Izvješće o provedenom savjetovanju - Nacrt Pravila sigurnosne certifikacije za reviziju kibernetičke sigurnosti
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | SLAVEN TOMIĆ | Pravila sigurnosne certifikacije za reviziju kibernetičke sigurnosti | Da li je usluga provedbe obvezne revizije kibernetičke sigurnosti kod nekog ključnog subjekta "upravljana sigurnosna usluga"? Ne radi se o : stalnom upravljanju sigurnosnim alatima (SIEM, SOC,EDR, itd...), ne obavlja se 24/7 nadzor, ne podrazumijeva stalan pristup (nadzor) sustavima ključnog subjekta, ne implementiraju se ili održavaju tehničke sigurnosne mjere, itd....?? | Primljeno na znanje | Revizija kibernetičke sigurnosti je upravljana sigurnosna usluga. Uredba (EU) 2025/37 Europskog parlamenta dopunjuje Uredbu (EU) 2019/881 na način da u članku 2. Uredbe dodaje točku 14.a koja glasi: " 'upravljana sigurnosna usluga’ znači usluga koja se pruža trećoj strani te se sastoji od obavljanja aktivnosti povezanih s upravljanjem kibersigurnosnim rizicima, kao što su rješavanje incidenata, penetracijska testiranja, revizije sigurnosti i savjetovanje, uključujući stručno savjetovanje, povezano s tehničkom potporom, ili pružanje pomoći u obavljanju tih aktivnosti;” |
| 2 | SLAVEN TOMIĆ | Pravila sigurnosne certifikacije za reviziju kibernetičke sigurnosti, 2Organizacijski i stručni zahtjevi | Da li tvrtka koja želi biti certificirana za provođenje obvezne (zakonske) revizija kibernetičke sigurnosti ključnih subjekata, mora i sama biti kategorizirana kao ključni ili važni subjekt? | Primljeno na znanje | Tvrtka koja želi biti certificirana za provođenje revizije kibernetičke sigurnosti, a sukladno ovim Pravilima, ne mora biti kategorizirana kao ključni ili važni subjekt. Odnosno svatko tko zadovoljava propisane uvjete iz Pravila (samim time ZKS-a i UKS-a) se može prijaviti i biti certificiran za provođenje revizija kibernetičke sigurnosti sukladno čl. 31., 32., 33. i 34. ZKS-a, neovisno o kategorizaciji. Važno za napomenuti je da Uredba o kibernetičkoj sigurnosti u Prilogu II. Mjere upravljanja kibernetičkim sigurnosnim rizicima, u mjeri 8.3 alineja 2 propisuje sklapanje ugovora o pružanju upravljanih sigurnosnih usluga koji se moraju sklapati isključivo sa pružateljima takvih usluga koji su kategorizirani kao ključni ili važni subjekti sukladno Zakonu. Navedena mjera je obvezujuća za sve tri razine (osnovna, srednja i napredna) sukladno čl 42. i 44. UKS-a. Napominjemo kako ZSIS nije zadužen za poslove kategorizacije. |
| 3 | NATALIJA PARLOV | 2Organizacijski i stručni zahtjevi, 2.1Organizacijski zahtjevi | Originalni tekst: Organizacijski zahtjevi za PRUS-ove koji provode revizije kibernetičke sigurnosti osiguravaju uspostavljen proces upravljane usluge revizije kibernetičke sigurnosti, stabilnu i učinkovitu unutarnju strukturu, neovisnost u radu te dosljedno upravljanje kvalitetom procesa. PRUS-ovi moraju uspostaviti proces revizije kao svoju upravljanu sigurnosnu uslugu, te jasno definiranu organizacijsku strukturu s precizno dodijeljenim odgovornostima i ovlastima unutar revizorskog tima. Svaki član tima mora imati jasno definirane uloge u procesu revizije, od planiranja do provedbe i izvještavanja. Osim toga, PRUS je dužan dokumentirati te uloge u obliku internog pravilnika ili organizacijske sheme koji se redovito ažuriraju, a proces revizije mora biti opisan procedurama i ostalim dokumentiranim informacijama. Prijedlog promjene: Organizacijski zahtjevi za PRUS-ove koji provode revizije kibernetičke sigurnosti osiguravaju uspostavljen proces upravljane sigurnosne usluge revizije kibernetičke sigurnosti, stabilnu