Izvješće o provedenom savjetovanju - Nacrt prijedloga Uredbe o kibernetičkoj sigurnosti

Redni broj
Korisnik
Područje
Komentar
Status odgovora
Odgovor
1 MATKO RADIĆ DIO I. OPĆE ODREDBE, Članak 4. 2. haktivizam podrazumijeva korištenje kibernetičkih napada u svrhu promoviranja i poticanja određenih političkih stavova ili društvenih promjena, kao i s ciljem izražavanja neke vrste građanskog neposluha, a provode ga organizirane kibernetičke grupe ili pojedinci. Članovi navedenih grupa ili pojedinci koji sudjeluju u haktivizmu se nazivaju haktivisti Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjena odredba čl.4. toč.2. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
2 ZORAN SAMBOL DIO II. KATEGORIZACIJA SUBJEKATA TEMELJEM POSEBNIH KRITERIJA, KATEGORIZACIJA SUBJEKATA JAVNOG SEKTORA I SUBJEKATA IZ SUSTAVA OBRAZOVANJA, Članak 11. Točka (1) Razvrstavanje subjekata temeljem članka 11. podstavka 3. Zakona provodi se za privatne i javne subjekte iz sektora energetike, sektora prometa, sektora digitalne infrastrukture te pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga iz sektora upravljanje uslugama IKT-a (B2B) iz Priloga I. Zakona, za koje se u postupku kategorizacije subjekata utvrdi da tržišni udio subjekta u pružanju usluga, odnosno obavljanju djelatnosti zbog koje je subjekt predmet postupka kategorizacije subjekata, na području Republike Hrvatske iznosi 25% ili više. Se mijenja u (1) Razvrstavanje subjekata temeljem članka 11. podstavka 3. Zakona provodi se za privatne i javne subjekte iz sektora energetike, sektora prometa, sektora digitalne infrastrukture te pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga iz sektora upravljanje uslugama IKT-a (B2B) iz Priloga I. Zakona, za koje se u postupku kategorizacije subjekata utvrdi da tržišni udio subjekta u pružanju usluga, odnosno obavljanju djelatnosti zbog koje je subjekt predmet postupka kategorizacije subjekata, na području Republike Hrvatske iznosi 15% ili više. Objašnjenje: Smanjenje postotka s 25% na 15% tržišnog udjela za privatne i javne subjekte iz sektora energetike, sektora prometa, sektora digitalne infrastrukture te pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga iz sektora upravljanje uslugama IKT-a (B2B) u skladu je s demonopolizacijom i liberalizacijom tržišta usluga u Republici Hrvatskoj, u skladu s tržišnim principima. Nije prihvaćen Mišljenje predlagatelja je kako kategorizacija subjekata po ovom posebnom kriteriju ne treba obuhvatiti subjekte iz predmetnih sektora čiji je tržišni udio na području Republike Hrvatske ispod 25%, jer je cilj bio kategorizacijom dodatno obuhvatiti samo značajnije operatore predmetnih sektora i kategorizirati ih kao ključne subjekte po ovom posebnom kriteriju neovisno o njihovoj veličini.
