Dejan KošutićAko se vaša tvrtka mora uskladiti s hrvatskim Zakonom o kibernetičkoj sigurnosti, također se morate uskladiti s povezanim Pravilnikom o kibernetičkoj sigurnosti koji propisuje detaljna pravila za upravljanje kibernetičkom sigurnošću. Pročitajte članak kako biste vidjeli raspodjelu najvažnijih zahtjeva ove regulative.
Regulativa o kibernetičkoj sigurnosti u Hrvatskoj pruža vrlo detaljne zahtjeve za kibernetičku sigurnost, osobito njezin Prilog II – u 13 dijelova opisuje sigurnosna pravila u gotovo 40 000 riječi.
Osnove hrvatske NIS2 regulative
Pravilnik o kibernetičkoj sigurnosti Hrvatske (CCR) objavljen je pod nazivom „Uredba o kibernetičkoj sigurnosti” NN 135/2024, a na snazi je od 30. studenog 2024. godine. Službeni tekst možete pronaći ovdje (na hrvatskom).
Cilj CCR-a je definirati daljnje detalje o tome kako treba provoditi kibernetičku sigurnost za ključne i važne subjekte koji se moraju uskladiti s Hrvatskim zakonom o kibernetičkoj sigurnosti.
Pogledajte također: Koji su dodatni zahtjevi Zakona o kibernetičkoj sigurnosti Hrvatske u usporedbi s NIS-om 2?
Opseg i struktura CCR-a
Evo kako je strukturirana NIS2 regulativa Hrvatske:
- Dio 1: Opće odredbe
- Dio 2: Kategorizacija subjekata
- Dio 3: Popisi ključnih i važnih subjekata i poseban registar subjekata
- Dio 4: Upravljanje kibernetičkim rizicima
- Dio 5: Pravila za prijavu kibernetičkih prijetnji i incidenata
- Dio 6: Provedba prijavljivanja incidenata i kibernetičkih prijetnji kao dobrovoljni mehanizam
- Dio 7: Nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu
- Dio 8: Prijelazne i završne odredbe
- Prilog I: Popis sektora i aktivnosti
- Prilog II: Mjere za upravljanje kibernetičkim rizicima
- Prilog III: Specifične fizičke sigurnosne mjere za subjekte u sektoru digitalne infrastrukture
- Prilog IV: Izjava o usklađenosti s uspostavljenim mjerama za upravljanje kibernetičkim rizicima
Za tvrtke koje se moraju uskladiti s NIS2 u Hrvatskoj, najzanimljiviji dijelovi su Dio 4, 5, 6 i 7, kao i Prilog II – ovi će dijelovi biti analizirani u sljedećim odjeljcima.
Upravljanje kibernetičkim rizicima (Dio 4)
Dio 4 CCR-a (članci 35 do 57) opisuje okvir za upravljanje kibernetičkim rizicima među ključnim i važnim subjektima u Hrvatskoj. Propisuje da nadležno tijelo (nadležna vlast) određuje razinu rizika svakog subjekta – nisku, srednju ili visoku. Na temelju ove procjene, subjekti moraju implementirati odgovarajuće mjere kibernetičke sigurnosti kategorizirane kao osnovne, srednje ili napredne.
U svom Prilogu II, regulativa detaljno opisuje specifične aktivnosti za svaku mjeru kibernetičke sigurnosti, a za svaku od njih navodi je li obavezna (označena kao „A”), uvjetna („B”) ili dobrovoljna („C”), ovisno o razini rizika subjekta. Drugim riječima, kada subjekti provode svoju vlastitu procjenu rizika, to će biti relevantno samo za dobrovoljne (i možda uvjetne) mjere kibernetičke sigurnosti, dok obavezne mjere neće ovisiti o vlastitoj procjeni rizika subjekta.
Redovita ažuriranja i samoprocjene potrebna su za održavanje usklađenosti. Osim toga, središnje tijelo za kibernetičku sigurnost pruža smjernice i kalkulator rizika kako bi osigurali usklađenost s europskim standardima i najboljim praksama, čime se poboljšava ukupna otpornost na kibernetičke prijetnje.
Mjere za upravljanje kibernetičkim rizicima (Prilog II)
Prilog II pruža detaljne mjere za sljedeća područja:
- Obveze i odgovornost osoba odgovornih za provedbu mjera za upravljanje kibernetičkim rizicima
- Upravljanje softverskom i hardverskom imovinom
- Upravljanje rizicima
- Sigurnost ljudskih resursa i digitalnih identiteta
- Osnovne prakse kibernetičke higijene
- Sigurnost mreže
- Kontrola fizičkog i logičkog pristupa mrežama i informacijskim sustavima
- Sigurnost lanca opskrbe
- Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava
- Kriptografija
- Upravljanje incidentima
- Kontinuitet poslovanja i upravljanje kibernetičkim krizama
- Fizička sigurnost
Ove su mjere prilično opsežne, gotovo 40 000 riječi u ukupnom broju pa je njihovo detaljno opisivanje izvan okvira ovog članka – kako biste ih saznali, otvorite puni tekst regulative ovdje (na engleskom).
