Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Smjernice za provedbu samoprocjene kibernetičke sigurnosti

Smjernice za provedbu samoprocjene kibernetičke sigurnosti

Svi članci
23.10.2025.

Ovaj dokument izdao je Zavod za sigurnost informacijskih sustava (ZSIS) Republike Hrvatske kao smjernice za provedbu samoprocjene kibernetičke sigurnosti u skladu sa Zakonom i Uredbom o kibernetičkoj sigurnosti.

Cilj samoprocjene je ustanoviti stupanj usklađenosti postojećih mjera upravljanja kibernetičkim sigurnosnim rizicima s propisanim zahtjevima te pratiti trend podizanja razine zrelosti kibernetičke sigurnosti subjekata.

Dokument definira sustav bodovanja, postupak i alate za samoprocjenu, uključujući:

  • Kalkulator za samoprocjenu kibernetičke sigurnosti
  • Okvir za evaluaciju mjera kroz temeljite upute o kontrolama
  • Katalog kontrola i podskupova mjera upravljanja rizicima.

Postoje tri razine mjera (osnovna, srednja, napredna) koje se primjenjuju ovisno o nacionalnoj procjeni rizika i lokalnim procjenama subjekta. Bodovanje se doseže ocjenjivanjem i sumiranjem dokumenata i implementacije mjera kroz kalkulator, uz vizualne prikaze rezultata i trenda zrelosti sigurnosti.

Važni subjekti i subjekti iz članka 47. Uredbe samoprocjenu provode najmanje jednom u dvije godine. Nakon samoprocjene sastavlja se izjava o usklađenosti koja se dostavlja nadležnim tijelima. U slučaju nesukladnosti, izrađuje se plan daljnjih aktivnosti s ciljem ispravka nedostataka.

Dokument detaljno obrađuje i postupke upravljanja rizicima, uključivanje dobrovoljnih mjera, te način ocjenjivanja i izvještavanja o trendu podizanja razine sigurnosti. Smjernice su redovito revidirane i dostupne javnosti na mrežnim stranicama ZSIS-a.

Smjernice služe kao ključni alat subjekata za proaktivno upravljanje kibernetičkim rizicima te kao temelj za reviziju i nadzor kibernetičke sigurnosti sukladno zakonodavnim obavezama.

Ovaj je dokument ključan za provedbu i održavanje visoke razine kibernetičke sigurnosti u hrvatskim organizacijama i tvrtkama

Kalkulator za samoprocjenu kibernetičke sigurnosti

Ova Excel datoteka predstavlja kalkulator za samoprocjenu kibernetičke sigurnosti u skladu sa Zakonom i Uredbom o kibernetičkoj sigurnosti RH. Namijenjena je obveznicima provedbe samoprocjene radi bodovanja i određivanja stupnja usklađenosti mjera upravljanja kibernetičkim sigurnosnim rizicima. Kalkulator je podijeljen prema razinama mjera: osnovna, srednja i napredna, te pripadajućim podskupovima.

Glavne teme i struktura su:

  • Uvodni opis obveznika i svrhe kalkulatora
  • Detaljni prikaz mjera upravljanja kibernetičkim sigurnosnim rizicima:
    • Predanost i odgovornost osoba
    • Upravljanje programskom i sklopovskom imovinom
    • Upravljanje rizicima i procjena rizika (all-hazards pristup)
    • Sigurnost ljudskih potencijala i digitalnih identiteta
    • Prakse kibernetičke higijene
    • Osiguravanje sigurnosti mreže
    • Kontrola pristupa (fizičkog i logičkog)
    • Sigurnost lanca opskrbe
    • Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava
    • Kriptografija
    • Postupanje s incidentima
    • Kontinuitet poslovanja i upravljanje krizama
    • Fizička sigurnost
  • Ocjenjivanje mjera kroz bodovanje dokumentacije, implementacije i ukupne usklađenosti
  • Definiranje odgovornosti i uloga u provedbi sigurnosnih mjera
  • Pravila za upravljanje imovinom, uključujući klasifikaciju i inventar kritične imovine
  • Procjena rizika za kritičnu imovinu, uključujući fizičke i kibernetičke prijetnje te rizik od trećih strana
  • Metode upravljanja i prioritizacije rizika, uključujući redovita izvješća i registraciju rizika
  • Osposobljavanje zaposlenika i podizanje svijesti o kibernetičkoj sigurnosti
  • Upotreba naprednih alata za praćenje i upravljanje rizicima
  • Smjernice za sigurnost fizičkih lokacija i zaštitu prijenosnih medija

