Hrvatski Zakon o kibernetičkoj sigurnosti, na snazi od 15.02.2024. i temeljen na NIS2 direktivi, donosi nova pravila koja obvezuju ključne i važne subjekte da ojačaju svoju zaštitu od kibernetičkih prijetnji. Ključni subjekti su primjerice energetika, zdravstvo, financije, transport, dok važne subjekte čine dobavljači i partneri koji podržavaju te sektore. Ako vaša tvrtka posluje u tom ekosustavu, morate zadovoljiti strože sigurnosne standarde, redovito procjenjivati rizike i prijavljivati incidente.

Uredba o kibernetičkoj sigurnosti je ključni podzakonski akt koji detaljno propisuje tehničke mjere upravljanja rizicima, kriterije za kategorizaciju subjekata te procedure prijave incidenata, čime operativno razrađuje i omogućuje praktičnu primjenu općih obveza postavljenih Zakonom o kibernetičkoj sigurnosti.

tl;dr: Zakon je “temelj” koji prenosi EU direktivu NIS2 u hrvatsko pravo, dok je Uredba alat” koji tvrtkama i institucijama točno kaže koje tehničke standarde moraju zadovoljiti da bi bile usklađene.

Što ZKS znači za vašu tvrtku?

Ako Vaša firma spada u jednu od tih kategorija (ili ne spada direktno, ali će to od Vas tražiti poslovni partneri ili klijenti), više nije opcija nego obveza uvesti ozbiljne mjere kibernetičke zaštite.

Očekuje Vas uspostava sustavnog upravljanja kibernetičkom sigurnošću, što uključuje usvajanje strateškog akta sigurnosne politike i jasno definiranje uloga te odgovornosti unutar tvrtke. Morat ćete izraditi detaljan inventar imovine poduzeća kao temelja za vođenje registra rizika i provođenje redovitih revizija sigurnosti.

Tehnički zahtjevi obuhvaćaju primjerice implementaciju višefaktorske autentifikacije (MFA), enkripciju podataka u prijenosu i mirovanju, mrežnu segmentaciju, strogo upravljanje sigurnosnim zakrpama te sustave za detekciju i odgovor na prijetnje (EDR/XDR). Poseban naglasak stavlja se na sigurnost lanca opskrbe kroz ugovorno definiranje uvjeta za dobavljače, redovitu edukaciju zaposlenika te posjedovanje jasnih planova za kontinuitet poslovanja i odgovor na incidente.“

Niste kategorizirani kao ključan ili važan subjekt?

Ako niste formalno kategorizirani, ZKS vas može obuhvatiti kroz “domino efekt” u lancu opskrbe: zakon izravno prisiljava vaše klijente da na vas prebace teret dokazivanja sigurnosti. U praksi, to znači da kibernetička zaštita prestaje biti interna tehnička tema i postaje eliminacijski faktor u poslovanju – klijenti će od vas ugovorno zahtijevati stroge standarde, certifikate (poput ISO 27001) i trenutačnu transparentnost kod incidenata kako bi zaštitili vlastitu usklađenost i izbjegli drakonske kazne.

Više se ne natječete samo cijenom i kvalitetom, već i sigurnosnim kompetencijama, bez kojih možete, unatoč tome što niste pod izravnim nadzorom države, biti izgurani s tržišta od strane onih koji su sigurnost pretvorili u svoju ključnu konkurentsku prednost.

Što biste trebali poduzeti?

Počnite pripreme već sada, jer rok za primjenu mjera je godina dana od službene obavijesti o kategorizaciji

  1. Provjerite status: Saznajte spadate li u ključne ili važne subjekte prema sektoru i veličini. Čak i ako niste izravno obveznik, Vaši klijenti će od Vas zahtijevati dokaze o sigurnosti zbog obveze upravljanja lancem opskrbe.
  2. Napravite inventuru i gap analizu: Popišite svu kritičnu imovinu (softver, hardver, podatke, ..). Usporedite trenutno stanje s određenom razinom mjera (osnovna, srednja, napredna) propisane Uredbom.
  3. Procijenite rizike: Identificirajte slabe točke koristeći ‘all-hazards’ pristup. Ne zaboravite da rizik uključuje i fizičke ugroze te ovisnost o dobavljačima.
  4. Implementirajte mjere prema zadanoj razini.
  5. Osigurajte kontinuitet: Provedite BIA, pripremite planove za oporavak (BCP/DRP) i backup koji se ne nalazi na istoj mreži kao primarni sustav (3-2-1 pravilo kao minimum).
  6. Edukacija: Redovito educirajte zaposlenike i upravu o kibernetičkoj higijeni, jer odgovornost za provedbu leži na rukovodstvu tvrtke.
  7. Strogi rokovi izvještavanja (24h / 72h) o incidentima: U svoje procedure ugradite obvezu slanja “ranog upozorenja” u roku od 24 sata od saznanja za značajan incident, te obavijest o incidentu u roku od 72 sata nadležnom CSIRT-u putem nacionalne platforme PiXi (ili emailom), ali i slanja obavijesti pogođenim korisnicima usluga.
  8. Redoviti nadzor i auditi: Usklađenost nije jednokratni projekt (“one-off”), već proces. Ključni subjekti će morati provoditi vanjske revizije, dok važni subjekti moraju provoditi periodične samoprocjene ili interne provjere.