Upravljanje incidentima (Dio 5 i Dio 6)
Dio 5 propisuje obavezne procedure za ključne i važne subjekte u prijavi značajnih kibernetičkih incidenata i prijetnji. Definira što predstavlja značajan incident na temelju specifičnih kriterija, poput utjecaja na dostupnost usluga, integritet podataka i javnu sigurnost.
Subjekti su obavezni odmah obavijestiti nacionalni CSIRT (Tim za odgovor na sigurnosne incidente u računalnim sustavima) putem određenih kanala, pružajući detaljne informacije uključujući opis incidenta, pogođene sustave i mjere ublažavanja.
Regulativa propisuje različite vrste izvještaja, uključujući početna upozorenja, ažuriranja napretka i konačna izvješća, osiguravajući pravovremenu i sveobuhvatnu komunikaciju. Osim toga, uspostavlja nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima, kako bi se poboljšala ukupna otpornost na kibernetičke prijetnje.
Dio 6 uvodi dobrovoljne mehanizme izvještavanja za subjekte koji nisu klasificirani kao ključni ili važni, ali i dalje igraju ulogu u kibernetičkoj sigurnosti. Potiče ove organizacije da prijavljuju incidente i prijetnje, kako bi pridonijeli širem razumijevanju kibernetičkog krajolika.
Odjeljak opisuje zahtjeve za sudjelovanje, uključujući redovite samoprocjene i pridržavanje najboljih praksi u kibernetičkoj sigurnosti. Pružanjem dobrovoljnog angažmana, Dio 6 nastoji potaknuti suradničko okruženje u kojem svi sektori mogu doprinijeti nacionalnom okviru kibernetičke sigurnosti, poboljšavajući zajedničku zaštitu i sposobnosti odgovora na kibernetičke prijetnje.
Usporedba s CIR 2024/2690
Budući da su mjere kibernetičke sigurnosti u Prilogu II prilično opsežne, postavlja se pitanje: Jesu li možda napisane nakon provedbene uredbe Komisije (CIR) 2024/2690 (Tehnički i metodološki zahtjevi za mjere kibernetičke sigurnosti i specifikacija za značajne incidente za tvrtke koje upravljaju digitalnom kritičnom infrastrukturom)?
Odgovor je da, iako se CIR 2024/2690 i CCR značajno preklapaju u strukturi i namjeri, hrvatski tekst često nameće detaljnije, preskriptivne ili specifične obveze koje idu dalje od onoga što CIR izričito zahtijeva.
Na primjer, CCR zahtijeva lozinke dulje od najmanje 14 znakova za standardne korisničke račune, 16 za privilegirane račune, i 24 za račune usluga; dopušta mogućnost kraćih lozinki samo ako je omogućena višefaktorska autentifikacija (MFA). S druge strane, CIR 2024/2690 raspravlja o sigurnoj autentifikaciji i MFA, ali ne propisuje minimalne duljine lozinki nii istu razinu specifičnosti za sastav lozinki.
Evo sažetka najvažnijih zahtjeva koji postoje u CCR-u, ali ne u CIR 2024/2690:
- vrlo specifična pravila za duljinu lozinki i složenost
- obavezne simulacije phishing napada
- strogi minimalni period čuvanja zapisnika (90 dana)
- zahtjevi za napredne alate za sigurnost krajnjih točaka
- zahtjevi za napredne alate za sigurnost krajnjih točaka
- zahtjevi za napredne alate za sigurnost krajnjih točaka
- formalno spominjanje naprednog penetracijskog testiranja / „red teaming“ / „purple teaming“
- izričita upućivanja na RTO/RPO/SDO (kontinuitet poslovanja) i strategije podatkovnih centara s više lokacija
- pristup usklađenosti u razinama (osnovna, srednja, napredna)
- grublja koordinacija kriznog upravljanja na nacionalnoj razini
Zaključak
Činjenica da su hrvatski zakonodavci otišli dalje od zahtjeva u već detaljnoj CIR 2024/2690 znači da je Hrvatska vrlo ozbiljna u pogledu kibernetičke sigurnosti. Dakle, ako vaša tvrtka spada u opseg NIS2 i posluje u Hrvatskoj, ozbiljno se posvetite kibernetičkoj sigurnosti.
Kako biste pronašli sve dokumente potrebne za usklađivanje s Hrvatskim Zakonom o kibernetičkoj sigurnosti i Regulativom o kibernetičkoj sigurnosti, pogledajte ovaj NIS 2 paket dokumentacije koji uključuje sve politike, procedure, planove i druge predloške.
