Petnaestog veljače 2024. u Hrvatskoj je stupio na snagu Zakon o kibernetičkoj sigurnosti, i s njim je tiho, bez puno pompe, promijenjena jedna stvar koja će sljedećih godina odrediti karijere: kibernetička sigurnost prestala je biti IT problem i postala osobna odgovornost uprave. Zakon uvodi mogućnost privremene diskvalifikacije direktora zbog ponovljenog nemara, obvezno odobrenje sigurnosnih strategija na razini uprave, i kazne do 10 milijuna eura ili 2 posto globalnog prometa. Iza svih tih brojki stoji jedna pozicija koja je do jučer bila "IT tip zadužen za firewall", a sutra postaje netko čije ime uprava mora znati napamet: CISO, Chief Information Security Officer.
Od servera do sastanka uprave
Da razumijemo zašto je ovo veliki pomak, vrijedi se sjetiti odakle je CISO došao. Pozicija je nastala devedesetih kao produžena ruka IT odjela — netko tko postavlja lozinke, brine o antivirusu, gasi požare kad se dogodi upad. Taj CISO odgovarao je IT direktoru, o proračunu je pregovarao za mrvice, a uprava ga je vidjela jednom godišnje, ako uopće.
Regulativa poput NIS2 direktive (koju je hrvatski Zakon o kibernetičkoj sigurnosti upravo prenio u domaće pravo) taj odnos okreće naglavačke. Članak 20. direktive eksplicitno zahtijeva da uprava tvrtke odobrava mjere upravljanja kibernetičkim rizikom, nadzire njihovu provedbu, i redovito se educira da uopće razumije o čemu CISO govori. Regulatori u EU više ne gledaju samo server logove — analiziraju zapisnike sastanaka uprave da provjere je li menadžment stvarno aktivno uključen u nadzor rizika, ne samo formalno potpisao dokument koji nitko nije pročitao.
Kome se ovo uopće tiče u Hrvatskoj
Zakon dijeli obveznike u dvije skupine: ključne subjekte i važne subjekte, s popisom sektora i djelatnosti propisanim u posebnoj uredbi — energetika, promet, bankarstvo, zdravstvo, digitalna infrastruktura, upravljanje otpadnim vodama, javna uprava, i niz drugih grana gospodarstva. Ključni subjekti riskiraju kazne do 10 milijuna eura ili 2 posto globalnog prometa, važni subjekti do 7 milijuna ili 1,4 posto — a u oba slučaja primjenjuje se viši od ta dva iznosa, formula prepoznatljiva iz GDPR-a koja je namjerno pisana da zaboli i velike igrače.
Praktična posljedica za hrvatsko tržište rada: broj tvrtki koje zakonski moraju imati nekoga tko nosi (ili barem obavlja) CISO ulogu naglo je porastao, dok se ponuda ljudi s tim specifičnim spojem tehničkog znanja, pravnog razumijevanja i sposobnosti razgovora s upravom nije uspjela jednako brzo namnožiti. To je klasična tržišna nejednakost koja podiže cijenu — i objašnjava zašto se CISO pozicije u regiji zadnjih godina plaćaju sve bliže razinama koje su donedavno bile rezervirane za financijske direktore.
Sukob interesa koji zakon eksplicitno rješava
Zanimljiv detalj koji rijetko dopre do šire publike: NIS2 direktiva eksplicitno upozorava na potencijalni sukob interesa između CISO-a i službenika za zaštitu podataka (DPO-a), pozicije koju je uveo GDPR. Razlog je logičan kad se objasni — DPO štiti prava pojedinaca čiji se podaci obrađuju i po prirodi posla ponekad mora propitivati baš one sigurnosne prakse koje CISO dizajnira i brani. Kombiniranje obje uloge u istoj osobi, uobičajena praksa u manjim tvrtkama koje štede na kadru, sad postaje regulatorno rizično upravo zbog tog ugrađenog sukoba — dva šešira koja bi trebala jedan drugog nadzirati ne mogu sjediti na istoj glavi.
Što CISO danas stvarno radi, osim brige o hakerima
Opis posla se dramatično proširio izvan popularne slike "čovjeka koji zaustavlja hakere". Članak 21. NIS2 direktive nalaže "primjerene i proporcionalne" tehničke, operativne i organizacijske mjere — što u praksi znači da CISO danas mora graditi cijeli sustav upravljanja rizikom, ne samo tehničku obranu. Jedna od najzahtjevnijih novih obveza tiče se dobavljačkog lanca: CISO je sada pravno odgovoran i za sigurnosne standarde svojih dobavljača, što znači obveznu dubinsku provjeru svakog izravnog partnera i pružatelja usluga da se osigura kako ispunjavaju iste stroge kriterije kao i vlastita organizacija. Firma koja ima besprijekornu unutarnju sigurnost, ali posluje s knjigovodstvenim servisom bez ijedne zaštite, više ne može reći "to nije naš problem" — zakon kaže da jest.
