Category: Ekonomija

Ekonomija, domaća i svjetska, globalna i lokalna

Categories
Business eDržava Ekonomija

Konfuzija oko eRačuna

Ako ste poduzetnik ili se bavite računovodstvom, tada ste u proteklih nekoliko mjeseci sigurno primjetili diskusiju oko toga što elektronički račun doista jest?

eRačuni su kod nas obavezni prilikom slanja javnim naručiteljima od 1. srpnja 2019. (iako ima niz izuzetaka), te se samo djelomično koriste u poslovanju između poduzetnika. Po aktualnim planovima porezne uprave, očekuje se da će vrlo uskoro u javnosti završiti zakonski i podzakonski prijedlozi o tzv. fiskalizaciji 2.0 koja će uključivati obveznu razmjenu računa između pravnih osoba putem sustava eRačuna. Dakle neosporno je da su eRačuni već sada dio poslovne prakse te će njihovo korištenje odjednom višestruko narasti. Nuspojava obveze razmjene računa između poslovnih subjekata je i to što će porezna uprava imati direktni uvid u sadržaje računa u realnom vremenu; to s jedne strane omogućuje daleko veći nadzor poduzetnika ali će u perspektivi omogućiti i smanjenje izvještajnog tereta nad samim poduzetnicima (čisto informacije radi, postoje europske države gdje ovakav sustav postoji već godinama). Nadam se da će fiskalizacija 2.0 biti posložena malo liberalnije od fiskalizacije za promete u gotovini jer obveza digitalnog potpisivanja kreira odgovarajući teret na infrastrukturu i zahtjeva organizacijske pripreme i vjerojatno promjene. Fiskalizacija 2.0 je moguće rješiva na način da smo šaljete račune, dok bi timestamp i digitalni potpis mogao odraditi posrednik prilikom preuzimanja a prije odašiljanja u pretinac primatelja.

Cijela problematika koja se dogodila, opisana je u mnogim tekstovima (poput ovoga), te je bila dio raznih javnih konverzacija, na jednoj od njih sam i ja bio pozvan sudjelovati.

Elektronički račun je u osnovi digitalno potpisani XML zapis koji je strukturiran po odgovarajućim standardima. Ideja elektroničkih računa je višestruka ali načelno riječ je o digitalnom dokumentu koji je namijenjen razmjeni između računalnih sustava, pa ako ste to ispravno posložili onda će vaš ERP sustav izdati fakturu i poslati je odgovarajućem kupcu koji će taj račun zaprimiti i “importirati” u svoj računalni sustav koji će potom automatski upariti to sa zapisom o vama kao dobavljaču, a ako je sve ispravno popunjeno onda će upariti i račun s odgovarajućim ugovorom ili narudžbom, a stavke računa ispravno povezati s odgovarajućim primkama/otpremnicama, osnovnim sredstvima ili troškovnim pozicijama (ako ste dobro sve skupa posložili kroz pravila knjiženja i povezivanja). Primarna prednost elektroničkih računa je to što su isporučeni gotovo instant i postoji jasna sljedivost kretanja računa, što nema prepisivanja podataka (dakle manje grešaka), te što stvaraju uštedu u razmjeni. Znam da mnogi protestiraju na troškovima eRačuna, no kada to stavite u perspektivu ispisa računa, kuvertiranja, odlaska na poštu, poštarine (skupa s vremenom koje se troši na otpremu, zaprimanje i obradu), tada o tome uopće ne bi trebali raspravljati osim ako mislite da je vaše vrijeme besplatno (u kojem slučaju vam očajno treba mali tečaj iz stvarnih troškova poslovanja).

