Primjena Direktive NIS2
Hrvatsku sigurnosnu zajednicu i javnost neugodno je iznenadio prijedlog novog Zakona o kibernetičkoj sigurnosti, prema kojem bi Obavještajno-sigurnosna agencija mogla krovno nadzirati cyber sigurnost kompanija i ustanova, uz paralelni neograničen pristup osjetljivim podacima
Piše: Mirza Bahić; E-mail: mirza.bahic@asadria.com
Hrvatsku posljednjih mjeseci potresa svojevrsni regulatorni skandal, koji je pravo osvježenje u odnosu na standardne dnevnopolitičke trakavice. Glavnu ulogu igra Sigurnosno-obavještajna agencija (SOA) koja, prema jednom taboru, priprema preuzimanje pristupa povjerljivim poslovnim podacima pod firmom implementacije novog Zakona o kibernetičkoj sigurnosti. Oponenti, s druge strane, tvrde da je prijedlog zakona koji bi Sabor trebao prihvatiti do kraja godine najava “ulaska Hrvatske u 21. stoljeće” kada je u pitanju cyber zaštita. Je li istina na sredini i mogu li obje strane biti upravu, ma kako rovovski ukopane u svoje suprotstavljene stavove o novom zakonu?
Šta nudi novi zakon?
Novi Zakon o kibernetičkoj sigurnosti predviđa uvođenje centraliziranog pristupa kontroli cyber sigurnosti za koji bi bila nadležna hrvatska Sigurnosno-obavještajna agencija. Zakon se nalazi u završnoj fazi izrade, a pokrenuta javna rasprava do sada je iznjedrila stotine komentara. Država u ulozi predlagača navodi da je riječ “samo” o primjeni Evropske direktive o cyber sigurnosti NIS2 na nivou EU-a.
Podsjetimo se, NIS2 stavlja obavezu pred države članice da na nacionalnom nivou kreiraju tijela nadležna za sigurnost mrežnih i informatičkih sistema, kao i za razmjenu informacija o zaštiti kritičnih sektora kao što su energetika, zdravstvo, finansije, transport, komunalije i digitalna infrastruktura.
I tu, zapravo, nastanu problemi s tumačenjem jer SOA, prema novom zakonu, treba dobiti diskreciona ovlaštenja da odredi koje su institucije ili kompanije kritične ili važne za cyber sigurnost, obavezujući ih da na svoje mreže instaliraju opremu koju ona odobri. Na taj način SOA će dobiti pravo da nadgleda hiljade kompanija i pravnih lica. Skepsa javnosti dodatno je porasla nakon najave da država namjerava klasificirati značajan broj privatnih kompanija kao dio “kritične infrastrukture”.
Sistemi za cyber zaštitu pod nadzorom
Kritičari prijedloga zakona strahuju da bi ovaj potez jednoj nacionalnoj obavještajnoj agenciji mogao dati neograničen pristup osjetljivim podacima hiljada privatnih kompanija. Marko Rakar, informatički ekspert, najglasniji je kritičar novog zakonskog rješenja. Prema njemu, SOA ne bi smjela dobiti regulatorne odgovornosti u ovoj oblasti zbog “sukoba interesa”. Rakar navodi da se u drugim zemljama Unije regulativom kibernetičke sigurnosti obično bave specijalizirana državna tijela (Irska, Estonija, Finska i Njemačka i druge zemlje), ali ne i obavještajne agencije.
One su, po njemu, po samoj definiciji netransparentne u svom radu i obično ne rade s pravnim licima obuhvaćenim novim zakonom. Prema procjenama stručnjaka, njihov broj će u privatnom sektoru skočiti za više hiljada, a svima za nepridržavanje novog zakona prijete kazne i do deset miliona eura.
