Na temelju članka 11. stavka 3. Zakona o kritičnim infrastrukturama (»Narodne novine«, broj 56/2013), ravnatelj Državne uprave za zaštitu i spašavanje donosi
PRAVILNIK O METODOLOGIJI ZA IZRADU ANALIZE RIZIKA POSLOVANJA KRITIČNIH INFRASTRUKTURA
I.OPĆE ODREDBE
Članak 1.
(1) Ovim Pravilnikom utvrđuju se smjernice, kriteriji i mjerila za identifikaciju kritičnih infrastruktura i analizu rizika poslovanja kritičnih infrastruktura te nositelji i obveze nositelja izrade analize rizika poslovanja kritičnih infrastruktura koja je sastavni dio procesa procjene rizika.
(2) Smjernice i kriteriji za analizu rizika iz stavka 1. ovog članka sukladni su ISO 31000:2009 standardu za upravljanje rizicima.
Članak 2.
Pojedini izrazi u smislu ovog Pravilnika imaju sljedeće značenje:
1.Analiza kritičnosti je postupak identifikacije sustava, mreža i objekta od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.
2.Elementi rizika su materijalna i nematerijalna imovina u okviru kritične infrastrukture koja može biti oštećena ili uništena, što može imati posljedica na funkciju kritične infrastrukture.
3.Procjena rizika je cjelokupni proces identifikacije rizika, analize rizika i vrednovanja (evaluacije) rizika.
4.Identifikacija rizika je proces pronalaženja, prepoznavanja i opisivanja rizika.
5.Analiza rizika je proces za razumijevanje prirode rizika i određivanje njegove razine što osigurava temelj za njegovo vrednovanje i odluku o obradi rizika, a uključuje detaljnu razradu i gradaciju prijetnji, ranjivosti, vjerojatnosti i posljedica i utvrđivanje kriterija za dobivanje razine rizika.
6.Vrednovanje (evaluacija) rizika je postupak usporedbe rezultata analize rizika s kriterijima prihvatljivosti rizika.
7.Razina rizika je veličina rizika ili kombinacije rizika, izražena indeksom kritičnosti dobivenim umnoškom posljedica i njihove vjerojatnosti.
8.Ranjivost je obilježje elemenata rizika koje ga čini podložnima štetnim utjecajima prijetnji.
9.Prijetnja je mogući uzrok neželjenog događaja koji može izazvati štetu kritičnoj infrastrukturi.
10.Prijetnja antropogena je mogući uzrok neželjenog događaja izazvan djelovanjem ili ne djelovanjem ljudi što može izazvati štetu na kritičnoj infrastrukturi.
11.Prijetnja prirodnih sila je uzrok neželjenog događaja izazvana djelovanjem prirodnih sila (potresi, poplave, itd.) što može izazvati štetu na kritičnoj infrastrukturi.
12.Prijetnja tehničko-tehnološka je uzrok neželjenog događaja izazvan djelovanjem tehničkim i/ili tehnološkim sustavima što može izazvati štetu na kritičnoj infrastrukturi.
13.Prijetnja biološko-kemijska je uzrok neželjenog događaja izazvan djelovanjem biološkim i/ili kemijskim sredstvima što može izazvati štetu na kritičnoj infrastrukturi.
14.Događaj je pojava ili promjena određene skupine okolnosti. Događaj može biti jedna ili više pojava i mogu imati nekoliko uzroka, a može sadržavati i nešto što se ne događa. Događaj se ponekad može označiti kao „incident“ ili „nesreća“. Događaj bez posljedica se može označiti kao promašaj „za malo“, incident ili događaj koji je mogao biti koban.
15.Rizik je učinak neizvjesnosti za ciljeve kritične infrastrukture, a koji se karakterizira u odnosu na kombinaciju potencijalnih događaja i posljedica. Pod učinkom se smatra odstupanje od očekivane funkcionalnosti kritične infrastrukture, a neizvjesnost je stanje, čak i djelomičnog, nedostatka informacija o događajima i posljedicama.
16.Scenarij rizika je prikaz događaja jednog ili više vrsta rizika koji izazivaju štetne posljedice na kritičnoj infrastrukturi, a koji su odabrani radi detaljne procjene određene vrste rizika.
17.Kaskadni događaj - kvar je poremećaj infrastrukture koji je uzrokovan drugim događajem u istoj ili drugoj infrastrukturi.
18.Prihvatljivi rizik je razina rizika koju je društvo svjesno spremno prihvatiti, obzirom na društvenu, političku i gospodarsku analizu koristi i troškova.
19.Vjerojatnost je mogućnost pojave štetnog događaja, bilo da je događaj definiran, mjeren ili utvrđen objektivno ili subjektivno, kvalitativno ili kvantitativno i opisan uz upotrebu općih termina ili matematički (kao što je mogućnost ili učestalost u danom vremenskom periodu).
20.Posljedica je rezultat događaja koji utječe na ciljeve, a može biti određena ili neodređena i može imati pozitivne ili negativne učinke na ciljeve te može biti izražena kvalitativno ili kvantitativno. Jedan događaj može voditi nizu posljedica, a početna posljedica može eskalirati putem sekundarnih/naknadnih učinaka.
21.Kriterij rizika je opis uvjeta prema kojima se vrednuje razina rizika, a temelji se na ciljevima kritične infrastrukture te vanjskom i unutarnjem kontekstu. Kriteriji rizika mogu proizlaziti iz propisa, politika ili drugih uvjeta.
22.Operativne karakteristike su karakteristike koje ima kritična infrastruktura kada normalno radi.
23.Ovisnost kritičnih infrastruktura je povezanost ili veza između dvije ili više kritičnih infrastruktura pri čemu stanje jedne utječe ili je u korelaciji sa stanjem druge kritične infrastrukture. Ovisnost može biti fizička, informacijska, logička, zemljopisna, itd.
24.Međuovisnost kritičnih infrastruktura je dvosmjerna ovisnost između dviju ili više kritičnih infrastruktura, pri čemu stanje jedne utječe ili je u korelaciji sa stanjem drugih kritičnih infrastruktura i obratno.
25.Kriterij prihvatljivosti rizika je opis uvjeta prema kojem se odlučuje o prihvatljivosti rizika.
26.Vlasnik/upravitelj infrastrukture je fizička ili osoba odgovorna i ovlaštena za upravljanje kritičnom infrastrukturom.
Članak 3.
Središnja tijela državne uprave, u suradnji s nadležnim regulatornim agencijama, u svom djelokrugu radi izrade analize rizika:
–provode postupak za identifikaciju kritičnih infrastruktura
–vode bazu podataka kritičnih infrastruktura
–utvrđuju sektorska mjerila za analizu rizika kritičnih infrastruktura
Vlasnici/upravitelji kritičnih infrastruktura izrađuju procjenu rizika poslovanja kritičnih infrastruktura kojih su vlasnici i/ili kojima upravljaju.
II. POSTUPCI IDENTIFIKACIJE KRITIČNIH INFRASTRUKTURA
Članak 5.
(1) Identifikacija kritičnosti infrastrukture u pravilu se izrađuje za svaki sustav, mrežu i objekt infrastrukture u djelokrugu nadležnosti vlasnika/upravitelja infrastruktura.
(2) Kriteriji za procjenu kritičnosti infrastrukture mogu biti:
–život i zdravlje – utvrđuje se utjecaj poremećaja i/ili prekida rada na život i zdravlje ljudi
–vremenski okvir – ako dođe do poremećaja/prekida rada određuje se u kojem će vremenu taj poremećaj/prekid imati posljedice na ukupno poslovanje/pružanje usluga (što je vrijeme kraće, veća je kritičnost)
–opseg – utvrđuje se koliko će ukupnog proizvoda i/ili usluga biti pogođeno u slučaju poremećaja ili potpunog prekida rada
–zakonski, regulatorni i ugovorni značaj
–gospodarska/financijska šteta.
