Get 4 FREE months of Conformio to implement ISO 27001

Koji su dodatni zahtjevi Zakona o kibernetičkoj sigurnosti Hrvatske u usporedbi s NIS-om 2?

Iako je Hrvatska zadnja zemlja koja se pridružila Europskoj uniji, čini se da je najbrža kada je riječ o NIS-u 2 – ona je prva zemlja koja je donijela lokalno zakonodavstvo temeljeno na NIS 2 direktivi. Zakon o kibernetičkoj sigurnosti (NN 14/2024) stupio je na snagu u veljači 2024. godine – ovaj članak će napraviti pregled da li je ovaj zakon zaista pratio NIS 2, i koliko je dodao vlastitih zahtjeva.

Zakon o kibernetičkoj sigurnosti vrlo je usklađen sa NIS 2, razjašnjava neke načelne zahtjeve iz NIS 2 kao što su revizija i nadzor, i dodaje nove zahtjeve poput samoprocjene.

Osnove Zakona o kibernetičkoj sigurnosti Hrvatske

Zakon o kibernetičkoj sigurnosti Hrvatske (ZKS) objavljen je u veljači 2024. godine, a njegov službeni tekst može se pronaći ovdje: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html

Koji su dodatni zahtjevi Zakona o kibernetičkoj sigurnosti Hrvatske u usporedbi s NIS-om 2? - Advisera

Najvažniji cilj ZKS-a je definiranje pravila kibernetičke sigurnosti za ključne i važne subjekte za kritičnu infrastrukturu koji djeluju u Hrvatskoj. Objavljivanjem ZKS-a, Hrvatska implementira NIS 2 u lokalno zakonodavstvo – ovaj proces se naziva transpozicija.

Zakon o kibernetičkoj sigurnosti Hrvatske zamjenjuje stari Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) koji je objavljen 2018. godine, kao i Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/18).

Ostatak ovog članka fokusirat će se na zahtjeve vezane uz kibernetičku sigurnost s kojima se moraju uskladiti ključni i važni subjekti – svrha ovog članka nije opisati ulogu državnih tijela koja trebaju provoditi usklađenost s ZKS-om.

Zakon o kibernetičkoj sigurnosti (ZKS) u usporedbi s NIS-om 2
Koje tvrtke moraju biti usklađene Isti su kriteriji kao i u NIS-u 2, ali samo za tvrtke koje su registrirane u Hrvatskoj. Izuzeci su pružatelji javnih elektroničkih komunikacijskih mreža i pružatelji javno dostupnih elektroničkih komunikacijskih usluga – oni moraju biti u skladu s ZKS-om ako pružaju usluge u Hrvatskoj bez obzira gdje su registrirani.
Rokovi Nadležno tijelo obavijestit će ključne i važne subjekte najkasnije do veljače 2025. godine, i oni se moraju uskladiti u roku od 1 godine od te obavijesti.
Odgovornosti višeg menadžmenta Isti kao u NIS-u 2.
Važnost obuke Isti kao u NIS-u 2.
Upravljanje rizikom kibernetičke sigurnosti Isti kao u NIS-u 2.
Mjere kibernetičke sigurnosti Isti kao u NIS-u 2.
Sigurnost u lancu opskrbe Isti kao u NIS-u 2.
Obveze izvještavanja o incidentima Isti kao u NIS-u 2.
Korištenje certificiranih IT proizvoda i usluga Isti kao u NIS-u 2.
Nadzor i provedba Nadzor za ključne subjekte mora se obavljati svakih 3 do 5 godina. Revizija kibernetičke sigurnosti za ključne subjekte mora se provoditi barem jednom u svake 2 godine.
Kazne Za ključne subjekte: između €10.000 i €10.000.000 ili između 0.5% i 2% godišnjeg prometa (ovisno o tome što je veće); za članove višeg menadžmenta: između €1.000 i €6.000. Za važne subjekte: između €5.000 i €7.000.000 ili između 0.2% i 1.4% godišnjeg prometa (ovisno o tome što je veće); za članove višeg menadžmenta: između €500 i €3.000.
Potpuno novi zahtjevi Samoprocjena kibernetičke sigurnosti za važne subjekte mora se provoditi barem jednom svake 2 godine.

Koje tvrtke moraju biti usklađene sa Zakonom o kibernetičkoj sigurnosti?

Zakon o kibernetičkoj sigurnosti relevantan je za tvrtke registrirane u Hrvatskoj koje pružaju proizvode i usluge u bilo kojoj zemlji Europske unije. Postoji izuzetak od ovog pravila, gdje Zakon o kibernetičkoj sigurnosti nalaže da sljedeće tvrtke moraju biti usklađene čak i ako nisu registrirane u Hrvatskoj, ako pružaju svoje usluge u zemlji:

  • Pružatelji javnih elektroničkih komunikacijskih mreža
  • Pružatelji javno dostupnih elektroničkih komunikacijskih usluga

Zakon o kibernetičkoj sigurnosti definira iste kriterije kao i NIS 2 za kategoriziranje tvrtki i drugih organizacija na ključne i važne subjekte. Međutim, Zakon o kibernetičkoj sigurnosti ima dva dodatna zahtjeva koji ne postoje u NIS-u 2:

  • Jedinice lokalne i područne (regionalne) samouprave smatrat će se važnim subjektima ako se procjeni da su ključne za obavljanje društvenih ili gospodarskih aktivnosti.
  • Obrazovne ustanove smatrat će se važnim subjektima ako se procjeni da su ključne za obavljanje obrazovnih aktivnosti.