Osim ovih prednosti elektroničkih računa, jedan od parametara koje osobito morate imati na umu je pitanje vjerodostojnosti dokumentacije, a ona je definirana na mnogim mjestima ali za poduzetnike je to uglavnom Zakon o računovodstvu. Tricky part je u tome što elektronički račun da bi bio smatran vjerodostojnim mora biti sačuvan/arhiviran u njegovom izvornom obliku a to bi bila XML datoteka. Sasvim je svejedno gdje se ona nalazi ali mora biti u svom nepromijenjenom izvornom obliku koji nije nimalo čitljiv ljudima. Kako je 90+% svih poduzetnika kod nas u kategoriji obrta, mikro i malih, većina njih (myself included) funkcionira na način da koriste različite metode računovodstva koje opet uglavnom koriste ručne upise u različite knjigovodstvene softvere. I tu otprilike nailazimo na problem, jer su mnogi i već godinama elektroničke račune krenuli ispisati u tzv. vizualizaciju no to je samo vizualna reprezentacija XML dokumenta i tako ispisani dokument nije vjerodostojni dokument. To pak znači da ako vam dođe porezni ili drugi nadzor u kontrolu, i ako postavi takvo pitanje, da im morate ponuditi da pregledaju i originalne XML datoteke, jer ako takvih dokumenata nemate tada poreznici mogu te transakcije proglasiti nevažećima pa ste u mogućnosti izgubiti pravo na knjiženje troška, povrata PDV-a i tko zna što sve još.
Za razliku od papirnatog računa koji ima svoj jasni izvornik (a kojeg potom možete umnožavati u neograničenom broju kopija), u digitalnom svijetu je koncept “izvornika” malo kompliciraniji i u biti neprimjenjiv pojam budući da su sve kopije međusobno istovjetne. Svejedno, u slučaju eRačuna se točno zna što se može smatrati izvornikom tj. vjerodostojnim dokumentom. Ispis vizualizacije koja je nastala iz XML datoteke i potom arhiviranje takve vizualizacije u papirnatom ili čak digitalnom obliku nije prihvatljivo jer nema načina da se utvrdi da li je riječ o izvornom dokumentu ili je riječ o krivotvorini.

Poanta je dakle da morate paziti na svoju arhivu eRačuna te ih morate čuvati propisanih 11 godina. Ne moram objašnjavati da je 11 godina jako puno i pokušajte na svojim diskovima pronaći dokumente koje ste stvarali daleke 2014. godine? U međuvremenu ste promijenili nekoliko računala te se možda koje od njih i pokvarilo pa su neki podaci nestali, a backup ako imate pitanje je da li radi na ispravan način (kopiranje podataka na eksterni USB nije backup, imate puno dojam backupa ali su takvi diskovi i USB mediji jednostavno podložni kvarenju). Pravi backup uključuje 3-2-1 pravilo, što znači da imate najmanje tri kopije svojih podataka, na najmanje dva različita medija te je najmanje jedna od tih kopija pospremljena na udaljenoj lokaciji (kao zaštita od krađe ili neke nepogode poput npr. potresa, požara ili poplave). Malo tko ima podatke tako arhivirane, a ako i imate onda znate da takav sustav arhiviranja ima svoje jasne troškove u opremi, software-u, uloženom vremenu i održavanju (da ne kažemo da tijekom 11 godišnje obveze čuvanja arhive morate promijeniti opremu najmanje dvaput, potencijalno triput a da bi je održali u zoni sigurne upotrebe). Morate se dakle pouzdati da su podaci sigurno spremljeni kod vas, vašeg knjigovođe ili možete ugovoriti uslugu arhiviranje kod vašeg posrednika elektroničkih računa (gdje će trošak arhive uvijek biti manji nego da to sami odradite po “pravilima struke”).

Posrednici za razmjenu elektroničkih računa su zanimljivi koncept i najbolja analogija koju mogu smisliti je da su oni poput telekoma s kojima imate ugovor o pružanju usluga. Oni osiguravaju infrastrukturu koja je nužna da bi elektronički račun stigao do vas. Zanimljiva razlika kod elektroničkih računa je u tome da možete imati više od jednog dobavljača tih usluga te da ne postoji jedno mjesto gdje završavaju svi eRačuni nego ih može biti više – što može kreirati konfuziju. Zamislite da imate dva mobilna telefona, jedan je npr. 091 a drugi 099. U normalnoj upotrebi, svi pozivi prema 091 će završiti na 091 telefonu i obrnuto; no u slučaju distribucije elektroničkih računa, ako netko s 091 (posrednikom) pokuša poslati na 099 (posrednika), ako imate otvoren račun kod 091 posrednika, račun će završiti u 091 pretincu (i potencijalno “pogrešnom” posredniku što vam može proizvesti različite organizacijske probleme).

I malo konkretnih situacija. Kako sam se i sam krenuo baviti problematikom arhive elektroničkih računa, jedna od odluka je bila i da konsolidiram svoje pružatelje usluga (jer sam ih iz različitih razloga koristio više). Prvi servis kojeg sam krenuo gasiti je FINA eRačun kojeg sam koristio isključivo za slanje računa, ali su neki dobavljači unatoč mojim pokušajima da ih preusmjerim na drugi servis svejedno isporučivali svoje račune u FINAu. Problem koji imate prilikom pokušaja arhiviranja eRačuna s FINAe je u tome što je kod njih nemoguće odabrati sve ulazne račune i potom ih samo downloadati, pa je nužno ići po redosljedu i potom skidati jedan po jedan (malo XML-a, malo vizualizacije, malo priloga) pa proces jednostavno traje i podložan je greškama i propustima. Specijalni je problem što ako pogledate svoje ulazne eRačune, nećete biti u mogućnosti downloadati originalne XML dokumente koji su stariji od 1. siječnja 2023. godine – dakle već sada su vam nedostupni (to je naravno pokopano negdje u općim uvjetima i koliko razumijem da bi došli do tih podataka morate prvo ugovoriti arhivu pa vam oni “otključaju” taj dio priče).

