Dojam da svi pričaju, a premalo znaju o kibernetičkoj sigurnosti je generalna percepcija, nakon godina mistifikacije cyber sigurnosti - kaže Marko Gulan, konzultant za kibernetičku sigurnost iz tvrtke CEO Astera Advisory, te dodaje:

- Kibernetička sigurnost nije ni trebala biti "IT tema" koju rješava jedan informatičar u podrumu. Riječ je o zaštiti cjelokupnog digitalnog živčanog sustava organizacije i društva: podataka, mreža, usluga i procesa o kojima ovisi sve, od isplate plaća do rada bolnice ili industrijske automatizacije i isporuke električne energije. Najjednostavnije rečeno, govorimo o sposobnosti da nastavimo funkcionirati i onda kad nas netko pokuša napasti, prevariti ili ucijeniti.

U svom radu, kad uđem u neku tvrtku kao vanjski CISO, najčešće prvo moram razbiti tu zabludu da je sigurnost proizvod koji se kupi. Fokus se odavno pomaknuo s tehnologije na upravljanje rizikom. Lozinke i antivirus su higijena; stvarni rizik danas je organizacijski: tko je odgovoran, kako se odlučuje, koliko brzo prepoznajete da ste napadnuti i koliko ovisite o dobavljačima. Tema se svela na strah i kupovinu alata, a zanemaruje se kontinuirano upravljanje.

A ono što je tu novo i što mijenja cijeli okvir razgovora jest da kibernetička sigurnost danas više nije samo pitanje pojedine tvrtke, postala je pitanje suvereniteta! Europa se napokon budi i shvaća koliko je duboko ovisna o tuđoj tehnologiji. Europski parlament procjenjuje da oko 80 % korporativne potrošnje na softver i cloud odlazi američkim dobavljačima, što znači godišnji odljev od otprilike 1,5 % BDP-a Unije. Problem nije samo ekonomski. Američki zakoni poput CLOUD Acta omogućuju američkim vlastima pristup podacima pohranjenima bilo gdje u svijetu, uključujući europske podatkovne centre, pa i onda kad vam dobavljač prodaje "suvereni europski cloud", pravna kontrola ostaje izvan EU. Parlament to naziva "sovereignty-washing": suverenitet na papiru, ovisnost u praksi. Kad to spojite s ovisnošću o azijskim čipovima, dobivate sliku kontinenta koji je golem dio svoje kritične infrastrukture izgradio na temeljima koje ne kontrolira. To je kontekst u kojem danas svaki ozbiljan razgovor o kibernetičkoj sigurnosti mora početi.

ZAKONI I DIREKTIVE

O toj temi razgovarali smo prije dvije godine. Što se u međuvremenu dogodilo, je li bolje ili lošije, u svijetu i u Hrvatskoj?

- Istodobno je i bolje i lošije. Prijetnje su nesumnjivo porasle. Prema ENISA-i, u EU je više od trećine napada usmjereno na javnu upravu, a gotovo 80 posto napada ideološki je motivirano, vezano uz geopolitičke sukobe i izbore. To je velika promjena u odnosu na prije nekoliko godina, kad je dominirao isključivo financijski motiv.

DDoS napadi, oni koji ruše dostupnost usluga, postali su jeftini i masovni. Takav napad moguće je naručiti za samo "šaku" dolara putem kriminalnih servisa, a procijenjeni troškovi za žrtvu mogu iznositi čak od 120.000 do 300.000 eura kroz zastoj, oporavak i štetu po reputaciju. Zabrinjava i to što napadači sve više koriste umjetnu inteligenciju, veliki jezični modeli znatno olakšavaju masovnu distribuciju lažnih sadržaja i uvjerljivijih prijevara.

U Hrvatskoj slika prati europski trend. U prvom kvartalu 2026. Nacionalni centar za kibernetičku sigurnost zabilježio je 106 prijavljenih incidenata, od kojih je 15 ocijenjeno značajnima. Nacionalni CERT navodi da su najzastupljeniji tipovi u 2025. bili phishing (32 %), neželjene poruke (19 %), ostale financijski motivirane prijevare (18 %) te napadačka infrastruktura (12 %). Dakle, prijetnja je realna i svakodnevna, i kad klijentima pokažem te brojke, vrlo se brzo promijeni ton razgovora.

Ali ima i dobrih vijesti. Bitno je sazrela institucionalna struktura, imamo zakon, podzakonske akte, nacionalnu platformu za prijavu incidenata i jasnu podjelu odgovornosti. Hrvatska se uključila i u najveću NATO kibernetičku vježbu Locked Shields. Drugim riječima, prijetnje su ozbiljnije, ali je i naša obrana ozbiljnija i sustavnija nego prije dvije godine.

Kakva je politika EU-a u tom području? Kako je zakonski reguliran sustav? Često se navodi NIS2 kao temeljni akt...

- Tako je, NIS2 Direktiva danas je najvažniji europski zakonodavni okvir za kibernetičku sigurnost, koji pokriva veći broj sektora i obuhvaća znatno više organizacija nego prethodna direktiva iz 2016. godine. Logika EU-a je jasna: prethodna NIS direktiva imala je preuzak opseg, nedosljednu primjenu među državama i preblage kazne.

