Izvješće o provedenom savjetovanju - Savjetovanje s javnošću o nacrtu Poziva na dostavu projektnih prijedloga "Unaprjeđenje kibernetičke sigurnosti mikro, malih i srednjih poduzeća"
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | HRVOJKA SKOKOVIĆ HARAŠIĆ | 2. UVJETI I PRAVILA POZIVA, Alokacija Poziva | Molimo primite na znanje kako je za mikro poduzeća najniži prag darovnice pre-visok u smislu ako je intenzitet potpore 50% da prihvatljivi troškovi trebaju iznositi 15.000 eura. Za mikro-poduzeće koje bi ulagalo samo u softversku zaštitu, a ne i hardversku podobniji je niži iznos darovnice. Isto tako se moli nadležno tijelo da preispita mogućnosti većeg intenziteta potpore, s obzirom na to da se očekuje primjerice poziv ITP DIGITALIZACIJA gdje će intenziteti potpora biti znatno veći, a moći će se financirati ista vrsta troška (što će dakako utjecati na atraktivnost ovdje prezentiranog Poziva). | Nije prihvaćen | Minimalni iznos bespovratne potpore snižen je na iznos od 7.500,00 EUR, u konzultacijama s radnom skupinom za ovaj Poziv, upravo kako bi se olakšala dostupnost poziva i mikro poduzećima. Smatramo da daljnje smanjenje praga može ugroziti ostvarenje ciljeva Poziva jer manji projekti možda neće imati željeni učinak na jačanje kibernetičke sigurnosti. Ujedno, prihvatljive aktivnosti uključuju širok raspon aktivnosti poput edukacija i sigurnosnih testiranja koje se moraju kombinirati te su korisne i za manje organizacije. Što se tiče intenziteta potpore, sredstva iz ovog Poziva se dodjeljuju u okviru ugovora iz Programa Digitalna Europa, koji ima specifične uvjete. Za buduće pozive razmatra se mogućnost osiguranja dodatnih nacionalnih sredstava kojima bi se omogućio veći postotak sufinanciranja. |
| 2 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA | Predlažemo da se jasno definira prihvatljivost troškova angažmana vanjskih stručnjaka za provedbu sigurnosnih procjena, izradu sigurnosnih politika i edukaciju zaposlenika. Takvi troškovi su često ključni za MSP-ove koji nemaju interne resurse. | Djelomično prihvaćen | Troškovi angažmana vanjskih stručnjaka za sigurnosne procjene, izradu sigurnosnih politika i edukaciju zaposlenika već se podrazumijevaju u postojećem popisu prihvatljivih troškova. U Pozivu je ujednačena formulacija prihvatljivih troškova. |
| 3 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA | Prihvatljivi troškovi/ Mogu li se troškovi pripreme projektne prijave (npr. angažman vanjskih konzultanata ili stručnjaka za izradu projektne dokumentacije) smatrati prihvatljivim troškovima u okviru projekta, pod uvjetom da projektna prijava bude odobrena i financirana? Naime, za mikro i male poduzetnike priprema kvalitetne projektne prijave predstavlja značajan financijski i organizacijski izazov, s obzirom na ograničene interne kapacitete i resurse. U tom kontekstu, mogućnost povrata tih troškova u slučaju odobrenja projekta značajno bi olakšala prijavu na ovaj natječaj i povećala dostupnost sredstava upravo onim poduzećima kojima su najpotrebnija ulaganja u kibernetičku sigurnost. | Nije prihvaćen | Troškovi pripreme projektne prijave, koji uključuju i eventualni angažman vanjskih stručnjaka ili konzultanata, nisu prihvatljivi u okviru ovog Poziva i ne mogu se uključiti u proračun projekta. Naime, prijavni obrazac i struktura Poziva osmišljeni su tako da budu što jednostavniji i razumljivi te da većina poduzetnika može samostalno pripremiti prijavu bez potrebe za angažmanom vanjskih stručnjaka. Time se također želi osigurati usmjerenost sredstava na izravno jačanje kapaciteta za kibernetičku sigurnost uz istovremeno administrativno rasterećenje prijavitelja. |
