Dobili ste službeni dopis o kategorizaciji prema novom Zakonu o kibernetičkoj sigurnosti? Što vam je sada činiti?

Ako ste dobili službeni dopis o klasifikaciji poslovnog subjekta, vjerojatno se pitate što vam je dalje činiti i koji su konkretni koraci koje trebate poduzeti. Informacije koje slijede pomoći će vam u boljem razumijevanju.

Uspostavu mjera upravljanja kibernetičkom sigurnošću trebat će izvršiti prema sljedećim propisima i smjernicama:

  1. Zakon o kibernetičkoj sigurnosti (NN 14/2024-254)
  2. Uredba o kibernetičkoj sigurnosti (NN 135/2024-2217)
  3. Smjernice za samoprocjenu (ZSIS)
  4. Prilog A - Kalkulator samoprocjene (ZSIS)
  5. Prilog B - Okvir za evaluaciju (ZSIS)
  6. Prilog C - Katalog kontrola (ZSIS)

Važno je napomenuti da su smjernice i prilozi (točke 3-6) još uvijek u fazi javnog savjetovanja pa su moguće manje promjene u istima. Trenutno se mogu pregledati na stranicama Zavoda za sigurnost informacijskih sustava te na portalu e-građani u sklopu e-Savjetovanja.

Ovisno o veličini i sektoru kojem vaša organizacija pripada, potrebno će biti dokumentirati i uspostaviti između 220 i 277 kontrola (sigurnosnih mjera).

Dokumentiranje i uspostava mjera upravljanja kibernetičkom sigurnošću vrši se na gotovo istovjetan način kako se vrši i za međunarodne standarde informacijske sigurnosti. Iz tog su razloga unutar dokumenta “Prilog C - Katalog kontrola”, uz svaku kontrolu navedene identične ili slične kontrole iz međunarodnih standarda poput; ISO/IEC 27001, ISO/IEC 27002, NIST SP 800-53, NIST CSF i drugih.

Kontrole navedene u katalogu kontrola pokrivaju sljedeća područja:

  • Politike i procedure (POL)
  • Organizacijske odgovornosti i ovlasti (ORG)
  • Podizanje svijesti i edukacija (EDU)
  • Upravljanje resursima (RES)
  • Upravljanje i sudjelovanje (UPR)
  • Praćenje i nadzor (NAD)
  • Upravljanje imovinom (INV)
  • Zaštita podataka (POD)
  • Upravljanje rizicima (RIZ)
  • Digitalni identiteti (DID)
  • Sigurnosne konfiguracije i mehanizmi (SKM)
  • Sigurnost razvoja softvera (SRZ)
  • Kriptografija (KRIP)
  • Fizička sigurnost (FIZ)

Za svaku pojedinu kontrolu navedeni su uvjeti za ocjenjivanje, prema kojima se dodjeljuje ocjena od 1-5 za dokumentiranje kontrole i jednako tako ocjena od 1-5 za praktičnu implementaciju kontrole u organizaciji. Za osnovnu razinu kibernetičke sigurnosti uvjet je da kontrole ostvare najmanje ocjenu 3 za dokumentaciju i implementaciju, te ocjenu 4 za nekoliko kontrola gdje se zahtjeva veća razina.

Planiranje, dokumentiranje i implementacija takvog sustava je izvan područja znanja i djelovanja IT tehničara i administratora koji su većinom zaposleni u organizacijama ili su eksternalizirani za održavanje IT sustava.

Zbog toga će većina organizacija pomoć potražiti od vanjskog stručnjaka za kibernetičku sigurnost kako bi se izvršila potrebna prilagodba. Međutim, trebate jako paziti na to što se nudi pod uslugama “usklađenja”, dosta toga na tržištu nije uopće usklađenje ili je samo jedan dio usklađenja koje trebate izvršiti.

Pazite da usluga usklađenja odgovara svim zahtjevima regulatora, da se usluga temelji na ranije spomenutim propisima i smjernicama regulatora, a ne samo na tehničkim rješenjima ili površnoj uspostavi sustava. U suprotnom ćete dodatno plaćati ispravke ili nadopune, što vrlo lako može predstavljati dodatan trošak koji je jednako visok kao da je iznova izvršeno čitavo usklađenje. Ponuda za uspostavu bi trebala uključivati sljedeće:

  1. Planiranje i dokumentiranje svih procesa kibernetičke sigurnosti navedenih u službenom Katalogu kontrola koje su primjenjive za vašu organizaciju
  2. Planiranje i predlaganje organizacijskih, tehničkih i fizičkih sigurnosnih mjera sukladno zahtjevima, uzimajući u obzir vašu specifičnu situaciju (određuju se optimalne organizacijske, financijske i tehničke mjere kako bi se zahtjevi regulative ostvarili uz što prihvatljivije operativne mogućnosti i troškove)
  3. Identifikacija i procjena rizika kibernetičke sigurnosti u skladu sa stvarnim rizicima s kojima je vaša organizacija suočena (metodologija, rizici i mjere ublažavanja rizika određuju se na način svojstven za svaku organizaciju)
  4. Izrada samoprocjene pomoću službenog kalkulatora za samoprocjenu te ovjera samoprocjene i izjave o sukladnosti od strane certificiranog revizora kibernetičke sigurnosti (u suprotnom se samoprocjena neće priznati i morat ćete dodatno platiti uslugu samoprocjene)
  5. Edukacija djelatnika i program osvješćivanja sastavni su dio usklađenja pa gledajte da ponude sadržavaju i tu uslugu kako je ne bi morali zasebno plaćali.

Ako ne obratite pažnju na navedenih 5 točaka možete se dovesti u situaciju da usklađenje plaćate dvostruko ili da budete kažnjeni od strane regulatora ako usklađenje nije odrađeno kako treba.

Samoprocjenu i svu dokumentaciju povezanu sa samoprocjenom, uključujući dokaze da je nešto implementirano, organizacija i revizori trebaju čuvati 10 godina.

Nadam se da će vam ove informacije pomoći u boljem razumijevanju opsega usklađenja i što usluga usklađenja treba sadržavati.

Usklađenje nije jednostavna niti je brza zadaća. U većini slučajeva usklađenje će trajati dva ili više mjeseca, ovisno o kompleksnosti organizacije i angažmanu djelatnika organizacije (npr. pružanje potrebnih informacija, pregledavanje i odobravanje procesa i dokumentacije, razmatranje prijedloga za poboljšanje, predlaganje promjena, praktična implementacija tehničkih i fizičkih kontrola, usvajanje dokumentacije i procesa od strane rukovodstva, informiranje i edukacija djelatnika, itd.). Navedene aktivnosti iziskuju značajno odvajanje vremena samih djelatnika organizacije koji obavljaju i druge svakodnevne poslovne aktivnosti, pa stoga i vrijeme usklađenja varira od organizacije do organizacije.

Nadam se da su vam ove informacije pomogle. Puno uspjeha u poslovanju i uspješnom usklađenju!

Napisao: Dragan Podvorec
Datum: 28.04.2025
DPA - vaši podaci zaslužuju najbolju zaštitu