Zakon o kibernetičkoj sigurnosti: Bitka ega koja može skupo koštati vašu tvrtku

Zakon o kibernetičkoj sigurnosti više nije regulatorna vijest, već je poslovna stvarnost. Za mnoge tvrtke, način na koji će pristupiti usklađenju odlučit će hoće li ono postati strateška prednost ili skupa birokratska vježba. No, na tržištu se već jasno vidi opasan raskol koji prijeti samoj srži tog procesa. 

Na tržištu tiho se vodi sukob koji već sada oblikuje uspjeh ili neuspjeh usklađenja sa Zakonom o kibernetičkoj sigurnosti. S jedne strane stoje stručnjaci duboko uronjeni u tehnologiju, uvjereni da jedino njihov tehnički pristup vrijedi. Njihova je ekspertiza neupitna, ali perspektiva često ostaje zatvorena unutar tehničkih okvira, a u njihovoj viziji tehnologija je i početak i kraj usklađenja.

S druge strane nalaze se veterani sigurnosti, vješti u nastupu i gradnji autoriteta, ali često vezani uz obrasce prošlih desetljeća. Njihov autoritet i poznavanje regulatornog okvira također su neupitni, no pretjerana ovisnost o „provjerenim obrascima“ često ih drži u zoni komfora i udaljava od prilagodbe novim poslovnim realnostima.

Oba tabora vjeruju da su upravo oni ključ rješenja. U međuvremenu, proces usklađenja sa Zakonom o kibernetičkoj sigurnosti sve se češće pretvara u borbu ega, umjesto u strateški projekt koji vodi upravu u pravom smjeru.

Umjesto da te dvije skupine udruže snage, između njih vlada netrpeljivost koja postupno potkopava same temelje procesa usklađenja.

Ta dva svijeta rijetko pronalaze zajednički jezik. Umjesto suradnje, svjedočimo tihoj borbi za prevlast pristupa, pri čemu gubi ono što bi trebalo biti u središtu zakona: stvarna, mjerljiva sigurnost i poslovna otpornost. U takvoj situaciji, upravo je uprava ta koja mora preuzeti vodeću ulogu. 

Pitanje je gdje će vaša tvrtka završiti u toj priči, jer takvi sukobi nisu benigni.

Zakon o kibernetickoj sigurnosti nije prvenstveno tehničko pitanje. To je poslovno-organizacijsko-tehnicki izazov. Ako se ova dva tabora ne povežu u jedinstvenu strategiju, odgovornost i posljedice ostat će na onima koji vode kompaniju. Dobar proces usklađenja ne nastaje kada IT odjel napiše tehničku specifikaciju, niti kada sigurnosni odjel reciklira postojeće procedure. On nastaje kada uprava preuzme vlasništvo nad procesom i osigura da tehnologija i procesi zajedno podržavaju poslovne ciljeve. 

Usklađenje sa Zakonom o kibernetičkoj sigurnosti nije ni checkbox obveza niti jednokratni projekt. To je tranzicija načina rada koja uključuje tehnologiju kao alat, procese kao okvir, kulturu sigurnosti kao dio svakodnevnog poslovanja i upravljanje rizicima kao temelj donošenja odluka. Uspjeh ne dolazi iz odabira „najbolje tehnologije“ ili „najiskusnijeg savjetnika“, nego iz sposobnosti da se sve te komponente povežu u koherentnu cjelinu koja funkcionira u realnom poslovnom okruženju. 

Kako se to može odraziti na jednu srednuj proizvoduj kompaniju gdje tehnički tim inzistira na uvođenju nove platforme za upravljanje incidentima, dok iskusni sigurnjaci tvrde da je postojeći sustav dovoljno dobar „jer tako radi zadnjih 15 godina“. Tri mjeseca će provsti u argumentiranju umjesto u implementaciji. Rok za regulatorno izvješće će biti propušten, a uprava će saznati tek kad stignu prve službene opomene. 

U velikoj logističkoj firmi, tradicionalisti će uvjeriti upravu da „nije vrijeme“ za ozbiljnu promjenu politika pristupa sustavima jer bi to izazvalo otpor zaposlenika. Paralelno, tehnički tim će samoinicijativno pokrenuti promjene u sustavu lozinki. Rezultat će biti da pola tvrtke neće moći pristupiti kritičnim aplikacijama tri dana, a dobavljači će ostati bez ažurnih podataka o isporukama. Klijenti neće vidjeti tehnički kontekst, samo kašnjenja i nesigurnost. 

Ovakvi sukobi rezultiraju odgađanjem ključnih odluka, fragmentiranim planovima i iscrpljivanjem resursa. Projekti se rastežu mjesecima dulje od planiranog, a uprava se suočava s kontradiktornim savjetima. Jedni tvrde da se ide „previše sporo i konzervativno“, drugi da se ide „prebrzo i bez provjerenih procedura“. Umjesto jedinstvene strategije, tvrtka dobiva skup nepovezanih inicijativa koje ne stvaraju stvarnu sigurnost, ali stvaraju lažni osjećaj da je posao odrađen. 

Posljedice nisu samo regulatorne. Partneri i klijenti brzo prepoznaju nesigurnost u procesima. Počinju dovoditi u pitanje pouzdanost usluga, kvalitetu proizvoda i sposobnost tvrtke da reagira u krizi. Unutarnje tenzije dodatno troše energiju i budžete koji bi trebali biti usmjereni na stvarne prijetnje i poslovne prilike. 

U konačnici, Zakon se pretvara u poligon za dokazivanje tko je „u pravu“, umjesto u instrument za izgradnju otpornosti i konkurentske prednosti. Tvrtke koje dopuste da bitka ega diktira ritam usklađenja riskiraju da se, kada prvi ozbiljan incident pokuca na vrata, nađu potpuno nespremne. I tada se priča više ne svodi na tehničare ili tradicionaliste, nego na pitanje vodstva i tko je dopustio da unutarnji sukobi nadvladaju zdrav razum. 

Oni koji će iz ove situacije izaći jači nisu nužno oni s najsofisticiranijom tehnologijom ili najdužim popisom sigurnosnih procedura, nego oni koji će imati hrabrosti prekinuti borbu ega i usmjeriti sve dionike prema jedinstvenom cilju. Jer Zakon nije tehnički dokument. On je lakmus papir zrelosti vaše organizacije i vaše sposobnosti da prepoznate da se sigurnost ne gradi ni iz jednog ni iz drugog rova, nego iz zajedničkog stožera.