U početnoj fazi provedbe Zakona o kibernetičkoj sigurnosti, koja započinje tijekom 2026. godine, preporučuje se provjera je li potencijalni pružatelj upravljanih IKT usluga kategoriziran. Provjera se provodi putem upita prema Nacionalnom centru za kibernetičku sigurnost (NCSC-HR). Ako subjekt još nije kategoriziran, takav upit pokreće postupak provjere subjekta i njegove kategorizacije.
Kategorizacija se provodi samo za one dobavljače koji su pružatelji upravljanih i upravljanih sigurnosnih usluga iz točke 9., Priloga I., Zakona o kibernetičkoj sigurnosti. Pri tome, čak i u slučaju kategorizacije ovakvih dobavljača, subjektima i dalje ostaje ista obaveza uspostave odgovarajućih ugovora o poslovnoj suradnji, odnosno nabavi ili pružanju usluga prema citiranoj mjeri 8. Uredbe o kibernetičkoj sigurnosti. Ova kategorizacija primarno služi dodatnoj sigurnosti koju subjekt dobiva pri korištenju ovih upravljanih i upravljanih sigurnosnih usluga, koje za njega predstavljaju dodatni, viši rizik kibernetičke sigurnosti.
Popisi ključnih i važnih subjekata koji se vode u skladu s člankom 17. Zakona o kibernetičkoj sigurnosti (Zakon) nisu javno dostupni niti će ih nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti javno objavljivati u skladu s člankom 73. Zakona.
Za kategorizirane ključne i važne subjekte se preporučuje provjera je li potencijalni pružatelj upravljanih IKT usluga kategoriziran. Provjera se provodi putem upita prema Nacionalnom centru za kibernetičku sigurnost (NCSC-HR). Ako subjekt još nije kategoriziran, takav upit pokreće postupak provjere subjekta i njegove kategorizacije. Pri tome, čak i u slučaju kategorizacije ovakvih dobavljača, subjektima i dalje ostaje ista obaveza uspostave odgovarajućih ugovora o poslovnoj suradnji, odnosno nabavi ili pružanju usluga prema citiranoj mjeri 8. Uredbe o kibernetičkoj sigurnosti.
Trenutačno nije moguće zahtijevati certifikate za pružatelje upravljanih ili upravljanih sigurnosnih IKT usluga, jer takvi certifikati još nisu propisani ni na razini Europske unije ni na nacionalnoj razini.
Jedina relevantna provjera u ovom trenutku jest status kategorizacije subjekta.
Na nacionalnoj razini trenutačno je propisan isključivo certifikat za revizore kibernetičke sigurnosti prema Zakonu o kibernetičkoj sigurnosti. Registar certificiranih pružatelja upravljanih sigurnosnih usluga za reviziju kibernetičke sigurnosti javno se objavljuje na službenim mrežnim stranicama Zavoda za sigurnost informacijskih sustava (ZSIS).
Zakon o kibernetičkoj sigurnosti ne propisuje obvezne certifikate opreme. Sustav certifikacije uvodit će se postupno u narednim godinama kroz izmjene i dopune Zakona o kibernetičkoj sigurnosnoj certifikaciji („Narodne novine“, br. 63/22.), te kroz provedbu europskih akata - Akt o kibernetičkoj solidarnosti i Akt o kibernetičkoj otpornosti. Navedenim aktima moguće je pristupiti putem mrežne stranice NCSC-HR u kategoriji Dokumenti/EU legislativa. Ne postoje posebna ograničenja u pogledu podrijetla opreme, pod uvjetom da je nabava u skladu s važećim propisima.
Kod korištenja vanjskih IKT usluga preporučuje se da ugovori sadrže minimalne zahtjeve sukladnosti sa Zakonom o kibernetičkoj sigurnosti, primjerice:
Ako vanjska usluga po svom opsegu potpada pod zahtjeve Zakona o kibernetičkoj sigurnosti (npr. održavanje vatrozida, VPN-a ili slične opreme), tada se relevantne mjere moraju primijeniti i na vanjskog pružatelja usluga jer takav vanjski pružatelj usluga pripada sektoru upravljanih IKT usluga, odnosno upravljanim uslugama ili upravljanim sigurnosnim uslugama i takvi pružatelji usluga se kategoriziraju prema posebnim kriterijima kao davatelji usluga kategoriziranim subjektima i važni subjekti, neovisno o njihovoj veličini (Uredba o kibernetičkoj sigurnosti, članak 11.).
