Kibernetički napadi na tvrtke i institucije nisu rijetki. Svakodnevno se događaju takvi incidenti. Među posljednjim tvrtkama koje su bile napadnute na takav način su Hrvatske vode i Hrvatski autoklub - zbog čega njihove usluge neko vrijeme nisu bile dostupne. Telekomunikacijskom operatoru A1 ukradeni su podaci brojnih korisnika. Do sad je bila napadana kritična infrastruktura, poput davatelja digitalnih i bankarskih usluga. Sad se to širi na proizvodnju, farmaceutiku, proizvodnju hrane i pića, poštarske usluge, upravljanje otpadom, pitkom vodom i otpadnim vodama, tako da vidimo da je područje djelovanja koje će novi zakon obuhvatiti prošireno, kaže konzultant za kibernetičku sigurnost za jugoistočnu Europu Marko Gulan koji smatra da je to i opravdano.

- Tvrtke svoje sustave moraju štititi, moraju štititi i sustave proizvodnje. Danas imamo jedno ogromno područje industrijske automatizacije o kojoj većina društva i tvrtki ne razmišlja: „to je nešto što radi samo od sebe i ne diraj dok radi“, smatra Gulan.

I tvrtka Podravka bit će obveznik NIS2 direktive, a s pripremama za to počela je 2018. godine. Tad su krenuli s uvođenjem sustava upravljanja informacijskom sigurnošću, kaže direktor Službe informacijske sigurnosti u Podravci Dario Rajn.

- Tu smo napravili jedan iskorak u dokumentacijskom segmentu, u smislu kreiranja seta politika, vezano za to kako bi se korisnik trebao ponašati u okviru informacijskog sustava. Naglasak smo stavili na edukaciju, u smislu podizanja svijesti o informacijskoj sigurnosti svakog zaposlenika Podravke. Također, u posljednje dvije godine značajno smo uložili, najviše u nadzorne alate koji detektiraju neovlaštenu upotrebu informacijskog sustava. U pravilu, upad u informacijski sustav ne događa se desetak minuta, nego to traje, recimo u velikim sustavima, do 200 dana, kaže Rajn. 

Jesu li i medijske tvrtke obuhvaćene ovim zakonom? Pretpostavljam da će svi javni mediji biti pod tim zakonom, kaže voditelj katedre za kibernetičku sigurnost na učilištu Algebra Zlatan Morić.

- Dok su ulaganja kibernetičkog napadača mnogo manja, on može prouzročiti puno veću štetu dok, primjerice, sjedi u toplom domu, pije sok i gleda film. Krenimo od namamljujuće elektronske pošte gdje netko klikne na poveznicu i instalira se maliciozni kod. Nije upitno može li se napad dogoditi, nego koliko je resursa u igri, kaže Morić.

Hoće li tvrtke nakon ovog zakona biti sigurnije? Bit će sigurne onoliko koliko ulože. Mogu biti otpornije na način da demotiviraju napadača da nastavi s napadom, odgovara Gulan. 

Tvrtke će po novom morati upravljati rizicima te će imati kraće rokove za dojavu o ugrozi. Još se ne zna koji će rok biti. Sigurnosna obavještajna agencija neće biti regulator, već Centar za kibernetičku sigurnost. Novi Zakon stupa na snagu za manje od godinu dana.