i učinkovitu unutarnju strukturu, neovisnost u radu te dosljedno upravljanje kvalitetom procesa te informacijskom i kibernetičkom sigurnošću. PRUS-ovi moraju uspostaviti proces revizije kao svoju upravljanu sigurnosnu uslugu, te jasno definiranu organizacijsku strukturu s precizno dodijeljenim odgovornostima i ovlastima unutar revizorskog tima, kao i načinima ophođenja s informacijama o subjektu revizije tijekom cijelog njenog procesa. Svaki član tima mora imati jasno definirane uloge u procesu revizije, od planiranja do provedbe i izvještavanja. Osim toga, PRUS je dužan dokumentirati te uloge u obliku internog pravilnika ili organizacijske sheme koji se redovito ažuriraju, a proces revizije mora biti opisan procedurama i ostalim dokumentiranim informacijama. Obrazloženje: Revizije spadaju pod upravljane sigurnosne usluge te se zbog zadržavanja jasnoće predlaže dodavanje riječi "sigurnosne". Predlaže se i jasnije isticanje obveza vezanih uz informacijsku sigurnost, osobito tijekom cjelokupnog procesa provedbe revizije odnosno od njenog iniciranja, dodjele tima revizora, provedbe, pa sve do konačnog izvještavanja i arhiviranja svih podataka o subjektima revizije kojima će raspolagati. . . . Originalni tekst: Sustav upravljanja kvalitetom uspostavljenog procesa revizije PRUS-a ključan je za održavanje visokih standarda u pružanju sigurnosnih usluga. PRUS-ovi su dužni implementirati formalni sustav upravljanja kvalitetom koji minimalno uključuje redovite interne procjene, identifikaciju slabosti i/ili nedostataka te mjere za poboljšanje procesa. Ove procjene moraju biti dokumentirane u formi revizijskih izvješća, a preporučuje se i vođenje registra neusklađenosti te predloženih korektivnih mjera. ZSIS u okviru nadzora nad PRUS-om provodi provjeru postojanja i primjene navedenih sustava. Pregledom relevantne dokumentacije, provođenjem intervjua s ključnim osobljem te procjenom učinkovitosti primjene korektivnih mjera, ZSIS utvrđuje u kojoj mjeri PRUS osigurava provedbu propisanih procesa, uspostavlja mehanizme sustavnog unapređenja te održava usklađenost s primjenjivim referentnim standardima. Prijedlog promjene: Sustav upravljanja kvalitetom i informacijskom odnosno kibernetičkom sigurnošću uspostavljenog procesa revizije PRUS-a ključan je za održavanje visokih standarda u pružanju sigurnosnih usluga. PRUS-ovi su dužni implementirati formalni sustav upravljanja kvalitetom i informacijskom sigurnošću koji minimalno uključuje redovite interne procjene, identifikaciju slabosti i/ili nedostataka te mjere za poboljšanje procesa. Vezano uz sustav upravljanja kvalitetom, procjene moraju biti dokumentirane u formi revizijskih izvješća, a preporučuje se i vođenje registra neusklađenosti te predloženih korektivnih mjera. Vezano uz upravljanje informacijskom i kibernetičkom sigurnošću, PRUS-ovi su dužni implementirati napredne mjere kibernetičke sigurnosti, u skladu sa svim obvezama važnih ili ključnih subjekata koje proizlaze iz njihove kategorizacije s obzirom na pružanje upravljanih sigurnosnih usluga. ZSIS u okviru nadzora nad PRUS-om provodi provjeru postojanja i primjene navedenih sustava. Pregledom relevantne dokumentacije, provođenjem intervjua s ključnim osobljem te procjenom učinkovitosti primjene korektivnih mjera, ZSIS utvrđuje u kojoj mjeri PRUS osigurava provedbu propisanih procesa, uspostavlja mehanizme sustavnog unaprjeđenja te održava usklađenost s primjenjivim referentnim standardima i propisanim naprednim mjerama. Obrazloženje: S obzirom da se radi o opsežnim obvezama PRUS-ova vezanim uz informacijsku i kibernetičku sigurnost, te obvezi uspostave