Nakon donošenja Zakona o kibernetičkoj sigurnosti početkom 2024., krajem godine donesena je i Uredba o kibernetičkoj sigurnosti (NN 135/2024).
Ako je Zakon postavio “pravila igre”, Uredba je dokument koji točno definira kako se ta pravila provode u praksi.
U ovom blogu donosimo jednostavan pregled – bez pravnog jezika.
Zašto je donesena Uredba?
Uredba je donesena kako bi se operativno provela EU NIS2 direktiva i nacionalni zakon.
Drugim riječima, ona:
- razrađuje zahtjeve iz Zakona
- uvodi konkretne mjere i procedure
- daje organizacijama jasan “checklist” što moraju napraviti
Što Uredba zapravo uređuje
Za razliku od Zakona, koji je više strateški, Uredba ulazi u detalje.
Ona definira:
✔ Kategorizaciju subjekata
Kako se određuje je li organizacija ključni ili važni subjekt i po kojim kriterijima.
✔ Mjere upravljanja rizicima
Točan popis sigurnosnih mjera koje organizacije moraju implementirati.
✔ Samoprocjene
Način na koji organizacije procjenjuju vlastitu razinu sigurnosti.
✔ Upravljanje incidentima
Kada je incident “značajan” i kako se prijavljuje.
✔ Registre i evidencije
Kako država vodi evidenciju obveznika i njihov status.
Uredba tako pokriva cijeli operativni ciklus sigurnosti – od procjene do izvještavanja.
Najvažniji dio: konkretne sigurnosne mjere
Srce Uredbe nalazi se u Prilogu II, gdje su definirane mjere upravljanja kibernetičkim rizicima.
One su podijeljene u 13 područja, uključujući:
- upravljanje imovinom (IT i OT)
- upravljanje rizicima
- sigurnost identiteta i pristupa
- mrežnu sigurnost
- fizičku sigurnost
- sigurnost lanca opskrbe
- kibernetičku higijenu
- odgovornost uprave
Ovo je praktički operativni standard sigurnosti koji organizacije moraju implementirati.
Prilozi – skriveno “zlato” Uredbe
Uredba dolazi s nekoliko vrlo važnih priloga:
- Prilog I – popis sektora i djelatnosti
- Prilog II – sigurnosne mjere (najvažniji dio)
- Prilog III – dodatne fizičke mjere za digitalnu infrastrukturu
- Prilog IV – izjava o sukladnosti
Posebno je zanimljivo da svaka mjera ima:
- cilj
- podmjere
- primjenjivost (IT / OT)
To omogućuje vrlo strukturiranu implementaciju sigurnosti.
Kako se Uredba razlikuje od Zakona?
Najjednostavnije objašnjenje:
- Zakon kaže “što treba”
- Uredba kaže “kako to napraviti”
Primjer:
- Zakon traži upravljanje rizicima
- Uredba definira konkretne kontrole, procese i metode
Zbog toga se u praksi organizacije zapravo najviše bave upravo – Uredbom.
Što to znači za organizacije?
Ako ste obveznik Zakona, Uredba znači:
1. Nema više apstraktnih zahtjeva
Sve je jasno definirano – što implementirati i kako.
2. Potrebna je struktura
Ad-hoc sigurnost više nije dovoljna – traži se sustav.
3. Uprava postaje odgovorna
Sigurnost više nije samo IT tema.
4. Dolaze provjere i nadzor
Usklađenost će se morati dokazivati.
Rokovi i implementacija
Uredba je stupila na snagu krajem studenog 2024., a organizacije imaju ograničene rokove za usklađenje nakon što budu formalno kategorizirane.
To znači da je stvarni “sat” počeo teći tek nakon što organizacije dobiju status ključnog ili važnog subjekta.
Zaključak
Uredba o kibernetičkoj sigurnosti je dokument koji pretvara zakon u praksu.
Njena ključna poruka je:
👉 sigurnost se više ne procjenjuje “po osjećaju” – nego prema jasno definiranim mjerama.
Za organizacije to znači jednu stvar:
ili ćete imati sustavan pristup sigurnosti – ili nećete biti usklađeni.