3 ZORAN SAMBOL DIO II. KATEGORIZACIJA SUBJEKATA TEMELJEM POSEBNIH KRITERIJA, KATEGORIZACIJA SUBJEKATA JAVNOG SEKTORA I SUBJEKATA IZ SUSTAVA OBRAZOVANJA, Članak 12. Točka (4) u stavku - privatne i javne subjekte iz sektora poštanske i kurirske usluge iz Priloga II. Zakona, za koje se u postupku kategorizacije subjekata utvrdi da tržišni udio subjekta u pružanju usluga, odnosno obavljanju djelatnosti zbog koje je subjekt predmet postupka kategorizacije subjekata, na području jedne županije, neovisno o broju stanovnika gradova i općina u njezinom sastavu, iznosi 40% ili više. se mijenja: - privatne i javne subjekte iz sektora poštanske i kurirske usluge iz Priloga II. Zakona, za koje se u postupku kategorizacije subjekata utvrdi da tržišni udio subjekta u pružanju usluga, odnosno obavljanju djelatnosti zbog koje je subjekt predmet postupka kategorizacije subjekata, na području jedne županije, neovisno o broju stanovnika gradova i općina u njezinom sastavu, iznosi 25% ili više. Objašnjenje: Smanjenje postotka s 40% na 25% tržišnog udjela za privatne i javne subjekte iz sektora poštanske i kurirske uslug u skladu je s demonopolizacijom i liberalizacijom tržišta poštanskih i kurirskih usluga u Republici Hrvatskoj, posebice je bitno za manje sredine te je u skladu s tržišnim principima EU. Nije prihvaćen Mišljenje predlagatelja je kako kategorizacija subjekata po ovom posebnom kriteriju ne treba obuhvatiti subjekte iz predmetnih sektora čiji je tržišni udio na području jedne županije ispod 40%, jer je cilj bio kategorizacijom dodatno obuhvatiti samo značajnije operatore predmetnih sektora i kategorizirati ih kao ključne subjekte po ovom posebnom kriteriju neovisno o njihovoj veličini.
4 ZORAN SAMBOL DIO III. POPISI KLJUČNIH I VAŽNIH SUBJEKATA I POSEBAN REGISTAR SUBJEKATA, Članak 19. Članak 19, točka. 3 i 4. ◊ adresu elektroničke pošte kontakt osobe odgovorne za dostavu podataka i ◊ adrese elektroničke pošte koje će osobe ovlaštene za operacionalizaciju dostave koristiti u svrhe dostave podataka i obavijesti o promjenama podataka. se mjenjaju u: ◊ potvrđenu adresu elektroničke pošte kontakt osobe s domene subjekta odgovorne za dostavu podataka i ◊ potvrđenu adrese elektroničke pošte koje će osobe s domene subjekta ovlaštene za operacionalizaciju dostave koristiti u svrhe dostave podataka i obavijesti o promjenama podataka. i dodaju se točke: ◊ pričuvnu potvrđene adresu elektroničke pošte s domene nacionalnog CERTa (domena cert.hr, Zakon o informacijskoj sigurnosti RH NN 14/24 i Članak 64. ove Uredbe) ◊ pričuvnu potvrđenu adresu elektroničke pošte s domene nadležnog tijela za provedbu kategorizacije subjekta (CARNET, Članak 31. ove Uredbe, domena carnet.hr) Objašnjenje: Ako je sustav pod kibernetičkim napadom, komunikacija elektroničkom poštom neće biti moguća. Stoga svim kontakt osobama treba osigurati pričuvne i verificirane (potvrđene) elektroničke adrese na serverima ovlaštenih organizacija: CERT i CARNet. Osim toga, zar je mudro ovlaštenoj osobi nevalidirati adresu s primjerice domene yahoo.com ili gmail.com? Primljeno na znanje Potvrđivanje adrese elektroničke pošte i drugih kontakata predstavnika institucija, kao i korištenje adresa sa službenih domena institucije, u uporabi je već niz godina kroz postupke temeljene na propisima informacijske sigurnosti koji su uvedeni Zakonom o tajnosti podataka (NN79/2007) i Zakonom o informacijskoj sigurnosti (NN 79/2007). Predloženo potvrđivanje i kontrola kontakt podataka uobičajeno se provodi u postupku imenovanja predstavnika, dok su načini komuniciranja s CSIRT tijelima predmet smjernica iz članaka 72., 74. i 90. ove Uredbe.