naprednih mjera kibernetičke sigurnosti uslijed pružanja upravljane sigurnosne usluge, isto bi trebalo biti razvidno te korespondirati i sa zahtjevima uspostave sustava upravljanja kvalitetom. . . . Originalni tekst: Tablica Redni broj 1: Uspostavljen i dokumentiran proces upravljane usluge revizije kibernetičke sigurnosti* Prijedlog promjene: Tablica Redni broj 1: Uspostavljen i dokumentiran proces upravljane sigurnosne usluge revizije kibernetičke sigurnosti* Obrazloženje: Jasnije isticanje da se radi o kategoriji upravljane sigurnosne usluge . . . Originalni tekst: Tablica Redni broj 3: Jasno dodijeljene odgovornosti i ovlasti*; Sve uloge i ovlasti u revizorskom timu moraju biti jasno definirane i raspodijeljene; Analiza dokumentacije koja opisuje uloge, i odgovornosti; Opis poslova, interni pravilnici Prijedlog promjene: Tablica Redni broj 3: Jasno dodijeljene uloge, odgovornosti i ovlasti*; Sve uloge i ovlasti u revizorskom timu moraju biti jasno definirane i raspodijeljene, uključivši i prava pristupa te prava unosa promjena u dokumentaciju vezanu uz reviziju.; Analiza dokumentacije koja opisuje uloge, odgovornosti i ovlasti; Opis poslova, interni pravilnici Obrazloženje: Preciziranjem naziva zahtjeva i proširenjem opisa na prava pristupa te prava unosa promjena u dokumentaciju vezanu uz reviziju osigurava se potpuna sljedivost i kontrola nad upravljanjem revizijskim procesom i pripadajućom dokumentacijom. U kontekstu kibernetičke sigurnosti, nepravilno ili neautorizirano upravljanje revizijskom dokumentacijom može dovesti do kompromitacije integriteta nalaza, neusklađenosti s propisanim mjerama te gubitka povjerenja nadležnog tijela i korisnika. Jasno definirane uloge, odgovornosti, ovlasti i prava pristupa ključne su za sprječavanje neovlaštenih izmjena te za osiguranje usklađenosti s naprednom razinom mjera sigurnosti propisanom Uredbom i Zakonom o kibernetičkoj sigurnosti. . . . Originalni tekst: Tablica Redni broj 6: Sustav upravljanja kvalitetom****; Formalni sustav za osiguranje kvalitete usluga kroz procesne standarde.; Pregled dokumenata sustava upravljanja kvalitetom; Standardi kvalitete, priručnici za kvalitetu Prijedlog promjene: Tablica Redni broj 6: Sustav upravljanja kvalitetom te informacijskom sigurnošću****; Formalni sustav za osiguranje kvalitete usluga i osiguranja informacijske sigurnosti kroz procesne standarde i kriterije propisanih mjera.; Pregled dokumenata sustava upravljanja kvalitetom te informacijskom i kibernetičkom sigurnošću; Standardi kvalitete i informacijske sigurnosti, priručnici i pravilnici vezani uz kvalitetu te informacijsku i kibernetičku sigurnost Obrazloženje: S obzirom na obvezu PRUS-a o uspostavi napredne razine mjera sigurnosti, radi se i o uspostavi kompletnog sustava upravljanja informacijskom sigurnošću uključujući kibernetičku sigurnost i osiguranje kontinuiteta poslovanja. . . . Originalni tekst: Tablica Redni broj 7; Redovite interne procjene i poboljšanja****; Redovita procjena kvalitete, identifikacija slabosti i provedba korektivnih mjera.; Pregled izvješća o internim procjenama i korektivnim mjerama; Izvješća o internim auditima, planovi korektivnih mjera Prijedlog promjene: Tablica Redni broj 7; Redovite interne i vanjske (ako je primjenjivo) procjene i poboljšanja****; Redovita procjena kvalitete, informacijske i kibernetičke sigurnosti, identifikacija slabosti i provedba korektivnih mjera.; Pregled izvješća o internim i vanjskim (ako je primjenjivo) procjenama, pregled Izvješća o samoprocjeni ili reviziji kibernetičke sigurnosti i korektivnim mjerama, pregled Izjave o sukladnosti; Izvješća