Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga

Kibernetičkom sigurnosti smatra se skup alata, pravilnika, sigurnosnih mjera, pristupa, smjernica, aktivnosti, akcija, obučavanja, najboljih praksi i tehnologije koja može zaštititi kibernetičko okruženje, organizaciju i imovinu korisnika.

Kao odgovor na sve veće zahtjeve iz područja kibernetičke sigurnosti, na razini Europske Unije usvojena je NIS direktiva (engl. „Network and Information Security Directive“') koja definira zahtjeve i mjere za postizanje visoke razine sigurnosti mrežnih i informacijskih sustava. Cilj direktive je definirati i osigurati provedbu mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima koji pružaju ključne usluge za odvijanje društvenih i gospodarskih aktivnosti. Direktiva je ugrađena u hrvatsko zakonodavstvo tijekom srpnja 2018. godine kroz Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Zakon“), na temelju kojeg je je donesena Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Uredba“). Uredbom se utvrđuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način provedbe utvrđenih mjera, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavještavanje o incidentima.

U listopadu 2019. godine Zavod za sigurnost informacijskih sustava i Hrvatska akademska i istraživačka mreža – CARNET izradili su Okvir dobrih praksi za usklađivanje operatora ključnih usluga s mjerama Zakona i provođenje ocjene sukladnosti koji predstavlja smjernice, preporuke i dobre prakse za ostvarivanje sukladnosti s mjerama sigurnosti zahtijevanih unutar Zakona i Uredbe Vlade Republike Hrvatske.

Unutar Zakona identificirano je osam sektora na koje se on primjenjuje tj. unutar kojih se pružaju ključne usluge, a to su:

• Energetika
• Prijevoz
• Bankarstvo
• Infrastrukture financijskog tržišta
• Zdravstveni sektor
• Opskrba i distribucija vode
• Digitalna infrastruktura
• Poslovne usluge za državna tijela

Same operatore ključnih usluga i davatelja digitalnih usluga identificiraju nadležna sektorska tijela definirana prethodno navedenim zakonodavnim okvirom.

Operatori ključnih usluga i davatelji digitalnih usluga dužni su provoditi mjere za postizanje visoke razine kibernetičke sigurnosti za mrežni i informacijski sustav ili njegov dio o kojem ovisi pružanje ključne usluge subjekta sukladno Zakonu i Uredbi, a mogu se podijeliti na sljedeća područja zaštite sustava:

• Zaštita od zlonamjernog softvera
• Konfiguracija sustava
• Upravljanje promjenama na sustavu
• Upravljanje hardverskih uređaja koje sustav koristi
• Zaštita od neraspoloživosti sustava
• Upravljanje kontinuitetom poslovanja
• Pričuvna pohrana podataka
• Razvoj i održavanje sustava
• Upravljanje projektima
• Preventivne provjere ranjivosti sustava

Također, operatori ključnih usluga i davatelji digitalnih usluga dužni su obavještavati nadležni CSIRT (engl. Computer Security Incident Response Team) o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju.

Učinkovita provedba sigurnosnih mjera dokazuje se ili rezultatima revizije sigurnosti mrežnih i informacijskih sustava koju je obavio kvalificirani revizor ili ocjenom sukladnosti mrežnih i informacijskih sustava koju daje tehničko tijelo za ocjenu sukladnosti.

Koje su zakonske obveze operatora ključnih usluga i koji su rokovi za ispunjenje obveza te što to znači za poslovanje samih operatora i ukupnog tržišta Republike Hrvatske, saznajte na Deloitte-ovoj radionici Mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga.

Kontakti

Kontakti
Ako ste zainteresirani za dodatne informacije, molimo Vas da kontaktirate naše stručnjake u Odjelu revizije i savjetovanja:

Ratko Drča

Menadžer
rdrca@deloittece.com

Ana Cutvarić
Projektni menadžer
acutvaric@deloittece.com