5 ZORAN SAMBOL DIO III. POPISI KLJUČNIH I VAŽNIH SUBJEKATA I POSEBAN REGISTAR SUBJEKATA, Članak 20. Točka ◊ „ ažurirane podatke za kontakt, uključujući adrese e-pošte “ adresa mrežne stranice subjekta, ime i prezime kontakt osobe odgovorne za dostavu podataka i osoba ovlaštenih za operacionalizaciju dostave, brojeve telefona, brojeve mobitela i adrese elektroničke pošte kontakt osobe odgovorne za dostavu podataka i osoba ovlaštenih za operacionalizaciju dostave se mjenja: ◊ „ ažurirane podatke za kontakt, uključujući službene i potvrđene adrese e-pošte “ adresa mrežne stranice subjekta, ime i prezime kontakt osobe odgovorne za dostavu podataka i osoba ovlaštenih za operacionalizaciju dostave, potvrđene službene brojeve fiksnih telefona, potvrđene službene brojeve mobitela i potvrđene službene adrese elektroničke pošte (s domene subjekta) kontakt osobe odgovorne za dostavu podataka i osoba ovlaštenih za operacionalizaciju dostave Obrazloženje: Svi kontakti moraju biti potvrđeni (verificirani) od strane nadležne organizacije: elektroničke pošte, službeni brojevi telefona i mobitela. Primljeno na znanje Isto obrazloženje kao pod točkom 4.
6 ZORAN SAMBOL DIO III. POPISI KLJUČNIH I VAŽNIH SUBJEKATA I POSEBAN REGISTAR SUBJEKATA, Članak 21. Sve adrese: e-pošte kao i telefonski brojevi moraju proći postupak potvrđivanja (verifkacije) i moraju biti službeni. E-pošta sa službene domene, te službeni mobilni i fiksni telefoni. Korištenje privatnih resursa ne smije biti dopušteno. Primljeno na znanje Isto obrazloženje kao pod točkom 4.
7 ZORAN SAMBOL DIO III. POPISI KLJUČNIH I VAŽNIH SUBJEKATA I POSEBAN REGISTAR SUBJEKATA, Članak 22. Članak (1) Podaci iz članaka 20. i 21. ove Uredbe i obavijesti o njihovoj promjeni dostavljaju se u elektroničkom obliku, prema uputama koje nadležna tijela za provedbu kategorizacije subjekata i nadležno tijelo za vođenje posebnog registra subjekata objavljuju na svojim mrežnim stranicama. se mijenja (1) Podaci iz članaka 20. i 21. ove Uredbe i obavijesti o njihovoj promjeni dostavljaju se u strojno čitljivom elektroničkom obliku, prema uputama koje nadležna tijela za provedbu kategorizacije subjekata i nadležno tijelo za vođenje posebnog registra subjekata objavljuju na svojim mrežnim stranicama. Obrazloženje. Podci moraju biti strojno čitljivi prema https://mpgi.gov.hr/otvoreni-strojno-citljivi-podaci-172/172 + https://mfin.gov.hr/UserDocsImages/dokumenti/sluzbenik_za_informiranje/ZID%20Zakon%20o%20pravu%20na%20pristup%20informacijama.pdf Primljeno na znanje Kako je u članku 22. utvrđeno, radi se općenito o elektroničkom formatu, koji ovisno o primjeni može biti strojno čitljiv, a sve prema uputama nadležnog tijela.
8 DIVERTO D.O.O. PRIMJENA INFORMACIJSKE SIGURNOSTI DIO IV. UPRAVLJANJE KIBERNETIČKIM SIGURNOSNIM RIZICIMA, Članak 36. Kriteriji za nacionalnu procjenu rizika su nejasni. Predlažemo da se jasno definiraju kriteriji / pragovi koji se koriste prilikom procjene te kako na njih utječu veličina subjekta i pripadnost određenom sektoru iz Priloga I i II. Nejednako razumijevanje kriterija od strane nadležnih tijela može utjecati na različito definiranje razine sigurnosti. Na primjer, nekim subjektima se može propisati previsoka, a nekima preniska razina sukladnosti (i troškova za postizanje sukladnosti) koju je potrebno zadovoljiti sukladno članku 38. Predlažemo da se definiraju: - izvori podataka za tipične vrste napada i učestalost revidiranja / ažuriranja takvih izvora podataka? - tipične vrste napada za pojedini sektor? - okvir koji će se koristiti za procjene tipičnih vrsta kibernetičkih napadača i procjene vjerojatnosti pojave pojedine vrste kibernetičkih napada. Prihvaćen Poglavlje I., Dijela IV., u okviru kojeg se nalazi članak 36., detaljno je ažurirano u svim člancima od 35. do 40., kako bi se zahtjevi za nacionalnu procjenu rizika postavili u okviru Uredbe, dok će se smjernicama iz članka 40. utvrditi preporučena metodologija pristupa, usklađena između nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti.