Praćenje sigurnosnih događaja (detekcija) i obveza prijave značajnih kibernetičkih incidenata dva su odvojena procesa.
Svaki subjekt, u okviru korištenja mrežne i informacijske infrastrukture, bilježi događaje na sustavu. Obveza prijave nastupa u trenutku procjene da je subjekt suočen sa značajnim kibernetičkim incidentom prema kriterijima iz Uredbe o kibernetičkoj sigurnosti (Uredba) opisanima od 59. do 63. članka. Od trenutka procjene, subjekt ima rok od 24 sata da nadležnom CSIRT-u, putem PiXi platforme, prijavi značajni incident. Preporuka je prijavljivati sve incidente i prema potrebi promijeniti kategoriju incidenta u značajni nakon procjene koristeći kriterije iz Uredbe.
Upravljanje uslugama informacijsko-komunikacijske tehnologije (IKT), u kontekstu Zakona o kibernetičkoj sigurnosti (Zakon) podrazumijeva usluge koje pravne osobe daju drugim pravnim osobama (B2B), koje mogu biti javni ili privatni subjekti prema definiciji iz Zakona. Pri tome se razlikuju dvije grupe pružatelja usluga - pružatelji upravljanih usluga i pružatelji upravljanih sigurnosnih usluga.
Upravljane usluge odnose se u širem smislu na IKT te obuhvaćaju različite usluge koje se sastoje od upravljanja mrežnim i informacijskim sustavima na razini cijelog sustava, ili na nekim segmentima mrežnog i informacijskog sustava, kao što je podrška u održavanju pojedinih vrsta poslužitelja, određene vrste mrežne opreme, pojedinih aplikacijskih sustava i slično. Pri tome pružatelji upravljanih usluga koriste pristup u fizičke prostore gdje je IKT oprema instalirana i/ili pristupaju određenoj IKT opremi daljinski, a pri čemu redovito koriste visoke razine privilegija za pristup IKT sustavu, koje su potrebne za obavljanje ovakvih upravljanih usluga.
Upravljane sigurnosne usluge također se odnose na IKT, ali na uži segment sigurnosti IKT-a, pri čemu pružatelj upravljanih sigurnosnih usluga provodi ili pruža pomoć u aktivnostima povezanim s upravljanjem kibernetičkim sigurnosnim rizicima. Radi se o područjima upravljanja kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti ili različite vrste savjetovanja povezanog s tehničkom potporom ili upravljanjem kibernetičkim sigurnosnim rizicima, u kojima pružatelji upravljanih sigurnosnih usluga imaju posebno važnu ulogu u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih.
Pružatelji upravljanih i upravljanih sigurnosnih IKT usluga i sami su mete kibernetičkih napada te predstavljaju poseban kibernetički sigurnosni rizik zbog svoje bliske integracije u rad svojih klijenata. Stoga svi pružatelji upravljanih usluga i upravljanih sigurnosnih usluga, koji takve usluge daju kategoriziranim ključnim i važnim subjektima u smislu Zakona, moraju i sami biti kategorizirani kao ključni ili važni subjekti, a ako nisu prije kategorizirani prema općim kriterijima Zakona, kategoriziraju se prema posebnim kriterijima kao davatelji usluga kategoriziranim subjektima i važni subjekti, neovisno o njihovoj veličini (Uredba o kibernetičkoj sigurnosti, članak 11.).
Pružatelji upravljanih IKT usluga pripadaju segmentu eksternaliziranog održavanja IT sustava kategoriziranih subjekata. Kada kategoriziranim subjektima, koji imaju organiziran vlastiti IT tim i IT infrastrukturu, održavanje aplikacija provode vanjski pružatelji IT usluga u koordinaciji s lokalnim IT timom, ne govorimo o pružateljima upravljanih IKT usluga jer tu uslugu ne odrađuju samostalno. Sličan primjer je i velik broj poslovnih softverskih rješenja poput SAP-a ili urudžbenog zapisnika, koji funkcioniraju na isti način, ili putem vlastite IT infrastrukture i IT timova kategoriziranih subjekata, ili kao slična rješenja na infrastrukturi računalstva u oblaku. Sve to vrijedi i za komercijalni softver koji se licencira, od komercijalnih operacijskih sustava i uredskih softverskih paketa do bilo kojeg sličnog produkta (Commercial-Of-The-Shelf/COTS).
Moglo bi se reći kako su pružatelji upravljanih IKT usluga više prisutni u segmentu malih i mikro pravnih osoba, no u posljednjih nekoliko godina i u tom segmentu tržišta jako raste korištenje računalstva u oblaku, a koje opet najčešće ne spada u ovaj segment upravljanja IKT uslugama.
