Informacijski posrednik i osiguranje kibernetičke sigurnosti
S novim Zakonom o fiskalizaciji, informacijski posrednici postaju ključni akteri u razmjeni i čuvanju podataka. No, uz više posla dolazi i veći rizik, posebice za kibernetičku sigurnost. U ovom blogu objašnjavamo zašto je cyber osiguranje nužnost.
Bitni aspekti
Što su informacijski posrednici?
Cyber prijetnje u poslovanju
Što je cyber osiguranje i zašto se koristi?
Kibernetička sigurnost i otpornost
Digitalna transformacija u Hrvatskoj dobiva snažan zamah kroz uvođenje eRačuna u gospodarstvu koji omogućuje automatiziranu razmjenu podataka između obveznika fiskalizacije i Porezne uprave. Središnju ulogu u ovome procesu preuzimaju informacijski posrednici, koji su prema novom Zakonu o fiskalizaciji ključni akteri u prijenosu osjetljivih podataka.
Informacijski posrednici nisu novost na tržištu jer je njihova uloga u razmjeni eRačuna definirana još u Zakonu o elektroničkom izdavanju računa u javnoj nabavi, no tada nisu služili kao pristupne točke i nisu sudjelovali u prijenosu informacija prema Poreznoj upravi u stvarnom vremenu.
Zato je potrebno razumjeti da osim brojnih prednosti, ova transformacija poslovanja donosi i nove sigurnosne izazove koje korisnici moraju na vrijeme prepoznati.
Najviši na listi sigurnosnih rizika su cyber napadi pa prilikom odabira informacijskog posrednika poduzetnici itekako moraju paziti da su izabrali pružatelja usluge koji je pruža najveću razinu sigurnosti.
Što su informacijski posrednici?
Prema Zakonu o fiskalizaciji od 1. rujna 2025. godine, informacijski posrednici obavljaju tri ključne funkcije:
1. Posredništvo u razmjeni eRačuna između gospodarskih subjekata i prema obveznicima javne nabave;
2. Pružanje usluge eArhiva – elektronički računi i drugi digitalni dokumenti moraju se čuvati u sigurnom i kontroliranom eArhivu. Iako je već i sada eArhiv zakonski obvezan, Zakonom o fiskalizaciji poseban se naglasak stavlja na zamjenu pairnatog arhiva elektroničkim;
3. Pristupna točka za razmjenu eRačuna – poduzetnik je obvezan odabrati putem koje pristupne točke će razmjenjivati elektroničke račune, a pritom paziti da je odabrao posrednika koji mu jamči najvišu razinu sigurnosti.
Iz navedenoga je jasno da informacijski posrednici prenose velike količine poslovno osjetljivih i osobnih podataka (OIB-i, računi, financijske informacije), što ih čini izuzetno privlačnom metom za cyber kriminalce.
Uzmimo za primjer da se putem mer-a mjesečno prenese računa vrijednih oko četiri milijarde eura.
Mnogi poduzetnici nisu svjesni da je njihov račun isto novac, a da elektronički računi sadrže informacije koje su poslovna tajna i ne bi trebale biti dostupne trećim stranama.
Možemo ih usporediti s digitalnim čekovima za koje su izdavatelji elektroničkog novca obvezni ugovoriti policu osiguranja od poslovne odgovorni i cyber napada kako bi se upisali u registar pružatelja platnih usluga a informacijski posrednici to nisu obvezni učiniti.
Cyber prijetnje u poslovanju
Unatoč tome što su sigurnosni protokoli sve snažniji i bolji, ne možemo ignorirati činjenicu da su i cyber kriminalci sve domišljatiji.
Nekada su napadi bili usmjereni isključivo na pribavljanje direktne materijalne koristi pa su napadači tražili novac kako bi, primjerice, oslobodili stranicu koju su blokirali.
Međutim, današnje metode napada su puno sofisticiranije, a šteta daleko veća i zato treba ulagati u sigurnost u cjelokupnom digitalnom procesu.
Možemo reći da nije pitanje hoće li doći do cyber napada, već kada će doći i koliko će on biti ozbiljan.
Prošle godine svjedočili smo brojnim incidentima, uključujući napade na zdravstvene i javne ustanove u regiji, kao i na velike privatne sustave.
Tipični cyber napadi mogu biti:
Ransomware
- zaključavanje podataka i traženje otkupnine
Phishing
- krađa pristupnih podataka putem lažnih poruka
DDoS napadi
- onesposobljavanje sustava preopterećenjem
Kod informacijskih posrednika, napad ne mora rezultirati samo gubitkom vlastitih podataka, već i prekidom poslovanja, gubitkom povjerenja klijenata i regulatora i pravnom odgovornošću zbog curenja podataka trećih strana. No, nažalost, u tom slučaju stradat će i podaci tisuća tvrtki koje koriste usluge tog informacijskog posrednika.
Dosadašnje iskustvo nas je naučilo da se kod ovakvih projekata digitalne transformacije, kao što je bio obvezan eRačun u javnoj nabavi, a sada i u gospodarstvu, preko noći osnivaju tvrtke koje pružaju usluge informacijskog posredništva.