9 MATKO RADIĆ DIO IV. UPRAVLJANJE KIBERNETIČKIM SIGURNOSNIM RIZICIMA, Članak 36. U ovom članku nije jasno definirana niti jedna procjena. Najbolji primjer manjkavosti procjene jest u "procjene tipičnih vrsta kibernetičkih napada, kao što su onemogućavanje usluge ili sabotaža, krađa podataka ili špijunaža, kibernetički kriminal, haktivizam ili dezinformacije, a koji su globalno prisutni u sektoru kojem subjekt pripada" - govori li se o postotku specifičnog tipa napada unutar sektora, učestalosti toga tipa napada unutar sektora u nekom vremenu ili neka od drugih mogućih procjena. Prihvaćen Poglavlje I., Dijela IV., u okviru kojeg se nalazi članak 36., detaljno je ažurirano u svim člancima od 35. do 40., kako bi se zahtjevi za nacionalnu procjenu rizika postavili u okviru Uredbe, dok će se smjernicama iz članka 40. utvrditi preporučena metodologija pristupa, usklađena između nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti.
10 DIVERTO D.O.O. PRIMJENA INFORMACIJSKE SIGURNOSTI DIO IV. UPRAVLJANJE KIBERNETIČKIM SIGURNOSNIM RIZICIMA, Članak 54. Ovdje nedostaje koja je metodologija bodovanja, tko će je i na koji način definirati. Prihvaćen Poglavlje III., Dijela IV., u okviru kojeg se nalazi članak 54., detaljno je ažurirano u svim člancima od 51. do 57., kako bi se zahtjevi za samoprocjenu kibernetičke sigurnosti postavili u okviru Uredbe, dok će se smjernicama iz članka 57. utvrditi preporučena metodologija pristupa, a smjernice donosi Zavod za sigurnost informacijskih sustava kao nadležno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti.
11 OSTENDO CONSULTING DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA TRGOVINU I USLUGE DIO IV. UPRAVLJANJE KIBERNETIČKIM SIGURNOSNIM RIZICIMA, Članak 56. Završen tečaj i položen ispit za internog ili vodećeg revizora po nekoj od relevantnih normi iz područja kibernetičke sigurnosti, ili međunarodno priznati certifikat za revizora informacijskih sustava Primljeno na znanje Cilj članka 56. je utvrditi minimalne zahtjeve za proces samoprocjene kibernetičke sigurnosti, primarno namijenjen važnim subjektima. U tom smislu ti se zahtjevi razlikuju od zahtjeva za provedbu nezavisne revizije kibernetičke sigurnosti koju moraju provoditi ključni subjekti i značajno su jednostavniji. S druge strane članak 56. ne isključuje mogućnost korištenja viših zahtjeva, odnosno ne isključuje mogućnost da važni subjekti angažiraju vodećeg revizora za provedbu procesa samoprocjene kibernetičke sigurnosti.
12 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 59. Točka (2) Smatra se da incident negativno utječe na dostupnost usluge ili narušava kvalitetu usluge, ako je ispunjen najmanje jedan od sljedećih kriterijskih pragova: - najmanje 20% primatelja usluge nije moglo pristupiti usluzi u trajanju od najmanje 1 sat se mjenja: (2) Smatra se da incident negativno utječe na dostupnost usluge ili narušava kvalitetu usluge, ako je ispunjen najmanje jedan od sljedećih kriterijskih pragova: - najmanje 10% primatelja usluge nije moglo pristupiti usluzi u trajanju od najmanje 1 sat Obrazloženje: Broj primatelja usluge se smanjuje na 10% jer se radi o značajnim incidentima na sustavima. Nije prihvaćen Postavljeni kriteriji u članku 59. stavak 2. su usklađeni tako da s jedne strane obuhvate kriterije koji su do sada primjenjivani u nekim sektorima (npr. telekomunikacije), te da s druge strane budu primjenjivi horizontalno na sve sektore iz Priloga I. ove Uredbe, a da pri tome zadovolje i kriterije na EU razini. U tom smislu su predloženi kriteriji usuglašeni kroz međuresornu radnu skupinu, koja je uključivala i predstavnike HUP-a.