Predviđena je revizija Smjernica najmanje jednom u dvije godine radi prilagodbe promjenama u zakonodavstvu i tehnologiji. Dokument služi kao sveobuhvatan vodič za organizacije u Hrvatskoj u svrhu usklađenosti i kontinuiranog unaprjeđenja kibernetičke sigurnosti prema nacionalnim zahtjevima. Preuzeti ga možete ovdje.

Okvir za evaluaciju mjera kroz temeljite upute o kontrolama

Ovaj dokument, koji je dodatak smjernicama za kibernetičku sigurnost, pruža detaljan sustavni okvir za procjenu i evaluaciju mjera upravljanja kibernetičkim sigurnosnim rizicima u skladu s hrvatskom Uredbom o kibernetičkoj sigurnosti. Cilj je definirati uvjete i metode samoprocjene usklađenosti s mjestima propisanima zakonom, kao i kontinuirani razvoj zrelosti sustava zaštite.

Dokument je strukturiran kroz niz mjera koje su podijeljene na osnovnu, srednju i naprednu razinu. Svaka mjera ima jasno određene podmjere i kontrolne točke, uključujući bodovne pragove koji se koriste za objektivnu ocjenu djelotvornosti i usklađenosti.

Ključne mjere uključuju:

  • Predanost i odgovornost osoba u provedbi sigurnosnih mjera
  • Upravljanje programskom i sklopovskom imovinom, uključujući klasifikaciju i inventar kritične imovine
  • Upravljanje rizicima kroz procjene i prioritetizaciju
  • Sigurnost ljudskih potencijala i digitalnih identiteta, uključujući provjere kandidata i kontinuiranu obuku
  • Osnovne prakse kibernetičke higijene i politika lozinki
  • Kontrola pristupa mrežnim i informacijskim sustavima
  • Sigurnost lanca opskrbe i sigurnost u razvoju informatičkih sustava
  • Postupanje s incidentima, uključujući definirane uloge i procedure za odgovor i oporavak
  • Kontinuitet poslovanja i upravljanje krizama u kibernetičkoj sigurnosti
  • Fizička sigurnost, uključujući kontrolu nad pristupom i zaštitu kritičnih lokacija.

Procjena se temelji na kombinaciji dokumentirane politike, implementacije, dnevnika aktivnost i rezultata vježbi, a sve u svrhu osiguravanja stvarne učinkovitosti i integracije mjera u organizacijski sustav.

Ovaj okvir osigurava sustavnu, kvantificiranu i transparentnu metodu za provedbu samoprocjene kibernetičke sigurnosti u hrvatskim subjektima i doprinosi kontinuiranom unaprjeđenju sigurnosnih praksi i usklađenosti s nacionalnim propisima. Dokument možete preuzeti ovdje.

Katalog kontrola

Ovaj dokument, koji nosi oznaku Prilog C u sklopu hrvatskih Smjernica za provedbu samoprocjene kibernetičke sigurnosti, predstavlja sveobuhvatan katalog kontrola koje služe za sustavno upravljanje i procjenu mjera kibernetičke sigurnosti. Njegov izdavatelj je Zavod za sigurnost informacijskih sustava (ZSIS), a dokument ima normativnu funkciju – definira obavezne i preporučene kontrole koje subjekti trebaju provoditi prema propisima Uredbe o kibernetičkoj sigurnosti (Narodne novine, 135/2024).

