Europska Unija i Hrvatska

eu.com.hr

Razumijevanje obveza prijave incidenata kod pružatelja digitalnih usluga [2025]

Sigurnosni incidenti u digitalnim uslugama sve češće pogađaju i poslovanje i društvo u cjelini. Njihovi učinci mogu biti značajni, od gubitka podataka do narušavanja povjerenja korisnika. Stoga je ključno razumjeti pravne obveze koje se odnose na prijavu takvih incidenata.

U Hrvatskoj i Europskoj uniji postoje jasno definirani zakonski i regulatorni okviri koji obvezuju pružatelje digitalnih usluga na brzu i točnu prijavu sigurnosnih incidenata. Regulativa pokriva zaštitu podataka, mrežnu sigurnost i suradnju s nadležnim tijelima. Pridržavanje ovih obveza pomaže u smanjenju rizika i održavanju sigurnog digitalnog okruženja.

Više o središnjim zakonima koji uređuju ovu materiju možete pronaći u propisima poput Zakona o elektroničkim komunikacijama te EU direktivama kojima je cilj unaprijediti kibernetičku sigurnost na razini cijele zajednice.

Razumijevanje i pravovremeno djelovanje prema ovim zahtjevima nije samo zakonska nužnost, već i ključna mjera zaštite korisnika i poslovanja od štetnih posljedica cyber napada.

Pravni okvir za prijavu incidenata u Hrvatskoj

Prijava sigurnosnih incidenata u Hrvatskoj regulirana je Zakonom o kibernetičkoj sigurnosti iz 2024. godine, koji jasno definira obveze pružatelja digitalnih usluga i drugih subjekata u slučaju otkrivanja sigurnosnih prijetnji. Ovaj pravni okvir uspostavlja jasne smjernice za pravodobnu i točnu prijavu kako bi se zaštitila integritet i pouzdanost digitalnih sustava te povećala otpornost na kibernetičke napade. Razumijevanje ovih pravila ključno je za svaku organizaciju koja djeluje u digitalnom okruženju Hrvatske.

Kategorije pružatelja digitalnih usluga obuhvaćenih zakonom

Zakon o kibernetičkoj sigurnosti obuhvaća širok spektar subjekata kojima je propisana obveza prijave incidenata. Prvenstveno se odnosi na:

  • Pružatelje osnovnih i elektroničkih komunikacijskih usluga
  • Pružatelje usluga informacijskog društva poput online platformi, internetskih trgovina, obrade podataka i računalnog oblaka
  • Veće kompanije koje pružaju digitalne usluge značajne za društvo ili gospodarstvo
  • Operatore ključnih usluga u sektorima poput energetike, zdravstva, financija, transporta, vode i javnih usluga

Svi ovi subjekti imaju jasnu zakonsku obvezu prijaviti incidente koji ugrožavaju sigurnost mreža i informacijskih sustava kojima upravljaju. Prijava je obvezna i kad je incident povezan sa zaštitom osobnih podataka, čime se nadovezuje na Europsku Uredbu o zaštiti podataka (GDPR).

Zakon naglašava važnost prijave incidenata jer i najmanja ranjivost u digitalnoj infrastrukturi može imati šire negativne posljedice. Pravovremenom prijavom omogućava se sustavna reakcija na prijetnje i minimiziranje šteta.

Rokovi i oblik prijave incidenata

Pravni okvir detaljno propisuje vremenske okvire i tipove izvještaja koji se moraju dostaviti nadležnim tijelima, prvenstveno Nacionalnom CERT-u, odnosno centru za kibernetičku sigurnost. Rokovi su:

  • Prva prijava incidenta: najkasnije u roku od 24 sata od otkrivanja incidenta
  • Dodatni izvještaj: unutar 72 sata treba dostaviti detaljniju analizu i informacije koje su dostupne nakon početne prijave
  • Završni izvještaj: unutar jednog mjeseca mora se poslati sveobuhvatan izvještaj sa cjelokupnim podacima o incidentu, posljedicama i poduzetim mjerama

Oblik prijave može biti elektronički, najčešće putem službenog portala ili mail adrese Nacionalnog CERT-a, ovisno o uputama koje se prate u skladu sa zakonskim propisima.