(3) Vlasnik/upravitelj infrastrukture, odnosno nositelj izrade procjene rizika može koristiti i druge kriterije za procjenu kritičnosti infrastrukture i odlučiti koje će i koliko kriterija istodobno primijeniti te koju će klasifikaciju koristiti unutar utvrđenih kriterija.
Članak 6.
(1) Kritičnost infrastrukture se izražava razinom rizika. Razina rizika određuje rang rizika, odnosno indeks kritičnost
(2) Posljedice događaja definiraju se, u pravilu, u odnosu na utjecaj štete/kvara/prestanka rada infrastrukture na:
–zdravlje, sigurnost i okoliš
–proizvode i usluge
–vrijeme potrebno za popravak, obnovu ili oporavak.
(3) Vjerojatnost događaja (kvara/prestanka rada) definira se u odnosu na vrstu, karakter i namjenu infrastrukture, a uključuje i sljedeće pokazatelje:
–učestalost događaja u prošlosti
–pouzdanost u razdoblju prije nastanka kvara/prestanka rada
–način uporabe
–način održavanja
–normiranu uporabu
–uvjete pružanja usluga.
(4) Nositelj izrade procjene rizika može uključiti i druge pokazatelje za izračun razine rizika, sukladno karakteristikama i specifičnostima infrastrukture.
(5) Procjena kritičnosti infrastrukture rezultira identifikacijom svih kritičnih objekata, mreža, procesa, pod-procesa, sustava i pod-sustava.
III. POSTUPCI PROCJENE RIZIKA
1.Izrada scenarija i analiza prijetnje
Članak 7.
(1) Scenarij rizika je opis mogućih događaja koji mogu imati neizvjestan utjecaj na postizanje ciljeva kritične infrastrukture.
(2) Dobro razvijen scenarij rizika pretpostavka je za uspješnost identifikacije rizika, analizu i njihovu daljnju obradu.
(3) Scenarij rizika može se razviti koristeći dva različita mehanizma:
–top-down (prema dolje) pristup, pri čemu se polazi od ukupnih ciljeva kritične infrastrukture i provodi analiza onih najrealnijih koji mogu utjecati na ciljeve.
–bottom-up (prema gore) pristup, pri čemu se koristi generički popis scenarija pojedinačnih rizika na temelju čega se definira skup više relevantnih scenarija u okviru jednog prilagođenog scenarija, primijenjen na pojedinačne situacije u kojima se može naći kritična infrastruktura.
(4) Pristupi su komplementarni i mogu se koristiti istovremeno. Scenariji rizika moraju biti relevantni i povezani s realnim rizicima kritične infrastrukture.
(5) Uporaba generičkog popisa scenarija rizika može pomoći da se identificiraju rizici i povećaju mogućnosti da glavni scenarij bude sveobuhvatan i referentan za kritičnu infrastrukturu.
(6) U izradi scenarija u obzir se uzimaju rizici koji mogu imati utjecaj na ciljeve i zahtjeve ostvarenja ciljeva svake kritične infrastrukture.
(7) Generički popis scenarija prilagođava se specifičnoj situaciji svake kritične infrastrukture.
(8) Analiza prijetnje i razvoj scenarija obuhvaćaju sljedeće postupke:
–izradu popisa prijetnji – opisuju se opće karakteristike prijetnje, njihov intenzitet, trajanje i mogući učinci (Prilog 2.)
–procjenu očekivane izloženosti – utvrđuje se koji objekti, sustavi/pod-sustavi i procesi/pod-procesi mogu biti pogođeni
–procjenu očekivanog intenziteta prijetnje
–procjenu očekivanog trajanja prijetnje
–rano upozoravanje – utvrđuje se koje je očekivano vrijeme između upozorenja i štetnog događaja
–utvrđivanje sekundarnih učinaka (psihološki učinci događaja, utjecaj na javnost i medije i slično)
–utvrđivanje podataka o štetnim događajima – utvrđuje se koji se usporedivi štetni događaji mogu razmotriti za dobivanje detaljnijih podataka (povijesni podaci)
–utvrđivanje vjerojatnosti štetnog događaja – utvrđuje se koja se vjerojatnost nastanka štetnog događaja može očekivati ili identificirati.
(9) Scenarij se razvija na temelju popisa prijetnji i relevantnih podataka karakterističnih za sektor kritičnih infrastruktura.Scenariji moraju predstavljati realne događaje koji mogu rezultirati prekidom ili narušavanjem rada kritičnih infrastruktura i/ili prekidom roba i usluga.
(10) U scenarije se obvezno uključuju elementi ovisnosti i međuovisnosti kritičnih infrastruktura koji mogu povećati učinke i posljedice štetnih događaja, što izravno utječe na sektorski plan osiguranja rada kritičnih infrastruktura i sigurnosni plan zaštite kritičnih infrastruktura.
(11) Broj scenarija koji se razvijaju ovisan je o identificiranim prijetnjama i karakteristikama sektora odnosno kritičnih infrastruktura, a izrađuju se za svaki pojedini relevantni događaj posebno.
(12) Scenariji se obvezno testiraju, aktualiziraju i nadopunjuju najmanje jednom godišnje, a po potrebi i češće.
2. Identifikacija rizika
Članak 8.
(1) Rizik je određen prijetnjama čija je pojavnost moguća i vezana za iskorištenje ranjivosti kritičnih infrastruktura te mogu imati negativan utjecaj na ciljeve kritične infrastrukture.
(2) Objedinjavanje relevantnih podataka o prijetnjama i ranjivosti rezultira identifikacijom rizika po elementima rizika, sustavima/pod-sustavima i procesima/pod-procesima.
(3) Elementi rizika obuhvaćaju osobito:
–ljude – osoblje i druge osobe u kontekstu održavanja funkcionalnosti infrastrukture i/ili pojedinih dijelova infrastrukture
–zemljište – vanjski prostor koji uključuje područja od važnosti za rad i operativnost infrastrukture, putove, skladišta, parkirne površine, zelene površine i slično
–građevine ispod i iznad zemlje (proizvodne hale, skladišta, administrativne građevine, garaže i slično)
–postrojenja i opremu – uključivo izvore napajanja strujom, plinom, vodom, grijanje, informacijsku i komunikacijsku tehnologiju, transport
–specijalizirana postrojenja i opremu
–podatke i datoteke koji uključuju sve podatke potrebne za održavanje procesa i sustava koji se čuvaju u pisanom i/ili elektroničkom obliku.
3. Analiza rizika
Članak 9.
(1) Analizom rizika utvrđuju se učinci i posljedice prekida rada ili značajnog narušavanja rada kritičnih infrastruktura koji mogu nastati kao posljedica prirodne prijetnje, tehničko-tehnološke prijetnje, prijetnje koja je nastala ljudskom djelatnošću (antropogena prijetnja) ili višestruke prijetnje.
(2) Analiza rizika uključuje:
–prikupljanje i analizu referentnih podataka te izradu baze podataka
–izradu scenarija mogućih događaja i rizika (najgori slučaj, najvjerojatniji slučaj)
–identifikaciju i utvrđivanje karakteristika kritičnih infrastruktura
–identifikaciju mogućih opasnosti i procjenu izloženosti
–identifikaciju elemenata rizika
–analizu kritičnosti
–analizu ranjivosti i otpornosti kritičnih infrastruktura na pojedine opasnosti
–utvrđivanje učinaka i posljedica neželjenih događaja na kritične infrastrukture ili dijelove kritičnih infrastruktura te na proizvode i usluge
–odabir i implementaciju metoda za izračun rizika
–uspoređivanje i evaluaciju rizika
–utvrđivanje prihvatljivosti rizika
–analizu ovisnosti i međuovisnosti kritičnih infrastruktura.