Ključni elementi dokumenta

  • Svrha kontrola: kontrolirati, mjeriti i dokazivati stupanj sigurnosti kroz ublažavanje rizika, zaštitu imovine, uspostavu odgovornosti, povećanje svijesti te sustavno praćenje i detekciju prijetnji.
  • Ocjenjivanje: svaka kontrola se boduje ocjenom 1–5, gdje 1 označava nedostatnu primjenu, a 5 potpunu dokumentiranost, implementaciju i kontinuirano unaprjeđenje.
  • Razine sigurnosti: kontrole su povezane s razinama – osnovnom, srednjom i naprednom – koje odražavaju zrelost i složenost sigurnosnih mehanizama.
  • Usklađenost sa standardima: kontrole su usklađene s međunarodnim okvirima kao što su ISO/IEC 27001:2022, NIST Cybersecurity Framework, CIS Controls i ENISA’s Risk Framework.

Struktura i kategorije kontrola

Kontrole su podijeljene u 15 kategorija, svaka s brojnim pojedinačnim kontrolama (identificiranima oznakama poput POL-001, ORG-001, EDU-001 itd.):

  1. POL – Politike i procedure: strateški akt, politika fizičke sigurnosti, politike lozinki, upravljanje rizicima, zaštita mreže, planovi odgovora na incidente.
  2. ORG – Organizacijske odgovornosti: definiranje uloga, odgovornosti i kontinuiteta poslovanja, uključujući postavljanje RTO, RPO i SDO ciljeva.
  3. EDU – Edukacija i svijest: obuka zaposlenika, partnera i upravljačkih tijela, programi testiranja socijalnog inženjeringa i phishing simulacija.
  4. RES – Resursi: financijska sredstva, tehnički alati, ljudski resursi i redundancija ključnih sustava.
  5. UPR – Upravljanje: sudjelovanje odgovornih osoba, mehanizmi izvještavanja i nadzora nad incidentima.
  6. NAD – Praćenje i nadzor: implementacija SIEM sustava, automatizirano otkrivanje prijetnji, centralizirana analiza zapisa, detekcija anomalija i UEBA sustavi.
  7. INV – Upravljanje imovinom: klasifikacija, inventarizacija i praćenje kritične imovine i podataka.
  8. POD – Zaštita podataka: sigurnosno kopiranje, enkripcija, upravljanje prijenosnim medijima i sigurno brisanje podataka.
  9. RIZ – Upravljanje rizicima: identifikacija, dokumentiranje, analiza, prioritetizacija i provedba mjera ublažavanja rizika.
  10. DID – Digitalni identiteti: jedinstveni digitalni identiteti, nadzor aktivnosti korisnika, višefaktorska autentifikacija (MFA).
  11. SKM – Sigurnosni mehanizmi: antivirusni sustavi, EDR rješenja, vatrozidi, patch management, sigurnosna konfiguracija i testiranje mreže.
  12. SRZ – Sigurnost razvoja softvera: sigurnosni zahtjevi u razvoju, kontrola ranjivosti i provjera koda.
  13. KRIP – Kriptografija: politika primjene, enkripcija u prijenosu i mirovanju podataka, upravljanje ključevima i kvantno otporna kriptografija.
  14. FIZ – Fizička sigurnost: kontrola pristupa, video nadzor, zaštita objekata i fizička redundancija sustava.

Korelacija kontrola sa standardima: poveznica svake kontrole s odgovarajućim ISO, NIST i ENISA referencama.

Katalog kontrola iz Priloga C predstavlja operativni temelj hrvatskog sustava kibernetičke sigurnosti. Njegova svrha je pomoći organizacijama u provedbi, dokumentiranju i procjeni sigurnosnih mjera kroz jasno definirane kriterije i metode ocjenjivanja. Dokument povezuje normativne zahtjeve s međunarodnim standardima, potiče transparentnost, odgovornost i kontinuirano unaprjeđenje sigurnosnih praksi. 

 

 

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Hitna nezakonito slala zahtjeve za donaciju
Napredni seminar za službenike za zaštitu osobnih podataka 4. stupanj
Ima li poslodavac pravo koristiti sliku zaposlenika za oglašavanje usluga i robe?
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.