o internim auditima, Izvješće o samoprocjeni ili reviziji kibernetičke sigurnosti, planovi korektivnih mjera, Izjava o sukladnosti Obrazloženje: Dodavanje vanjskih procjena odnosno revizija za PRUS-eve koji će biti kategorizirani kao ključni subjekti. Dodavanje Izvješća o provedenoj samoprocjeni kibernetičke sigurnosti ili Izvješća o provedenoj reviziji kibernetičke sigurnosti, za napredne razine mjera, sukladno poglavlju 2.3 Tehničko-sigurnosni zahtjevi, u opsegu prema poglavlju 3.2 Obvezni sadržaj izvješća o provedenoj reviziji kibernetičke sigurnosti. . . . Originalni tekst: * Ako je organizacija certificirana prema standardima ISO 9001:2015 i ISO/IEC 17021-1:2015 ili drugim ekvivalentnim certifikatima, u skladu s ovim zahtjevom ZSIS-u dostavlja i potvrdu o certifikaciji uz propisanu dokumentaciju iz koje je nedvojbeno razvidno da certifikacija pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti. Prijedlog promjene: * Ako je organizacija certificirana prema ISO 9001:2015 i ISO/IEC 27001:2022 s opsegom koji izrijekom obuhvaća i procese revizije kibernetičke sigurnosti, ili je certifikacijsko tijelo aktivno akreditirano prema ISO/IEC 17021-1:2015 s relevantnim opsegom, odnosno ISO/IEC 27001:2022 za provedbu revizije informacijske i kibernetičke sigurnosti, ZSIS-u dostavlja, uz propisanu dokumentaciju, odgovarajući dokaz iz kojeg je nedvojbeno razvidno da opseg certifikacije ili akreditacije pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti (za ISO 9001:2015 - aktivan akreditiran certifikat izdan od certifikacijskog tijela; za ISO/IEC 17021-1:2015 - potvrda o akreditaciji na kojoj je razvidno da akreditacija obuhvaća i ISO/IEC 27001:2022; za ISO/IEC 27001:2022 - aktivan akreditiran certifikat izdan od certifikacijskog tijela). Obrazloženje: Predložena izmjena na formulaciju „ISO 9001:2015 ili ISO/IEC 17021-1:2015” nužna je radi normativne ispravnosti, razmjernosti i tržišne neutralnosti, uz jasno uključivanje međunarodnog standarda ISO/IEC 27001:2022 kao relevantnog okvira za sustav upravljanja informacijskom i kibernetičkom sigurnošću, koji sadržajem korespondira sa zahtijevanim mjerama kibernetičke sigurnosti te je na njih također i mapiran u Katalogu kontrola vezanom uz Samoprocjene i revizije kibernetičke sigurnosti. ISO/IEC 17021-1:2015 nije certifikat za organizacije koje pružaju stručne revizije, nego skup zahtjeva za akreditaciju certifikacijskih tijela koja provode certifikaciju sustava upravljanja (npr. ISO/IEC 27001, ISO 22301). Traženje “certificiranosti prema ISO/IEC 17021-1” od svih PRUS-ova terminološki je neispravno i praktično neprovedivo za subjekte koji nisu certifikacijska tijela te je za njih razumno i dostatno tražiti uređen sustav upravljanja kvalitetom prema ISO 9001:2015 s jasnim opsegom koji obuhvaća procese revizije kibernetičke sigurnosti. Isto tako, uvrštavanjem ISO/IEC 27001:2022 u prijedlog za PRUS-ove koji nisu certifikacijska tijela, ali imaju certificiran sustav upravljanja informacijskom i kibernetičkom sigurnošću s opsegom koji obuhvaća revizije dodatno se osigurava razina sigurnosti, povjerljivosti i integriteta procesa, što je u skladu s velikim dijelom napredne razine mjera iz članka 42. Uredbe i pratećih Priloga. U slučaju kad je PRUS certifikacijsko tijelo, akreditacija prema ISO/IEC 17021-1:2015 s relevantnim opsegom koja uključuje ISO/IEC 27001:2022 već obuhvaća zahtjeve nepristranosti i upravljanja kvalitetom te kompetencijama za nadzor upravljanja informacijskom i kibernetičkom sigurnošću, kao i od neovisne treće strane nadziranu sigurnost cjelokupnog procesa revizije i obrađivanih podataka. U