Ukoliko ovu oblast preuzme SOA, smatra Rakar, obavještajne agencije iz drugih zemalja od nje mogu tražiti usluge u okviru kojih bi agencija mogla špijunirati strane državljane ili subjekte pod krinkom provođenja zakona. “U okviru implementacije zakona može se vrlo lako dogoditi da istovremeno imamo situaciju gdje SOA nadzire kibernetičku sigurnost nekakve tvrtke ili ustanove, a paralelno ima apsolutni pristup podacima koji su od nekakvog obavještajnog značaja za, primjerice, SOA-u”, smatra Rakar.
Pravni problemi?
Njegovo mišljenje dijele i oni koji smatraju da je prijedlog zakona upitan i sa pravne strane, a ne samo tehničke ili sigurnosne. Marko Porobija, advokat specijaliziran za oblast sigurnosti, kaže da se zaštita od cyber napada treba strogo odvojiti od nadzora za civilne potrebe kako bi se spriječile situacije u kojima SOA i tuži i sudi subjektima koje nadzire. “To je kao da se naša firma otvori u SAD-u i da NSA bude njihov regulator”, navodi Porobija, dodajući kako je nezamislivo da se, npr., strane farmaceutske kompanije nađu u situaciji da im provjeru sigurnosnog sistema za cyber zaštitu radi tajna služba zemlje domaćina.
Osim toga, kritičari upućuju na još jednu sumnjivu stavku u prijedlogu zakona – izostanak odredbe člana 2 tačke 2 iz same Direktive, u koju se predlagači kunu kao uzor. Riječ je o stavki prema kojoj se iz primjene Direktive izuzimaju različita tijela, posebno ona iz oblasti nacionalne i javne sigurnosti i odbrane, što, po njima, diskvalificira SOA-u iz igre. Izostavljanjem ove stavke iz prijedloga, obavještajci bi, u teoriji, dobili pravo nadzora i nad tijelima za krivično gonjenje. To je posebno zabrinjavajuće jer SOA za svoj rad, tehnički i pravno, ne odgovara građanima Hrvatske nego političkim i državnim strukturama.
“Štiti, a ne nadzire”
U SOA-i, u međuvremenu, u spomenutom prijedlogu zakona ne vide ništa sporno. Glavni argument obavještajaca je da SOA neće postati vrhovni regulator cyber sigurnosti u Hrvatskoj, nego tek “koordinator”. Zapravo, uloga agencije većinski se treba temeljiti na organiziranju i koordinaciji provedbe mjera cyber sigurnosti.
Kao krunu svojih napora u ovoj oblasti, SOA navodi vlastiti centralizirani sistem SK@UT, koji služi za otkrivanje, rano upozoravanje i zaštitu od državno sponzoriranih cyber napada u više od 60 državnih tijela u Hrvatskoj. Budući Nacionalni centar za kibernetičku sigurnost SOA-e, prema novom prijedlogu zakona, samo bi trebao proširiti postojeći kišobran na privatne kompanije na način da ih “štiti, a ne nadzire”.
Ivan Malenica, ministar pravosuđa i uprave, navodi da je ovaj zakon “veliki korak naprijed, s obzirom da će on obuhvatiti puno više subjekata koji će biti obavezni poduzimati određene mjere iz područja kibernetičke sigurnosti”. Premijer Andrej Plenković cijelu priču vješto odvodi na mlin aktuelnih geopolitičkih trvenja i opisuje kibernetički prostor ne samo kao “prostor ratovanja” nego i poslovanja i funkcioniranja digitalnog društva u kojem uloga države mora biti “ključna”.
Šta će reći Evropa?
Njegovo mišljenje o ulozi države ne dijele u Gongu, organizaciji civilnog društva koja je Evropskoj komisiji za “Evropu prilagođenu digitalnom dobu” poslala dopis u kojem upozorava da novi prijedlog zakona predstavlja prekoračenje ovlaštenja obavještajnih službi i udar na “demokratske standarde” pod egidom zaštite cyber sigurnosti. Bez obzira na intonaciju saopćenja s obje strane ograde, činjenica da se dijalog uopće odvija govori o potrebi da se pitanje cyber sigurnosti iz akademsko-tehničkih sfera spusti u najširi javni prostor.