Koje su to sigurnosne mjere?

  1. Predanost i odgovornost osoba odgovornih za provedbu mjera (osiguravanje aktivnog sudjelovanja uprave u strateškom upravljanju i integraciji kibernetičke sigurnosti u poslovne planove).
  2. Upravljanje programskom i sklopovskom imovinom (uspostava strukturiranog pristupa identifikaciji, klasifikaciji te kontroli korištenja i životnog ciklusa imovine).
  3. Upravljanje rizicima (uspostava organizacijskog okvira za utvrđivanje i odgovor na sve rizike koji prijete sigurnosti sustava i poslovanju).
  4. Sigurnost ljudskih potencijala i digitalnih identiteta (učinkovito upravljanje zapošljavanjem te pravima pristupa zaposlenika i vanjskog osoblja mrežnim i informacijskim sustavima).
  5. Osnovne prakse kibernetičke higijene (implementacija temeljnih sigurnosnih postavki, politika lozinki i zaštite od malicioznih infekcija te phishing napada).
  6. Osiguravanje kibernetičke sigurnosti mreže (zaštita mrežnih resursa radi osiguranja cjelovitosti i dostupnosti kroz mjere poput segmentacije i sigurnih protokola).
  7. Kontrola fizičkog i logičkog pristupa mrežnim i informacijskim sustavima (sustav politika za sprječavanje neovlaštenog pristupa imovini i podacima subjekta).
  8. Sigurnost lanca opskrbe (uspostava sveobuhvatne politike za dobavljače IKT usluga i proizvoda u svrhu smanjenja identificiranih rizika i ranjivosti).
  9. Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava (kontinuirani nadzor konfiguracija i sigurnosnih postavki tijekom cijelog životnog ciklusa sustava).
  10. Kriptografija (uspostava kriptografskih politika i algoritama za zaštitu autentičnosti, cjelovitosti i povjerljivosti podataka u prijenosu i mirovanju).
  11. Postupanje s incidentima (utvrđivanje uloga i procedura za učinkovito sprječavanje, otkrivanje, analizu i odgovor na kibernetičke incidente).
  12. Kontinuitet poslovanja i upravljanje kibernetičkim krizama (priprema planova za minimiziranje prekida u radu i osiguravanje kontinuiteta ključnih poslovnih aktivnosti).
  13. Fizička sigurnost (mjere za sprječavanje i nadziranje neovlaštenog fizičkog pristupa sustavima radi zaštite od štete i fizičkih prijetnji)

Online materijali

Zavod za sigurnost informacijskih sustava objavio je Smjernice za provedbu samoprocjene kibernetičke sigurnosti.

Firme trebaju koristiti ove materijale kao sustavni vodič za postizanje usklađenosti, pri čemu Prilog C služi za detaljno razumijevanje i dizajniranje svake od 13 ključnih mjera, dok Prilog B definira strogu metodologiju ocjenjivanja.

Kalkulator, koji je sastavni dio službenih smjernica za samoprocjenu, koristi se za kvantificiranje trenutnog stanja sigurnosti tako da se za svaku kontrolu unosi ocjena od 1 do 5, ovisno o zrelosti dokumentacije i razini njezine praktične implementacije. Prilikom korištenja kalkulatora, firma mora osigurati da svaka pojedinačna ocjena zadovoljava minimalni prag (Pi​) te da ukupni prosjek svih kontrola doseže zadani prag (T) za njezinu kategoriju (osnovnu, srednju ili naprednu), što je zakonski preduvjet za sastavljanje Izjave o sukladnosti.