tom slučaju dodatno traženje certifikacije prema ISO 9001:2015 i ISO/IEC 27001:2022 bilo bi suvišno i neproporcionalno. Važno je uzeti u obzir da su certifikacijska tijela također subjekti koji konkuriraju u pružanju ovih usluga, dokle god to nije protivno pravilima nepristranosti i izbjegavanja sukoba interesa. Njihova akreditacija pod nadzorom akreditacijskih tijela jamči upravo te mehanizme zaštite, dok ZSIS svojim nadzorima također provjerava njihovu primjenu. Predloženom izmjenom postiže se normativna točnost, proporcionalnost zahtjeva i fer tržišni uvjeti, bez umanjenja razine kvalitete i sigurnosti procesa revizije, te se jasno prepoznaje i uloga ISO/IEC 27001:2022 kao temeljnog međunarodno prihvaćenog standarda za upravljanje informacijskom i kibernetičkom sigurnošću, osobito u upravljanju osjetljivim podacima o revizijama sustava organizacijskih i tehničkih karakteristika kritične infrastrukture. . . . Originalni tekst: ** Ako je organizacija certificirana prema standardu ISO/IEC 17021-1:2015 ili drugom ekvivalentnom certifikatu, u skladu s ovim zahtjevom ZSIS-u dostavlja uz propisanu dokumentaciju i potvrdu o certifikaciji iz koje je nedvojbeno razvidno da certifikacija pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti. Prijedlog promjene: ** Ako je organizacija certifikacijsko tijelo aktivno akreditirano prema ISO/IEC 17021-1:2015 s relevantnim opsegom odnosno ISO/IEC 27001:2022 za provedbe revizije informacijske odnosno kibernetičke sigurnosti, u skladu s ovim zahtjevom ZSIS-u dostavlja uz propisanu dokumentaciju i potvrdu o akreditaciji. Obrazloženje: Na hrvatskom jeziku Certificate of Accreditation se uobičajeno službeno prevodi kao Potvrda o akreditaciji. . . . Originalni tekst: *** Ako je organizacija certificirana prema standardima ISO/IEC 17021-1:2015 ili ISO 37301:2021 ili drugim ekvivalentnim certifikatima, u skladu s ovim zahtjevom ZSIS-u dostavlja uz propisanu dokumentaciju i potvrdu o certifikaciji iz koje je nedvojbeno razvidno da certifikacija pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti. Prijedlog promjene: *** Ako je organizacija certificirana prema standardu ISO 37301:2021 ili je certifikacijsko tijelo aktivno akreditirano prema ISO/IEC 17021-1:2015 s relevantnim opsegom odnosno ISO/IEC 27001:2022 za provedbe revizija informacijske odnosno kibernetičke sigurnosti ili drugim ekvivalentnim standardima, u skladu s ovim zahtjevom ZSIS-u dostavlja uz propisanu dokumentaciju i aktivan certifikat izdan od za taj standard akreditirane certifikacijske kuće ili potvrdu o akreditaciji. Iz certifikata ili potvrde o akreditaciji treba biti nedvojbeno razvidno da certifikacija ili akreditacija pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti. Obrazloženje: Certificirani subjekti dostavljaju certifikate izdane od za to akreditiranih certifikacijskih tijela, dok certifikacijska tijela dostavljaju potvrde o akreditaciji. . . . Originalni tekst: **** Ako je organizacija certificirana prema standardu ISO 9001:2015 ili drugom ekvivalentnom certifikatu, u skladu s ovim zahtjevom ZSIS-u dostavlja uz propisanu dokumentaciju i potvrdu o certifikaciji iz koje je nedvojbeno razvidno da certifikacija pokriva poslove i procese koji se odnose na provedbu revizije kibernetičke sigurnosti. Prijedlog promjene: Brisanje ili usklađivanje s prijedlogom navedenim pod * Obrazloženje: Suvišno ukoliko bude prihvaćen prijedlog promjene na *, tada u Tablici unijeti i korekciju **** na * gdje je primjenjivo. . . . Originalni tekst: Iznimno od prethodno navedenog, istekom roka od tri godine od dana stupanja na snagu ovih Pravila, PRUS je