Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Zakon o kibernetičkoj sigurnosti

Zakon o kibernetičkoj sigurnosti

Svi članci
18.03.2025.

15. veljače 2024. godine na snagu je stupio Zakon o kibernetičkoj sigurnosti („Narodne novine", broj: 14/2024., dalje: ZKS) kojim se u nacionalno zakonodavstvo prenosi Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (NIS2 direktiva).

Zakonom o kibernetičkoj sigurnosti uspostavljena je funkcionalnost središnjeg državnog tijela za kibernetičku sigurnost, tj. Centar za kibernetičku sigurnost SOA-e transformiran je u Nacionalni centar za kibernetičku sigurnost (NCSC-HR). Cilj ovog Zakona je osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti.

Opseg NIS2 Direktive, u odnosu na opseg NIS1 Direktive, značajnije je proširen, brojem sektora i subjekata, pa tako obuhvaća i javni sektor. Kriteriji za kategorizaciju subjekata koji nisu Zakonom neposredno utvrđeni (poput primjerice tijela državne uprave), utvrdit će se Uredbom Vlade RH, temeljem članka 24. Zakona. 

Sadržaj odredbi ZKS-a:

  • Nadležnosti tijela u sustavu
  • Kategorizacija subjekata
  • Zahtjevi kibernetičke sigurnosti
  • Mjere za upravljanje kibernetičko sigurnosnim rizicima
  • Obavještavanje o incidentima
  • PiXi platforma
  • Upravljanje podacima u registru naziva domena
  • Revizija kibernetičke sigurnosti
  • Samoprocjena kibernetičke sigurnosti
  • Dobrovoljni mehanizmi zaštite
  • Stručni nadzor
  • Novčane kazne

Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti određena ZKS-om su:

  • Hrvatska narodna banka (HNB) za bankarski sektor,
  • Hrvatska agencija za nadzor financijskih usluga (HANFA) za infrastrukture financijskog tržišta,
  • Hrvatska agencija za civilno zrakoplovstvo (HACZ) za zračni promet,
  • Ured Vijeća za nacionalnu sigurnost (UVNS) za javni sektor,
  • Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) za elektroničke komunikacije,
  • Središnji državni ured za razvoj digitalnog društva (SDURDD) za pružatelje usluga povjerenja,
  • Ministarstvo znanosti i obrazovanja (MZO) za sustav obrazovanja, istraživački sektor i registar naziva vršne nacionalne domene.

Za sve ostale subjekte koji ne spadaju pod jedan od navedenih sektora bit će nadležan Nacionalni centar za kibernetičku sigurnost osnovan u okviru Sigurnosno-obavještajne agencije (SOA).

Prvi korak nakon stupanja na snagu ZKS-a, kategorizacija, je završen. Nadležna tijela su imala rok do 15. veljače 2025. godine poslati obavijest o kategorizaciji svim subjektima od kojih se očekuje implementacija mjera kibernetičke sigurnosti iz ZKS-a.

Od kada su subjekt zaprimili obavijest da su kategorizirani kao „ključan“ ili „važan“ obveznik ZKS-a počinju im teći dva jako bitna roka.

Prvi rok iznosi 30 dana od primitka obavijesti o kategorizaciji. Po proteku tog roka subjekti su dužni započeti s dostavom obavijesti nadležnom CSIRT-u („Computer Security Incident Response Team“) o svakom incidentu koji ima znatan učinak na dostupnost, cjelovitost, povjerljivost i autentičnost podataka od značaja za poslovanje subjekta i/ili kontinuitet usluga koje pružaju ili djelatnost koju obavljaju.

Drugi rok je onaj od godinu dana od primitka obavijesti o kategorizaciji nakon kojeg subjekt mora biti usklađen sa svim odredbama ZKS-a. U tom roku moraju se implementirati zahtjevi kibernetičke sigurnosti:

  • mjere upravljanja rizicima kibernetičke sigurnosti
  • obveza obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama

Mjere upravljanja rizicima kibernetičke sigurnosti:

  • Tehničke mjere – kontrola pristupa, kriptografija, sigurnost mreže, ažuriranje i zakrpavanje
  • Organizacijske mjere – politike sigurnosti, edukacija zaposlenika, plan reakcije na incidente
  • Operativne mjere – praćenje, back-up, sigurnost lanca opskrbe
  • Preventivne mjere – procjena rizika, redovite provjere, simulacije napada
  • Mjere za oporavak – kontinuitet poslovanja, oporavak od katastrofe    

Zakonodavci su obvezni donijeti i druge podzakonske propise kojima će detaljnije razraditi same mjere kibernetičke sigurnosti.

Najvažniji od tih podzakonskih propisa je svakako  Uredba o kibernetičkoj sigurnosti – studeni 2024. (NN 135/2024)  o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata. Tom uredbom detaljnije se razrađuju i mjere zaštite koje su subjekti dužni implementirati te kriteriji za utvrđivanje značajnih incidenata i način dostave obavijesti o incidentima nadležnom CSIRT-u.

Subjekti se dijele po sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.

Sektori u obuhvatu ZKS-a

Subjekti se dijele po sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.