Kod mog drugog posrednika je moguće odabrati arbitrarni broj ulaznih računa (dakle select ALL je moguć) ali, zasada, ta arhiva neće sadržavati XML nego samo vizualizaciju i eventualne priloge. Dakle brže ali ne i idealno, iako je XMLove moguće vrlo brzo poklikati jer je korisničko sučelje daleko bolje posloženo nego ono od FINA-e.

Malo sam frustriran što sam morao odraditi sve ovo jer normalni servisi koje koristite po vani svi redom imaju takeout opciju (dakle specifični dio usluge koji omogućava da vam sve vaše podatke pripremi i zapakira u jednu arhivu koju potom jednostavno downloadate). Razumijem ja da pružatelji usluga žele maksimalno otežati odlazak i učiniti ga teškim, no to je jednostavno primitivna i loša poslovna praksa i na tome bi trebali raditi (dakle, poruka pružateljima usluga, svih ne samo posrednicima, budite dostojanstveni gubitnici).

Potrošio sam dakle nekoliko sati da bih downloadao sve stare eRačune i napravio backup kod sebe (koji jest 3-2-1). Ali, uočio sam jednu iznimno zanimljivu situaciju o kojoj također vrijedi razmišljati. Naime skidajući tu silnu arhivu (u mom slučaju nije osobito velika, par stotina računa u nekoliko godina), uočio sam da uvjerljiva većina dobavljača u biti kreira klasične račune (u PDFu) koje potom radi obveze isporuke transformiraju u eRačune, te se cijeli sustav razmjene elektroničkih računa u svojoj osnovi uopće ne koristi kao sustav elektroničkih računa nego kao sustav sigurne razmjene i isporuke računa. Dakle neovisno o tome što ste račun zaprimili od npr. svojeg telekoma, izvorni račun u PDF-u (a mogli bi argumentirati i da je onda upravo taj PDF vjerodostojni dokument), dok je XML samo modalitet transporta računa (ne očekujem da se složite s time ali i letimični pogled kaže da je tako). To će se sve promijeniti dolaskom fiskalizacije i tada ćete morati biti spremni izdavati i zaprimati eRačune, ali imati i riješeno pitanje arhiviranja na dugačke i zakonom propisane rokove.

I posljednje, sustav eRačuna je u svojoj biti dizajniran za razmjenu poruka između računalnih sustava, dakle da vaš računovodstveni ili ERP sustav automatski putem API sučelja šalje ili prima račune. No u praksi, kako većina nas spada u grupu malih i mikro poduzetnika, to najčešće nije slučaj. Zasada dok dobijamo sporadične eRačune (u mom slučaju komunalije, telekom i HAC) to je podnošljivo, no kada svi budemo prisiljeni prebaciti se na fiskalizaciju 2.0, tada će situacija odjednom biti daleko kompliciranija i teža za upravljati i trebate razmisliti o tome koje rješenje ćete koristiti za razmjenu eRačuna od 1. siječnja 2026. od kada se očekuje početak nove sheme.

Misao dana:
Bureaucracy is like a fungus that contaminates everything.

Share the post "Konfuzija oko eRačuna"

  • Facebook
  • X
Categories
Business Ekonomija Politika

O novom obračunu plaće / osobnog dohotka

Većina tekstova koje (rijetko) pišem su kritički orijentirani na sve što se događa oko nas, pa evo jednoga koji je mala iznimka od uobičajenog programa gdje se pohvalno izražavam od aktualnih promjena. Naime, od početka siječnja primjenjuju se nova pravila za obračune plaća (osobnog dohotka) i te promjene se događaju na nekoliko različitih razina. Nekako je cijelu transformaciju obilježio protest knjigovođa koji prigovaraju kompliciranom obračunu, početnim bugovima u softverima i nedostupnosti adekvatne podrške, no to su sve početne bolesti koje se događaju prilikom svake tranzicije i iako možemo reći da se moglo pripremiti bolje, objektivno sve što se događa je u okviru predvidivog i prihvatljivog. Evo nekoliko razloga zašto je ova reforma dobra i bitna.