NIS2 to ispravlja na nekoliko ključnih načina. Prvo, širi opseg kroz podjelu na ključne i važne subjekte. Drugo, propisuje konkretne obveze: obvezne mjere upravljanja rizicima koje pokrivaju analizu rizika, postupanje s incidentima, kontinuitet poslovanja, sigurnost lanca opskrbe i višefaktorsku autentifikaciju. Treće, i možda najvažnije, uprava je sada izravno odgovorna za propuste u kibernetičkoj sigurnosti. To je tektonski pomak: odgovornost se penje do najvišeg menadžmenta.

Bitno je razumjeti da direktiva nije izravno primjenjiva, ona se prenijela u nacionalno zakonodavstvo svake države članice. Uz NIS2, financijski sektor ima i specijalizirani okvir, Uredbu DORA o digitalnoj operativnoj otpornosti. I tu se krug zatvara s prethodnom pričom: EU istovremeno pooštrava obveze i, kroz paket za tehnološku suverenost predstavljen u lipnju 2026. s mjerama za poluvodiče, AI, cloud i otvoreni kod, pokušava smanjiti samu ovisnost koja te obveze čini tako teškima. Ne možemo si priuštiti ovisnost o drugima za tehnologije koje održavaju rad bolnica, stabilnost energetskih mreža, industrije i sigurnost usluga.

Što hrvatska poduzeća moraju znati o Zakonu o kibernetičkoj sigurnosti i pratećoj Uredbi, koja proširuje obveze na preko 3.000 tvrtki? Čitam da kazne dosežu i 10 milijuna eura...

- Prva i najvažnija poruka upravljačkim tijelima: Zakon o kibernetičkoj sigurnosti (NN 14/24), na snazi je od 15. veljače 2024. I proces usklađenja poslovanja za kategorizirane subjekte, uvjetno rečeno, još traje iako je vremena sve manje.

Što tvrtke konkretno moraju znati? Prije svega da je s krajem prvog kvartala 2026. godine kategorizirano 790 subjekata, i da proces kategorizacije periodički proširuje broj obveznika. Posebno je važno pitanje incidenata: kibernetički incident mora se prijaviti u nekoliko faza, rano upozorenje u 24 sata i detaljna obavijest u 72 sata, i to putem nacionalne platforme PiXi kojom upravlja CARNET. Što se kazni tiče, u pravu ste oko iznosa, no zadržao bih fokus na obvezama i prijedlogu rješenja umjesto da naglašavanjem kazni hranimo strah kod obveznika.

Taj važni dio osobne odgovornosti upravljačka tijela često previde, i te promjene najteže prolaze. Ne plaća kazne samo tvrtka; odgovara i menadžment koji je propustio nadzirati. A tu se otvara konkretan problem koji svakodnevno rješavam: Zakon o kibernetičkoj sigurnosti traži kontinuirano upravljanje i nositelja te odgovornosti, ali velika većina tvrtki obuhvaćenih zakonom nema, niti može opravdati, interni sigurnosni odjel. Upravo zato model vanjskog, eksternaliziranog CISO-a postaje logično rješenje, gdje obveznici dobivaju stručnu funkciju, dokumentirano upravljanje rizikom i nekoga tko stoji iza usklađenosti, bez troška punog internog odjela. Koliko toga tvrtke znaju? Mnoge još uvijek misle da je dovoljno "imati firewall", dok zakon traži dokumentirano upravljanje rizikom, redovne revizije i obučenu upravu.

POSLOVNI RIZICI

Kakva je ukupno politika RH? Na temelju članka 24. ZKS-a Vlada je 21. studenoga 2024. donijela Uredbu o kibernetičkoj sigurnosti... Vaš završni komentar?

- Hrvatska je, moram priznati, odradila zakonodavni dio nadprosječno brzo i ozbiljno. Uz sam Zakon, donesena je i provedbena Uredba o kibernetičkoj sigurnosti (NN 135/2024). Kibernetička sigurnost po prvi put sustavno je postavljena kao obveza određenog dijela javnog i gospodarskog sustava. No pravi test tek slijedi. Papir ne zaustavlja napad. Najveći izazov nije više regulativa, nego provedba i pitanje hoće li tvrtke stvarno uložiti u ljude i procese, ili će usklađenost ostati formalni dokument u ladici. Iz iskustva znam da je razlika upravo u tome ima li tvrtka nekoga tko sigurnošću upravlja trajno i odgovorno, ili je posljednji put o tome razmišljala kad je ispunjavala obrazac o kategorizaciji.

Kibernetička otpornost gradi se mjesecima i godinama, a ruši u sekundi. Onaj tko to shvati na vrijeme, prednjačit će. Onaj tko čeka prvi incident da se probudi, platit će puno više od bilo koje kazne, novcem, povjerenjem, a ponekad i opstankom. Poruka upravljačkim tijelima je jasna: tretirajte kibernetičku sigurnost kao poslovni rizik prvog reda, jer to ona doista i jest.