(3) U postupku analize rizika obvezno se uzimaju u obzir i izrađuju:
1.međusektorska mjerila
2.identifikacija rizika
3.kriteriji za procjenu kritičnosti
4.analiza prijetnje i razvoj scenarija
5.analiza ranjivosti
6.metode za izračun rizika
7.analiza jednostrukog i višestrukog rizika
8.evaluacija (vrednovanje) rizika.
4. Analiza ranjivosti
Članak 10.
(1) Ranjivost kritičnih infrastruktura, njezinih dijelova ili elemenata rizika od presudne je važnosti za određivanje u kojoj je mjeri sektor, infrastruktura ili njezin dio pogođen i kakve su nastale štete. Što je ranjivost veća, veći su učinci i posljedice štetnog događaja na proizvode i usluge.
(2) Mjerila i kriteriji za identifikaciju ranjivosti su:
–ovisnost infrastrukture o elementima rizika – ako proces ili sustav ovisi o elementima rizika kako bi ispunio svoje zadaće, potencijalni manjak i/ili zamjena tih elemenata čini proces ili sustav ranjivim; u analizi rizika pomoću ovog kriterija utvrđuje se važnost elemenata rizika na sustave i procese
–ovisnost elemenata rizika o drugim infrastrukturama – ako element rizika ovisi o drugoj infrastrukturi kako bi ispunio svoje zadaće i funkciju, potencijalni nedostatak i/ili zamjena te infrastrukture čini element ranjivim
–otpornost – fizička otpornost elemenata rizika (građevina, opreme, postrojenja) je važan čimbenik za utvrđivanje hoće li u slučaju nesreće elementi biti oštećeni i imaju učinke na relevantne sustave i procese, mreže i objekte
–stvarna razina zaštite – elementi su ranjivi ako nisu u dovoljnoj mjeri zaštićeni od prijetnji
–zalihe i zamjene – ako štetan događaj pogodi elemente rizika, nastali problem je lakše riješiti ako postoje rezervni/zamjenski elementi koji će izvršavati iste zadaće/funkcije
–obnova – sposobnost i mogućnost obnove u kontekstu ranjivosti odnosi se na potrebna financijska sredstva i kadrove te uloženo vrijeme obnove
–prilagodljivost – sustavi i procesi su ranjivi ako se ne mogu jednostavno prilagoditi
–sposobnost amortiziranja – sposobnost sustava i procesa da podnesu učinke štetnog događaja do određenog stupnja i da ne budu određeno vrijeme pogođeni negativnim djelovanjem
–transparentnost – mora biti jasno vidljivo i razumljivo kako se elementi rizika spajaju i kako funkcioniraju, da bi se u slučaju štetnog događaja brzo popravili ili zamijenili
–ovisnost o posebnim uvjetima okoliša – infrastruktura radi pod okolnim uvjetima koji prevladavaju na lokaciji i ako ovisi o tim specifičnim okolnim uvjetima ranjiva je u odnosu na potencijalne promjene tih uvjeta.
5. Međusektorska mjerila
Članak 11.
(1) U postupku analize rizika poslovanja kritičnih infrastruktura koriste se međusektorska mjerila, definirana u odnosu na posljedice negativnog događaja:
1. posljedice po ljudske živote i ljudsko zdravlje – procjenjuje se broj smrtno stradalih osoba, ozlijeđenih osoba, oboljelih osoba, osoba sa trajnim tjelesnim invaliditetom, broj premještenih i/ili raseljenih osoba,
2. posljedice u gospodarstvu, okolišu i financijama – procjenjuju se i iskazuju kvantitativno kao troškovi prekida gospodarskih aktivnosti, vrijednosti isplaćenih premija osiguranja, troškovi liječenja i medicinskih postupaka, troškovi neposrednih i/ili dugoročnih hitnih mjera, troškovi obnove i/ili izgradnje građevina, prometne i druge infrastrukture, javnog prijevoza, poštanskog i bankarskog prometa i usluga, troškovi ekološke obnove i drugi ekološki troškovi koji uključuju i nenadoknadive (trajne) ekološke štete, troškovi obnove kulturne baštine koji uključuju štete nastale uništenjem nenadoknadive kulturne baštine, druge specifične izravne i neizravne štete i troškove,
3. socio-političke posljedice i utjecaj na javnost – procjena uključuje kategorije kao što su gubitak povjerenja javnosti, javni red i mir te sigurnost građana, socio-psihološki utjecaj, narušavanje svakodnevnog života koje uključuje osnovne i/ili javne usluge te političke posljedice.
(2) Pored mjerila iz stavka 1. ovog članka, u pojedinim sektorima u postupku analize rizika poslovanja kritičnih infrastruktura koriste se posebna sektorska mjerila i elementi rizika koja utvrđuju nadležna tijela državne uprave u suradnji s nadležnim regulatornim agencijama.
6. Metode za izračun rizika
Članak 12.
(1) Metode za izračun rizika mogu biti:
–kvalitativne – koje daju grube procjene rizika u obliku teksta, bez izrade i mogućnosti numeričke usporedivosti (Prilog 1.)
–polu – kvantitativne – koje koriste klasifikaciju sustava za procjenu vrijednosti pojedinačnih faktora rizika tako da se oni mogu uspoređivati u numeričkom obliku
–kvantitativne – kojima se matematički izračunavaju faktori rizika.
(2) Odabir metode za izračun rizika ovisan je o specifičnostima sektora i svojstvima kritičnih infrastruktura.
7. Analiza jednostrukog i višestrukog rizika
Članak 13.
(1) Analizom jednostrukog rizika utvrđuje se mogućnost i posljedice određenog štetnog događaja/prijetnje koji se pojavljuje u nekom zemljopisnom području u određenom vremenskom razdoblju odvojeno od drugih štetnih događaja. Nakon utvrđivanja svih značajnih pojedinačnih rizika može se provesti ukupna evaluacija rizika.
(2) Analizom višestrukih rizika utvrđuje se ukupni učinak svih rizika na objekte, mreže i sustave, uzimajući u obzir međusobno djelovanje mogućih opasnosti i osjetljivosti.
(3) U analizi višestrukih rizika, kada jedan štetni događaj uzrokuje jedan ili više naknadnih štetnih događaja, uzimaju se u obzir naknadni učinci štetnih događaja (sekundarni učinak, domino učinak, kaskadno djelovanje).
8. Vrednovanje rizika
Članak 14.
(1) Vrednovanje rizika je proces usporedbe rezultata analize rizika s kriterijima rizika da bi se utvrdilo da li je rizik prihvatljiv, odnosno da li je prihvatljiva njegova veličina.
(2) U slučaju da je rizik veći od predviđenog, vlasnik/upravitelj kritične infrastrukture utvrđuje mjere za smanjenje rizika.
(3) Vrednovanje rizika treba pokazati može li biti postignuta unaprijed definirana i planirana razina zaštite kritičnih infrastruktura i/ili njezinih dijelova u odnosu na utvrđene rizike.
IV. OVISNOST I MEĐUOVISNOST KRITIČNIH INFRASTRUKTURA
Članak 15.
(1) Nositelji izrade sektorske analize rizika poslovanja kritičnih infrastruktura i analize rizika poslovanja kritičnih infrastruktura pri procjenjivanju rizika i potrebnog stupnja zaštite obvezno uzimaju u obzir ovisnost i međuovisnost kritičnih infrastruktura.