obvezan prilikom podnošenja zahtjeva za certifikaciju, uz ostalu propisanu dokumentaciju temeljem kojih se vrši provjera ispunjenja organizacijskih zahtjeva, dostaviti dokaz kako je organizacija certificirana prema standardima ISO 9001:2015 i ISO/IEC 17021-1:2015. Prijedlog promjene: Iznimno od prethodno navedenog, istekom roka od tri godine od dana stupanja na snagu ovih Pravila, PRUS je obvezan, prilikom podnošenja zahtjeva za certifikaciju, uz ostalu propisanu dokumentaciju dostaviti jedan od sljedećih dokaza o uređenosti sustava kvalitete i informacijske sigurnosti: dokaz da organizacija posjeduje aktivan akreditiran certifikat prema ISO 9001:2015 i ISO/IEC 27001:2022 s jasno navedenim opsegom koji obuhvaća i procese revizije kibernetičke sigurnosti ili dokaz da je organizacija akreditirano certifikacijsko tijelo prema ISO/IEC 17021-1:2015 s relevantnim opsegom odnosno ISO/IEC 27001:2022. Obrazloženje: Obuhvaćeno u prethodnim obrazloženjima. | Prihvaćen | Primjedbe prihvaćene. |
| 4 | SLAVEN TOMIĆ | 2Organizacijski i stručni zahtjevi, 2.1Organizacijski zahtjevi | ISO/IEC 17021-1 nije norma po kojoj se organizacija certificira, već je to norma za akreditaciju tijela koja provode certifikaciju sustava upravljanja (npr. ISO 9001, ISO 14001, ISO 27001 itd.). Po toj normi su akreditirane certifikacijske kuće, ali ne tvrtke koje provode IT revizije ili revizije informacijske i kibernetičke sigurnosti. Sukladno analizi normativnih zahtjeva, ističemo da ISO/IEC 17021-1 ("Procjena sukladnosti – Zahtjevi za tijela koja provode audit i certifikaciju sustava upravljanja") nije primjenjiva kao obvezujući standard za organizacije koje će provoditi revizije kibernetičke sigurnosti prema Zakonu o kibernetičkoj sigurnosti, iz sljedećih razloga: 1. Svrha norme ISO/IEC 17021-1 ISO/IEC 17021-1 odnosi se isključivo na tijela koja provode certifikaciju sustava upravljanja (npr. ISO 9001, ISO 27001 itd.) te definira zahtjeve za njihovu kompetentnost, dosljednost i nepristranost. Ova norma nije namijenjena organizacijama koje provode stručne revizije ili inspekcije koje ne rezultiraju certifikatom sustava upravljanja, već koje, poput revizije kibernetičke sigurnosti, imaju savjetodavni, analitički ili izvještajni karakter. 2. Revizija ≠ Certifikacija sustava upravljanja. Revizije u području kibernetičke sigurnosti koje se traže Zakonom o kibernetičkoj sigurnosti nisu certifikacijske revizije u smislu ISO normi (npr. ISO 27001), već su stručne procjene stanja sigurnosti informacijskih sustava, temeljem zakonskih i tehničkih zahtjeva, s ciljem unaprjeđenja sigurnosti – ne izdavanja certifikata. 3. Alternativni standardi i okviri Za potrebe provjere kompetencija organizacija koje obavljaju revizije kibernetičke sigurnosti, primjereniji su drugi standardi i kriteriji, poput: ISO/IEC 27001 (za organizaciju) te stručnost i certifikati osoba koje provode reviziju (ISO/IEC 27005 Risk Manager, ISO/IEC 27035 Incident Manager, NIS 2 Directive Implementer, Cybersecurity Manager, ISO/IEC 27001 Lead Auditor itd.) Zaključno, zahtijevanje akreditacije prema ISO/IEC 17021-1 za subjekte koji provode revizije kibernetičke sigurnosti nije opravdano ni tehnički ni normativno, te bi takav uvjet neopravdano ograničio broj stručnih subjekata i povećao trošak provedbe, bez stvarne dodane vrijednosti za kibernetičku sigurnost pravnih subjekata koji će biti predmet revizije. | Nije prihvaćen | Cilj ovih Pravila je uskladiti primjenu NIS2 direktive sa drugim zemljama članicama, odnosno sa nacrtima potencijalnih budućih Europskih shema za upravljane sigurnosne usluge. Kada pogledate primjere iz EU vidljivi