Odgovornost uprave prema NIS2 i ZKS-u

Zakon o kibernetičkoj sigurnosti (ZKS) stupio je na snagu u veljači 2024., a Uredba o kibernetičkoj sigurnosti (NN 135/2024) stupila je na snagu u studenom 2024., osim odredaba članaka 104. i 105. koje su stupile na snagu u siječnja 2026. Time je u hrvatski pravni poredak transponirana NIS2 direktiva (EU) 2022/2555. Pravni okvir donosi promjenu koja izlazi iz tehničkog područja i ulazi u korporativno upravljanje. Kibernetička sigurnost postaje predmet odgovornosti članova upravljačkih tijela ključnih i važnih subjekata.

Posljedice su izravne. Članovi uprave više ne mogu delegirati sigurnosna pitanja kao isključivo tehnički problem IT odjela. Zakon traži aktivno odobravanje, kontrolu provedbe i obvezno stjecanje znanja. Propust generira financijske kazne za pravnu osobu i posebne kazne za odgovornu fizičku osobu. U ovom članku slijedi pregled obveza, dokumentacijskih tragova koje uprava mora ostavljati i sankcija propisanih ZKS-om.

1. Pravni okvir odgovornosti

Odgovornost upravljačkih tijela definirana je na dvije razine. Na razini Europske unije obveze proizlaze iz članka 20. NIS2 direktive (Direktiva (EU) 2022/2555). Na nacionalnoj razini odredbe su transponirane u članak 29. Zakona o kibernetičkoj sigurnosti.

Članak 29. stavak 1. ZKS-a propisuje da su za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima odgovorni članovi upravljačkih tijela ključnih i važnih subjekata, odnosno čelnici tijela državne uprave, drugih državnih tijela i izvršna tijela jedinica lokalne i područne (regionalne) samouprave. Zakon ih naziva osobe odgovorne za upravljanje mjerama.

Stavak 2. istoga članka propisuje obvezu odobravanja mjera upravljanja kibernetičkim sigurnosnim rizicima i kontrolu njihove provedbe. Stavak 3. uvodi obvezu stjecanja znanja i vještina u pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje subjekt pruža.

Operativnu razradu donosi Uredba o kibernetičkoj sigurnosti. Uredba uvodi tri razine mjera (osnovnu, srednju i naprednu) prema članku 38. i članku 42. Uredbe, definira obvezu imenovanja osobe za kontakt odgovorne za dostavu podataka prema članku 17. Uredbe, uređuje njezine odgovornosti člankom 18. Uredbe i propisuje da subjekti moraju uspostaviti, dokumentirati i održavati uloge i odgovornosti za kibernetičku sigurnost.

Prilog II. Uredbe dodatno operacionalizira odgovornost upravljačkih tijela kroz mjeru 1. Predanost i odgovornost osoba odgovornih za provedbu mjera. Cilj te mjere je osigurati da osobe iz članka 29. ZKS-a prepoznaju kibernetičku sigurnost kao ključni aspekt poslovanja subjekta i aktivno sudjeluju u upravljanju kibernetičkom sigurnošću.

Krug obveznika obuhvaća članove uprave dioničkih društava i društava s ograničenom odgovornošću, izvršne direktore, čelnike državnih tijela i izvršna tijela jedinica lokalne i područne samouprave.

2. Što članovi upravljačkog tijela moraju razumjeti

ZKS u članku 29. stavku 3. propisuje obvezu stjecanja znanja, ali ne propisuje konkretan broj sati obuke ni obvezni certifikat. Prilog II. Uredbe dodatno razrađuje aktivnosti podizanja svijesti i edukacije, uključujući mjeru 1.9. o aktivnostima za podizanje svijesti osoba odgovornih za provedbu mjera i mjeru 4.10. o kontinuiranoj obuci i certifikacijama osoblja u području kibernetičke sigurnosti.

U slučaju inspekcijskog nadzora kvaliteta i kontinuitet edukacije procjenjuju se kroz dokumentirane tragove, kao što su potpisne liste, agende, evidencije polaznika, potvrde o sudjelovanju i certifikati. Bez pisanog traga obuka se ne može dokazati.

Minimalni opseg znanja koji članovi upravljačkog tijela moraju posjedovati:

• Status subjekta. Je li organizacija ključni ili važni subjekt prema Prilozima I. i II. ZKS-a

• Razina mjera koja se primjenjuje. Osnovna, srednja ili napredna razina iz članka 38. Uredbe

• Aktualni profil rizika organizacije i identificirani ključni rizici

• Procesi prijave incidenata i rokovi. Rano upozorenje u roku od 24 sata od saznanja za značajan incident, početna obavijest u roku od 72 sata od saznanja za značajan incident i završno izvješće najkasnije u roku od 30 dana od dana dostave početne obavijesti.