(2) Kritične infrastrukture mogu istovremeno biti ovisne o više drugih infrastruktura unutar jednog sektora, kao i o više drugih infrastruktura iz drugih sektora.
(3) Međuovisnost kritičnih infrastruktura izravno i neizravno utječe na njihovo funkcioniranje te se kod izračuna rizika moraju uzeti u obzir i ovisnosti koje utječu na promatranu infrastrukturu, kao i ovisnosti drugih kritičnih infrastruktura o promatranoj kritičnoj infrastrukturi.
Članak 16.
Za utvrđivanje i analizu međuovisnosti kritičnih infrastruktura u obzir se uzimaju sljedeće značajke:
2. stanje rada – normalno/redovno, poremećeno, popravak i obnova
3. vrste međuovisnosti – fizička, zemljopisna, informatička, logička
4. okruženje/okolina infrastrukture – gospodarsko, poslovno, tehničko, socio-političko, pravno i regulatorno, zdravstveno, sigurnosno, javna politika
5. sprega/povezanost i ponašanje u reakciji – stupanj sprege (labava, čvrsta), vrsta međuovisnosti (linearna, kompleksna), ponašanje u reakciji (nepopustljivo/neelastično, prilagodljivo)
6. vrste kvara – kaskadni, eskalirajući, kvar s istim uzrokom.
Članak 17.
(1) Nositelji izrade sektorske analize rizika poslovanja kritičnih infrastruktura za utvrđivanje i analizu međuovisnosti kritičnih infrastruktura surađuju i razmjenjuju podatke s nositeljima analize rizika kritičnih infrastruktura iz drugih sektora i vlasnicima/upraviteljima kritičnih infrastruktura, u cilju sagledavanja međuovisnosti i s njima povezanih rizika i ranjivosti pojedinih kritičnih infrastruktura.
(2) Središnja tijela državne uprave i regulatorne agencije obvezne su vlasnicima/ upraviteljima kritičnih infrastruktura iz svoga sektora dostavljati podatke od značaja za izradu analize rizika kritičnih infrastruktura kojima upravljaju te pružati stručnu pomoć u definiranju i primjeni međusektorskih i sektorskih mjerila za analizu prijetnji, rizika i ranjivosti identificiranih kritičnih infrastruktura i izradu njihovih sigurnosnih planova.
V. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 18.
(1) Središnja tijela državne uprave u suradnji s nadležnim regulatornim agencijama i strukovnim udrugama dužna su predložiti Vladi Republike Hrvatske kritične infrastrukture u sektorima iz svoga djelokruga u roku od šest mjeseci od dana stupanja na snagu ovog Pravilnika
(2) Središnja tijela državne uprave dužna su izraditi sektorske analize rizika kritičnih infrastruktura u sektorima iz svojega djelokruga u roku od dvanaest mjeseci od dana stupanja na snagu ovog Pravilnika.
(3) Vlasnici/upravitelji kritičnih infrastruktura dužni su izraditi analizu rizika kritične infrastrukture kojom upravlja u roku od šest mjeseci od dana primitka odluke kojom čelnik središnjeg tijela državne uprave određuje nacionalne kritične infrastrukture.
Članak 19.
Danom stupanja na snagu ovoga Pravilnika prestaje važiti Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, broj 128/13).
Članak 20.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u „Narodnim novinama“.
Svaki sektor treba definirati svoje opise u tablicama, ali je preporuka da svi koriste tablice istog broja razina.
Za procjenu rizika koristi se kvalitativna metodologija.
Razina rizika se određuje prema izrazu:
Rizik = Vjerojatnost x Posljedica
gdje su:
Vjerojatnost – odnos između prijetnje i ranjivosti čija razina definira pojavu opasnosti
Posljedica - gubitak, odnosno šteta koja se pojavljuje u koliko dođe do realizacije rizika
Tablica vjerojatnosti pojave opasnosti
Razina
Oznaka
Opis
1
Nema ili vrlo mala
Opasnost se pojavljuje jednom u 24 mjeseca ili rjeđe
2
Mala
Opasnost se pojavljuje jednom u 12 mjeseci ili rjeđe
3
Umjerena
Opasnost se pojavljuje jednom u 6 mjeseci ili rjeđe
4
Velika
Opasnost se pojavljuje jednom u 2 mjeseca ili rjeđe
5
Izrazito velika
Opasnost se pojavljuje više puta u 2 mjeseca
Tablica posljedica
Razina
Oznaka
Opis štete
Kn
Povrijeđeni / Mrtvi
Utjecaj na vlast/javnost
1
Zanemarivo
<= 10.000
2
Male
<= 50.000
3
Umjerene
<= 100.000
4
Velike
<= 150.000
5
Katastrofalne
> 150.000
Skala rangiranja rizika i matrica rizika
Razina
Razina rizika
Opis
1
1 – 4
Vrlo mali i prihvatljivi rizik. Nisu potrebne nikakve aktivnosti u odnosu na njega.
2
5 – 12
Umjereni rizik. Trenutno nisu potrebne posebne aktivnosti osim nadziranja. U slučaju mogućnosti smanjiti rizik.
3
15 - 25
Visok i neprihvatljiv rizik. Potrebno je trenutno poduzimanje aktivnosti za smanjenje rizika.
Matrica rizika (prema skali rangiranja rizika)
Posljedica
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
2
2
4
6
8
10
1
1
2
3
4
5
1
2
3
4
5
Vjerojatnost opasnosti
U slučajevima neprihvatljivih rizika (rang crvenog i žutog) treba provesti postupke obrade rizika. Samo za te rizike nužno je provesti analizu prijetnje i ranjivosti u cilju odabira optimalne zaštite kritične infrastrukture i smanjenje rizika.
Analiza prijetnje i ranjivosti se provodi na temelju funkcionalne ovisnosti:
Opasnost = f( Prijetnja , Ranjivost )
Ova analiza Opasnosti ima za cilj utvrđivanja što dominira: prijetnja ili ranjivost, ili čak i jedan i drugi parametar su veliki. Time se daju smjernica koje kontrole treba odabrati, one koje djeluju dominantno na prijetnju ili one koje djeluju dominantno na ranjivost kritične infrastrukture.
Tablica prijetnje
Razina
Oznaka
Opis
1
Nema ili je mala
Prijetnja se vrlo rijetko pojavljuje
2
Umjerena
Prijetnja se pojavljuje povremeno
3
Velika
Prijetnja je stalno prisutna ili se vrlo često pojavljuje
Tablica primjera ranjivosti
Razina
Oznaka
Opis
1
Nema ili je mala
Resurs nije osjetljiv na prijetnju ili je provedena vrlo učinkovita zaštita (kontrola)
2
Umjerena
Postoji elementarna zaštita ili je provedena neučinkovita kontrola
3
Velika
Nema nikakve zaštite ili je provedena potpuno neučinkovita kontrola
Na temelju članka 11. stavka 3. Zakona o kritičnim infrastrukturama (»Narodne novine«, broj 56/2013), ravnatelj Državne uprave za zaštitu i spašavanje donosi
PRAVILNIK O METODOLOGIJI ZA IZRADU ANALIZE RIZIKA POSLOVANJA KRITIČNIH INFRASTRUKTURA
Komentirate u ime: Državna uprava za zaštitu i spašavanje
I. OPĆE ODREDBE
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 1.
(1) Ovim Pravilnikom utvrđuju se smjernice, kriteriji i mjerila za identifikaciju kritičnih infrastruktura i analizu rizika poslovanja kritičnih infrastruktura te nositelji i obveze nositelja izrade analize rizika poslovanja kritičnih infrastruktura koja je sastavni dio procesa procjene rizika.