su zahtjevi za posjedovanjem ISO/IEC 17021-1 za revizore kibernetičke sigurnosti. Cilj Pravila je maksimalno približiti procese trenutnim nacrtima EU shema da prijelaz, kada se EU shema donese, bude što lakši. Pravila i dalje ne zahtjevaju da PRUS-evi budu certificirani, suklando 17021-1 s danom stupanja već je definiran period od tri godine kako bi svi zainteresirani PRUS-evi mogli pravovremeno zadovoljiti sve uvjete. Više informacija dostupno je na stranicama Europske agencije za kibernetičku sigurnost (ENISA) - 25. lipnja 2025. godine objavljen je poziv za dostavu kandidata za razvoj europske sheme za upravljane sigurnosne usluge - shema spomenuta u čl. 32. stavak 2. alineja 2. Zakona o kibernetičkoj sigurnosti. |
| 5 | NATALIJA PARLOV | 2Organizacijski i stručni zahtjevi, 2.2Stručni zahtjevi | Originalni tekst: Osim spomenutoga, mnoga akreditirana tijela i edukacijski centri nude tečajeve za obuku članova revizorskog tima temeljenih na ISO 19011 (poput "Internal Auditor Training – Based on ISO 19011" ili "ISO 19011 Guidelines Auditor Training"). Potrebno je da članovi revizorskog tima PRUS-a imaju potvrdu koja potvrđuje da su osposobljeni za provođenje revizija u skladu s načelima ISO 19011 - navedeno nije certifikat ISO 19011, već dokaz da je revizor educiran prema smjernicama ISO 19011. Prijedlog promjene: Osim spomenutoga, mnoga akreditirana tijela i edukacijski centri nude tečajeve za obuku članova revizorskog tima temeljenih na ISO 19011 (poput "ISO/IEC 27001:2022 Lead Auditor Training", "Internal Auditor Training – Based on ISO 19011" ili "ISO 19011 Guidelines Auditor Training"). Potrebno je da članovi revizorskog tima PRUS-a imaju potvrdu koja potvrđuje da su osposobljeni za provođenje revizija u skladu s načelima ISO 19011, pri čemu ista ne predstavlja certifikat ISO 19011, već dokaz da je revizor educiran o načinu provedbe revizija u skladu sa smjernicama propisanim standardom ISO 19011. Obrazloženje: Dodan "ISO/IEC 27001:2022 Lead Auditor Training" s obzirom da je isti utemeljen na ISO 19011 te po svom opsegu i prirodi odgovara najvećem broju propisanih kontrola u Katalogu kontrola kao glavnom kriteriju, a koje su predmetom provedbe revizija kibernetičke sigurnosti. Redefinirana rečenica. | Prihvaćen | Primjedbe prihvaćane |
| 6 | SLAVEN TOMIĆ | 2Organizacijski i stručni zahtjevi, 2.2Stručni zahtjevi | Da li je točno da članovi revizorskog tima, po pitanju formalnog obrazovanja, moraju imati minimalno višu stručnu spremu (6. st.) iz relevantnog područja? | Primljeno na znanje | Točno je. U poglavlju 2.2 stručni zahtjevi: Članovi revizorskog tima moraju imati završeno visoko obrazovanje (razina 6. sv ili 6. st HKO-a i razina 7.1. sv ili 7.1. st HKO-a) iz relevantnog područja. Relevantna područja uključuju, ali nisu ograničena na: računarstvo, informacijske tehnologije, informacijsku sigurnost, studije sigurnosti, pravo i upravljanje s fokusom na sigurnosne aspekte, te druga područja ako sadrže značajnu komponentu iz područja kibernetičke sigurnosti ili revizija informacijskih sustava. |
| 7 | NATALIJA PARLOV | 2Organizacijski i stručni zahtjevi, 2.3Tehničko-sigurnosni zahtjevi | Originalni tekst: Za ispunjavanje prethodno navedenog zahtjeva PRUS mora provesti proces samoprocjene kibernetičke sigurnosti sukladno Smjernicama za provedbu samoprocjene kibernetičke sigurnosti iz čl. 57 Uredbe. Proces samoprocjene potrebno je provesti nad informacijskim sustavom koji se koristi/će se koristiti za obradu i pohranu podataka vezanih uz reviziju kibernetičke sigurnosti. U slučaju da je navedeni informacijski sustav povezan sa ostalim sustavima