Usklađivanje s eu uredbom 2016/1148, zakonom i uredbom o kibernetičkoj sigurnosti

Što je kibernetička sigurnost?

S obzirom da se danas sve više organizacija usmjerava na digitalno poslovanje, količina podataka koja se na taj način generira i razmjenjuje između organizacija velikom brzinom raste te su organizacije postale meta kibernetičkih napada.

Jedna od mjera zaštite od kibernetičkih napada je primjena kontrola kibernetičke sigurnosti. Kibernetička sigurnost je sustav organizacijskih i tehničkih aktivnosti te mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka, kao i mrežnih i informacijskih sustava u kibernetičkom prostoru, odnosno u virtualnom prostoru unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani na Internet

U srpnju 2018. godine, Vlada Republike Hrvatske je temeljem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga donijela Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN br. 68/2018).

Uredbom se uređuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavješćivanje o incidentima.

Tko mora postupati po Uredbi?

Sukladno Zakonu i Uredbi o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga obvezni su postupati sljedeći sektori:

  • Energetika (el. energija, nafta, plin)
  • Prijevoz
  • Bankarstvo
  • Infrastrukture financijskog tržišta
  • Zdravstvo
  • Opskrba vodom za piće i njena distribucija
  • Digitalna infrastruktura
  • Poslovne usluge za državna tijela

Koje su odgovornosti operatora ključnih usluga sukladno Uredbi?

Kako bi se u potpunosti uskladili sa zahtjevima zakonske regulative u području kibernetičke sigurnosti, potrebno je provesti sljedeće aktivnosti:

  • Analiza postojećeg stanja (AS-IS), odnosno trenutnog statusa zadovoljenja zahtjeva
  • Izrada Politike upravljanja sigurnošću ključnih sustava
  • Definiranje ciljeva i strateških smjernica očuvanja kontinuiteta poslovanja
  • Imenovanje osobe odgovorne za uspostavu i upravljanje sigurnošću ključnih sustava
  • Definiranje ovlasti i odgovornosti vezano za sigurnost ključnih sustava
  • Definiranje procesa upravljanja rizicima ključnih sustava koji uključuje:
  • Izradu Metodologije za procjenu i obradu rizika
  • Identifikacija opreme, osoba i aktivnosti vezano za ključne sustave
  • Provedba procjene rizika nad identificiranom opremom, osobama i aktivnostima
  • Provedba obrade rizika te identifikacija mjera za umanjenje rizika sukladno ISO 27001 standardu
  • Definiranje procesa upravljanja fizičkom sigurnosti i sigurnosti okruženja ključnih sustava
  • Definiranje procesa osiguravanja sigurnosti opskrbe, odnosno dostupnosti opreme i drugih resursa nužnih za funkcioniranje i održavanje ključnih resursa
  • Definiranje procesa upravljanja ugovornim odnosima vezano za ključne resurse
  • Definiranje procesa upravljanja eksternalizacijom
  • Definiranje procesa kontrole pristupa prostorima i ključnom sustavu
  • Definiranje mjera potrebnih za fizičko i logičko razdvajanje ključnih sustava
  • Definiranje potrebnih mjera za zaštitu podataka koji se obrađuju, pohranjuju i prenose u ključnom sustavu
  • Definiranje mjera zaštite programskog koda
  • Definiranje mjera zaštite od narušavanja raspoloživosti ključnih sustava
  • Definiranje procesa razvoja i održavanja ključnih sustava
  • Definiranje procesa upravljanja projektima
  • Definiranje procesa upravljanja sklopovskom imovinom ključnog sustava
  • Definiranje procesa upravljanja promjenama
  • Definiranje procesa upravljanja konfiguracijom
  • Definiranje procesa upravljanja kontinuitetom ključnih sustava
  • Definiranje procesa upravljanja incidentima
  • Definiranje procesa upravljanja pričuvnom pohranom
  • Definiranje procesa preventivnih provjera ranjivosti ključnih sustava
  • Definiranje procesa internih nadzora
  • Provedba edukacija s ciljem podizanja svijesti o kibernetičkoj sigurnosti

Kako Vam ZIH može pomoći?

U navedenom području ZIH Vam nudi sljedeće usluge:

  • Konzultantske usluge:
    • Snimka trenutačnog stanja (AS-IS) i GAP analiza kojom se određuje razina trenutne sukladnosti/nesukladnosti Vaše organizacije sa zahtjevima Zakona i Uredbe o kibernetičkoj sigurnosti te se temeljem iste definira prijedlog potrebnih aktivnosti za potpuno usklađenje
    • Implementacija projekta uspostave kibernetičke sigurnosti u Vašu organizaciju

Možda Vas interesiraju i ove naše usluge i edukacije:

Edukacija

Upravljanje usklađenostima u poslovnom sustavu

Pročitaj više

Edukacija

Edukacija i certifikacija osobe odgovorne za praćenje usklađenosti poslovanja (Compliance Officer-a)

Pročitaj više

Usluga

pravljanje zaštitom privatnosti (ISO 29100)

Pročitaj više

Usluga

Upravljanje usklađenostima

Pročitaj više

Zašto ZIH?

ZIH ima bogato iskustvo u projektima koji obuhvaćaju pripremu implementacije sustava za upravljanje dokumentacijom i sadržajem, kroz identifikaciju i modeliranje poslovnih procesa te izradu tehničke specifikacije sustava.                         

Želite li kratku prezentaciju ili ponudu?

ZATRAŽITE UPIT

Kontaktirajte nas

Ispunite obrazac i naš djelatnik će Vas kontaktirati i dogovoriti posjet ili online sastanak kako bi saznali na koji način Vam možemo pomoći.
Želimo Vam prenijeti naša iskustva i najnovije trendove koji Vam mogu pomoći u Vašem svakodnevnom poslovanju.