Vrste incidenata koje treba prijaviti uključuju:

  • Sigurnosne prijetnje koje ugrožavaju dostupnost, tajnost ili integritet sustava
  • Napade na infrastrukturu poput DDoS, malware ili ransomware prijetnji
  • Propuste koji su rezultirali gubitkom ili neovlaštenim pristupom podacima
  • Incidente značajnog utjecaja na krajnje korisnike ili poslovanje

Pravovremeno izvještavanje omogućuje nadležnim tijelima koordinaciju obrane i sprječavanje daljnjih šteta. Hrvatski sustav kibernetičke sigurnosti u 2024. godini, prema dostupnim podacima, sve učinkovitije obrađuje velik broj incidenata, čime se potvrđuje važnost jasno definiranog i usklađenog pravnog okvira Nacionalni CERT izvještaj.

Obveznici prijave moraju biti upoznati i s detaljima zakona, a to znači da njihovi timovi za IT sigurnost i pravni sektor trebaju uskladiti interne procedure s propisanim rokovima i obvezama. Kod nepoštivanja zakonskih rokova i oblikovanja izvještaja, prijete ozbiljne sankcije.

Za dodatne informacije o zakonskim okvirima i pravima u Hrvatskoj preporučujem pregled službenih propisa i smjernica na stranici Zakon o kibernetičkoj sigurnosti 2024.

Ukratko, zakonski okvir u Hrvatskoj jasno definira tko mora prijaviti incident, što i u kojem roku te u kojem formatu. To omogućuje efikasnu zaštitu digitalnih usluga i pravovremenu reakciju na cyber prijetnje, što je neizostavan uvjet za sigurno poslovanje u modernom društvu.

Tehničke i organizacijske mjere za sprječavanje i upravljanje incidentima

Pružatelji digitalnih usluga su zakonski obavezni ne samo pravovremeno prijaviti incidente, već i aktivno ih sprječavati i učinkovito upravljati ako do njih dođe. To zahtijeva postojanje jasnih i primjenjivih tehničkih i organizacijskih mjera. One moraju biti kontinuirano unapređivane kroz procjenu rizika, sigurnosne provjere, planiranje poslovne otpornosti i edukaciju zaposlenika. Tek tako moguće je održavati visoku razinu sigurnosti i smanjiti potencijalne štete.

Procjena rizika i sigurnosne provjere

Kontinuirana procjena rizika predstavlja osnovu za identifikaciju ranjivosti i prijetnji unutar IT sustava i infrastrukture. Ne radi se o jednokratnoj aktivnosti, već o stalnom procesu koji prati promjene u tehnologiji, poslovanju i pravnom okviru.

Glavni elementi procjene rizika uključuju:

  • Pregled postojećih kontrola i njihove učinkovitosti
  • Identifikaciju kritičnih sustava i podataka
  • Analizu potencijalnih prijetnji poput sigurnosnih propusta, zlonamjernog softvera ili ljudskih pogrešaka
  • Procjenu učinka incidenata na poslovanje i korisnike

Redovite sigurnosne revizije dodatno potvrđuju usklađenost s propisima i standardima. Neovisne provjere otkrivaju slabosti koje interne kontrole mogu zanemariti. One se mogu odnositi na:

  • Sigurnosne politike i procedure
  • Tehnička rješenja poput enkripcije, pristupnih prava i mrežne zaštite
  • Incidentne protokole i reakcijske timove

Ove revizije pomažu u prilagodbi mjera razvoju prijetnji, što je zahtjev i Zakona o kibernetičkoj sigurnosti te Uredbe o kibernetičkoj sigurnosti (NN 135/2024).

Planovi poslovne otpornosti i edukacija zaposlenika

Važan dio upravljanja incidentima su kvalitetni planovi poslovne otpornosti (disaster recovery i business continuity plans). Oni definiraju precizne korake za nastavak rada u slučaju sigurnosnih incidenata, uključujući:

  • Proceduru otkrivanja i prijave incidenta
  • Uloge i odgovornosti članova tima
  • Načine oporavka sustava i povratak normalnom radu
  • Komunikaciju unutar tvrtke i prema vanjskim dionicima

Bez dobro razrađenog plana, reakcija na incident može biti kaotična i neučinkovita, što povećava rizik od većih šteta.