Redovita primjena kalkulatora, obvezna najmanje jednom u dvije godine za važne subjekte, omogućuje firmi ne samo potvrdu usklađenosti, već i precizno praćenje trenda podizanja razine zrelosti kibernetičke sigurnosti.

Nacionalni centar za kibernetičku sigurnost (NCSC-HR) objavio je upute i obrasce o prijavi incidenata.

Novčane kazne

Prema Zakonu o kibernetičkoj sigurnosti, za nepoštivanje propisanih obveza predviđene su značajne novčane kazne za ključne i važne subjekte:

1. Ključni subjekti:

  • Novčane kazne za pravne osobe: od 10.000,00 eura do 10.000.000,00 eura ili od 0,5% do najviše 2% ukupnog godišnjeg prometa na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
  • Novčane kazne za odgovorne fizičke osobe: od 1.000,00 eura do 6.000,00 eura.

2. Važni subjekti:

  • Novčane kazne za pravne osobe: od 5.000,00 eura do 7.000.000,00 eura ili od 0,2% do najviše 1,4% ukupnog godišnjeg prometa na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
  • Novčane kazne za odgovorne fizičke osobe: od 500,00 eura do 3.000,00 eura.

Ove kazne odnose se na prekršaje poput neprovođenja propisanih mjera upravljanja kibernetičkim sigurnosnim rizicima ili nepravovremenog dostavljanja potrebnih podataka nadležnim tijelima. Pri određivanju visine kazne uzimaju se u obzir okolnosti svakog pojedinog slučaja, sukladno članku 85. Zakona.

Odgovornost Uprave

NIS2 i ZKS veliki naglasak stavljaju na podršku i odgovornost upravljačkih tijela organizacije. Članovi uprave dužni su osigurati implementaciju odgovarajućih tehničkih i organizacijskih mjera za upravljanje rizicima u području kibernetičke sigurnosti.

Uredba o kibernetičkoj sigurnosti

Uredba o kibernetičkoj sigurnosti (NN 135/2024) detaljno razrađuje provedbu Zakona o kibernetičkoj sigurnosti (NN 14/2024) u Hrvatskoj. Ova Uredba donosi konkretne smjernice i obveze za tvrtke koje posluju u Hrvatskoj, posebno one koje su kategorizirane kao ključni ili važni subjekti.

Analizom Uredbe, mogu se primijetiti sljedeće informacije:

  • detaljnije razrađen pojam “availability
    (npr.  najmanje 20 % primatelja usluge nije moglo pristupiti usluzi u trajanju od najmanje jedan sat)
  • jasnije definiran pojam “značajni incident”
  • date su upute o bodovanju usklađenosti
  • omogućen je kalkulator procjene rizika (niska, srednja, visoka razina)
  • dodatna kategorizacija subjekata prema tržišnom udjelu
  • preciznije definiran pojam “reputacijska šteta
  • obrasci za incident response koji se ispunjavaju i šalju emailom u slučaju nedostupnosti platforme PiXi
  • klasifikacija incidenta biti će omogućena prema nacionalnoj taksonomiji incidenata
  • Ključni i važni subjekti dužni su koristiti nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima

“Srednji subjekt maloga gospodarstva” – što to znači?

Pojam “srednji subjekt maloga gospodarstva” odnosi se na klasifikaciju poduzeća prema Zakonu o poticanju razvoja malog gospodarstva, koji usklađuje kriterije s EU definicijama za mikro, mala i srednja poduzeća (MSP).

Prema EU i hrvatskim zakonima, podjela izgleda ovako:

  • Mikro poduzeće – manje od 10 zaposlenih i godišnji promet/manja bilanca ispod 2 milijuna EUR.
  • Malo poduzeće – manje od 50 zaposlenih i godišnji promet/manja bilanca ispod 10 milijuna EUR.
  • Srednje poduzeće – manje od 250 zaposlenih i godišnji promet/manja bilanca ispod 50 milijuna EUR / 43 milijuna EUR bilance.

Što to znači za poslovanje?

Ako vaša tvrtka prelazi 250 zaposlenih ili 50M EUR prometa, možda ulazi u obveznike Zakona o kibernetičkoj sigurnosti, ako posluje u sektorima iz Priloga I.

🔹 Ako ste manji od ovoga, moguće je da niste direktno obuhvaćeni zakonom (osim ako ne pripadate specifičnim kritičnim sektorima).
🔹 Ako ste veći, morate provesti sve sigurnosne mjere i ispuniti regulatorne obveze.