(2) Smjernice i kriteriji za analizu rizika iz stavka 1. ovog članka sukladni su ISO 31000:2009 standardu za upravljanje rizicima.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 2.
Pojedini izrazi u smislu ovog Pravilnika imaju sljedeće značenje:
1. Analiza kritičnosti je postupak identifikacije sustava, mreža i objekta od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.
2. Elementi rizika su materijalna i nematerijalna imovina u okviru kritične infrastrukture koja može biti oštećena ili uništena, što može imati posljedica na funkciju kritične infrastrukture.
3. Procjena rizika je cjelokupni proces identifikacije rizika, analize rizika i vrednovanja (evaluacije) rizika.
4. Identifikacija rizika je proces pronalaženja, prepoznavanja i opisivanja rizika.
5. Analiza rizika je proces za razumijevanje prirode rizika i određivanje njegove razine što osigurava temelj za njegovo vrednovanje i odluku o obradi rizika, a uključuje detaljnu razradu i gradaciju prijetnji, ranjivosti, vjerojatnosti i posljedica i utvrđivanje kriterija za dobivanje razine rizika.
6. Vrednovanje (evaluacija) rizika je postupak usporedbe rezultata analize rizika s kriterijima prihvatljivosti rizika.
7. Razina rizika je veličina rizika ili kombinacije rizika, izražena indeksom kritičnosti dobivenim umnoškom posljedica i njihove vjerojatnosti.
8. Ranjivost je obilježje elemenata rizika koje ga čini podložnima štetnim utjecajima prijetnji.
9. Prijetnja je mogući uzrok neželjenog događaja koji može izazvati štetu kritičnoj infrastrukturi.
10. Prijetnja antropogena je mogući uzrok neželjenog događaja izazvan djelovanjem ili ne djelovanjem ljudi što može izazvati štetu na kritičnoj infrastrukturi.
11. Prijetnja prirodnih sila je uzrok neželjenog događaja izazvana djelovanjem prirodnih sila (potresi, poplave, itd.) što može izazvati štetu na kritičnoj infrastrukturi.
12. Prijetnja tehničko-tehnološka je uzrok neželjenog događaja izazvan djelovanjem tehničkim i/ili tehnološkim sustavima što može izazvati štetu na kritičnoj infrastrukturi.
13. Prijetnja biološko-kemijska je uzrok neželjenog događaja izazvan djelovanjem biološkim i/ili kemijskim sredstvima što može izazvati štetu na kritičnoj infrastrukturi.
14. Događaj je pojava ili promjena određene skupine okolnosti. Događaj može biti jedna ili više pojava i mogu imati nekoliko uzroka, a može sadržavati i nešto što se ne događa. Događaj se ponekad može označiti kao „incident“ ili „nesreća“. Događaj bez posljedica se može označiti kao promašaj „za malo“, incident ili događaj koji je mogao biti koban.
15. Rizik je učinak neizvjesnosti za ciljeve kritične infrastrukture, a koji se karakterizira u odnosu na kombinaciju potencijalnih događaja i posljedica. Pod učinkom se smatra odstupanje od očekivane funkcionalnosti kritične infrastrukture, a neizvjesnost je stanje, čak i djelomičnog, nedostatka informacija o događajima i posljedicama.
16. Scenarij rizika je prikaz događaja jednog ili više vrsta rizika koji izazivaju štetne posljedice na kritičnoj infrastrukturi, a koji su odabrani radi detaljne procjene određene vrste rizika.
17. Kaskadni događaj - kvar je poremećaj infrastrukture koji je uzrokovan drugim događajem u istoj ili drugoj infrastrukturi.
18. Prihvatljivi rizik je razina rizika koju je društvo svjesno spremno prihvatiti, obzirom na društvenu, političku i gospodarsku analizu koristi i troškova.
19. Vjerojatnost je mogućnost pojave štetnog događaja, bilo da je događaj definiran, mjeren ili utvrđen objektivno ili subjektivno, kvalitativno ili kvantitativno i opisan uz upotrebu općih termina ili matematički (kao što je mogućnost ili učestalost u danom vremenskom periodu).
20. Posljedica je rezultat događaja koji utječe na ciljeve, a može biti određena ili neodređena i može imati pozitivne ili negativne učinke na ciljeve te može biti izražena kvalitativno ili kvantitativno. Jedan događaj može voditi nizu posljedica, a početna posljedica može eskalirati putem sekundarnih/naknadnih učinaka.
21. Kriterij rizika je opis uvjeta prema kojima se vrednuje razina rizika, a temelji se na ciljevima kritične infrastrukture te vanjskom i unutarnjem kontekstu. Kriteriji rizika mogu proizlaziti iz propisa, politika ili drugih uvjeta.
22. Operativne karakteristike su karakteristike koje ima kritična infrastruktura kada normalno radi.
23. Ovisnost kritičnih infrastruktura je povezanost ili veza između dvije ili više kritičnih infrastruktura pri čemu stanje jedne utječe ili je u korelaciji sa stanjem druge kritične infrastrukture. Ovisnost može biti fizička, informacijska, logička, zemljopisna, itd.
24. Međuovisnost kritičnih infrastruktura je dvosmjerna ovisnost između dviju ili više kritičnih infrastruktura, pri čemu stanje jedne utječe ili je u korelaciji sa stanjem drugih kritičnih infrastruktura i obratno.
25. Kriterij prihvatljivosti rizika je opis uvjeta prema kojem se odlučuje o prihvatljivosti rizika.
26. Vlasnik/upravitelj infrastrukture je fizička ili osoba odgovorna i ovlaštena za upravljanje kritičnom infrastrukturom.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 3.
Središnja tijela državne uprave, u suradnji s nadležnim regulatornim agencijama, u svom djelokrugu radi izrade analize rizika:
– provode postupak za identifikaciju kritičnih infrastruktura
– vode bazu podataka kritičnih infrastruktura
– utvrđuju sektorska mjerila za analizu rizika kritičnih infrastruktura
– izrađuju sektorsku analizu rizika poslovanja kritičnih infrastruktura.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 4.
Vlasnici/upravitelji kritičnih infrastruktura izrađuju procjenu rizika poslovanja kritičnih infrastruktura kojih su vlasnici i/ili kojima upravljaju.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
II. POSTUPCI IDENTIFIKACIJE KRITIČNIH INFRASTRUKTURA
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 5.
(1) Identifikacija kritičnosti infrastrukture u pravilu se izrađuje za svaki sustav, mrežu i objekt infrastrukture u djelokrugu nadležnosti vlasnika/upravitelja infrastruktura.
(2) Kriteriji za procjenu kritičnosti infrastrukture mogu biti:
– život i zdravlje – utvrđuje se utjecaj poremećaja i/ili prekida rada na život i zdravlje ljudi
– vremenski okvir – ako dođe do poremećaja/prekida rada određuje se u kojem će vremenu taj poremećaj/prekid imati posljedice na ukupno poslovanje/pružanje usluga (što je vrijeme kraće, veća je kritičnost)
– opseg – utvrđuje se koliko će ukupnog proizvoda i/ili usluga biti pogođeno u slučaju poremećaja ili potpunog prekida rada
– zakonski, regulatorni i ugovorni značaj
– gospodarska/financijska šteta.
(3) Vlasnik/upravitelj infrastrukture, odnosno nositelj izrade procjene rizika može koristiti i druge kriterije za procjenu kritičnosti infrastrukture i odlučiti koje će i koliko kriterija istodobno primijeniti te koju će klasifikaciju koristiti unutar utvrđenih kriterija.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 6.