• Tko je nadležni CSIRT za subjekt (CSIRT pri NCSC-u ili CSIRT pri CARNET-u)

• Rizici lanca opskrbe i ovisnosti o pružateljima IKT usluga

• Osnove upravljanja kontinuitetom poslovanja i oporavkom nakon incidenta

• Mehanizam financiranja kibernetičke sigurnosti unutar organizacije

Razumijevanje ne mora biti tehničko na razini administriranja sustava. Mora biti dovoljno za donošenje informiranih odluka o prihvaćanju ili tretmanu rizika.

3. Što članovi uprave moraju odobravati

Odobravanje je formalni akt. Zahtijeva pisani trag, datum i identitet odobravatelja. Sljedeći dokumenti i odluke u praksi traže formalno odobrenje upravljačkog tijela:

• Strateški akt sigurnosne politike subjekta

• Metodologija procjene rizika

• Rezultati provedene procjene rizika i registar rizika

• Plan tretmana rizika i kriteriji prihvatljivosti rizika

• Plan kontinuiteta poslovanja i plan oporavka nakon katastrofe

• Plan odgovora na incidente

• Politika upravljanja dobavljačima i pružateljima IKT usluga

• Ugovorne klauzule koje uređuju sigurnosne obveze dobavljača

• Godišnji proračun za kibernetičku sigurnost

• Imenovanje osobe za kontakt odgovorne za dostavu podataka prema članku 17. Uredbe i uređenje njezinih odgovornosti prema članku 18. Uredbe

• Imenovanje dedicirane osobe koja je na razini subjekta operativno odgovorna za kibernetičku sigurnost, kada je ta mjera primjenjiva prema Prilogu II. Uredbe

• Rezultati internih i vanjskih revizija s pripadajućim akcijskim planovima

• Akcijski plan po nalozima nadležnog tijela

Napomena: ZKS izričito ne propisuje obvezu imenovanja CISO funkcije pod tim nazivom. Međutim, Prilog II. Uredbe u mjeri 1.6. predviđa imenovanje dedicirane osobe koja je na razini subjekta operativno odgovorna za kibernetičku sigurnost i kojoj je osiguran adekvatan pristup osobama odgovornim za provedbu mjera. Ta je mjera obvezna za srednju i naprednu razinu mjera, a dobrovoljna za osnovnu razinu mjera.

4. Što članovi uprave moraju dokumentirati

Provedba obveza dokazuje se papirnatim ili digitalnim tragom. Inspekcija nadležnog tijela ne prihvaća usmene tvrdnje kao dokaz usklađenosti. Sljedeći zapisi čine minimalnu dokumentacijsku osnovu:

• Zapisnici sjednica uprave s točkom kibernetičke sigurnosti

• Potpisana odobrenja politika, metodologija i planova

• Evidencija pohađanja edukacija članova uprave (potpisne liste, certifikati, agende)

• Dokaz pregleda izvješća o stanju rizika

• Odluke o tretmanu identificiranih rizika i obrazloženja

• Evidencija provedenih korektivnih radnji nakon incidenata

• Evidencija provedenih korektivnih radnji nakon nalaza revizije

• Zapisi o prijavljenim incidentima i komunikaciji s nadležnim CSIRT-om

• Evidencija godišnjeg pregleda i ažuriranja mjera (članak 48. Uredbe traži ažuriranje najmanje jednom godišnje)

• Godišnje izvješće o stanju kibernetičke sigurnosti prema Prilogu II. Uredbe, mjera 1.7.

Kvaliteta dokumentacije izravno utječe na visinu eventualne kazne. ZKS propisuje da nadležno tijelo prilikom određivanja visine kazne uzima u obzir okolnosti slučaja, uključujući postupanje subjekta i prethodno ponašanje.

5. Sankcije za propuste

ZKS u prekršajnim odredbama razlikuje sankcije za ključne i važne subjekte. Razlika u rasponu kazni odražava razinu kritičnosti subjekta.

5.1. Kazne za ključne subjekte

Pravne osobe: novčana kazna od 10.000 eura do 10.000.000 eura ili od 0,5 % do 2 % ukupnog godišnjeg prometa na svjetskoj razini ostvarenog u prethodnoj financijskoj godini. Primjenjuje se iznos koji je veći.

Odgovorne fizičke osobe: novčana kazna od 1.000 eura do 6.000 eura.

5.2. Kazne za važne subjekte

Pravne osobe: novčana kazna od 5.000 eura do 7.000.000 eura ili od 0,2 % do 1,4 % ukupnog godišnjeg prometa na svjetskoj razini ostvarenog u prethodnoj financijskoj godini. Primjenjuje se iznos koji je veći.

Odgovorne fizičke osobe: novčana kazna od 500 eura do 3.000 eura.

