Zakon o kibernetičkoj sigurnosti (ZKS) predstavlja važnu prekretnicu u razvoju nacionalnog zakonodavnog okvira za jačanje otpornosti. Navedeni zakon uvodi sveobuhvatan sustav upravljanja kibernetičkom sigurnošću usklađen s europskom Direktivnom NIS2 kao i zakonsku obvezu prijave kibernetičkih incidenata za kategorizirane tvrtke i institucije.
Naime, s ovim zakonskim okvirom se krug obveznika značajno proširio u odnosu na prethodni zakon i dosadašnju Direktivu NIS1. Time se kibernetička sigurnost po prvi put sustavno postavlja kao obveza velikog dijela javnog i gospodarskog sustava. Kategorizirane organizacije su dužne prijaviti incident putem nacionalne platforme PiXi, kojom upravlja CARNET, kako bi se omogućila brža reakcija nadležnih institucija i učinkovitije upravljanje potencijalnim krizama.
Zakon dijeli obveznike u dvije kategorije: ključne i važne subjekte, objasnio nam je Miro Đuzel, pomoćnika ravnatelja CARNET-a za Nacionalni CERT, a riječ je o subjektima čiji bi poremećaj u radu imao značajan utjecaj na društvo i gospodarstvo.
"Kategorizirani subjekti zaprimili su obavijest o kategorizaciji te je time započela njihova obveza primjene zakonom propisanih mjera. Ako pravna osoba nije izravno kategorizirana, ali djeluje kao izravni dobavljač ili pružatelj usluga subjektu te je dio njegova lanca opskrbe, može biti obuhvaćena primjenom ZKS-a kroz mjere sigurnosti lanca opskrbe" pojasnio je Đuzel.
Zašto je to uvedeno?
Nije nikakva tajna da je kibernetička sigurnost posljednjih godina postala jedno od najvažnijih pitanja globalne stabilnosti i sigurnosti poslovanja. Broj i sofisticiranost napada stalno rastu, od ransomware napada koji mogu paralizirati bolnice i tvrtke do ciljanih napada na kritičnu infrastrukturu i sustave.
Krajem travnja talijanska tvrtka Sistemi Informativi, koja pruža ključne usluge tamošnjem javnom sektoru, pretrpjela je ozbiljan pokušaj kibernetičkog napada, koji je napadačima mogao omogućiti pristup povjerljivim državnim podacima i komunikacijama. Gotovo u istom razdoblju hakerska skupina napala je platformu Canvas LMS, koju koriste tisuće sveučilišta i škola u Europi i svijetu, te ukrala više od 3 terabajta osjetljivih podataka, uključujući privatne poruke i informacije o studentima.
Ovo su samo neki od nedavnih primjera. Prema izvješću Agencije EU za kibernetičku sigurnost (ENISA), u EU je u razdoblju od srpnja 2024. do lipnja 2025. zabilježeno prosječno 13 kibernetičkih incidenata dnevno. Više od trećine napada usmjereno je na institucije iz javne uprave, nakon čega slijedi sektor transporta, posebice zračni promet i logistika. Pritom je alarmantna činjenica da je gotovo 80 posto napada ideološki motivirano odnosno vezano uz geopolitičke sukobe i nacionalne izbore.
Situacija u Hrvatskoj odražava širi trend prisutan u EU. U prvom kvartalu 2026. godine, prema podacima Nacionalnog centra za kibernetičku sigurnost (NCSC-HR), prijavljeno je 106 kibernetičkih incidenata, od kojih je 15 ocijenjeno kao značajno. Time se nastavlja kontinuirani uzlazni trend kibernetičkih prijetnji.
CARNET-ov Nacionalni CERT navodi da je tijekom prošle godine u Hrvatskoj zabilježen porast prijave incidenata od gotovo 36 posto u odnosu na 2024. godinu, a većina ih je bila motivirana ostvarivanjem financijske koristi.
Prijava incidenta putem platforme PiXi
Donošenjem Zakona o kibernetičkoj sigurnosti i pripadajuće Uredbe, kibernetička sigurnost više nije samo IT pitanje, već zakonska obveza.