Drugi primjer pružatelja upravljanih IKT usluga su softverska rješenja koja se, u obliku raznih softverskih biblioteka, koriste, primjerice za geografsko-informacijsku podršku, gdje te vanjske tvrtke daju subjektima autonomni sloj programske podrške koji sami održavaju i ažuriraju korištenjem vanjskih pristupnih računa s visokim privilegijama na mrežnoj i informacijskoj infrastrukturi subjekata kao što su telekom operatori i slični. Ovo je klasični primjer upravljanja IKT uslugama.
Upravljane sigurnosne IKT usluge su daleko češće u praksi i utvrđene su i novim amandmanima EU Cyber Security Act-a (CSA+) iz siječnja 2025. godine, koji će se prenijeti u nacionalno zakonodavstvo kroz izmjene i dopune Zakona o provedbi kibernetičke sigurnosne certifikacije („Narodne novine“, br. 63/22.), zajedno s aktualnom širom revizijom spomenutog EU CSA akta. Upravljana sigurnosna usluga u CSA+ definirana je kao „usluga koja se pruža trećoj strani te se sastoji od obavljanja aktivnosti povezanih s upravljanjem kibernetičkim sigurnosnim rizicima, kao što su rješavanje incidenata, penetracijska testiranja, revizije sigurnosti i savjetovanje, uključujući stručno savjetovanje, povezano s tehničkom potporom, ili pružanje pomoći u obavljanju tih aktivnosti“.
Rješavanje izazova identificiranja pružatelja upravljanih i upravljanih sigurnosnih IKT usluga bit će ostvareno u narednom razdoblju provedbe Zakona o kibernetičkoj sigurnosti, kroz postupke revizije, odnosno kasnije postupke stručnog nadzora. S obzirom na to da postoji vrlo mala razlika između mjere koja regulira lanac opskrbe i pružatelja upravljanih IKT usluga, vremenom će se na strani kategoriziranih subjekata formalizirati evidencija dobavljača pa samim time i jasnije potvrditi eventualni statusi pružatelja upravljanih i upravljanih sigurnosnih IKT usluga.
Važno je napomenuti da to što su neke pravne osobe pružatelji upravljanih i upravljanih sigurnosnih IKT usluga, i time su i sami subjekti obveznici Zakona, ne mijenja obavezu njihovih ugovornih obaveza s kategoriziranim subjektima kroz mjere lanca opskrbe, već im zbog osjetljivosti upravljanja IKT uslugama uvodi dodatnu obavezu vlastite kategorizacije. Pri tome su kategorizirani subjekti koji sklapaju ugovorne odnose s drugim pravnim osobama, neovisno o tome jesu li te pravne osobe kategorizirane ili nisu, odgovorni u sadržajima svojih ugovora pratiti zahtjeve iz Priloga II. Uredbe o kibernetičkoj sigurnosti prema mjeri iz točke 8. Sigurnost lanca opskrbe.
Pružateljima usluga računalstva u oblaku smatraju se isključivo krajnji pružatelji kapaciteta računalstva u oblaku (npr. globalni ili nacionalni pružatelji infrastrukture u oblaku).
Subjekti koji koriste te kapacitete kako bi nudili migraciju, razvoj ili upravljanje okolinama u oblaku smatraju se posrednicima ili, ovisno o razini usluge, pružateljima upravljanih IKT usluga, ali ne i pružateljima usluga računalstva u oblaku u smislu Zakona o kibernetičkoj sigurnosti.
Odnosi između pravnih osoba u pogledu dostupnosti i prijenosa podataka primarno su ugovorne prirode te nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti nisu nadležna za rješavanje takvih sporova.
Takve situacije neće se događati u subjektima koji se usklade s propisanim mjerama kibernetičke sigurnosti, posebno u okviru provedbe mjere 8. (naročito podmjere 8.3.) iz Priloga II. Uredbe o kibernetičkoj sigurnosti.
Subjekti su nakon zaprimanja obavijesti o provedenoj kategorizaciji dužni ispoštovati nekoliko različitih rokova usklađivanja i provedbe Zakona o kibernetičkoj sigurnosti.
Najprije, u roku od 15 dana od zaprimanja obavijesti o provedenoj kategorizaciji dužni su nadležnom tijelu dostaviti podatke o subjektu u skladu s uputama opisanim u obavijesti.