Pogledajte također: Which companies must comply with NIS 2? Essential vs. important entities.

Rokovi

Nadležna tijela moraju kategorizirati ključne i važne subjekte najkasnije do veljače 2025. godine, i ti subjekti moraju implementirati sve sigurnosne mjere u roku jedne godine od primitka obavijesti.

To znači, ukoliko nadležna tijeka budu spora u slanju tih obavijesti, najkasniji rok za implementaciju mjera bit će veljače 2026. godine.

Nadzor i provedba

ZKS propisuje da se nadzor za ključne subjekte mora obavljati svakih 3 do 5 godina, dok se za važne subjekte nadzor provodi samo ako se ne pridržavaju zakona i ostalih propisa o kibernetičkoj sigurnosti. Nadzor se provodi od strane nadležnih tijela.

ZKS također definira obvezu kibernetičke revizije – ključni subjekti moraju provesti takvu reviziju barem jednom svake 2 godine, dok važni subjekti moraju provesti reviziju samo na zahtjev nadležnog tijela. Kibernetičke revizije provode samo certificirani revizori kibernetičke sigurnosti.

Postoji jedna vrlo bitna odredba u ZKS-u – ako ključni subjekt ne izvrši korektivne mjere koje je zatražilo nadležno tijelo, to tijelo može suspendirati ovlaštenje za obavljanje djelatnosti i može zabraniti menadžmentu obavljanje upravljačkih dužnosti u tvrtki.

Novčane kazne

Novčane kazne za nepoštivanje ZKS-a su sljedeće:

  • Za ključne subjekte – između 10.000 EUR i 10.000.000 EUR ili između 0.5% i 2% godišnjeg prometa (što je veće); za članove višeg menadžmenta – između 1.000 EUR i 6.000 EUR.
  • Za važne subjekte – između 5.000 EUR i 7.000.000 EUR ili između 0.2% i 1.4% godišnjeg prometa (što je veće); za članove višeg menadžmenta – između 500 EUR i 3000 EUR.

Nove obveze u ZKS-u

Budući da su redoviti nadzor kibernetičke sigurnosti i revizije obavezni za ključne subjekte (ali ne i za važne subjekte), ZKS je uveo potpuno novu obvezu za važne subjekte: redovitu samoprocjenu.

Ova samoprocjena kibernetičke sigurnosti obvezna je samo za važne subjekte, i oni ju moraju provoditi barem jednom svake 2 godine. Pravila za samoprocjenu bit će propisana uredbom o kibernetičkoj sigurnosti Vlade RH (vidi sljedeći odjeljak).

Zahtjevi koji su isti kao u NIS-u 2

Postoji mnogo toga u ZKS-u što je isto kao i u NIS-u 2:

Međutim, ZKS nalaže da će Vlada RH donijeti uredbu koja će dodatno specificirati upravljanje rizicima kibernetičke sigurnosti, izvješćivanje o incidentima i druge važne elemente — ova uredba o kibernetičkoj sigurnosti bit će objavljena najkasnije do studenog 2024. godine.

Zakon o kibernetičkoj sigurnosti Hrvatske u usporedbi s NIS-om 2

Ukratko, Hrvatska je bila zaista brza u objavljivanju ZKS-a, a ovaj zakon vrlo striktno prati NIS 2. Nadalje, ZKS pojašnjava neke nejasne točke iz NIS 2 poput revizije i nadzora, te dodaje neke zanimljive nove zahtjeve poput samoprocjene.

Međutim, mnogo toga će ovisiti o uredbi o kibernetičkoj sigurnosti koju će objaviti hrvatska vlada — nadam se da će i to biti ugodno iznenađenje.

Za više informacija o NIS 2, preuzmite ovaj besplatni materijal (na engleskom jeziku): Comprehensive guide to the NIS 2 Directive.

Advisera Dejan Košutić

Dejan Košutić

Vodeći stručnjak za informacijsku sigurnost, autor nekoliko knjiga, članaka, webinara i tečajeva. Dejan je osnovao tvrtku Advisera kako bi pomogao malim i srednjim poduzećima da dobiju potrebne alate za usklađenost s EU propisima i ISO standardima. Njegova je nit vodilja da sukladnost sa standardima i regulativama mora biti jednostavna i da treba stvoriti konkurentsku prednost za klijente koji koriste Adviserine proizvode, te da je tehnologija umjetne inteligencije ključna za postizanje jednostavnosti u korištenju.

Kao stručnjak za ISO 27001 i NIS 2, Dejan pomaže tvrtkama pronaći najbolji put do sukladnosti eliminirajući nepotrebne troškove i prilagođavajući implementaciju njihovoj veličini i specifičnostima sektora u kojem djeluju.

Pročitajte više članaka od Dejana Košutića