U skladu sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) i Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/18), operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez neopravdane odgode, obavještavati nadležni CSIRT o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju.
Istim je zakonom Nacionalni CERT (CERT.hr) proglašen nadležnim CSIRT-om za sve operatore ključnih usluga iz sektora:
- Bankarstva
- Infrastrukture financijskog tržište
- Digitalne infrastrukture
- Poslovnih usluga za državna tijela
- Davatelja digitalnih usluga
Napomena: Nadležni CSIRT za sektor Poslovne usluge za državna tijela* za sve usluge je Zavod za sigurnost informacijskih sustava, osim za područje koje je u djelokrugu tijela državne uprave nadležnog za znanost i obrazovanje, Sveučilišnog računskog centra (Srce) ili CARNET-a, za koje je nadležni CSIRT Nacionalni CERT.
Operatori ključnih usluga i davatelji digitalnih usluga dužni su dostavljati sljedeće obavijesti o incidentima sa znatnim učinkom na kontinuitet pružanja usluge:
- inicijalnu obavijest o incidentu sa znatnim učinkom
- prijelazno izvješće o incidentu sa znatnim učinkom i
- završno izvješće o incidentu sa znatnim učinkom.
Nadležni CSIRT je donio Smjernice za dostavu obavijesti o incidentima sa znatnim učinkom operatora ključnih usluga i davatelja digitalnih usluga (Smjernice) kojima se određuje način dostave obavijesti i obrasci za obvezno obavještavanje o incidentima sa znatnim učinkom (Obrasci).
Obrasci za obavezno obavještavanje:
POPIS NADLEŽNIH TIJELA
Jedinstvena nacionalna kontaktna točka – Ured Vijeća za nacionalnu sigurnost
| Sektor ključnih usluga | Nadležno sektorsko tijelo | CSIRT | Tehničko tijelo za ocjenu sukladnosti |
| Energetika | tijelo državne uprave nadležno za energetiku | Zavod za sigurnost informacijskih sustava | Zavod za sigurnost informacijskih sustava |
| Prijevoz | tijelo državne uprave nadležno za promet | Zavod za sigurnost informacijskih sustava | Zavod za sigurnost informacijskih sustava |
| Bankarstvo | Hrvatska narodna banka | Nacionalni CERT | – |
| Infrastrukture financijskog tržišta | Hrvatska agencija za nadzor financijskih usluga | Nacionalni CERT | – |
| Zdravstveni sektor | tijelo državne uprave nadležno za zdravstvo | Zavod za sigurnost informacijskih sustava | Zavod za sigurnost informacijskih sustava |
| Opskrba vodom za piće i njezina distribucija | tijelo državne uprave nadležno za vodno gospodarstvo | Zavod za sigurnost informacijskih sustava | Zavod za sigurnost informacijskih sustava |
| Digitalna infrastruktura | Središnji državni ured za razvoj digitalnog društva | Nacionalni CERT | Hrvatska akademska i istraživačka mreža – CARNET |
| Poslovne usluge za državna tijela | Središnji državni ured za razvoj digitalnog društva | Zavod za sigurnost informacijskih sustava ili Nacionalni CERT | Zavod za sigurnost informacijskih sustava ili Nacionalni CERT** |
| Davatelji digitalnih usluga | Nadležno sektorsko tijelo | CSIRT | Tehničko tijelo za ocjenu sukladnosti |
| tijelo državne uprave nadležno za gospodarstvo | Nacionalni CERT | Zavod za sigurnost informacijskih sustava |
OCJENA SUKLADNOSTI
“Okvir dobrih praksi za usklađivanje operatora ključnih usluga s mjerama Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga i provođenje ocjene sukladnosti” izradili su Zavod za sigurnost informacijskih sustava i Hrvatska akademska i istraživačka mreža – CARNET i on predstavlja smjernice, preporuke i dobre prakse za ostvarivanje sukladnosti s mjerama sigurnosti.
Dokument je namijenjen operatorima ključnih usluga koji imaju obvezu usklađivanja s Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (Uredba) (NN 68/2018). Uredbom su utvrđene mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavještavanje o incidentima.