Ne smijemo zaboraviti ni na ljudski faktor u sigurnosti. Redovita edukacija zaposlenika povećava njihovu svijest o prijetnjama (poput phishinga) i pravilima ponašanja vezanih za zaštitu podataka i sustava. Učestale radionice, treninzi i simulacije stvaraju sigurnosnu kulturu unutar organizacije.

Pružatelji digitalnih usluga koji ulažu u edukaciju i uvježbavanje tima bilježe bržu detekciju problema i učinkovitiju suradnju u incidentnim situacijama.

Kombinacija tehničkih rješenja s organizacijskim mjerama čini prepreku cyber napadima i osigurava brzu, učinkovitu reakciju ako do njih ipak dođe. Takav pristup nije samo preporuka, već ključna zakonska obveza koju svi pružatelji moraju ozbiljno shvatiti kako bi zaštitili svoje korisnike i poslovanje.

Za dodatne detalje o relevantnoj zakonskoj regulativi i tehničkim zahtjevima, preporučujem pregled Uredbe o kibernetičkoj sigurnosti koja detaljno uređuje ove obveze.

Europski kontekst: Direktiva NIS2 i EU Cybersecurity Blueprint

U današnjem globalno povezanom svijetu, sigurnost mreža i informacijskih sustava jedan je od ključnih izazova za države i tvrtke. Europska unija je stoga postavila okvir propisa koji ciljaju standardizaciju i unapređenje kibernetičke sigurnosti među svim državama članicama. NIS2 Direktiva i EU Cybersecurity Blueprint predstavljaju temeljne europske inicijative koje definiraju obveze, pravila i metode za učinkovito upravljanje sigurnosnim incidentima te usklađivanje nacionalnih sustava prema zajedničkim standardima.

NIS2 Direktiva i prilagodba hrvatskog zakonodavstva

NIS2 (Network and Information Systems Directive 2) nadopunjuje i unaprjeđuje prijašnju NIS Direktivu, uspostavljenu još 2016. godine, s ciljem proširenja zaštite i povećanja otpornosti na kibernetičke prijetnje. Glavni zahtjevi ove direktive odnose se na:

  • Proširenje opsega obuhvata tako da uključuje veći broj sektora i subjekata, među kojima su pružatelji digitalnih usluga, operatori ključnih usluga, te nove kategorije poput javnih uprava i proizvođača ključne tehnologije.
  • Povećanje sigurnosnih i prijavnih obveza, gdje su subjekti dužni pravodobno prijavljivati incidentne događaje koji mogu utjecati na dostupnost ili integritet sustava.
  • Uvođenje strožih kontrola i nadzora, uključujući kaznene mjere za nepridržavanje.
  • Naglasak na procjenu rizika i implementaciju učinkovitih tehničkih i organizacijskih mjera.

Hrvatska je ovu direktivu prenijela u svoje zakonodavstvo kroz Zakon o kibernetičkoj sigurnosti, čiji su propisi usklađeni s NIS2 zahtjevima. Time su zakonski prošireni broj obveznika prijave incidenata, uključujući i pružatelje digitalnih usluga novih kategorija. Hrvatska je time osigurala da se pravila i procedure koje se odnose na incidentne prijave prilagode europskim standardima, što je bitno za sigurnost na svim razinama. Primjerice, novim zakonskim rješenjima utvrđene su detaljne obveze pravovremenog izvještavanja relevantnim tijelima o incidentima poput cyber napada, koji mogu ugroziti kritične informacijske infrastrukture.