13 MATKO RADIĆ DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 61. (1) Smatra se da je incident utjecao ili bi mogao utjecati na druge fizičke i pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete, ako je zbog incidenta posljedično nastupilo jedno od sljedećeg: - smrt ili tjelesna ozljeda koja je zahtijevala hospitalizaciju ili terapijske postupke - potpuno uništenje ili znatno oštećenje materijalne imovine drugih fizičkih ili pravnih osoba ili - obustava ili znatno smanjenje poslovanja drugih fizičkih i pravnih osoba. - gubitak ili propagacija osobnih i/li zaštičenih podataka drugih fizičkih i pravnih osoba Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjena odredba čl.61. predmetnog Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
14 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 64. Članak 64. Nedostaje objašnjenje kratice CSIRT (Computer Security Incident Response Team) te točna i jasna informacija o tome koja institucija/tijelo u RH obavlja poslove nacionalnog CSIRTa. Nije prihvaćen Kratica CSIRT prvi puta je uvedena u hrvatsko zakonodavstvo tijekom transpozicije NIS 1 direktive 2018. godine. Kratica je dodatno pojašnjena u okviru pojmova Zakona o kibernetičkoj sigurnosti (NN 14/2024) u članku 4., temeljem kojeg zakona se donosi ova Uredba, te se zbog praktičnosti koristi kao i kratica CERT koja je uvedena Zakonom o informacijskoj sigurnosti (NN 79/2007). Raspodjela nadležnosti svih tijela u okviru Zakona o kibernetičkoj sigurnosti utvrđena je Prilogom III. Zakona o kibernetičkoj sigurnosti.
15 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 65. Članak 65. Nadopuna dodati stavak: Rano upozorenje o značajnom incidentu mora se CSIRTu dostaviti na slijedeće načine: telefonskim pozivom s potvrđeno službenog telefona, e-poštom s potvrđene adrese te ovjerenim (digitalno potpisanim) pismenom dostavljenim ovlaštenom i žurnom kurirskom službom. Objašnjenje, ako je sustav pod kibernetičkim napadom, ugrožena je sva elektronička komunikacija. Primljeno na znanje Isto obrazloženje kao pod točkom 4.
16 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 66. Točka (1) Rano upozorenje o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u bez odgode, a najkasnije u roku 24 sata od trenutka saznanja za značajan incident. postaje (1) Rano upozorenje o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u bez odgode, a najkasnije u roku 6 sata od trenutka saznanja za značajan incident. Najkasnije u roku od 6 sati od saznanja za značajan incident. Objašnjenje, vrijeme reakcije je bitno jer ključni i važni subjekti trebaju imati nadzor nad sustavom i detekciju incidenta neprekidno: 7 dana u tjednu, 24 sata dnevno 7/24. Nije prihvaćen Predloženi vremenski rokovi su utvrđeni NIS2 direktivom i usuglašeni na razini EU. Reakcija na incident u svakom subjektu započinje trenutkom spoznaje da subjekt ima incident, dok popratno izvještavanje ima za cilj omogućiti eventualnu pomoć subjektu u rješavanju incidenta, spriječiti širenje incidenta na druge subjekte, kao i omogućiti stalni uvid u stanje na sektorskoj i nacionalnoj razini.
17 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 67. Točka (1) Početna obavijest o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u bez odgode, a najkasnije u roku 72 sata od trenutka saznanja za značajan incident. se mijenja: (1) Početna obavijest o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u bez odgode, a najkasnije u roku 18 sata od trenutka saznanja za značajan incident. Objašnjenje, vrijeme reakcije je bitno jer ključni i važni subjekti trebaju imati nadzor nad sustavom i detekciju incidenta neprekidno: 7 dana u tjednu, 24 sata dnevno 7/24. Nije prihvaćen Obrazloženje kao pod točkom 16.