Uz to dolazi i operativna struktura koju ENISA preporučuje za odgovor na incidente: CISO kao koordinator, tehnički administrator zadužen za stvarni odgovor na proboj, službenik za pravna i regulatorna pitanja, te po potrebi vanjski pružatelj usluga — tim, ne pojedinac koji sam gasi požare u tri ujutro.
Zašto je ovo prilika, ne samo trošak
Lako je ovu priču ispričati kao još jedan sloj birokracije koji tereti poduzetnike — i dio je istine u tome. No druga strana priče, ona koju uprave rjeđe čuju, jest da dobar CISO danas nije trošak koji se trpi zbog zakona, nego jedna od rijetkih pozicija koja direktno štiti bilancu. Prosječni trošak jednog ozbiljnog upada u sustav (zastoj poslovanja, gubitak podataka, reputacijska šteta, regulatorne kazne) redovito nadmašuje godišnju plaću CISO-a za višestruki iznos — računica koja upravama, kad je se prikaže brojkama umjesto tehničkim žargonom, obično postane vrlo uvjerljiva.
Tržište cyber osiguranja koje se u Hrvatskoj razvija posljednjih godina dodatno pojačava taj argument: osiguravatelji sve češće traže dokaz o postojanju formalne sigurnosne funkcije i procesa prije nego uopće ponude policu, a niže premije nagrađuju tvrtke koje mogu pokazati zreo sustav upravljanja rizikom. CISO prestaje biti trošak koji se opravdava strahom, a postaje uvjet za pristup financijskim instrumentima koji taj isti strah pokrivaju.
Poruka za male i srednje tvrtke koje misle da ih se ovo ne tiče
Najčešća zabluda malih i srednjih poduzeća glasi: "NIS2 i ozbiljne kazne su za velike, mi smo premali da nas itko primijeti." Realnost je da ta ista mala i srednja poduzeća često sjede u dobavljačkom lancu neke veće, regulirane tvrtke — a upravo je dubinska provjera dobavljača jedna od novih obveza velikih igrača. Firma koja ne može pokazati minimalnu sigurnosnu higijenu rizikuje da izgubi ugovor ne zbog vlastite kazne, nego zato što veći partner više ne smije poslovati s dobavljačem koji ne zadovoljava standard. Regulacija se tako širi niz lanac vrijednosti brže nego što zakonski tekst sam po sebi sugerira.
Za tvrtku te veličine, "CISO" ne mora značiti novo puno radno mjesto s impresivnom plaćom — može značiti jasno definiranu odgovornost dodijeljenu postojećem menadžeru, uz vanjsku stručnu podršku za ono što interno znanje ne pokriva. Bitno je da netko konkretan nosi tu odgovornost i da uprava zna njegovo ime — jer upravo je odsutnost jasne odgovornosti, ne odsutnost skupog tima, ono što regulator i osiguravatelj danas najviše kažnjavaju.
Pozicija čije je vrijeme napokon stiglo
Kibernetička sigurnost je dugo bila disciplina koja dobiva pažnju tek nakon katastrofe — proboj se dogodi, novine objave, uprava na brzinu poveća proračun, a onda pažnja opet splasne dok se sljedeći incident ne dogodi negdje drugdje. NIS2 i njegova hrvatska implementacija pokušavaju prekinuti taj ciklus tako što sigurnost pretvaraju iz reaktivnog troška u stalnu, zakonski obveznu funkciju s imenom i prezimenom na vrhu organizacije. CISO pozicija time konačno dobiva ono što joj je desetljećima nedostajalo za ozbiljno shvaćanje — ne bolju tehnologiju, nego osobnu odgovornost ljudi koji potpisuju proračun.
Izvori i dodatno čitanje
- Digital Strategy EC — Provedba NIS2 direktive u Hrvatskoj
- NCSC-HR — Prijenos NIS2 direktive u hrvatsko zakonodavstvo
- ISMS.online — NIS2 Hrvatska: tko upravlja, CSIRT pravila i stvarni rizici usklađenosti
- ENISA — Mapiranje NIS2 obveza s profilima kibersigurnosnih uloga
- DLA Piper Privacy Matters — ENISA smjernice za usklađenost s NIS2 direktivom
- Digital Strategy EC — NIS2 direktiva: osiguravanje mrežnih i informacijskih sustava