(1) Kritičnost infrastrukture se izražava razinom rizika. Razina rizika određuje rang rizika, odnosno indeks kritičnost
(2) Posljedice događaja definiraju se, u pravilu, u odnosu na utjecaj štete/kvara/prestanka rada infrastrukture na:
– zdravlje, sigurnost i okoliš
– proizvode i usluge
– vrijeme potrebno za popravak, obnovu ili oporavak.
(3) Vjerojatnost događaja (kvara/prestanka rada) definira se u odnosu na vrstu, karakter i namjenu infrastrukture, a uključuje i sljedeće pokazatelje:
– učestalost događaja u prošlosti
– pouzdanost u razdoblju prije nastanka kvara/prestanka rada
– način uporabe
– način održavanja
– normiranu uporabu
– uvjete pružanja usluga.
(4) Nositelj izrade procjene rizika može uključiti i druge pokazatelje za izračun razine rizika, sukladno karakteristikama i specifičnostima infrastrukture.
(5) Procjena kritičnosti infrastrukture rezultira identifikacijom svih kritičnih objekata, mreža, procesa, pod-procesa, sustava i pod-sustava.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
III. POSTUPCI PROCJENE RIZIKA
Komentirate u ime: Državna uprava za zaštitu i spašavanje
1. Izrada scenarija i analiza prijetnje
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 7.
(1) Scenarij rizika je opis mogućih događaja koji mogu imati neizvjestan utjecaj na postizanje ciljeva kritične infrastrukture.
(2) Dobro razvijen scenarij rizika pretpostavka je za uspješnost identifikacije rizika, analizu i njihovu daljnju obradu.
(3) Scenarij rizika može se razviti koristeći dva različita mehanizma:
– top-down (prema dolje) pristup, pri čemu se polazi od ukupnih ciljeva kritične infrastrukture i provodi analiza onih najrealnijih koji mogu utjecati na ciljeve.
– bottom-up (prema gore) pristup, pri čemu se koristi generički popis scenarija pojedinačnih rizika na temelju čega se definira skup više relevantnih scenarija u okviru jednog prilagođenog scenarija, primijenjen na pojedinačne situacije u kojima se može naći kritična infrastruktura.
(4) Pristupi su komplementarni i mogu se koristiti istovremeno. Scenariji rizika moraju biti relevantni i povezani s realnim rizicima kritične infrastrukture.
(5) Uporaba generičkog popisa scenarija rizika može pomoći da se identificiraju rizici i povećaju mogućnosti da glavni scenarij bude sveobuhvatan i referentan za kritičnu infrastrukturu.
(6) U izradi scenarija u obzir se uzimaju rizici koji mogu imati utjecaj na ciljeve i zahtjeve ostvarenja ciljeva svake kritične infrastrukture.
(7) Generički popis scenarija prilagođava se specifičnoj situaciji svake kritične infrastrukture.
(8) Analiza prijetnje i razvoj scenarija obuhvaćaju sljedeće postupke:
– izradu popisa prijetnji – opisuju se opće karakteristike prijetnje, njihov intenzitet, trajanje i mogući učinci (Prilog 2.)
– procjenu očekivane izloženosti – utvrđuje se koji objekti, sustavi/pod-sustavi i procesi/pod-procesi mogu biti pogođeni
– procjenu očekivanog intenziteta prijetnje
– procjenu očekivanog trajanja prijetnje
– rano upozoravanje – utvrđuje se koje je očekivano vrijeme između upozorenja i štetnog događaja
– utvrđivanje sekundarnih učinaka (psihološki učinci događaja, utjecaj na javnost i medije i slično)
– utvrđivanje podataka o štetnim događajima – utvrđuje se koji se usporedivi štetni događaji mogu razmotriti za dobivanje detaljnijih podataka (povijesni podaci)
– utvrđivanje vjerojatnosti štetnog događaja – utvrđuje se koja se vjerojatnost nastanka štetnog događaja može očekivati ili identificirati.
(9) Scenarij se razvija na temelju popisa prijetnji i relevantnih podataka karakterističnih za sektor kritičnih infrastruktura.Scenariji moraju predstavljati realne događaje koji mogu rezultirati prekidom ili narušavanjem rada kritičnih infrastruktura i/ili prekidom roba i usluga.
(10) U scenarije se obvezno uključuju elementi ovisnosti i međuovisnosti kritičnih infrastruktura koji mogu povećati učinke i posljedice štetnih događaja, što izravno utječe na sektorski plan osiguranja rada kritičnih infrastruktura i sigurnosni plan zaštite kritičnih infrastruktura.
(11) Broj scenarija koji se razvijaju ovisan je o identificiranim prijetnjama i karakteristikama sektora odnosno kritičnih infrastruktura, a izrađuju se za svaki pojedini relevantni događaj posebno.
(12) Scenariji se obvezno testiraju, aktualiziraju i nadopunjuju najmanje jednom godišnje, a po potrebi i češće.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
2. Identifikacija rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 8.
(1) Rizik je određen prijetnjama čija je pojavnost moguća i vezana za iskorištenje ranjivosti kritičnih infrastruktura te mogu imati negativan utjecaj na ciljeve kritične infrastrukture.
(2) Objedinjavanje relevantnih podataka o prijetnjama i ranjivosti rezultira identifikacijom rizika po elementima rizika, sustavima/pod-sustavima i procesima/pod-procesima.
(3) Elementi rizika obuhvaćaju osobito:
– ljude – osoblje i druge osobe u kontekstu održavanja funkcionalnosti infrastrukture i/ili pojedinih dijelova infrastrukture
– zemljište – vanjski prostor koji uključuje područja od važnosti za rad i operativnost infrastrukture, putove, skladišta, parkirne površine, zelene površine i slično
– građevine ispod i iznad zemlje (proizvodne hale, skladišta, administrativne građevine, garaže i slično)
– postrojenja i opremu – uključivo izvore napajanja strujom, plinom, vodom, grijanje, informacijsku i komunikacijsku tehnologiju, transport
– specijalizirana postrojenja i opremu
– podatke i datoteke koji uključuju sve podatke potrebne za održavanje procesa i sustava koji se čuvaju u pisanom i/ili elektroničkom obliku.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
3. Analiza rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 9.
(1) Analizom rizika utvrđuju se učinci i posljedice prekida rada ili značajnog narušavanja rada kritičnih infrastruktura koji mogu nastati kao posljedica prirodne prijetnje, tehničko-tehnološke prijetnje, prijetnje koja je nastala ljudskom djelatnošću (antropogena prijetnja) ili višestruke prijetnje.
(2) Analiza rizika uključuje:
– prikupljanje i analizu referentnih podataka te izradu baze podataka
– izradu scenarija mogućih događaja i rizika (najgori slučaj, najvjerojatniji slučaj)
– identifikaciju i utvrđivanje karakteristika kritičnih infrastruktura
– identifikaciju mogućih opasnosti i procjenu izloženosti
– identifikaciju elemenata rizika
– analizu kritičnosti
– analizu ranjivosti i otpornosti kritičnih infrastruktura na pojedine opasnosti
– utvrđivanje učinaka i posljedica neželjenih događaja na kritične infrastrukture ili dijelove kritičnih infrastruktura te na proizvode i usluge
– odabir i implementaciju metoda za izračun rizika
– uspoređivanje i evaluaciju rizika
– utvrđivanje prihvatljivosti rizika
– analizu ovisnosti i međuovisnosti kritičnih infrastruktura.
