Sve je napetije oko odredbi novog Zakona o kibernetičkoj sigurnosti. Stručnjaci upozoravaju kako bi hrvatska tajna služba mogla postati središnje tijelo, te dobiti previše ovlasti nad raznim tvrtkama.
Stručnjak za informacijsku sigurnost Marko Rakar jutros je u programu N1 komentirao prijedlog ovog Zakona, te još jednom istaknuo kako nigdje u EU državna tajna služba nije u središtu tog sustava, kao što bi prema našem zakonu bila Sigurnosno-obavještajna agencija (SOA).
Iz toga je proizašlo i pitanje hoće li SOA kontrolirati infrastrukturu brojnih privatnih tvrtki, pa čak i medija. Naime, ako bi SOA imala utjecaj na medijsku infrastrukturu to bi ozbiljno stvorilo bojazan od mogućeg utjecala, te podsjetilo na masovna prisluškivanja novinara 1990-tih godina upravo od strane hrvatskih tajnih službi.
Pitali smo zato SOA-u kako će se postaviti prema medijima, odnosno njihovoj infrastrukturi koja može potpasti pod kritičnu infrastrukturu u Republici Hrvatskoj.
Što predviđa novi Zakon?
Prema novom zakonskom rješenju sve tvrtke koje se ubrajaju u kritičnu infrastrukturu moći će se spojiti na sustav Sc@ut, što su ga izgradili SOA i Zavod za sigurnost informacijskih sustava (ZSIS). Taj je sustav namijenjen otkrivanju i zaštiti od državno-sponzoriranih kibernetičkih napada, APT kampanja te drugih kibernetičkih ugroza. Za središnja državna tijela spajanje na Sc@ut prema zakonu će biti obavezno, objašnjavaju iz SOA-e za N1.
“Nacrt Zakona ne predviđa uključenje medijskih kuća kao obveznika. U tom smislu medijske kuće mogu, na svoj zahtjev i inicijativu, koristiti samo neke od dobrovoljnih mehanizama kibernetičke sigurnosti predviđenih Zakonom”, dodaju.
Drugim riječima, SOA uvjerava da medije, nakon stupanja na snagu ovog zakona u listopadu 2024., neće kontrolirati. “Ovdje se radi transpozicije NIS2 direktive Europske unije u hrvatsko zakonodavstvo, te je na osnovu nje izrađen je prijedlog Zakona o kibernetičkoj sigurnosti”, pojašnjavaju iz SOA-e.
Jesu li ugroženi zviždači?
Rakar u predloženom zakonskom tekstu vidi i opasnost za zviždače. Jer, primjerice, kako će netko iz HEP-a prijaviti nepravilnosti kada je ta tvrtka kao dio kritične infrastrukture pod nadzorom SOA-e.
Iz domaće tajne službe uvjeravaju kako ni sa tim neće biti problema. “Nacrt Zakona se ne bavi nadzorom sadržaja komunikacija subjekata obveznika, već isključivo uvodi zajedničku visoku razinu mjera kibernetičke sigurnosti, kakva se uvodi u sve države članice. Te mjere provodit će sami subjekti obveznici, sukladno vlastitoj procjeni rizika. Provedbu obveza nadzirat će se kroz nezavisnu i periodičku ocjenu sukladnosti koju će obavljati najmanje jednom svake dvije godine autorizirane pravne osobe”, navode iz SOA-e.
Tko će nadzirati cyber sigurnost?
Bit će tu i periodičkog nadzora svakih tri do pet godina, a njega će, napominju iz SOA-e, provoditi nadležna tijela: Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) za telekomunikacijski sektor, Ured Vijeća za nacionalnu sigurnost (UVNS) za javni sektor, Središnji državni ured za razvoj digitalnog društva (SDURDD) za pružatelje usluga povjerenja, Ministarstvo znanosti i obrazovanja (MZO) za sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registre, te Nacionalni centar za kibernetičku sigurnost za ostale.
“U tom smislu Zakon nema nikakve veze s potencijalnim zlouporabama u smislu identificiranja zviždača”, ističu iz SOA-e navodeći da će sve biti transparentno.
Osim već navedenih državnih tijela i institucija tu su još i Hrvatska narodna banka (HNB) za sektor bankarstva, Hrvatska agencija za nadzor financijskih usluga (HANFA) za infrastrukture financijskog sektora, Hrvatska agencija za civilno zrakoplovstvo (HACZ) za sektor zračnog prometa. “Oni već provode nadzor, te će ga sada nastaviti usklađivati s novim sektorskim propisima EU”, dodaju.
Za ostalo će, pak, biti zadužena SOA, koja objašnjava kako joj nije namjera zavladati sektorom kibernetičke sigurnosti, niti nadzirati sve tvrtke u Hrvatskoj, već samo žele postojeći Centar za kibernetičku sigurnost koji već ima razvijene, tehničke, organizacijske i stručne sposobnosti te kapacitete, pretvoriti u Nacionalni centar za kibernetičku sigurnost NSCS, kojeg propisuje novi Zakon.
Rakar: ‘Transparentnost je ključ’
I dok su u SOA-i uvjereni da će sve biti OK, Rakar ponavlja kako nigdje u Europi centralno mjesto za kibernetičku sigurnost nije u obavještajnoj agenciji.
“U drugim zemljama su takve ustanove ili samostalni državni uredi ili samostalne agencije. Poanta je ta da je to uvijek civilna ustanova i ta je transparentnost ključ. Pretjerani doseg koji ovaj Zakon pripisuje je zabrinjavajući. U europskoj direktivi to ne postoji”, rekao je.
SOA uzvraća kako niti naš niti bilo koji drugi NCSC u Europi, niti šire, nije regulatorno tijelo, već sigurnosno tijelo zaduženo za organizacijsko-tehničku koordinaciju provedbe sigurnosnih kibernetičkih mjera i pomoći u rješavanju kibernetičkih napada.
Uzor Danska, Grčka i Južna Koreja
“Ne postoji jednoobrazno rješenje oko osnivanja NCSC-a na razini EU. Svaka članica osnivanje NCSC-a regulira temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta. Veći broj članica EU je za osnivanje NCSC-a koristila sigurnosno-obavještajne sustave. Primjerice, u Danskoj, Španjolskoj, Grčkoj, koje su članice EU, kao i Velikoj Britaniji, Kanadi, Južnoj Koreji i drugim razvijenim demokratskim državama, NCSC je dio sigurnosnih i obavještajnih sustava.
Trenutno je Centar za kibernetičku sigurnost SOA-e najrazvijeniji i najkompletniji nacionalni resurs kibernetičke sigurnosti u Hrvatskoj”, poručuju iz SOA-e za N1.
N1 pratite putem aplikacija za Android | iPhone/iPad i mreža Twitter | Facebook | Instagram | TikTok.
Kakvo je tvoje mišljenje o ovome?
Budi prvi koji će ostaviti komentar!