Ovo su osnovne točke NIS2 direktive primijenjene u nacionalnom okviru:

ElementOpis u hrvatskom zakonodavstvu
Obuhvat subjekataPružatelji digitalnih usluga, operatori ključnih usluga, javne ustanove
Rokovi prijavePrva prijava u roku 24 sata, detaljni izvještaji do 72 sata i do mjesec dana
Sigurnosne mjereObavezne tehničke i organizacijske mjere sukladno riziku
SankcijeNovčane kazne za kašnjenje ili neprijavljivanje incidenata

Ova prilagodba omogućava bolju usklađenost i transparentnost prijavljivanja kako bi se smanjile štetne posljedice kibernetičkih prijetnji.

Koordinacija EU i nacionalnih tijela za upravljanje kibernetičkim incidentima

EU Cybersecurity Blueprint predstavlja europski mehanizam za koordinaciju u slučaju velikih i prekograničnih kibernetičkih incidenata. Cilj mu je omogućiti brzu, učinkovitu i zajedničku reakciju na cyber prijetnje koje prelaze nacionalne granice. Ova koordinacija bitno utječe i na hrvatski sustav upravljanja incidentima, jer on mora biti u skladu s europskom zajednicom sigurnosti.

Sustav se temelji na sinergiji između nekoliko ključnih tijela:

  • Nacionalni CERT timovi (Computer Emergency Response Teams) u svakoj članici EU, koji su prve linije obrane i koordinacije u slučaju incidenata na nacionalnoj razini.
  • ENISA (Agencija EU za kibernetičku sigurnost) koja igra središnju ulogu u podršci i savjetovanju zemalja članica, održavanju zajedničkih komunikacijskih kanala, te uvođenju sigurnosnih politika.
  • CSIRT mreža (Computer Security Incident Response Teams), koja povezuje nacionalne CERT-ove radi brze razmjene informacija o kibernetičkim prijetnjama i incidentima.

Ova mreža funkcionira po principu razmjene informacija i koordiniranog djelovanja u hitnim situacijama. Kada dođe do većeg incidenta, nacionalni CERT u Hrvatskoj surađuje s ENISA-om i drugim nacionalnim timovima kako bi se omogućilo pravovremeno dijeljenje podataka, analiza i zajedničko reagiranje. Također su definirane i zajedničke vježbe i scenariji koji povećavaju spremnost.

Mehanizmi uključuju:

  • Alarmne procedure za brzo obavještavanje svih uključenih tijela.
  • Tehničku podršku i analize za identifikaciju uzroka i širenja prijetnje.
  • Koordinirane mjere ublažavanja kako bi se spriječilo daljnje širenje incidenata.

Takav pristup ne samo da povećava otpornost nacionalnog sustava, već i jača povjerenje unutar EU zajednice sigurnosti.

Više o tome kako se u Hrvatskoj implementira sustav prijave incidenata i upravljanja njima, u skladu s europskim standardima, možete pronaći na stranici Zakon o kibernetičkoj sigurnosti 2024 koja sadrži detaljne propise vezane uz ovu temu.

Europski okvir NIS2 i Cybersecurity Blueprint postavlja temelj za učinkovito upravljanje incidentima na svim razinama, čime se osigurava integritet, dostupnost i povjerljivost mrežnih sustava u cijelom EU prostoru. Hrvatska je aktivno uskladila svoje zakonodavstvo kako bi odgovorila na te zahtjeve i podigla razinu kibernetičke zaštite.

Praktične smjernice za pružatelje digitalnih usluga

Svaki pružatelj digitalnih usluga mora imati jasno definirane procedure za pravovremenu i kvalitetnu prijavu sigurnosnih incidenata. Pridržavanje zakonskih obveza ne osigurava samo usklađenost s regulatornim zahtjevima, nego i veću otpornost sustava te povjerenje korisnika. U nastavku donosimo ključne smjernice koje pomažu u uspostavi učinkovitog sustava prijave i upravljanja incidentima.