(3) U postupku analize rizika obvezno se uzimaju u obzir i izrađuju:
1.međusektorska mjerila
2.identifikacija rizika
3.kriteriji za procjenu kritičnosti
4.analiza prijetnje i razvoj scenarija
5.analiza ranjivosti
6.metode za izračun rizika
7.analiza jednostrukog i višestrukog rizika
8.evaluacija (vrednovanje) rizika.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
4. Analiza ranjivosti
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 10.
(1) Ranjivost kritičnih infrastruktura, njezinih dijelova ili elemenata rizika od presudne je važnosti za određivanje u kojoj je mjeri sektor, infrastruktura ili njezin dio pogođen i kakve su nastale štete. Što je ranjivost veća, veći su učinci i posljedice štetnog događaja na proizvode i usluge.
(2) Mjerila i kriteriji za identifikaciju ranjivosti su:
– ovisnost infrastrukture o elementima rizika – ako proces ili sustav ovisi o elementima rizika kako bi ispunio svoje zadaće, potencijalni manjak i/ili zamjena tih elemenata čini proces ili sustav ranjivim; u analizi rizika pomoću ovog kriterija utvrđuje se važnost elemenata rizika na sustave i procese
– ovisnost elemenata rizika o drugim infrastrukturama – ako element rizika ovisi o drugoj infrastrukturi kako bi ispunio svoje zadaće i funkciju, potencijalni nedostatak i/ili zamjena te infrastrukture čini element ranjivim
– otpornost – fizička otpornost elemenata rizika (građevina, opreme, postrojenja) je važan čimbenik za utvrđivanje hoće li u slučaju nesreće elementi biti oštećeni i imaju učinke na relevantne sustave i procese, mreže i objekte
– stvarna razina zaštite – elementi su ranjivi ako nisu u dovoljnoj mjeri zaštićeni od prijetnji
– zalihe i zamjene – ako štetan događaj pogodi elemente rizika, nastali problem je lakše riješiti ako postoje rezervni/zamjenski elementi koji će izvršavati iste zadaće/funkcije
– obnova – sposobnost i mogućnost obnove u kontekstu ranjivosti odnosi se na potrebna financijska sredstva i kadrove te uloženo vrijeme obnove
– prilagodljivost – sustavi i procesi su ranjivi ako se ne mogu jednostavno prilagoditi
– sposobnost amortiziranja – sposobnost sustava i procesa da podnesu učinke štetnog događaja do određenog stupnja i da ne budu određeno vrijeme pogođeni negativnim djelovanjem
– transparentnost – mora biti jasno vidljivo i razumljivo kako se elementi rizika spajaju i kako funkcioniraju, da bi se u slučaju štetnog događaja brzo popravili ili zamijenili
– ovisnost o posebnim uvjetima okoliša – infrastruktura radi pod okolnim uvjetima koji prevladavaju na lokaciji i ako ovisi o tim specifičnim okolnim uvjetima ranjiva je u odnosu na potencijalne promjene tih uvjeta.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
5. Međusektorska mjerila
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 11.
(1) U postupku analize rizika poslovanja kritičnih infrastruktura koriste se međusektorska mjerila, definirana u odnosu na posljedice negativnog događaja:
1. posljedice po ljudske živote i ljudsko zdravlje – procjenjuje se broj smrtno stradalih osoba, ozlijeđenih osoba, oboljelih osoba, osoba sa trajnim tjelesnim invaliditetom, broj premještenih i/ili raseljenih osoba,
2. posljedice u gospodarstvu, okolišu i financijama – procjenjuju se i iskazuju kvantitativno kao troškovi prekida gospodarskih aktivnosti, vrijednosti isplaćenih premija osiguranja, troškovi liječenja i medicinskih postupaka, troškovi neposrednih i/ili dugoročnih hitnih mjera, troškovi obnove i/ili izgradnje građevina, prometne i druge infrastrukture, javnog prijevoza, poštanskog i bankarskog prometa i usluga, troškovi ekološke obnove i drugi ekološki troškovi koji uključuju i nenadoknadive (trajne) ekološke štete, troškovi obnove kulturne baštine koji uključuju štete nastale uništenjem nenadoknadive kulturne baštine, druge specifične izravne i neizravne štete i troškove,
3. socio-političke posljedice i utjecaj na javnost – procjena uključuje kategorije kao što su gubitak povjerenja javnosti, javni red i mir te sigurnost građana, socio-psihološki utjecaj, narušavanje svakodnevnog života koje uključuje osnovne i/ili javne usluge te političke posljedice.
(2) Pored mjerila iz stavka 1. ovog članka, u pojedinim sektorima u postupku analize rizika poslovanja kritičnih infrastruktura koriste se posebna sektorska mjerila i elementi rizika koja utvrđuju nadležna tijela državne uprave u suradnji s nadležnim regulatornim agencijama.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
6. Metode za izračun rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 12.
(1) Metode za izračun rizika mogu biti:
– kvalitativne – koje daju grube procjene rizika u obliku teksta, bez izrade i mogućnosti numeričke usporedivosti (Prilog 1.)
– polu – kvantitativne – koje koriste klasifikaciju sustava za procjenu vrijednosti pojedinačnih faktora rizika tako da se oni mogu uspoređivati u numeričkom obliku
– kvantitativne – kojima se matematički izračunavaju faktori rizika.
(2) Odabir metode za izračun rizika ovisan je o specifičnostima sektora i svojstvima kritičnih infrastruktura.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
7. Analiza jednostrukog i višestrukog rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 13.
(1) Analizom jednostrukog rizika utvrđuje se mogućnost i posljedice određenog štetnog događaja/prijetnje koji se pojavljuje u nekom zemljopisnom području u određenom vremenskom razdoblju odvojeno od drugih štetnih događaja. Nakon utvrđivanja svih značajnih pojedinačnih rizika može se provesti ukupna evaluacija rizika.
(2) Analizom višestrukih rizika utvrđuje se ukupni učinak svih rizika na objekte, mreže i sustave, uzimajući u obzir međusobno djelovanje mogućih opasnosti i osjetljivosti.
(3) U analizi višestrukih rizika, kada jedan štetni događaj uzrokuje jedan ili više naknadnih štetnih događaja, uzimaju se u obzir naknadni učinci štetnih događaja (sekundarni učinak, domino učinak, kaskadno djelovanje).
Komentirate u ime: Državna uprava za zaštitu i spašavanje
8. Vrednovanje rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 14.
(1) Vrednovanje rizika je proces usporedbe rezultata analize rizika s kriterijima rizika da bi se utvrdilo da li je rizik prihvatljiv, odnosno da li je prihvatljiva njegova veličina.
(2) U slučaju da je rizik veći od predviđenog, vlasnik/upravitelj kritične infrastrukture utvrđuje mjere za smanjenje rizika.
(3) Vrednovanje rizika treba pokazati može li biti postignuta unaprijed definirana i planirana razina zaštite kritičnih infrastruktura i/ili njezinih dijelova u odnosu na utvrđene rizike.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
IV. OVISNOST I MEĐUOVISNOST KRITIČNIH INFRASTRUKTURA
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 15.
(1) Nositelji izrade sektorske analize rizika poslovanja kritičnih infrastruktura i analize rizika poslovanja kritičnih infrastruktura pri procjenjivanju rizika i potrebnog stupnja zaštite obvezno uzimaju u obzir ovisnost i međuovisnost kritičnih infrastruktura.
(2) Kritične infrastrukture mogu istovremeno biti ovisne o više drugih infrastruktura unutar jednog sektora, kao i o više drugih infrastruktura iz drugih sektora.
(3) Međuovisnost kritičnih infrastruktura izravno i neizravno utječe na njihovo funkcioniranje te se kod izračuna rizika moraju uzeti u obzir i ovisnosti koje utječu na promatranu infrastrukturu, kao i ovisnosti drugih kritičnih infrastruktura o promatranoj kritičnoj infrastrukturi.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 16.
