Iako siječanj ove nove 2025. godine već lagano odmiče, godišnji odmori već lagano bivaju zaboravljeni, a naši radni dani već poprimaju business as usual atmosferu, iskoristila bih ovu, svoju prvu ovogodišnju, kolumnu ipak za sagledavanjem šire slike koja često padne u drugi plan u dinamici poslovne svakodnevice. Naime, u ljudskoj je prirodi vremenske prekretnice, poput ulaska u novu godinu, gledati kao novi početak, priliku da u nečemu budemo bolji nego lani pa je tako, svjesno ili nesvjesno ignoriranje prekretnica jedna od glavnih zamki individualnog napretka. I dok vlak novogodišnjih odluka polako nestaje s našeg horizonta, iskoristimo ovu priliku da se zapitamo jesmo li donijeli novogodišnje odluke temeljem kojih ćemo se lakše nositi s novom poslovnom godinom.
U Hrvatskoj nas u 2025. čeka puno novosti, pri čemu ne mislim na porezne i ostale administrativne promjene koje se redom pojavljuju u rezultatima na čak prvih pet stranica internetskih tražilica, a koje ćemo, s ne pretjeranim trudom, implementirati u svoje svakodnevne poslovne aktivnosti.
Mislim na širi aspekt promjena u poslovanju koji ostaje u sjeni gore spomenute svakodnevice, a o kojem se u široj javnosti neobično malo govori - kontekst propisa iz oblasti kibernetičke sigurnosti kojima započinje era „novog normalnog“ u hrvatskom gospodarstvu, a koji će zbog svoje kompleksnosti i sveobuhvatnosti svog utjecaja ipak zahtijevati nešto više naše stručne pažnje.
Kada Zakonu o kibernetičkoj sigurnosti (na snazi od veljače 2024.) i Uredbi o kibernetičkoj sigurnosti koja je stupila krajem studenog prošle godine, kojom je u hrvatsko zakonodavstvo preuzeta NIS2 Direktiva, dodamo i primjenu DORA-e koja je sredinom siječnja započela u bankarskom i financijskom sektoru, lako je zaključiti da pitanje kibernetičke sigurnosti iz specifičnog i operativnog postaje opće i strateško.
„Ne bavim ti se ja tom granom prava“, reći će i dalje mnogi pravnici, no legitimno protupitanje na takvu izjavu je – „Želiš li se i dalje baviti svojim klijentima u budućnosti?“.
Naime, možda organizacija za koju radimo (ili u kojoj radimo) i neće nužno biti odmah kategorizirana kao ključan ili važan subjekt po Uredbi i samim time izravan obveznik spomenutih propisa, no pitanje je trenutka kada će se barem dio regulatornih zahtjeva preliti i na one subjekte u lancu poslovanja koji se trenutno ne smatraju fokusom spomenute regulative i, operativno – doći nama na stol. Za odvjetnike kao pružatelje pravnih usluga to je i sada već nesporno.
Sjetimo se nakratko 2018. godine i plimnog vala zvanog GDPR čija je primjena odgođena za čak dvije godine, a ipak je taj 25. 5. dočekan, budimo iskreni, uglavnom potpuno nespremno.
I sedam godina kasnije, na GDPR se često gleda kao na izrazito nišnu granu prava, mnoge poslovne organizacije i dalje kupuju „set GDPR dokumentacije“ koja stoji u ladicama, a veliki broj DPO funkcija i dalje (neželjeno) biva pridodan administrativnom osoblju koje za isto nije adekvatno obrazovano. Prestanak s ovakvim praksama je konačno na vidiku jer NIS2 zapravo u svojoj osnovi dodatno naglašava obveze po GDPR-u, tako da je krajnji čas za ponavljanje gradiva, vađenje GDPR-a iz ladica i njegovu ispravnu implementaciju.
Ako vam se GDPR činio kao plimni val, pripremite se za tektonske promjene koje nam slijede. Naime, za „kibernetičku dokumentaciju“ umjesto ladice trebat će nam poveći ormar i već je započeo novi ciklus lovljenja poslovnih prilika od strane raznih agencija koje pružaju usluge usklađenja s NIS2 i DORA-om. Vrijeme će pokazati koje od njih samo „prodaju dokumentaciju“, a koje pružaju adekvatnu uslugu, što je potpuno normalan i očekivan razvoj događaja na slobodnom tržištu.