1. Sektori visoke kritičnosti – Prilog I ZKS - Ključni subjekti:

  • energetika
  • promet
  • bankarstvo
  • infrastruktura financijskog tržišta
  • zdravstvo
  • voda za ljudsku potrošnju
  • otpadne vode
  • digitalna infrastruktura
  • upravljanje uslugama IKT-a
  • javni sektor
  • svemir 

2.  Drugi kritični sektori – Prilog II ZKS - Važni subjekti

  • poštanske i kurirske usluge
  • gospodarenje otpadom
  • izrada, proizvodnja i distribucija kemikalija
  • proizvodnja, prerada i distribucija hrane
  • proizvodnja (medicinskih proizvoda, računala, električne opreme, strojeva, motornih vozila, ostalih prijevoznih sredstava
  • pružatelji digitalnih usluga
  • istraživanje
  • sustav obrazovanja

Kategorizacija - kriteriji su:

  • Opći kriteriji za provedbu kategorizacije ključnih subjekata
  • Opći kriterij za provedbu kategorizacije važnih subjekata
  • Posebni kriteriji za provedbu kategorizacije ključnih i važnih subjekata

Dodatno se uređuje:

  • Kategorizacija subjekata javnog sektora
  • Kategorizacija subjekata iz sustava obrazovanja   

Ključni subjekti  su, prema općim kriterijima, npr. sve organizacije koje prelaze gornje granice za srednje subjekte maloga gospodarstva - 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura - privatni i javni subjekti iz Priloga I. ZKSa, ...

Važni subjekti su, prema općim kriterijima, npr. srednji subjekti maloga gospodarstva - sve organizacije koje imaju 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura - privatni i javni subjekti iz Priloga II. ZKSa,...

Kategorizacija subjekata – posebna pravila - organizacija koja nije obuhvaćena kriterijima za kategorizaciju ključnih i važnih subjekata može i dalje biti uključena: npr.  ako je jedini pružatelj usluge ključne za društvene ili gospodarske djelatnosti,... 

Kategorizacija subjekata – posebno za javni sektor - Ključni subjekti:

  • Tijela državne uprave, druga državna tijela i pravne osobe s javnim ovlastima
  • Privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu
  • Važni subjekti – jedinice lokalne i područne (regionalne) samouprave 

Kategorizacija subjekata – posebno za sektor Sustav obrazovanja - Važni subjekti: privatni i javni subjekti iz sustava obrazovanja neovisno o njihovoj veličini, a ovisno o rezultatima provedene procjene njihove posebne važnosti na nacionalnoj ili regionalnoj razini za obavljanje odgojnog odnosno obrazovnog rada uz zadovoljenje još najmanje jednog od sljedećih kriterija detaljnije razrađenih u Uredbi o KS.    

Obveza obavještavanja

Obveza obavještavanja o kibernetičkim prijetnjama i incidentima nadležnom CSIRT-u - ključni i važni subjekti obvezno prijavljuju svaki značajni incident i u tu svrhu je uspostaljena PiXi platforma.

PiXi platforma služi za:

  • Obavještavanje o značajnim incidentima
  • Obavještavanje na dobrovoljnoj osnovi (ostali incidenti, kibernetičke prijetnje, izbjegnuti incidenti)
  • Razmjenu podataka o kibernetičkim prijetnjama i incidentima između nadležnih tijela 

Dosta mjera iz Direktive NIS2, a onda posljedično i ZKS-a, možemo pronaći i u standardu ISO 27001, globalno priznatim standardom upravljanja sustavom informacijske sigurnosti. Usklađivanje s navedenim standardom omogućit će subjektima lakšu i bržu implementaciju pojedinih elemenata koji će se dodatno propisati provedbenim aktima. Subjekti se mogu voditi također i standardom za upravljanje umjetnom inteligencijom., ISO 42001.

Novčane kazne za nepoštivanje odredba ZKS-a mogu sezati do 10.000.000 eura ili 2 % globalnog godišnjeg prihoda ovisno o tome koji je iznos veći, slično kaznama GDPR-a.

Preklapanje NIS2 i GDPR

Dok se GDPR fokusira na zaštitu osobnih podataka i prava na privatnost, NIS2 naglašava otpornost mrežnih i informacijskih sustava. Njihova komplementarna priroda omogućuje organizacijama da sinergiziraju napore prema usklađenosti, poboljšavajući sveukupno upravljanje podacima i sigurnost. Integriranjem strategija za oboje, organizacije mogu učinkovito zaštititi podatke.

Obje regulative zahtijevaju od subjekata da provode mjere za upravljanje rizicima, što uključuje identifikaciju, procjenu i ublaživanje potencijalnih prijetnji, pravovremeno izvješćivanje o incidentima i odgovornost za usklađenost.

Za organizacije koje su već usklađene s GDPR-om, postojeći okviri za upravljanje podacima, izvješćivanje o kršenjima i upravljanje rizicima mogu pružiti temelj za ispunjavanje NIS2 zahtjeva odnosno ZKS-a. Nemojte zanemariti potrebu za revidiranjem određenih internih akata i procedura.

Ako želite znati više, pripremili smo sažetak Zakona o kibernetičkoj sigurnosti kojeg možete dobiti (nenaplatno) popunjavanjem obrasca niže.

 

 

Želim sažetak Zakona o kibernetičkoj sigurnosti!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Provedba regulative vezane za Europski prostor zdravstvenih podataka
Europski prostor zdravstvenih podataka i tzv. wellness aplikacije
Snimka edukacije "Kako uspješno odgovoriti na pitanja AZOP-a?"
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.