Postupci prijave i incidentna dokumentacija

Prijava sigurnosnih incidenata nije samo formalnost, već proces koji treba biti stručno organiziran i transparentan. Evo što svaka organizacija treba uspostaviti:

  • Vođenje detaljne evidencije: Svaki incident mora biti dokumentiran s točnim vremenom otkrića, opisom narušene sigurnosti, opsegom štete i poduzetim mjerama. To pomaže u analizi i sprječavanju budućih problema.
  • Pravovremena prijava nadležnim tijelima: Zakon propisuje da se prva obavijest o incidentu mora poslati unutar 24 sata. To znači da tim za sigurnost mora odmah reagirati, bez odgađanja.
  • Korištenje standardiziranih obrazaca i kanala komunikacije: Preporučuje se koristiti službene obrasce i portale za prijavu incidenta. Takva uniformnost ubrzava proces i smanjuje mogućnost pogrešaka.
  • Koordinacija među timovima: U incidentnom procesu trebaju sudjelovati IT sigurnost, pravna služba te uprava kako bi informacije bile pravovremene i točne.
  • Evidencija komunikacije: Svaka razmjena informacija s nadležnim tijelima treba biti zabilježena radi kasnije provjere i usklađivanja.

Sustav dokumentacije ne služi samo za zakonodavne svrhe. On je i vrijedan alat za praćenje učinkovitosti sigurnosnih mjera i unapređenje ukupne sigurnosne strategije.

Suradnja s nadzornim tijelima i kontinuirano usavršavanje

Dobro uspostavljena i transparentna suradnja s nadležnim tijelima je ključ za brzu reakciju na prijetnje i smanjenje šteta. Pružatelji digitalnih usluga trebaju biti svjesni da ove veze nisu jednokratne, već stalne:

  • Redovito izvještavanje i ažuriranja: Osim obveznih prijava incidenata, preporučuju se i redovita izvješća o sigurnosnim aktivnostima i eventualnim potencijalnim rizicima.
  • Otvoreni kanali komunikacije: Održavanje kontakata s Nacionalnim CERT-om i drugim nadležnim institucijama osigurava podršku u kriznim situacijama.
  • Uvođenje povratnih informacija: Primljene smjernice i preporuke nadležnih tijela trebaju se odmah implementirati u interne sigurnosne politike.
  • Ažuriranje sigurnosnih politika i procedura: Pravni okvir i tehnološki zahtjevi se mijenjaju, stoga je neophodno sustavno pratiti novosti i prilagođavati interne strategije.
  • Edukacija i trening: Osposobljavanje zaposlenika sustavno se provodi kako bi se osiguralo usvajanje novih procedura i poboljšala sigurnosna svijest.

Sve ove prakse grade odnos povjerenja i omogućavaju učinkovitu zaštitu sustava. Pružatelji usluga koji ne ulažu u komunikaciju s nadležnim tijelima izlažu se većem riziku neusklađenosti i mogu umanjiti mogućnosti obrane u slučaju incidenta.

Primjena takvih smjernica čini prijavu incidenata ne samo obvezom nego i prilikom za kvalitetniju organizaciju sigurnosti i brzu reakciju na nove prijetnje. O tome detaljnije možete saznati u službenim uputama kao što su Zakon o kibernetičkoj sigurnosti 2024 koji detaljno uređuje ove teme.

Zaključak

Obveze prijave incidenata kod pružatelja digitalnih usluga predstavljaju ključni segment zaštite mrežne sigurnosti i povjerljivosti podataka. Pravovremena i točna prijava omogućava brzu reakciju nadležnih tijela, što smanjuje štetne posljedice napada. Usklađenost s propisima, poput Zakona o kibernetičkoj sigurnosti i NIS2 direktive, direktno doprinosi podizanju povjerenja korisnika i stabilnosti digitalnog okruženja.

Svaki pružatelj digitalnih usluga treba uspostaviti jasne postupke prijave i osigurati stalno unapređivanje sigurnosnih mjera i edukaciju zaposlenika. Takav pristup ne samo da ispunjava zakonske zahtjeve, nego i predstavlja temelj za otporniji i sigurniji digitalni ekosustav, što je neophodno za održivi rast poslovanja.

Za detaljnije informacije o pravnom okviru i suvremenim zahtjevima sigurnosti, preporučujem pregled dokumentacije o Zakonu o kibernetičkoj sigurnosti 2024.

Post navigation

Leave a Comment

Leave a Reply

Your email address will not be published. Required fields are marked *

You might also like

If you like this post you might also like these