PRUS-a, potrebno je imati dokumentaciju koja opisuje vezu između sustava na fizičkoj i logičkoj razini kao jasnu liniju razgraničenja – veza kontrolirana putem POL-007: Uspostava obaveznih mjera zaštite mreže, odnosno kroz NIST SP 800-53 kontrola AC-4 Information flow enforcement. U postupku certifikacije službene osobe ZSIS-a provjeravaju usklađenost informacijskog sustava s prethodno navedenim zahtjevima. Prijedlog promjene: Za ispunjavanje prethodno navedenog zahtjeva PRUS mora provesti proces samoprocjene kibernetičke sigurnosti sukladno Smjernicama za provedbu samoprocjene kibernetičke sigurnosti iz članka 57. Uredbe, obuhvaćajući cjelokupno poslovanje PRUS-a s obzirom na pružanje upravljane sigurnosne usluge revizije kibernetičke sigurnosti, uključujući sve informacijske sustave, procese i organizacijske mjere koji mogu utjecati na sigurnost, povjerljivost i integritet podataka o revizijama. Samoprocjena se provodi nad svim relevantnim informacijskim sustavima i resursima PRUS-a koji sudjeluju u pružanju njegovih upravljanih odnosno upravljanih sigurnosnih usluga, pri čemu je obavezno zasebno procijeniti i onaj informacijski sustav koji se koristi za obradu i pohranu podataka vezanih uz reviziju. U slučaju da je informacijski sustav korišten u pružanju usluge revizije povezan sa ostalim sustavima PRUS-a, potrebno je imati dokumentaciju koja opisuje vezu između sustava na fizičkoj i logičkoj razini kao jasnu liniju razgraničenja - veza kontrolirana putem POL-007: Uspostava obaveznih mjera zaštite mreže, odnosno kroz NIST SP 800-53 kontrola AC-4 Information flow enforcement. U postupku certifikacije službene osobe ZSIS-a provjeravaju usklađenost sustava s propisanom razinom mjera i drugim zahtjevima. Obrazloženje: Trenutni tekst točke 2.3 ograničava obvezu PRUS-a na provođenje samoprocjene isključivo nad jednim informacijskim sustavom odnosno onim koji se koristi za obradu i pohranu podataka o provedenim i planiranim revizijama kibernetičke sigurnosti. Ovakvo ograničenje sužava primjenu članka 57. Uredbe o kibernetičkoj sigurnosti (NN 135/2024) i Zakona o kibernetičkoj sigurnosti (NN 14/2024), koji propisuju da se samoprocjena provodi nad cjelokupnim mjerama upravljanja kibernetičkim sigurnosnim rizicima definiranima u Prilogu II Uredbe, ne samo nad jednim sustavom. PRUS-evi u opsegu svog poslovanja mogu pružati i upravljane i upravljane sigurnosne usluge te slijedom usluga koje pružaju kliljentima kao treće strane mogu biti obveznici provedbe Samoprocjene ili Revizije, nevezano uz prijavu za revizora u kontekstu sigurnosne certifikacije pri čemu je važna napredna razina mjera, što je već regulirano u Pravilniku. | Primljeno na znanje | Tvrtka koja želi biti certificirana za provođenje revizije kibernetičke sigurnosti, a sukladno ovim Pravilima, ne mora biti kategorizirana kao ključni ili važni subjekt. Odnosno, svatko tko zadovoljava propisane uvjete iz Pravila (samim time ZKS-a i UKS-a) se može prijaviti i biti certificiran za provođenje revizija kibernetičke sigurnosti sukladno čl. 31., 32., 33. i 34. ZKS-a, neovisno o kategorizaciji. Nadalje, postupak samoprocjene je propisan i uređen ZKS-om i Uredbom kao i obveznici provedbe samoprocjene te se ovim Pravilima ne može nametati obveza provedbe samoprocjene subjektima za koje ta obveza nije propisana ZKS-om i Uredbom. Konačno, navedeni uvjet je izmijenjen sukladno prethodno navedenom, a propisuje se u okviru ovlasti dane ZSIS-u člankom 33. ZKS-a te u cilju ubrzanja samog postupka certifikacije i moguće pripreme subjekta za buduću moguću kategorizaciju odnosno obveze koje će proizaći iz kategorizacije. |