Dobro je da individualne općine i gradovi imaju mogućnost samostalno odlučivati o stopama poreza na dohodak. Malo je poznato da je u nekim starijim verzijama Zakona o porezu na dohodak tako nešto već bilo ranije moguće ali je u nekom trenutku izbačeno (vjerojatno zato što tu mogućnost nitko nije iskoristio). Dobro je i da se ukinuo prirez – jer je to objektivno porezno davanje koje se i do sada plaćalo na isti račun i s istim pozivom na broj i u biti dvije transakcije svodite na jednu, a osim toga taj prirez je samo bio shema gdje se individualno omogućavalo općinama i gradovima da podešavaju ukupno porezno opterećenje. Dakle, good riddance prirezu. Jedino što bi se moglo “zamjeriti” je raspon dopuštenih stopa poreza na dohodak i možda bi bilo dobro da je taj raspon i veći, te činjenica da (koliko sam shvatio, sorry ako sam propustio) da je Porezna uprava dopustila da se te stope mijenjaju više nego jednom godišnje, tako da će sada biti malo naporno pratiti radnju (ali objektivno istu situaciju smo imali ranije i s prirezom pa smo svi živjeli s time, nije ovo nikakva razlika). U posljednjih nekoliko godina (uglavnom zahvaljujući hrabrim iskoracima ekipe iz Bjelovara i čini mi se Svete Nedjelje), počelo se govoriti o korigiranju stopa poreza na dohodak kao alatu za privlačenje radne snage i businessa u pojedine općine i gradove i čini mi se da se nakon nekoliko godina ovog “eksperimenta” naziru vrlo jasni rezultati koje vrijedi prepoznati i pohvaliti. Uz malo sreće, u sljedećem razdoblju će mnoge općine i gradovi početi razmišljati o korekcijama poreznih stopa kako bi postigle pojedine ciljeve razvoja svojih sredina i mislim da je to dobro, pohvalno i da će na dugu stazu biti dobro za cijelu zemlju jer se moramo odmaknuti od bjesomučne centralizacije svega i svačega u nekoliko žarišta, to jednostavno nije bilo dobro i ovo je prvi korak u korekciji tog stanja.

Knjigovođa koji pritisnut rokovima pokušava izračunati osobni dohodak, kolorizirano, AI.

Na isti način smatram kako je sasvim očekivano i logično da pojedine sredine (a to je nekolicina velikih gradova) imaju veće porezno opterećenje iz jednostavnog razloga što upravljaju infrastrukturom koja je neusporedivo veća, složenija i skuplja za upravljanje od malene općine ili tzv. grada koji ima tri semafora i četiri autobusne stanice. Jedan grad poput Zagreba, Splita ili Rijeke ima neusporedivo veću infrastrukturu po svakom mogućem kriteriju od manjih gradova i općina. Mislim da nema smisla nabrajati.

Ukratko, pohvala da se krenulo u ovom smjeru i smatram da će se srednji i duži rok ovo pokazati kao odličan potez, neovisno o otporima u promjeni (za nešto što su, u suštini, ionako dva računala koja moraju međusobno razmijeniti neke poruke).

Druga značajnija promjena je i pitanje načina obračuna obračuna za mirovinsko osiguranje prvog stupa. Tu sada postoji klizna skala čiji je temeljni cilj povećati dohodak najmanje plaćenih zaposlenih i imam osjećaj da će oni baš značajno cijeniti ovu promjenu.

Da, način obračuna je kompliciraniji i daleko složeniji, no opet, nije da računovođe rukom računaju svaki dohodak posebno nego to radi računalo umjesto njih, ako imate dobrog isporučitelja programske podrške onda problema nema niti će ih biti. A prije nego što krenete kritizirati cijeli model obračuna, vrijedi znati kako mi nismo jedini koji ima takav obračun i sličnih metoda obračuna ima i u drugim zemljama. U trenutku kada sam prije nekoliko godina proučavao poreze i doprinose, uočio sam da primjerice Velika Britanija ima vrlo slični pristup najnižim plaćama i to je dobro.