U roku od 30 dana od zaprimanja obavijesti o provedenoj kategorizaciji, dužni su započeti s prijavama značajnih kibernetičkih incidenata nadležnom CSIRT-u putem PiXi platforme, a prije toga se i prijaviti na PiXi platformu.
Godinu dana od zaprimanja obavijesti o provedenoj kategorizaciji dužni su provesti inicijalnu provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima, prema razini rizika utvrđenoj u nacionalnoj procjeni rizika (osnovna, srednja ili napredna razina mjera), u drugoj godini unaprijediti mjere kroz lokalno upravljanje rizicima, a treću godinu od zaprimanja obavijesti provesti prvu samoprocjenu ili reviziju kibernetičke sigurnosti.
U slučaju nepotpune sukladnosti nakon opisanog procesa provedenog tijekom prve tri godine od kategorizacije, ovisno o razini nesukladnosti i posljedičnoj ozbiljnosti stanja kibernetičke sigurnosti u kategoriziranom subjektu, nadležna tijela mogu provesti izvanredni stručni nadzor te izreći odgovarajuće korektivne mjere, ili podnijeti prijavu ovlaštenom tužitelju sukladno člancima 101. do 104. Zakona o kibernetičkoj sigurnosti. Ukoliko se u samoprocjeni/reviziji utvrde manje nesukladnosti, kategorizirani subjekt ih je dužan što prije ukloniti te dalje provoditi godišnju lokalnu procjenu rizika, dvogodišnju samoprocjenu/reviziju, a ključni subjekti će svakih tri do pet godina (računajući od dana isteka prve godine za inicijalnu provedbu mjera, odnosno od dana kategorizacije) biti podvrgnuti redovitom stručnom nadzoru sektorski nadležnog tijela koje ih je kategoriziralo, ili glavnog nadležnog tijela u slučaju višestrukih kategorizacija različitih sektorski nadležnih tijela, a prema obavijesti koja im je upućena nakon sklapanja protokola između višestruko nadležnih tijela sukladno čl. 59. Zakona o kibernetičkoj sigurnosti.
Zakon o kibernetičkoj sigurnosti primjenjuje se na ukupno poslovanje kategoriziranih subjekata te Zakonom nije propisano da se u subjektu mora organizirati posebna organizacijska jedinica za provedbu Zakona. Zakon propisuje da subjekti imenuju odgovorne osobe, kontakt osobe za dostavu podataka te osobe za prijavu incidenata (koje sve mogu biti iste fizičke osobe), a unutarnja organizacija ostaje na samom subjektu u skladu s njegovim poslovnim procesima.
Pri tome je važno razlikovati glavne uloge prema definiciji iz Zakona o kibernetičkoj sigurnosti: „osobe odgovorne za upravljanje mjerama upravljanja kibernetičkim sigurnosnim rizicima su članovi upravljačkih tijela ključnih i važnih subjekata odnosno čelnici tijela državne uprave, drugih državnih tijela i izvršnih tijela jedinica lokalne i područne (regionalne) samouprave“. Glavna uloga se uvijek odnosi na upravu subjekta, odnosno općenito na onog tko ima ovlasti zastupati pravnu osobu u poslovanju (ministar, ravnatelj, direktor, predsjednik/član uprave, prokurist i sl.). Nadalje postoje i operativne uloge prema Uredbi o kibernetičkoj sigurnosti: „imenovati dediciranu osobu koja je za razinu cijelog subjekta operativno odgovorna za kibernetičku sigurnost i kojoj je osiguran adekvatan pristup osobama odgovornim za provedbu mjera u subjektu“, što bi trebali provoditi rukovoditelji tehničkih segmenata subjekta poput CISO, CIO, pomoćnika ravnatelja za IT, načelnika uprave/sektora ili slično. Po potrebi se dodatno može kroz interni pravilnik utvrditi obaveza izvještavanja vršne odgovorne osobe, kakva se mora definirati i za lokalnu procjenu kibernetičkih sigurnosnih rizika koja se provodi svake godine i koju donosi glavna odgovorna osoba, temeljem objedinjenog prijedloga svih tzv. vlasnika rizika (linije rada ili poslovni procesi u subjektu), a prijedlog procjene rizika objedinjava spomenuta operativno nadležna osoba.
Što se tiče ovog procesa procjene rizika subjekta, na mrežnim stranicama NCSC-HR u kategoriji Dokumenti/Smjernice i upute objavljene su Smjernice za kategorizirane subjekte o upravljanju kibernetičkim sigurnosnim rizicima.
