You are here
Home > Opće smjernice za provedbu obveze obavještavanja o značajnim incidentima

Opće smjernice za provedbu obveze obavještavanja o značajnim incidentima

Temeljem članka 72. stavka 2. Uredbe o kibernetičkoj sigurnosti („Narodne novine“, br. 135/24, u daljnjem tekstu: UKS) Nacionalni centar za kibernetičku sigurnost i Nacionalni CERT, kao nadležni CSIRT-ovi donijeli su Opće smjernice za provedbu obveze obavještavanja o značajnim incidentima (u daljnjem tekstu: Opće smjernice) uz suglasnost središnjeg državnog tijela za kibernetičku sigurnost.  

Nadležni CSIRT-ovi su prilikom donošenja Općih smjernica vodili računa o ENISA-inim tehničkim smjernicama o parametrima za informacije u svrhu obavještavanja ENISA-e temeljem članka 42. stavka 2. Zakona o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24., u daljnjem tekstu: ZKS) u kojem se navodi obveza obavještavanja jedinstvene kontaktne točke (čije poslove po članku 61. ZKS-a obavlja Nacionalni centar za kibernetičku sigurnost) o značajnim incidentima, ostalim incidentima, kibernetičkim prijetnjama i izbjegnutim incidentima o kojima su ih ključni i važni subjekti obavijestili na temelju članaka 37. i 39. ZKS-a. 

Opće smjernice sadrže:

  • upute i pojašnjenja procesa obavještavanja o značajnim incidentima,
  • pojašnjenja u vezi primjene kriterija za utvrđivanje značajnih incidenata,
  • načine obavještavanja nadležnog CSIRT-a o značajnom incidentu,
  • vrste obavijesti i rokove za dostavu,
  • postupanje u slučaju pojave značajnog incidenta koji obuhvaća više sektora, podsektora ili vrsta subjekata,
  • obrasce za obavještavanje uz upute za njihovo ispunjavanje. 

Obrasci koji se nalaze u Prilogu Općih smjernica integrirani su u obliku web obrazaca u Nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima (dalje u tekstu: Platforma PiXi) prema članku 43. ZKS-a, Poglavlju IV. UKS-a i članku 15. Zakona o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor („Narodne Novine“, br. 136/24.). Pristup Platformi PiXi imaju isključivo ovlaštene osobe putem Nacionalnog identifikacijskog i autentifikacijskog sustava (dalje u tekstu: NIAS). 

Kategorizirani subjekti

Svi kategorizirani subjekti dužni su nadležni CSIRT obavijestiti o svakom značajnom incidentu te mogu dobrovoljno nadležni CSIRT obavijestiti o ostalim incidentima, izbjegnutim incidentima i kibernetičkim prijetnjama. Kategorizirani subjekti prijavljuju značajne incidente, ostale incidente, izbjegnute incidente i kibernetičke prijetnje nadležnom CSIRT-u putem Nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima – Platforme PiXi: 

• Nacionalna platforma za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima – platforma PiXi 

Upute za prijavu značajnih incidenata dostupne su u Općim smjernicama za provedbu obveze obavještavanja o značajnim incidentima: 

• Opće smjernice za provedbu obveze obavještavanja o značajnim incidentima 

Sukladno Općim smjernicama, u slučaju nedostupnosti Platforme PiXi, značajan incident se prijavljuje popunjavanjem obrazaca te slanjem ispunjenih obrazaca nadležnom CSIRT-u putem e-pošte. Obrasci su dostupni ovdje: 

• Rano upozorenje 

• Početna obavijest 

• Privremeno izvješće 

• Izvješće o napretku 

• Završno izvješće 

Ispunjeni obrasci dostavljaju se putem e-pošte nadležnom CSIRT-u na sljedeće adrese: 

• Nacionalni centar za kibernetičku sigurnost (NCSC-HR) – niicedtnn@sc.crh 

• Nacionalni CERT – kz-sniicedtnc@re.trh 

Za prijavu ostalih incidenata, izbjegnutih incidenata i kibernetičkih prijetnji, u slučaju nedostupnosti Platforme PiXi, prijavu treba poslati putem e-pošte nadležnom CSIRT-u na prethodno navedene adrese. U prijavi treba navesti datum kada se dogodio incident, izbjegnuti incident odnosno prijetnja, opis, dostupne indikatore kompromitacije te druge dostupne relevantne informacije. 

Nekategorizirani subjekti 

Ostali, nekategorizirani subjekti, incident prijavljuju nadležnom CSIRT-u ovisno o podjeli nadležnosti sektora sukladno Prilogu III. Zakona o kibernetičkoj sigurnosti.  

Za subjekte iz sektora koji nisu obuhvaćeni Zakonom o kibernetičkoj sigurnosti, nadležnost CSIRT-ova je sljedeća: 

• Nacionalni centar za kibernetičku sigurnost (NCSC-HR) je nadležan za državna tijela, pravne osobe s javnim ovlastima i jedinice lokalne i područne (regionalne) samouprave 

• Nacionalni CERT je nadležan za građanstvo i preostale subjekte iz privatnog sektora 

Nekategorizirani subjekti kojima je NCSC-HR nadležni CSIRT incident mogu prijaviti putem e-pošte na adresu niicedtnn@sc.crh

. U prijavi treba navesti datum kada se dogodio incident, opis incidenta, dostupne indikatore kompromitacije te druge dostupne relevantne informacije. 

Nekategorizirani subjekti kojima je Nacionalni CERT nadležni CSIRT incident mogu prijaviti putem e-pošte na adresu niicedtnc@re.trh. U prijavi treba navesti datum kada se dogodio incident, opis incidenta, dostupne indikatore kompromitacije te druge dostupne relevantne informacije. 

Top