| 4 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA | U dokumentaciji Poziva navedeno je da su troškovi nabave računalne opreme i programske podrške (hardvera i softvera) neprihvatljivi. Međutim, za provedbu aktivnosti poput edukacije zaposlenika, simulacija phishing napada ili provedbe e-learning programa, često je nužna nabava LMS sustava, phishing platformi i sličnih alata. Možete li pojasniti na koji način prijavitelji mogu provesti ove aktivnosti ako su ključni alati za njihovu provedbu isključeni iz prihvatljivih troškova? Predlažemo razmatranje iznimki za softverske alate koji su izravno povezani s provedbom prihvatljivih aktivnosti. | Nije prihvaćen | S obzirom na ograničenu alokaciju i strateški cilj unaprjeđenja kibernetičke sigurnosti u što većem broju malih i srednjih poduzeća (MSP) te uzimajući u obzir također novi zakonodavni okvir u području kibernetičke sigurnosti, ovaj Poziv je fokusiran na aktivnosti koje izravno doprinose povećanju kapaciteta i otpornosti MSP-ova kroz edukaciju, testiranja i usklađivanje s normama kibernetičke sigurnosti. Troškovi nabave računalne opreme i softverskih alata (uključujući licence) nisu obuhvaćenih prihvatljivim troškovima ovog Poziva. Prijavitelji mogu u prijavi opisati na koji će način osigurati potrebne alate (hardver i softver) za provođenje planiranih aktivnosti, ali bez njihovog uključivanja u proračun projekta. Iako su ovim Pozivom troškovi opreme i softverskih alata isključeni, nakon provedene evaluacije provedbe projekata koji će biti ugovoreni u okviru ovog poziva, NKS će razmotriti moguće izmjene popisa prihvatljivih aktivnosti. |
| 5 | CYBERARRANGE SECURITY SOLUTIONS JEDNOSTAVNO DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA RAČUNALNE USLUGE | 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA, Prihvatljive aktivnosti | Predlažem da se prvu točku u grupi b. aktivnosti nadopuni kako bi se za istu eksplicitno mogao koristiti i izlaz iz sigurnosnih testiranja, na sljedeći način: "- Sudjelovanje na edukacijama u vezi s uvođenjem mjera kibernetičke sigurnosti u poslovanje organizacije na temelju provedene samoprocjene ili provedenih sigurnosnih testiranja" Sigurnosna testiranja i vježbe daju dodatne povratne informacije koje se često ne mogu dobaviti samoprocjenom i efektivno su joj komplementarni. Nadalje, u slučaju prijavitelja koji nisu kategorizirani po ZKS-u, provedba pune samoprocjene kako je predviđena ZSIS-ovim instrumentom iz grupe a preopsežna je i stvorila bi prevelik pritisak na redovno poslovanje te je predvidivo da će s trenutnim opisom te skupine aktivnosti manja poduzeća redovito birati isključivo aktivnosti iz b i c skupine. Prema tome, takva poduzeća u okviru projekta neće dobivati povratne informacije na temelju samprocjene, već upravo na temelju sigurnosnih testiranja i vježbi. Budući da predmetna točka u trenutnoj formulaciji predviđa takve edukacije isključivo na temelju provedene samoprocjene, kod projekata koji uključuju isključivo aktivnosti iz b i c skupine trenutno nije eksplicitno omogućena opisana povratna veza te su uslijed toga povećani rizici zadržavanja nedostatne razine kibernetičke otpornosti i posljedično održivosti rezulata projekata. Opisanom izmjenom teksta bi se osiguralo da organizacija bolje razumije otkrivene ranjivosti i propuste, usvoji znanja potrebna za ispravnu implementaciju preporuka i nauči kako uspostaviti odgovarajuće interne procese, neovisno o komplementarnim rezultatima samoprocjene i tome je li ista uopće provedena u okviru projekta. Nadalje, u praksi se pokazalo da edukacije u interaktivnom formatu i radionice koje uključuju raspravu o relevantnim studijama slučajeva rezultiraju učinkovitim prijenosom znanja te predlažem da se u skladu s navedenim točka "Sudjelovanje na općim edukacijama u vezi s unaprjeđenjem znanja o kibernetičkoj