Općenito, ako promatrate naše poreze i doprinose, unatoč općem stavu, oni ipak nisu preveliki i sasvim su uporedivi s ostalim zemljama Europske Unije (čak su i značajno manji nego u nekim zemljama), te su usporedivi s našim neposrednim okruženjem i vjerujem da će u kombinaciji promjena u shemi poreza na dohodak i obračuna mirovinskog biti još konkurentniji. Ono što nas u stvari koči i čini nekonkurentnim nije u tolikoj mjeri porezna presija na rad, koliko je riječ o ukupnoj neučinkovitosti/neproduktivnosti sustava. A ako govorimo o produktivnosti, to se ne odnosi na vas osobno i vaše radno mjesto koje je možda iznimno učinkovito, ili čak na vašu tvrtku u kojoj radite koja je također možda iznimno učinkovita, nego u ukupnu produktivnost vašeg radnog mjesta je ugrađena i neproduktivnost i neučinkovitost cijelog državnog aparata i buduću konkurentnost naše države moramo početi crpiti na način da krenemo sustavno rješavati te neefikasnosti.

Mimo gornjega, zahvaljujući dosadašnjim poreznim korekcijama, bitno je objasniti kako je porez na dohodak toliko opterećen i osakaćen različitim olakšicama da u ovome času (vjerojatno) manje od polovice svih zaposlenih uopće plaća porez na dohodak (nisam gledao statistike ali to je za očekivati), pa se onda postavlja pitanje da li je doista riječ o porezu na dohodak i ostvaruje li on uopće svoju svrhu ako većina ljudi koji ostvaruje dohodak nije zahvaćeno porezom? To ne znači da taj porez treba ukinuti nego da smo u beskonačnim intervencijama u porez na dohodak negdje putem izgubili njegovu svrhovitost. Ono što je trebalo raditi svih ovih godina nije nužno bila intervencija u porez na dohodak (naravno da je, jer smo dugo vremena bili na vrhu skale), nego smo trebali intervenirati i u doprinose gdje je naš doprinos za mirovinsko ili zdravstveno ukupno nešto veći nego u drugim zemljama. Tako da sada imamo koliko toliko konkurentno stanje u pogledu poreza na dohodak, intervencijama u obračun mirovinskog smo adresirali neto plaću najslabije plaćenih dijelova radne snage pa još ostaje samo fino podešavanje doprinosa na zdrastveno (koji ide na teret poslodavca i ne iskazuje se na isplatnim listama ali opterećuje ukupni trošak rada).

I da sve ovo gore sažmem u jednoj rečenici: smatram da su sve ove promjene koje su se dogodile dobrodošle te da će se pozitivni efekti ove strukturne promjene (ne bih je nužno nazvao velikom reformom) vidjeti u srednjem i dugom roku, dok će oni najmanje plaćeni vidjeti i neposredne kratkoročne efekte. Rekao bih da je ova strukturna promjena rezultat pristupa novog ministra financija koji je odlučio napraviti značajnu promjenu razmišljanja u odnosu na inkrementalne promjene koje su se događale posljednjih dvadesetak godina i ako želimo biti vjerodostojni u kritici onda moramo biti i dosljedni da pohvalimo kada je nešto dobro učinjeno, a smatram da je ovo definitivno takva situacija.

Misao dana:
I’m proud to pay taxes in the United States; the only thing is, I could be just as proud for half the money.

Share the post "O novom obračunu plaće / osobnog dohotka"

  • Facebook
  • X
Categories
eDržava Ekonomija Internet

Zakon o kibernetičkoj sigurnosti (prijedlog)

Prije nekoliko tjedana se (manje-više niotkuda) pojavilo eSavjetovanje o nacrtu prijedloga zakona o kibernetičkoj sigurnosti (inače ta cijela priča između “kiber” i “kibernetički” ima svoj vlastiti tragikomični zaplet koji koliko razumijem proizlazi od jedne jedine, ali iznimno uporne osobe u javnoj upravi). Već sama ta cijela priča oko zakona ima svojih problema, naime prvi zanimljivi problem je da se kao predlagač zakona pojavilo Ministarstvo hrvatskih branitelja.

Ustrojstvo Ministarstva hrvatskih branitelja

Kao što je razvidno iz samog ustrojstva ministarstva, oni se bave isključivo i jedino socijalnim temama (vidi Zakon o ustrojstvu i djelokrugu tijela državne uprave, članak 19.). Dakle imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.

Da oni doista pojma nemaju o tome što moraju napraviti, bilo je jasno još prilikom savjetovanja oko obrasca prethodne procjene za zakon o kibernetičkoj sigurnosti. U tom obrascu je nepoznati i neupućeni netko napravio niz pogrešnih konstatacija i zaključaka. Na obrascu sam osobno dao dva komentara. Prvi se odnosio na koncentraciju aktivnosti u SOA-i koja nije kadrovski niti tehnički opremljena da se bavi nadzorom primjene kibernetičke sigurnosti, ali, puno bitnije, SOA nema niti mentalitet i razinu transparentnosti i demokratičnosti koja je nužna da se bavi ovim poslom. Drugi komentar se odnosio na totalno promašenu procjenu utjecaja zakona na ekonomiju i društvo. Oba komentara su odbijena bez ijednog suvislog argumenta (actually, nisu ni pokušali dati protuargumente nego su samo napravili copy&paste općih fraza i ničime utemeljenih dogmi iz nekog dokumenta i to je to, urbi et orbi).