18 MATKO RADIĆ DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, ODJELJAK III. POSTUPANJA NADLEŽNOG CSIRT-a POVODOM ZAPRIMLJENIH OBAVIJESTI O ZNAČAJNIM INCIDENTIMA CSIRT je akronim na stranom jeziku, a zbog donesenog Zakona o Hrvatskom jeziku, te s obzirom da je navedeno u zakonu o kibernetičkoj sigurnost se definira kao:" Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata, za koju se koristi i kratica CERT (Computer Emergency Response Team)" ispravno bi bilo koristiti "Nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata" kroz cijeli dokument. Nije prihvaćen Obrazloženje kao pod točkom 14.
19 ZORAN SAMBOL DIO V. PRAVILA OBAVJEŠTAVANJA O KIBERNETIČKIM PRIJETNJAMA I INCIDENTIMA ZA KLJUČNE I VAŽNE SUBJEKTE, Članak 96. Točke 2. i 3. postaju (2) Ključni i važni subjekti dužni su imenovati dva (2) administratora iz reda svojih zaposlenika. (3) Ključni i važni subjekt može imenovati do tri administratora. Objašnjenje: Što se događa ako je administrator (jedan) na godišnjem odmoru? Zato je potrebno imenovati dva administratora i u ključnom i važnom subjektu definirati nemogućnost istodobnog korištenja prava na godišnji odmor/slobodan dan bilo kojeg od imenovanog administratora. Nije prihvaćen Omogućeno je imenovanje do dva administratora, pri čemu je njihov posao vezan samo za omogućavanje rada osobama ovlaštenima za provedbu obavještavanja iz članka 97. Uredbe, koje će obavljati sav operativni posao obavještavanja u subjektu.
20 ZORAN SAMBOL DIO VI. PROVEDBA OBAVJEŠTAVANJA O INCIDENTIMA I KIBERNETIČKIM PRIJETNJAMA KAO DOBROVOLJNI MEHANIZAM KIBERNETIČKE ZAŠTITE, Članak 105. (1) Subjekti iz članka 47. stavka 1. ove Uredbe dužni su najmanje jednom godišnje provoditi samoprocjene kibernetičke sigurnosti sve dok koriste mogućnost obavještavanja o incidentima i kibernetičkim prijetnjama temeljem članka 50. stavka 2. Zakona, a sastavljene izjave o sukladnosti iz članka 35. stavka 3. Zakona dostaviti nadležnom CSIRT-u bez odgode, a najkasnije u roku osam dana od dana njihova sastavljanja Objašnjenje računalni i IKT sustavi, tehnike, ugroze, procedure... iznimno brzo napreduju. Dvije godine je previše, stoga je prijedlog provođenja samoprocjene jednom godišnje, po mogućnosti svake kalendarske godine u drugom mjesecu. Nije prihvaćen Samoprocjene kibernetičke sigurnosti su namijenjene kao mjera primarno važnim subjektima te služe kao zamjenska i jednostavnija mjera od nezavisne revizije koju moraju provoditi ključni subjekti, također najmanje jednom u dvije godine. Pored ovih mjera predviđen je stručni nadzor nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti svake tri do pet godina, a postoji i obaveza lokalne procjene rizika samog subjekta i slijedne prilagodbe primijenjenih mjera kibernetičke sigurnosti, koja se provodi najmanje jednom godišnje. Gledano u kontekstu ukupnosti svih predviđenih mjera, smatra se dovoljnim koristiti samoprocjene kibernetičke sigurnosti najmanje jednom u dvije godine.