sigurnosti" nadopuni u "Sudjelovanje na općim edukacijama i radionicama u vezi s unaprjeđenjem znanja o kibernetičkoj sigurnosti". U skladu s ovim izmjenama bit će potrebno ažurirati i odgovarajuće točke u popisu prihvatljivih troškova projekta. | Nije prihvaćen | Formulacija prihvatljivih aktivnosti i troškova u ovom Pozivu već pokriva edukacije koje proizlaze iz rezultata drugih aktivnosti unutar projekta, uključujući i sigurnosna testiranja. Smatramo da nije nužno dodatno proširivati formulaciju jer bi se time potencijalno stvorila preklapanja i otežala jasna kategorizacija aktivnosti. Međutim, prilikom provedbe projekata, prijavitelji će moći planirati edukacije koje adresiraju nalaze iz bilo koje provedene projektne aktivnosti (samoprocjene, testiranja, vježbi) ako su u skladu s ciljevima Poziva. Nadalje, termin “edukacija” obuhvaća razne oblike provedbe poput predavanja, radionica, webinara i sl. stoga je navedeno već pokriveno ovim terminom. |
| 6 | NEP-054, OBRT ZA USLUGE SAVJETOVANJA, VL. LUKA MATIĆ, OSIJEK, GORNJODRAVSKA OBALA 93 | 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA, Prihvatljive aktivnosti | Prijedlog: dodati u *1. grupu aktivnosti* uslugu provedbe samoprocjene koja nije definirana ZKS-om. Naime, samoprocjena po ZSIS-ovom instrumentu koja se provodi temeljem ZKS-a odnosi se samo na subjekte koji su kategorizirani po ZKS-u. Za prijavitelje koji nisu kategorizirani po ZKS-u, provedba pune samoprocjene kako je predviđena ZSIS-ovim instrumentom preopsežna je i stvorit će prevelik pritisak na redovno poslovanje. Stoga predlažem da se sufinancira aktivnost (samo)procjene i za one prijavitelje koji nisu klasificirani po ZKS-u, a prema prilagođenim instrumentima pružatelja usluge. U praksi, provedba (samo)procjene uspostavit će baseline u odnosu na koji se provode daljnje aktivnosti iz 2. i 3. grupe, napose edukacije i simulacijske vježbe. | Primljeno na znanje | Zakon o kibernetičkoj sigurnosti (NN 14/2024), pripadajuća Uredba o kibernetičkoj sigurnosti (NN 135/2024) te ostali dokumenti koji iz njih proizlaze definiraju obaveze ključnih i važnih subjekata u vezi s provedbom mjera upravljanja kibernetičkim sigurnosnim rizicima. Također, definirana je i mogućnost provedbe samoprocjene kibernetičke sigurnosti na dobrovoljnoj osnovi za svaki subjekt koji nije kategoriziran kao ključan ili važan subjekt. Nadalje, članak 50. Uredbe o kibernetičkoj sigurnosti navodi da u svrhu podizanja razine kibernetičke sigurnosti subjekata koji nisu kategorizirani kao ključni ili važni subjekti i ne provode dobrovoljne mehanizme kibernetičke zaštite iz članka 50. Zakona o kibernetičkoj sigurnosti, subjekata koji tek započinju s uvođenjem mjera upravljanja kibernetičkim sigurnosnim rizicima ili predstavljaju mikro ili mali subjekt malog gospodarstva s ograničenim resursima i znanjem u pitanjima upravljanja kibernetičkim sigurnosnim rizicima, središnje državno tijelo za kibernetičku sigurnost priprema i na svojim mrežnim stranicama objavljuje preporuke za provođenje dobre prakse kibernetičke sigurnosti. S obzirom na navedeno, odnosno status prijavitelja, važno je da projektne aktivnosti budu usklađene sa zakonodavnim okvirom. |