Općenito gledano, eSavjetovanja su formalnost koja se prolazi kako bi se stavila kvačica na nekom obrascu. Birokrat s druge strane žice nema niti najmanjeg interesa usavršiti tekst (a vjerojatno ni intelektualnog kapaciteta da razumije posljedice zakonskog prijedloga), odgovornosti za kvalitetu zakonskog teksta ionako nema, totalno je nebitno inzistirati na odgovornosti trećeg ešalona, jer kada Zekanovići dignu ruku u saboru, to je to – izabrani predstavnici naroda su odlučili. Svejedno, smatram da je nužno napisati svoje komentare, ako ništa drugo onda zato da oni ostanu kao spomenik gluposti, ograničenosti i slabovidnosti javne uprave (na čelu s ministrom koji to potpisuje i predsjednikom vlade koji u normalnim zemljama actually odgovara za posljedice svojih postupaka).

I da se vratimo na aktualni prijedlog nacrta zakona, on je također krajnje problematičan iz jednostavnog razloga što i dalje ne znamo tko ga je pisao, jedino što je sigurno da ga nisu pisali u ministarstvu branitelja. Zakonska je obveza javno objaviti članove radne skupine, što smo nedavno naučili na primjeru zakona koji će regulirati agencije za naplatu potraživanja (stvarni pisci ovog zakona su vjerojatno pokopani negdje u izvještaju Nacionalnog vijeća za kibernetičku sigurnost, a koji je bio 18. točka vladine 203. sjednice, na posljednjoj stranici izvješća imate i članove pa uzmite veliko povećalo i probajte pronaći u tom vijeću ljude koji svojom biografijom barem donekle jamče da razumiju dokument kojeg su potpisali).

Na sreću, veliki dio zakonskog prijedloga je prevedeni tekst europske NIS2 direktive (NIS = Network and Information Systems), a koja je nastala kao prirodna ekstenzija prethodne NIS direktive, što barem dijelom jamči da je tekst barem donekle smislen. No, kao i uvijek, vrag je u detaljima, pa tako sakrivene motive moramo tražiti u razlikama između direktive i zakonskog teksta.

Proširenje opsega NIS na NIS2 direktivu.

Moja prva primjedba na tekst nacrta je u biti istovjetna kao i na početku, iz razloga koji je nejasan, uloga Nacionalnog centra za kibernetičku sigurnost (CSIRT) dodijeljena je i koncetrirana u Sigurnosno obavještajnoj agenciji. Smatram da je to nespojivo s ulogom SOA-e, budući da je riječ o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka. Aktivnosti SOA-e su po svojoj prirodi tajni, te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja. Ovaj zakon CSIRT smješta unutar SOA-e (ok, zakon ima predviđen i još jedan CSIRT i to onaj koji je unutar CERT-a), a CSIRT ima zakonsku ovlast implementirati unutar računalne mreže subjekta vlastite uređaje i mehanizme temeljem kojih ima pravo pristupa resursima i prometu koji se događaju na internim mrežama i sustavima subjekta koji je predmet nadzora.

Za razliku od klasičnog obavještajnog ili obrambenog djelovanja u kojima je tajnog očekivana i poželjna, meni se nekako čini da je pitanju kibernetičke sigurnosti potrebno pristupati s puno otvorenijih i transparentnih pozicija budući da je veliki dio kibernetičke sigurnosti razvijanje svijesti i razumijevanja prijetnje (kao što pristupamo recimo, sorry na gruboj i daleko pojednostavljenoj usporedbi, sa sigurnosti u prometu), a daleko manje sastančenje po tamnim sobama u kojima se ne vode zapisnici i donose odluke koje se kasnije niti obrazlažu niti ih je moguće preispitati. SOA nije niti će ikada biti autoritet po pitanju kibernetičke sigurnosti, oni jednostavno nemaju niti će ikada imati resurse (tehničke, ljudske) koji im mogu osigurati takvu poziciju iz jednostavnog razloga što se rizici događaju u iznimno disperziranom javnom i privatnom sektoru, koji su daleko proaktivniji i neusporedivo bolje financirani u privlačenju kadrova, nabavci tehničkih rješenja pa čak i identificiranju prijetnji. Iz svih tih razloga, nacionalni centar za kibernetičku sigurnost bi (opet, prema moje mišljenju), svojim ustrojem više morao ličiti na dobro organiziranu interesnu udrugu poput HUP-a ili regulatornu agenciju poput HAKOM-a (koja, uzgred rečeno, mi se čini daleko opremljenijom i prikladnijim izborom od SOA-e). I ako vam ništa od ovih argumenata ne sjeda, samo da napomenem kako se krovna organizacija koja koordinira nacionalne CSIRT-ove na razini EU zove ENISA, i riječ je naravno o 100% civilnoj agenciji.