Za utvrđivanje i analizu međuovisnosti kritičnih infrastruktura u obzir se uzimaju sljedeće značajke:
1. karakteristike infrastrukture – organizacijske, operativne, vremenske, prostorne
2. stanje rada – normalno/redovno, poremećeno, popravak i obnova
3. vrste međuovisnosti – fizička, zemljopisna, informatička, logička
4. okruženje/okolina infrastrukture – gospodarsko, poslovno, tehničko, socio-političko, pravno i regulatorno, zdravstveno, sigurnosno, javna politika
5. sprega/povezanost i ponašanje u reakciji – stupanj sprege (labava, čvrsta), vrsta međuovisnosti (linearna, kompleksna), ponašanje u reakciji (nepopustljivo/neelastično, prilagodljivo)
6. vrste kvara – kaskadni, eskalirajući, kvar s istim uzrokom.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 17.
(1) Nositelji izrade sektorske analize rizika poslovanja kritičnih infrastruktura za utvrđivanje i analizu međuovisnosti kritičnih infrastruktura surađuju i razmjenjuju podatke s nositeljima analize rizika kritičnih infrastruktura iz drugih sektora i vlasnicima/upraviteljima kritičnih infrastruktura, u cilju sagledavanja međuovisnosti i s njima povezanih rizika i ranjivosti pojedinih kritičnih infrastruktura.
(2) Središnja tijela državne uprave i regulatorne agencije obvezne su vlasnicima/ upraviteljima kritičnih infrastruktura iz svoga sektora dostavljati podatke od značaja za izradu analize rizika kritičnih infrastruktura kojima upravljaju te pružati stručnu pomoć u definiranju i primjeni međusektorskih i sektorskih mjerila za analizu prijetnji, rizika i ranjivosti identificiranih kritičnih infrastruktura i izradu njihovih sigurnosnih planova.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
V. PRIJELAZNE I ZAVRŠNE ODREDBE
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 18.
(1) Središnja tijela državne uprave u suradnji s nadležnim regulatornim agencijama i strukovnim udrugama dužna su predložiti Vladi Republike Hrvatske kritične infrastrukture u sektorima iz svoga djelokruga u roku od šest mjeseci od dana stupanja na snagu ovog Pravilnika
(2) Središnja tijela državne uprave dužna su izraditi sektorske analize rizika kritičnih infrastruktura u sektorima iz svojega djelokruga u roku od dvanaest mjeseci od dana stupanja na snagu ovog Pravilnika.
(3) Vlasnici/upravitelji kritičnih infrastruktura dužni su izraditi analizu rizika kritične infrastrukture kojom upravlja u roku od šest mjeseci od dana primitka odluke kojom čelnik središnjeg tijela državne uprave određuje nacionalne kritične infrastrukture.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 19.
Danom stupanja na snagu ovoga Pravilnika prestaje važiti Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, broj 128/13).
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Članak 20.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u „Narodnim novinama“.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
PRILOG 1. - Metodologija procjene rizika kritične infrastrukture – izračun rizika
Svaki sektor treba definirati svoje opise u tablicama, ali je preporuka da svi koriste tablice istog broja razina.
Za procjenu rizika koristi se kvalitativna metodologija.
Razina rizika se određuje prema izrazu:
Rizik = Vjerojatnost x Posljedica
gdje su:
Vjerojatnost – odnos između prijetnje i ranjivosti čija razina definira pojavu opasnosti
Posljedica - gubitak, odnosno šteta koja se pojavljuje u koliko dođe do realizacije rizika
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Tablica vjerojatnosti pojave opasnosti
Razina
Oznaka
Opis
1
Nema ili vrlo mala
Opasnost se pojavljuje jednom u 24 mjeseca ili rjeđe
2
Mala
Opasnost se pojavljuje jednom u 12 mjeseci ili rjeđe
3
Umjerena
Opasnost se pojavljuje jednom u 6 mjeseci ili rjeđe
4
Velika
Opasnost se pojavljuje jednom u 2 mjeseca ili rjeđe
5
Izrazito velika
Opasnost se pojavljuje više puta u 2 mjeseca
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Tablica posljedica
Razina
Oznaka
Opis štete
Kn
Povrijeđeni / Mrtvi
Utjecaj na vlast/javnost
1
Zanemarivo
<= 10.000
2
Male
<= 50.000
3
Umjerene
<= 100.000
4
Velike
<= 150.000
5
Katastrofalne
> 150.000
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Skala rangiranja rizika i matrica rizika
Razina
Razina rizika
Opis
1
1 – 4
Vrlo mali i prihvatljivi rizik. Nisu potrebne nikakve aktivnosti u odnosu na njega.
2
5 – 12
Umjereni rizik. Trenutno nisu potrebne posebne aktivnosti osim nadziranja. U slučaju mogućnosti smanjiti rizik.
3
15 - 25
Visok i neprihvatljiv rizik. Potrebno je trenutno poduzimanje aktivnosti za smanjenje rizika.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Matrica rizika (prema skali rangiranja rizika)
Posljedica
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
2
2
4
6
8
10
1
1
2
3
4
5
1
2
3
4
5
Vjerojatnost opasnosti
U slučajevima neprihvatljivih rizika (rang crvenog i žutog) treba provesti postupke obrade rizika. Samo za te rizike nužno je provesti analizu prijetnje i ranjivosti u cilju odabira optimalne zaštite kritične infrastrukture i smanjenje rizika.
Analiza prijetnje i ranjivosti se provodi na temelju funkcionalne ovisnosti:
Opasnost = f( Prijetnja , Ranjivost )
Ova analiza Opasnosti ima za cilj utvrđivanja što dominira: prijetnja ili ranjivost, ili čak i jedan i drugi parametar su veliki. Time se daju smjernica koje kontrole treba odabrati, one koje djeluju dominantno na prijetnju ili one koje djeluju dominantno na ranjivost kritične infrastrukture.
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Tablica prijetnje
Razina
Oznaka
Opis
1
Nema ili je mala
Prijetnja se vrlo rijetko pojavljuje
2
Umjerena
Prijetnja se pojavljuje povremeno
3
Velika
Prijetnja je stalno prisutna ili se vrlo često pojavljuje
Komentirate u ime: Državna uprava za zaštitu i spašavanje
Tablica primjera ranjivosti
Razina
Oznaka
Opis
1
Nema ili je mala
Resurs nije osjetljiv na prijetnju ili je provedena vrlo učinkovita zaštita (kontrola)
2
Umjerena
Postoji elementarna zaštita ili je provedena neučinkovita kontrola
3
Velika
Nema nikakve zaštite ili je provedena potpuno neučinkovita kontrola
Komentirate u ime: Državna uprava za zaštitu i spašavanje
PRILOG 2. - Tablica opasnosti i prijetnji
Opasnost
Prijetnja
Požar
Diverzija
Vremenske nepogode (munje)
Utjecaj okoliša
Poplava
Poplava
Razaranje
Diverzija
Potres
Eksplozija
Komentirate u ime: Državna uprava za zaštitu i spašavanje
PRILOG 3. - Registar rizika kritičnih infrastruktura
R.Br.
Kritična infrastruktura
Opasnost
Posljedica
Rizik
Rang
Prijetnja
Ranjivost
Obrada
Napomena
Opis
Razina
Opis
Nivo
Opis
Razina
Opis
Razina
1
2
3
4
5
6
7=4x6
8
9
10
11
12
13
14
Komentirate u ime: Državna uprava za zaštitu i spašavanje