"Zakon i Uredba ne propisuju konkretne alate, već funkcionalne zahtjeve koje subjekti moraju ispuniti. Ako ste kategorizirani morate provesti mjere za upravljanje kibernetičkim sigurnosnim rizicima. Mjere se odnose na upravljanje programskom i sklopovskom imovinom, sigurnost ljudskih potencijala i digitalnih identiteta, osiguravanje sigurnosti mreže, edukaciju zaposlenika, procedure u slučaju incidenta i osiguravanje kontinuiteta poslovanja. Svih 13 mjera mogu se pronaći u Prilogu II. Uredbe o kibernetičkoj sigurnosti. Popis mjera je opsežan, ali pruža precizne upute što subjekti trebaju poduzeti", objasnio je Đuzel.
U slučaju incidenta koji uzrokuje ili može uzrokovati ozbiljan poremećaj u pružanju usluge, organizacije su dužne bez odgode prijaviti incident putem nacionalne platforme PiXi kojom upravlja CARNET. Subjekti moraju poslati rano upozorenje u roku od 24 sata, a početnu obavijest u roku od 72 sata od saznanja o incidentu. U slučaju neizvršenja obveze, Zakon jasno definira financijske sankcije, koje su usklađene s europskom praksom i razlikuju se ovisno o kategoriji subjekta.
Zakonska obveza, ali i temelj zajedničke zaštite
Kako navodi Đuzel, prijavljivanje incidenata je zakonska obveza, ali i temelj zajedničke zaštite.
"Kroz platformu PiXi, omogućujemo subjektima jednostavno ispunjavanje njihovih obveza te dobivanje povratnih informacija. Također, subjekti dobivaju stručnu pomoć jer nadležni CSIRT (Computer Security Incident Response Team) pruža operativne savjete i smjernice za ublažavanje štete. Dijeljenjem informacija o napadima, drugi subjekti mogu dobiti upozorenja o novim prijetnjama u stvarnom vremenu, a analiza incidenata nadležnim CSIRT-ovima pomaže u prepoznavanju trendova i taktika napadača. PiXi omogućuje jednostavnu prijavu incidenata te potiče subjekte da postupno uvedu u redovitu praksu i prijavljivanje onih incidenata koje nisu zakonski obvezni prijaviti. Na taj se način dodatno jača otpornost nacionalnog kibernetičkog prostora," kazao je Đuzel.
U praksi isti način napada često se koristi protiv više tvrtki, bolnica, gradova ili državnih tijela. Ako se incident prijavi na vrijeme, nadležna tijela mogu upozoriti druge potencijalne mete i poduzeti mjere zaštite prije nego što šteta postane mnogo veća. Naime, danas su gotovo svi ključni sustavi digitalno povezani, neovisno o tome o kojem sektoru govorimo. Stoga napad na jednu važnu instituciju može izazvati ozbiljne poremećaje u svakodnevnom funkcioniranju države, prekide usluga, financijske gubitke ili curenje osjetljivih podataka građana.
Informativna kampanja CARNET-a
Osim toga, obveza prijavljivanja incidenata omogućuje stvaranje šire slike o tome kakvim je prijetnjama država izložena, koji su sektori najugroženiji i na koji način napadači djeluju. Time Hrvatska dobiva mogućnost učinkovitijeg planiranja koordinacije između institucija i jačanja otpornosti kritične infrastrukture.
Kako bi potaknuo organizacije na prijavu kibernetičkih napada, CARNET je pokrenuo informativnu kampanju s ciljem motiviranja svih obveznika ZKS-a na pravodobnu prijavu sigurnosnih kompromitacija.
"Novi zakonodavni okvir donosi značajne promjene, od formaliziranih sigurnosnih mjera do strožih rokova, nadzora i sankcija. Iako implementacija može biti izazovna, cilj je jasan - postizanje visoke razine kibernetičke sigurnosti i zajedničke otpornosti u sektorima propisanim zakonom", zaključio je Đuzel.