Sve to skupa naravno ne znači da obrambeni aparatus ne treba biti duboko uključen u razvoj kibernetičke sigurnosti, nego samo da je priroda kibernetičkih prijetnji jednostavno bitno drugačija od svega čime se obrambeni sustav do sada susretao.

Ovakvim rješenjem, SOA kao obavještajna agencija se postavlja u ulogu regulatora što je jednostavno nespojivo s njihovom “core” djelatnošću i u direktnoj kontradiktornosti s potrebom transparentnosti i suradnje svih aktera, a kako bi se postigao cilj – u konkretnom slučaju, povećana razina opće kibernetičke sigurnosti.

Tricky part je u tome što se o tome koji subjekti ulaze u nadzor odlučuje putem mjerila koje se propisuju uredbom vlade, a na prijedlog tog istog CSIRT-a. Što, otprilike znači da subjekt nad kojim SOA ima nekakav interes, se može lagano proglasiti ključnim odnosno važnim subjektom i odjednom ste dužni instalirati poslovnicu SOA-e usred svojeg ureda (članci 12, 24, 27 i 51 zakona). Mišljenja sam da mjerila po kojem se javni ili privatni subjekti klasificiraju kao kritični ili važni, moraju nastati u jasnijem i transparentnijem procesu i da se ne smijemo zadovoljiti ovom definicijom, jer ona omogućava da se kroz podzakonske akte nametne daleko nedemokratskiji standard od ovoga koji je zakonom predviđen.

Teško mi je uopće opisati moje protivljenje ideji da CSIRT bude unutar SOA-e, jer je to suprotno cijelom nizu malo krupnijih koncepata poput slobode, demokracije i prava da ne budete nadzirani (a što će se sada i dogoditi).

Članak 28. zakona govori o “određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana” – iz ovoga proizlazi da je za određene subjekte moguće propisati koje proizvode, usluge i procese smiju koristiti (ili bolje rečeno koje ne smiju koristiti). Ovaj dio je u biti nastavak priče o kojoj sam pisao još prošle godine u tekstovima Rat čipovima i Rat čipovima II. Postoji veliki pritisak na Kinu koji se uglavnom svodi na računalnu i 5G opremu a koja, teoretski (kao uostalom i svaka druga oprema) može u nekome času otkazati poslušnost. Administrativno-političko odlučivanje o tome što jest, a što nije prihvatljiva ICT oprema je vrlo tanki led sa svojim posljedicama (primjerice DB kaže da će im trebati 400mil EUR da zamijene “problematičnu” opremu, dok se zamjena 5G u primjerice Velikoj Britaniji mjeri u milijardama dolara, progooglajte ima brdo tekstova na tu temu). Mnoge zemlje ovom problemu pristupaju s “zero trust” načela, te se ne odlučuje o proizvođačima ili zemlji porijekla opreme, nego o pojedinačnim komadima opreme ili softvera koji jesu ili nisu pouzdani. U ovom konkretnom članku zakona, osobito je problematični dio “ili nacionalnih shema kibernetičke certifikacije” iz čega proizlazi da možemo odlučiti o razini standarda koja je “stroža” (čitaj “drugačija”) od Europske a o čemu će odlučivati neko nepoznato domaće tijelo (a za kojeg apriori moramo vjerovati da je jednako stručno ili stručnije od EU tijela, haha :). Osim toga, tu je pitanje čak i ako odlučimo da neku opremu moramo baciti van, tko će pokriti trošak te zamjene, jer se kod nekih subjekata (telekoma) taj trošak može lagano popesti u desetke ako ne i stotine milijuna eura.

Zanimljivo, člankom 29. propisana je obveza edukacije odgovornih osoba (zanimljiva formulacija, vjerujem da ima vladajućima bliskih učilišta koja pripremaju kurikulume kako bi pokrili ovu regulatornu priliku).