5.3. Korektivne mjere

Uz novčane kazne, ZKS predviđa i dodatne korektivne mjere koje nadležno tijelo može propisati:

• Nalog za prestanak postupaka kojima se krši Zakon

• Nalog za provedbu preporuka iz izvješća o provedenoj reviziji kibernetičke sigurnosti ili analize sigurnosti

• Privremena obveza obavješćivanja primatelja usluga o povredi

Kod ključnih subjekata, ako subjekt ne postupi u skladu s izrečenim korektivnim mjerama iz članka 82. ZKS-a, nadležno tijelo može prema članku 84. ZKS-a zahtijevati privremenu zabranu obavljanja upravljačkih dužnosti u ključnom subjektu fizičkim osobama iz članka 29. ZKS-a. Mjera se primjenjuje dok ključni subjekt ne postupi prema izrečenim korektivnim mjerama i ne primjenjuje se na tijela državne uprave, druga državna tijela, jedinice lokalne i područne samouprave te javne subjekte koji u svojstvu tijela javnog prava predstavljaju javne naručitelje.

6. Razlika ključnog i važnog subjekta iz perspektive nadzora

Razlika nije samo u visini kazne, već i u načinu na koji nadležno tijelo provodi nadzor.

Ključni subjekti podliježu proaktivnom nadzoru. Nadležno tijelo može u svakom trenutku provesti redovitu provjeru, vanjsku reviziju ili zahtijevati dokaze o usklađenosti. Pripravnost mora biti trajna.

Važni subjekti podliježu reaktivnom nadzoru. Nadležno tijelo nadzor u pravilu pokreće po prijavi incidenta ili po informaciji o mogućoj povredi. Obveza prethodne usklađenosti i vođenja dokumentacijskih dokaza i dalje postoji.

Implikacija za upravu: kod ključnih subjekata dokumentacija mora biti uvijek u stanju u kojem je može razumno braniti pred inspekcijom. Kod važnih subjekata nadzor je u pravilu reaktivan, ali iznosi kazni i osobna odgovornost ostaju značajni.

7. Praktične preporuke za upravljačka tijela

Sljedeće operativne mjere uprava može uvesti odmah, bez ovisnosti o vanjskim resursima:

• Uvođenje stalne točke kibernetička sigurnost na sjednicama uprave, najmanje kvartalno

• Obvezno kvartalno izvješće voditelja informacijske sigurnosti ili ekvivalentne funkcije upravi

• Najmanje godišnje izvješće o stanju kibernetičke sigurnosti prema Prilogu II. Uredbe, mjera 1.7.

• Godišnja tabletop vježba s aktivnim sudjelovanjem članova uprave

• Dvostruko godišnji pregled procjene rizika i odluka o tretmanu

• Sustavna evidencija pohađanja obuke s potpisnim listama

• Formalna dodjela ovlasti za prijavu incidenta nadležnom CSIRT-u unutar 24 sata, uz definirane zamjenske osobe

• Godišnja revizija ugovora s ključnim dobavljačima IKT usluga

• Jasna eskalacijska linija od operativnog tima prema upravi u slučaju značajnog incidenta

Zaključak

Kibernetička sigurnost prešla je iz područja tehničke pozadine u predmet poslovnog upravljanja. Članak 29. ZKS-a i članak 20. NIS2 direktive jasno postavljaju odgovornost na članove upravljačkih tijela. Obveze su konkretne: odobravanje mjera, nadzor provedbe i stjecanje znanja.

Cijena propusta mjeri se u milijunima eura na razini pravne osobe i u tisućama eura na razini odgovorne fizičke osobe. Mjeri se i kroz korektivne mjere koje mogu uključivati javnu obavijest o povredi i, kod ključnih subjekata u slučaju ne postupanja prema korektivnim mjerama, privremenu zabranu obavljanja upravljačkih dužnosti.

Usklađenost se ne dokazuje izjavom. Dokazuje se papirnatim tragom: politikama, zapisnicima, evidencijama edukacije i dokumentiranim odlukama. Uprava koja taj trag nema, ne može dokazati da je svoje obveze ispunila.

Napomena: činjenice i područja za dodatnu pravnu procjenu

Činjenice u članku temelje se na primarnim pravnim izvorima (ZKS, Uredba o kibernetičkoj sigurnosti, NIS2 direktiva) i objavama nadležnih tijela (NCSC-HR). Sljedeće stavke i dalje zahtijevaju procjenu u konkretnom slučaju jer ovise o statusu subjekta, razini mjera i internom modelu upravljanja:

• Primjenjiva razina mjera za konkretan subjekt i opseg obveznih pod mjera iz Priloga II. Uredbe

• Praktični minimalni opseg obuke članova uprave, uključujući broj sati i oblik provedbe

• Način imenovanja i organizacijsko pozicioniranje osobe operativno odgovorne za kibernetičku sigurnost, ovisno o razini mjera i strukturi subjekta

Ovaj članak ne predstavlja pravni savjet. Za konkretnu procjenu obveza i rizika preporučuje se konzultacija sa specijaliziranim stručnjacima za usklađivanje s NIS2, ZKS-om i ISO 27001 standardom.

‍