedna velika tvrtka počela je dodavati kapacitete konkurentskog pružatelja usluga u oblaku kako bi odgovorila na rast potaknut umjetnom inteligencijom, nakon što je opterećenje vlastite infrastrukture dovelo do niza problema s pouzdanošću usluge.
Od 1. srpnja 2026. godine Fina od Zagrebačke burze preuzima izdavanje LEI oznaka (Legal Entity Identifier) za poslovne subjekte u Hrvatskoj. Korisnicima će pritom biti dostupan Fina LEI servis, nova digitalna platforma za izdavanje, održavanje i upravljanje LEI oznakama.