Mnogima je core business nešto sasvim drugo, ali su odlučile proširiti portfelj na usluge koje su trenutno najtraženije na tržištu.
Zakon o fiskalizaciji propisuje da odobreni informacijski posrednici mora imati važeći certifikat ISO/IEC 27001 koji potvrđuje da je uspostavljen sustav upravljanja informacijskom sigurnošću i zaštita podataka od neovlaštenog pristupa i manipulacije.
U smislu sigurnosti, obvezan je provoditi test sukladnosti i dostavu dokumentacije o mjerama zaštite osobnih podataka, upravljanju sustavima i opsegu usluga koje pružaju.
Također, u smislu kibernetičke sigurnosti mora pokazati da je usklađen s odredbama koje je propisuju.
Međutim, nije propisana obvezna polica osiguranja od poslovne odgovornosti, kao ni polica osiguranja od cyber napada koje su ključan alat kibernetičke sigurnosti za poslove posredovanja i čuvanja važnih i tajnih podataka.
Štoviše, police profesionalne odgovornosti propisane su za brojne struke, čak ih i marketinške agencije ugovaraju. Isto tako, Europska unija propisuje obvezu police profesionalne odgovornosti radi zaštite potrošača i stabilnosti tržišta za mnoge profesije i sektore, između ostaloga i za pružatelje platnih usluga kao što je mer.
Bez police osiguranja, tvrtka Elektronički računi nije se mogla upisati u Registar pružatelja platnih usluga i izdavatelja elektroničkog novca.
Što je cyber osiguranje i zašto se koristi?
Tehnička sigurnost jedno je od najvažnijih „ulaganja“ svake tvrtke jer o sigurnosti ovisi hoće li tvrtka sutra postojati. Najuspješniji poduzetnik sutra može staviti ključ u bravu, ako nema dobre sigurnosne protokole, pouzdane pružatelje usluga prijenosa i čuvanja podataka i educirane zaposlenike koji znaju prepoznati rizike te kako na njih odgovoriti. Kompanije danas ulažu u tehničku sigurnost putem firewallova, antivirusnih sustava, enkripcije i slično.
Međutim, moramo znati da nijedan sustav nije 100% neprobojan. Zato je važno da postoji osiguranje od cyber napada kao posljednja linija obrane i ključan „osigurač“ koji će nas vratiti na noge.
Ovisno o osiguravateljskoj kući, cyber polica pokriva troškove oporavka nakon napada (IT forenzika, vraćanje podataka), troškove obavještavanja korisnika i regulatornih tijela (GDPR obveze), troškove pravne pomoći u slučaju tužbi ili inspekcija, odštete trećim stranama ako su podaci kompromitirani i gubitke od prekida poslovanja.
Za korisnike eRačuna, posebice one koji do jučer nisu ni znali što je eRačun, a sada su ga obvezni koristiti, izbor informacijskog posrednika je veliko opterećenje.
Mnogi će svog posrednika birati tek tako da zadovolje formu i uzeti najjeftinije rješenje na tržištu, ne razmišljajući da ih takav posrednik, koji ne ulaže u sigurnost može koštati cjelokupnog poslovanja.
Zato treba u obzir uzeti čak i najgori scenarij te provjeriti koliko brzo informacijski posrednik može reagirati na neželjene događaje i zaštititi svoje korisnike. Naime, iako nije zakonski imperativ, cyber osiguranje postaje tržišni i reputacijski standard.
Ugovaranjem police osiguranja od poslovne odgovornosti i cyber napada, informacijski posrednik može osigurati kontinuitet poslovanja, ublažiti financijske štete, smanjiti rizik i poduzeti sve razumne i trenutno dostupne mjere zaštite podataka svojih korisnika.
Kibernetička sigurnost i otpornost
Kibernetička sigurnost je poslovna i upravljačka odgovornost i ne možemo je više gledati isključivo kao temu koja se tiče isključivo IT odjela u tvrtki.
Pohrana elektroničkih računa i pratećih digitalnih knjigovodstvenih isprava dopuštena je isključivo u siguran i kontroliran elektronički arhiv.
Svaki primatelj i pošiljatelj eRačuna obvezan je osigurati dokumentima vjerodostojnost, cjelovitost i nepromjenjivost kroz cijeli obvezni rok čuvanja računa.
Bez uvođenja tehničkih mjera zaštite, kao što su šifriranje, autentifikacije i kontinuirani backup podataka, nije moguće izvršiti navedenu obvezu.
Zato kada govorimo o sigurnosti eRačuna, govorimo o eRačunima koje prenosi, pohranjuje i čuva informacijski posrednik koji posluje po najvećim sigurnosnim standardima Europske unije, educira svoje i zaposlenike svojih korisnika te ulaže u cyber osiguranje kao sigurnosnu financijsku mrežu kada sve drugo zakaže.
Digitalna budućnost je pred vratima, a povjerenje korisnika i regulatora bit će temelj konkurentnosti. Posrednici koji na vrijeme prepoznaju ovu odgovornost i zaštite se, bit će oni kojima će tržište dugoročno vjerovati.