Smjernice i upute

Sukladno odredbama Zakona o kibernetičkoj sigurnosti i Uredbe o kibernetičkoj sigurnosti, kategorizirani subjekti dužni su nadležni CSIRT obavijestiti o svakom značajnom incidentu.

Upute za prijavu značajnih incidenata dostupne su u Općim smjernicama za provedbu obveze obavještavanja o značajnim incidentima:
 
Sukladno Općim smjernicama, u slučaju nedostupnosti platforme PiXi, značajan incident se prijavljuje popunjavanjem obrazaca te slanjem ispunjenih obrazaca nadležnom CSIRT-u putem e-pošte. Obrasci su dostupni ovdje:
 

U skladu sa Zakonom o kibernetičkoj sigurnosti i Uredbom o kibernetičkoj sigurnosti kategorizirani subjekti dužni su nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti i nadležnim tijelima za provedbu posebnih zakona dostavljati podatke o subjektu i imenovanim kontakt osobama.

Kategorizirani subjekti kojima je Nacionalni centar za kibernetičku sigurnost (NCSC-HR) nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti, podatke dostavljaju sukladno ovoj Uputi i napomenama iz Obavijesti o provedenoj kategorizaciji subjekta.

Subjekti koji nisu kategorizirani kao ključni ili važni temeljem Zakona o kibernetičkoj sigurnosti, a žele dobrovoljno provoditi samoprocjene kibernetičke sigurnosti i obavještavati o incidentima i kibernetičkim prijetnjama, podatke dostavljaju u NCSC-HR u skladu s ovom Uputom.

Za dobrovoljnu dostavu podataka, subjekti se prijavljuju na adresu e-pošte zaštićena adresa putem koje će dobiti upute za siguran prijenos podataka.

 

Obrasci za dostavu podataka o kategoriziranim subjektima:

 

Sukladno odredbama Zakona o kibernetičkoj sigurnosti i Uredbe o kibernetičkoj sigurnosti, nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su Nacionalnom centru za kibernetičku sigurnost, koji provodi zadaće jedinstvene kontaktne točke, dostavljati podatke o kategoriziranim subjektima.

Smjernicama se uređuje vođenje popisa kategoriziranih subjekata te sadržaj, način dostave i rokovi dostave obavijesti o provedenim kategorizacijama subjekata.


Obrasci za dostavu obavijesti o provedenim kategorizacijama subjekata:

Nacionalna procjena kibernetičkih sigurnosnih rizika provodi se u okviru postupka kategorizacije subjekata za svaki subjekt kategoriziran kao ključan odnosno važan subjekt. Cilj provođenja nacionalne procjene rizika je definirati razinu mjera upravljanja kibernetičkim sigurnosnim rizicima koju je subjekt dužan provoditi.


Nacionalna procjena kibernetičkih sigurnosnih rizika provodi se uz pomoć kalkulatora:

Zavod za sigurnost informacijskih sustava, u svojstvu nadležnog nacionalnog tijela za kibernetičku sigurnosnu certifikaciju, temeljem obveza iz Zakona o kibernetičkoj sigurnosti i Uredbe o kibernetičkoj sigurnosti, izradio Smjernice za provedbu samoprocjene kibernetičke sigurnosti.

 

U skladu sa Zakonom o kibernetičkoj sigurnosti i Uredbom o kibernetičkoj sigurnosti kategorizirani subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima. Smjernice za kategorizirane subjekte o upravljanju kibernetičkim sigurnosnim rizicima subjekti mogu koristiti u okviru provedbe mjere naziva „Upravljanje rizicima“ iz točke 3. Priloga II. Uredbe.

Kategorizirani subjekti Smjernice mogu upotrebljavati za procjenu, obradu, praćenje i ažuriranje rizika za mrežne i informacijske sustave koje koriste u svom poslovanju.

U skladu sa Zakonom o kibernetičkoj sigurnosti i Uredbom o kibernetičkoj sigurnosti kategorizirani subjekti dužni su provoditi mjere definirane u Prilogu II. Uredbe. U procesu provedbe mjera kibernetičke sigurnosti kategorizirani subjekti mogu koristiti Smjernice za usporedbu podskupova mjera kibernetičke sigurnosti sa sadržajem međunarodnih normi ili kao vodič koji može pripomoći načinu provedbe mjera kibernetičke sigurnosti. Također, uz Smjernice se prilaže tablica s kontrolama koja za svaki pojedini podskup mjere kibernetičke sigurnosti sadrži mapirane međunarodne norme poput ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 22301:2019, NIST CSF 2.0, NIST SP 800-53 i CIS v8. Isto tako, svaki podskup mjere se referira i na Katalog kontrola kojeg je donio Zavod za sigurnost informacijskih sustava (ZSIS) u sklopu Smjernica za provedbu samoprocjene kibernetičke sigurnosti.