In other regulatory news, CSIRT ima pravo neograničenog pristupa i prema nacionalnom TLD registraru (što je kod nas Carnet), a Carnet spada u obrazovni sektor. U popisu drugih kritičnih sektora navode se i istraživanje i sustav obrazovanja, što su vertikale koje nisu sastavni dio NIS2 direktive pa u ovome dijelu definitivno soliramo u odnosu na ostatak Europe (istina je, sektor obrazovanja je opcionalan). Osobito je zanimljivo da se CERT kao nadležni CSIRT pojavljuje samo u sektorima istraživanja, obrazovanja ali i bankarstva i infrastrukture financijskoj tržišta, pa se čovjek zapita kako je došlo do točno ovakve podjele? Very strange.

I posljednja zanimljiva obzervacija na prijedlog zakona je ta što u originalnoj NIS2 direktivi imate propisano na koja se tijela ovaj zakon ne odnosi, konkretnije:

Ova se Direktiva ne primjenjuje na subjekte javne uprave koji obavljaju svoje aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela.

Članak 2. točka 7. direktive

Koliko vidim, naš zakon nema takve izuzetke, i možda bi se članak 8. mogao dijelom primijeniti na gore navedeni dio direktive. Ali, kako ja to vidim (jer imam puno loših iskustava s time), ovime recimo omogućavamo SOA-i da odluči “štititi” DORH/USKOK pa možda u pozadini malo dojavljuju životno zainteresiranim članovima vladajuće koalicije o postupcima u tijeku (ali nema brige, naša SOA je profesionalna i skroz depolitizirana organizacija).

Drugi bitni aspekt cijelog zakona je trošak, naime broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona će dramatično narasti u odnosu na prethodni zakon, bio sam u nekom trenutku naletio na tekst (kojeg nisam bookmarkirao na vrijeme) koji je rekao da je u Češkoj broj subjekata s 400 narastao na 6.000, što je povećanje od 12x. Češka je svojim ustrojem slična nama i top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni (ENISA je objavila zanimljivo istraživanje na tu temu prepuno korisnih podataka).

Potrošnja na kibernetičku sigurnost kao udio ukupnog IT budžeta. (Izvor: ENISA 2022)

Ernst&Young je početkom godine napravio dobar white paper na temu NIS2 (dokument možete, uz besplatnu registraciju, skinuti ovdje), i oni između ostalog kažu kako nove vertikale koje će postati obveznici NIS2 implementacije, mogu očekivati rast potrošnje na ICT sustave od 25% (u odnosu na dosadašnje ICT budžete), dok organizacije koje su već sada unutar NIS sustava mogu očekivati 11.4% rasta potrošnje. Kao što se vidi iz gornje mape, mi stojimo jako loše i najgori smo u EU u postotku potrošnje na kibernetičku sigurnost – dobra vijest u tome je da smo kao meta maleni i insignifikantni (iako smo imali u proteklih nekoliko godina niz značajnih sigurnosnih incidenata ovog tipa i u privatnom i u javnom sektoru), ali isto tako mali napor će dramatično utjecati na opću razinu informatičke sigurnosti. Tu vrijedi spomenuti, itekako relevantno za ovaj tekst, kako se SOA hvali u svojem godišnjem izvješću kako će za IT security potrošiti 1.7mil eur u sljedeće tri godine, nije da je to jedini trošak ali sama činjenica da se hvale time govori o odsustvu imalo spomena vrijednih rezultata na drugim poljima.

Tekst se već pomalo odužio, no moj je prijedlog, ako se u IT security businessu da bacite pogled na prijedlog zakona i date koji komentar ako mislite da je potreban. Također, ako ste u srednjoj ili velikoj tvrtci, sva je šansa da će vas NIS2 zahvatiti i dobro je informirati se i početi pripremati (sebe i budžete) za sve ono što dolazi. Zakon o kibernetičkoj sigurnosti će po svemu sudeći biti izglasan do početka sljedeće godine i to vrijeme će brzo proći (čak je i zanimljiva ta brzina, rokovi za harmonizaciju s EU direktivom su listopad sljedeće godine, mi inače poslovično kasnimo no ovdje smo iz nekog razloga ispred drugih, pitam se zašto).

Misao dana:
We’re not hunter-gatherers anymore. We’re all living like patients in the intensive care unit of a hospital. What keeps us alive isn’t bravery, or athleticism, or any of those other skills that were valuable in a caveman society. It’s our ability to master complex technological skills. It is our ability to be nerds. We need to breed nerds.

Share the post "Zakon o kibernetičkoj sigurnosti (prijedlog)"

  • Facebook
  • X