21 DIVERTO D.O.O. PRIMJENA INFORMACIJSKE SIGURNOSTI PRILOG I. POPIS SEKTORA DJELATNOSTI, A. POPIS ZA PRILOG I. ZAKONA - SEKTORI VISOKE KRITIČNOSTI Postoij li razlog zbog kojeg unutar A. POPIS ZA PRILOG I. ZAKONA - SEKTORI VISOKE KRITIČNOSTI za vodeni promet nema operatora brodova za prijevoz tereta (tankeri, rasuti tereti i slično) već je samo prijevoz putnika? Primljeno na znanje Podsektor vodenog prometa utvrđen je u Prilogu I. Zakona o kibernetičkoj sigurnosti (NN 14/2024) temeljem zahtjeva iz NIS2 direktive, koji su usuglašeni na razini EU i primarno se odnose na nacionalne plovne puteve, luke i nadzorna i upravljačka tijela.
22 AXIANS HRVATSKA D.O.O. ZA INFORMACIJSKA RJEŠENJA I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 2. Upravljanje programskom i sklopovskom imovinom Mjera 2.7 - Potrebno je uvesti mehanizme sigurnog uklanjanja imovine i brisanja podataka. Nije prihvaćen Opis mjere 2.7. odnosi se na procese ažuriranja i uvođenja promjena, što uključuje i dodavanje i uklanjanje imovine. Ukoliko se misli na proces sigurnog zbrinjavanja i brisanja podataka, to je opisano u mjeri 2.8.
23 OSTENDO CONSULTING DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA TRGOVINU I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 2. Upravljanje programskom i sklopovskom imovinom Točka 3.2 definira obavezu primjene metodologije procjene rizika koja se temelji na procjeni po pojedinim elementima iz registra imovine. Prema normi za upravljanje rizikom informacijske sigurnosti, ISO 27005:2022, točka 7.2.1, event based risk identification and assessment uz manje resursa daje brže rezultate upravo u identifikaciji kritičnih rizika, u usporedbi sa asset based identifikacijom. Predlažemo da se subjektu omogući kreiranje vlastite metodologije identifikacije i procjene rizika koja mu je primjerenija (na temelju registra, scenarija ili kombinacija). Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjena točka 3.2. Priloga II. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
24 AXIANS HRVATSKA D.O.O. ZA INFORMACIJSKA RJEŠENJA I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 3. Upravljanje rizicima U mjeri 3.2. predlažemo dodatno procjenu rizika baziranu na scenarijima, a ne isključivo nad inventarom imovine, pogotovo radi značaja i zastupljenosti virtualnih okruženja. Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjena točka 3.2. Priloga II. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
25 OSTENDO CONSULTING DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA TRGOVINU I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 3. Upravljanje rizicima 3.1. razviti, dokumentirati, implementirati i na godišnjoj osnovi ažurirati proces upravljanja rizicima koji uključuje IDENTIFIKACIJU, procjenu rizika, određivanje razine i kritičnosti rizika, načine obrade rizika, identifikaciju vlasnika rizika i njihovo područje odgovornosti. Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjena točka 3.1. Priloga II. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
26 AXIANS HRVATSKA D.O.O. ZA INFORMACIJSKA RJEŠENJA I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 9. Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava Mjera 9.6. - u hrvatskoj uredbi potrebno je dodati objašnjenja engleskih termina. U uredbi koja predstavlja zakonsku obvezu, ne bi trebalo koristiti stranu terminologiju bez objašnjenja. Prihvaćen Komentar se prihvaća, te će sukladno istome biti izmijenjeni termini u točki 9.6. Priloga II. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti.
27 AXIANS HRVATSKA D.O.O. ZA INFORMACIJSKA RJEŠENJA I USLUGE PRILOG II. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA, 11. Postupanje s incidentima Mjera 11.6. - u hrvatskoj uredbi potrebno je dodati objašnjenja engleskih termina. U uredbi koja predstavlja zakonsku obvezu ne bi trebalo koristiti stranu terminologiju bez objašnjenja. Primljeno na znanje U okviru Priloga II. Nacrta prijedloga Uredbe o kibernetičkoj sigurnosti koristi se engleska terminologija i kratice samo kao stručna ilustracija za opisni hrvatski prijevod te su usklađena sva mjesta koja nisu zadovoljavala ovo načelo pristupa.