No vrijeme je počelo ozbiljno odbrojavati i nama pravnicima koji trebamo promijeniti svoje osnovne postavke želimo li ostati konkurentni i relevantni. Promjena počinje u nama i najčešće podrazumijeva izlazak iz komfor zone, a iskorak u temu tehnologije čini se idealnom prilikom za jačanje karaktera (i održavanje posla). Nitko osim nas, koji najbolje poznajemo organizacije u kojima radimo i klijente s kojima radimo, trenutno nema tako dobru priliku nadograditi svoje pravno znanje dovoljnom (ne vrhunskom!) razinom tehničkog znanja i s vremenom postati čak i stručnjacima i u tom misterioznom kibernetičkom pravu.
Kako se zapravo postaje stručan u nekoj grani prava (ne mislim ovdje na formalnu specijalizaciju)? Kada pogledam unatrag svoju karijeru, jedna od dražih uspomena mi je kako sam prije 15-ak godina, u svom prvom kontaktu s IT industrijom, izvorni kôd softwarea zamišljala kao nekakav čip, no mojim (budućim) klijentima to nije predstavljao problem. Dapače, svima je bilo jasno da je početak poslovne suradnje odvjetnika s klijentom početak konkretne razmjene znanja u oba smjera i kao pravnog profesionalca me uvelike formiralo i to što sam o nepravnim stvarima učila primarno od klijenata. Osim učenja nepravne materije, usput sam učila i o organizaciji poslovanja i strategiji te imala priliku sagledavati širu sliku poslovanja. Ne postoji tečaj koji bi me naučio tome što sam naučila kroz posao i u svim područjima prava u kojima se danas smatram stručnom dijelom je zaslužna teorija, a većim dijelom praksa.
Jesam li stručnjakinja za kibernetičko pravo? Nisam, isto kao što 2018. godine nisam bila stručnjakinja za GDPR. U ovoj fazi implementacije propisa iz oblasti kibernetičke sigurnosti nitko ozbiljan za sebe to ne može tvrditi jer ni sami regulatori i dalje nemaju odgovore na mnoga pitanja, a koje će dati praksa i protek vremena.
Stoga je u redu da idemo postepeno i započnemo prvim korakom – shvaćanjem koncepta i načina interdisciplinarnog funkcioniranja te grane prava i oslobađanjem tog vječnog kompleksa nedostatka formalnih tehničkih znanja. Malo je pravnika koji su vrsni poznavatelji tehnologije, ali oni koji su spremni kroz posao učiti o tehnologiji već su u prednosti.
Dobar put je krenuti i „od svog dvorišta“ i implementirati kibernetičku sigurnost u vlastitim uredima. Naravno da nas i po ovom pitanju zaobilazi podrška pa bivamo redovito isključeni kao kandidati za dodjelu bespovratnih sredstava za digitalizaciju i jačanje kibernetičke otpornosti. Iskreno se nadam da to nije stoga što se pravnike smatra nebitnima u lancu poslovanja, već što nas se vječno smatra izrazito prosperitetnom profesijom kojoj budžetiranje ne predstavlja izazov. Sve je, uostalom, započelo još na fakultetu kad smo plaćali prijavnice za ispite pet kuna pa vjerujem da ćemo tu nepravdu i ovaj put stoički preživjeti. Uostalom, kad stavimo our money where our mouth is (prijevod na hrvatski mi nije dovoljno dobar za ovaj kontekst, na žalost), samo ćemo dodatno pokazati da su nam namjere ozbiljne.
Zaključno, prije nego li nas svakodnevica odnese, donesimo na početku ove godine neke dobre odluke za sebe. Za 15 godina sigurno se nećemo sjećati koliko je danas iznosio neoporezivi iznos plaće, no želim nam svima da se ove, 2025. godine, sjećamo kao prekretnice i početka prisnijeg odnosa pravnika i tehnologije. Tvrde neki da se to ne može, ja vam tvrdim da se to može(!), čak ako i zero trust za vas trenutno predstavlja samo odnos prema klijentima koji ne plaćaju.
Stavovi izneseni u kolumnama osobni su stavovi autora i ne predstavljaju nužno stav organizacije u kojoj su zaposleni ili uredništva portala IUS-INFO.