| 7 | CYBERARRANGE SECURITY SOLUTIONS JEDNOSTAVNO DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA RAČUNALNE USLUGE | 3. KLJUČNE INFORMACIJE O PROJEKTU I PRIJAVITELJIMA, Opće odredbe o prihvatljivosti troškova | Budući da nisam uočio da se u tekstu Poziva eksplicitno spominju konkretne teme iz područja kibernetičke sigurnosti, ukoliko se nigdje eksplicitno ne nabrajaju predlažem da se točka "troškovi edukacije djelatnika za pohađanje osposobljavanja iz tema kibernetičke sigurnosti definiranih u sklopu ovog Poziva" izmijeni u "troškovi edukacije djelatnika za pohađanje osposobljavanja iz tema kibernetičke sigurnosti". | Djelomično prihvaćen | Ova se referenca odnosi na teme koje proizlaze iz drugih prihvatljivih aktivnosti u okviru Poziva odnosno sigurnosnih testiranja, certifikacije i usklađivanja sustava. Na taj način osigurava se izravna povezanost s ostalim aktivnostima iz projektnog prijedloga te da teme edukacija budu relevantne za konkretne mjere i poboljšanja koja prijavitelj provodi i da pridonose održivosti rezultata projekta. Svakako ćemo preformulirati kako bi referenca bila jasnija. |
| 8 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 5. POSTUPAK DODJELE BESPOVRATNIH SREDSTAVA | Kriterij odabira/ Operativni kapaciteti prijavitelja minimalno 6 bodova (od 15 mogućih)- molimo pojašnjenje kriterija obzirom da smatramo da je u kontradikciji sa dodatnim kriterijima gdje je navedeno da kod ocjene će imati prednost manja poduzeća koja će sigurno imati i manje operativne kapacitete. | Nije prihvaćen | Kriterij operativnih kapaciteta ne odnosi se na veličinu poduzeća, već na jasnoću obrazloženja i organizacije tima za provedbu konkretnog projekta u projektnoj prijavi. I manja poduzeća mogu ostvariti maksimalan broj bodova ako adekvatno definiraju uloge ključne za implementaciju projektnih aktivnosti. |
| 9 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 5. POSTUPAK DODJELE BESPOVRATNIH SREDSTAVA | Kriterij “Održivost projekta” nosi 5 bodova, ali nije jasno definirano što se pod time konkretno podrazumijeva. Predlažemo dodatno pojašnjenje – odnosi li se to na financijsku održivost, tehničku održivost rješenja, ili nešto treće? | Primljeno na znanje | Kriterij „Održivost projekta“ odnosi se na financijsku i tehničku sposobnost prijavitelja da u periodu održivosti projekta primjenjuje rezultate projekta, uključujući primjerice redovite edukacije, ponovno testiranje sustava, održavanje certifikata, ažuriranje sigurnosne dokumentacije i sl. U Prijavnom obrascu koji će Prijavitelji popunjavati kroz informacijski sustav bit će jasno opisano što je potrebno navesti za pojedini kriterij. Također, detaljan opis ovog i ostalih kriterija, kao i metodologija bodovanja, bit će dio Priloga 3 koji će biti objavljen zajedno s otvaranjem Poziva, u okviru dokumentacije za prijavitelje |
| 10 | SAŠA KRAMAR | Poziv na dostavu projektnih prijedloga , 5. POSTUPAK DODJELE BESPOVRATNIH SREDSTAVA | U dokumentaciji se navode minimalni bodovni pragovi za svaki od kriterija (npr. Relevantnost projekta – min. 26 od 45 bodova), no nije moguće pronaći Prilog 3 s detaljnim opisom kriterija i načinom bodovanja. Možete li pojasniti gdje se mogu pronaći svi prilozi, osobito oni koji se odnose na kriterije ocjenjivanja i metodologiju bodovanja? Transparentnost u ovom dijelu ključna je za kvalitetnu pripremu projektnih prijedloga. | Primljeno na znanje | Na javnom savjetovanju objavljuje se samo tekst Poziva jer se njime konzultira zainteresirana javnost o ključnim elementima svrhe, aktivnosti, prihvatljivosti i osnovnog postupka dodjele bespovratnih sredstava. Kriteriji za ocjenjivanje i metodologija bodovanja (Prilog 3) objavljuje se u trenutku otvaranja Poziva, budući da je to operativni dokument koji je podložan finalnom usklađivanju s ostalim elementima dokumentacije (obrascima za prijavu, aplikacijskim sustavom, proračunom i sl.), a nije predmet savjetovanja. Ova praksa uobičajena je kod brojnih poziva sufinanciranih iz nacionalnih sredstava ili EU fondova, upravo kako bi se tijekom savjetovanja fokus zadržao na strateškim i programski važnim aspektima poziva, dok se tehnički elementi poput metodologije ocjenjivanja formaliziraju i objavljuju u potpunosti tek u konačnoj verziji dokumentacije, zajedno s otvaranjem prijava. |