Započeo je proces Kategorizacije subjekata

Dana 14. ožujka 2025. godine, nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti u Hrvatskoj, uključujući Nacionalni centar za kibernetičku sigurnost (NCSC-HR), započela su usklađeni proces kategorizacije subjekata koji su obveznici Zakona o kibernetičkoj sigurnosti. Ovaj proces, propisan Zakonom o kibernetičkoj sigurnosti i dodatno uređen Uredbom o kibernetičkoj sigurnosti, ključan je za  jačanje otpornosti organizacija.

Što je proces kategorizacije?

Proces kategorizacije podrazumijeva procjenu i svrstavanje subjekata u kategorije na temelju njihove važnosti i uloge. Cilj je identificirati koji subjekti zahtijevaju pojačane mjere sigurnosti te koje odgovornosti i standarde moraju zadovoljiti kako bi osigurali otpornost protiv kibernetičkih prijetnji.

Rokovi i daljnji koraci

Očekuje se da će se inicijalna kategorizacija završiti do sredine sljedećeg mjeseca (travanj 2025. godine), do kada će svi kategorizirani subjekti primiti službene obavijesti o rezultatima te daljnjim obvezama. Nakon zaprimanja službene obavijesti, subjekti će biti dužni implementirati odgovarajuće sigurnosne mjere i protokole u skladu sa Zakonom o kibernetičkoj sigurnosti.

Izazovi i očekivanja

Glavni izazov ovog procesa bit će prilagodba subjekata novim zahtjevima i standardima. Uzimajući u obzir opseg zahtjeva po pitanju kibernetičke sigurnosti (vidi prijašnju objavu) presudno je osigurati dovoljno resursa i angažman stručnjaka koji će znati izvršiti potrebnu prilagodbu i obuku osoblja. Potrebno je uzeti u obzir kompleksnost prilagodbe s obzirom da već i osnovna (početna) razina kibernetičke sigurnosti sadrži gotovo 280 stavaka koje je potrebno zadovoljiti, uključujući; izradu registra ključnih informacijskih resursa, izradu metodologije i procjenu njihove kritičnosti, identifikaciju i procjenu rizika, određivanje mjera za ublažavanje rizika, upravljanje incidentima, upravljanje nadogradnjama, kontinuitet poslovanja i sigurnost nabavnog lanca, BIA analize, uvođenje i upravljanje kriptografijom, tehničke mjere za sigurnost korisničkih računa i mreže, itd.

Kategorizacija subjekata prema kalkulatoru rizika

Veličina subjekta (veliki, srednji i mali)

  • mali subjekti su organizacije s manje od 50 zaposlenika i godišnjim prometom ili ukupnom godišnjom bilancom koja ne premašuje 10 milijuna eura;
  • srednji subjekti su organizacije s manje od 250 zaposlenika i godišnjim prometom koji ne premašuje 50 milijuna eura ili ukupnom godišnjom bilancom koja ne premašuje 43 milijuna eura;
  • veliki subjekti su organizacije s više od 250 zaposlenika i godišnjim prometom koji premašuje 50 milijuna eura ili ukupnom godišnjom bilancom koja premašuje 43 milijuna eura.

Sektor

Energetika

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Promet

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Zdravstvo

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Voda za ljudsku potrošnju

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Otpadne vode

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Digitalna infrastruktura i Upravljanje uslugama IKT-a (B2B)

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Javni sektor

  • mali subjekti su obveznici srednje razine kibernetičke sigurnosti
  • srednji subjekti su obveznici napredne razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Svemir

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Poštanske i kurirske usluge

  • mali subjekti su obveznici srednje razine kibernetičke sigurnosti
  • srednji subjekti su obveznici napredne razine kibernetičke sigurnosti
  • veliki subjekti su obveznici napredne razine kibernetičke sigurnosti

Gospodarenje otpadom

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • veliki subjekti su obveznici osnovne razine kibernetičke sigurnosti

Izrada, proizvodnja i distribucija kemikalija

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici srednje razine kibernetičke sigurnosti

Proizvodnja, prerada i distribucija hrane

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • veliki subjekti su obveznici srednje razine kibernetičke sigurnosti

Proizvodnja

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici srednje razine kibernetičke sigurnosti

Pružatelji digitalnih usluga

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici srednje razine kibernetičke sigurnosti

 Istraživanje i Sustav obrazovanja

  • mali subjekti su obveznici osnovne razine kibernetičke sigurnosti
  • srednji subjekti su obveznici srednje razine kibernetičke sigurnosti
  • veliki subjekti su obveznici srednje razine kibernetičke sigurnosti

Kategorizacija je određena pomoću kalkulatora rizika kojeg je izradio Nacionalni centar za kibernetičku sigurnost

Napisao: Dragan Podvorec
Datum: 18.03.2025
DPA - vaši podaci zaslužuju najbolju zaštitu