EU propisi i hrvatski zakon o kibernetičkoj sigurnosti – integrirani pristup zaštiti kritične infrastrukture
Europska unija i Republika Hrvatska uvode koherentan niz propisa kojima objedinjuju fizičku, tehničku i kibernetičku sigurnost. U nastavku izdvajamo glavne obveze i način na koji integrirani sustavi upravljanja pomažu u dokazivanju sukladnosti.
Tko je obveznik?
Energetika, zdravstvo, digitalna infrastruktura, javni prijevoz, proizvođači kritične opreme, MSP‑ovi u IT‑u i obrazovanju te svi "ključni” i "važni” subjekti prema čl. 6 ZKS‑a. Rok za provedbu: svibanj 2025.
Što zakon i uredba traže?
Procjenu i tretman rizika – Izvedivo kroz ISO 31000 metodologiju i ISO 27005/IEC 62443‑3‑2 za OT okruženja.
Sigurnosne politike i tehničke mjere – Mapa na ISO 27001 Annex A kontrolama; za fizičku zaštitu uključite procese iz ISO 18788.
Prijava incidenata (24 h) – Operativni playbook definira ISO/IEC 27035; CSIRT‑u se podnose inicijalna, privremena i završna izvješća, kako propisuje Uredba.
Kontinuitet poslovanja – ISO 22301 pokriva zahtjeve za planovima kontinuiteta i redovite vježbe.
Interni i vanjski audit – Integracija ISO 9001 pojednostavljuje evidencije i integrirano se provjerava usklađenost svakog procesa iz PDCA ciklusa.
Kada sustave objedinite u jedan integrirani sustav upravljanja, jednom analizom rizika pokrivate cjelokupnu regulativu i izbjegavate dvostruke audite.
Obveznici: banke, osiguratelji, investicijska društva, platne institucije i njihovi ICT dobavljači; primjena od 17. siječnja 2025.
Ključno za usklađenje
ICT‑risk framework & testiranja – ISO 27001 + ISO 22301 čine temelj; dodatni tehnički detalji iz NIST SP 800‑53 zadovoljavaju DORA‑ine zahtjeve za "advanced” kontrolama.
Incident reporting (4 h) – Struktura izvještaja i komunikacijski lanac definiran ISO 27035.
Nadzor trećih strana – ISO 9001 procedure nabave i ugovornih zahtjeva, plus ISO 27036‑2 za sigurnost dobavljača.
Financijske institucije tako mogu ista pravila rabiti i za interne sustave i za outsourcing, što smanjuje rizik regulatornih kazni i reputacijsku štetu.
Obveznici: svi proizvođači i dobavljači "proizvoda s digitalnim elementom” – od IIoT uređaja i mrežne opreme do SaaS‑a. Obveze se počinju primjenjivati 11. prosinca 2027.; nesukladni proizvodi neće smjeti imati CE oznaku.
Kako zadovoljiti CRA kroz standarde?
Sigurnost dizajna i razvoja – IEC 62443‑4‑1 i ISO/IEC 27034 pomažu u postizanju "secure‑by‑design” zahtjeva.
Vladanje ranjivostima (SBOM, patching) – Strukturirano kroz ISO/IEC 30111 (prijavljivanje ranjivosti) i ISO/IEC 29147 (objava).
Post‑market sigurnost – Provedbom ISO 9001 korektivnih radnji i ISO 27001 Asset Managementa čuvate trag o svim promjenama.
Na taj se način tehnički i dokumentacijski zahtjevi za CE‑oznakom pretvaraju u redovite procese integriranog sustava upravljanja.
Obveznici: operatori energetskih mreža, vodoopskrbe, telekomunikacija, zračnih luka, luka i javnog prijevoza; obvezni su "all‑hazards” pristup i nacionalna certifikacija svake četiri godine.
Zakonom je propisana i obvezna implementacija ISO sustava od strane privatnih zaštitarskih tvrtki kako bi se uspješno certificirali pri nadležnom tijelu (MUP):
ISO 27001 – kibernetička otpornost kritičnih informacijskih i OT sustava.
ISO 22301 – kontinuitet rada i testiranje kriznih scenarija.
ISO 9001 – nadređena struktura procesa i praćenje performansi.
Sintezom ovih normi ispunjavaju se CER‑ovi članci o procjeni rizika, otpornosti usluga i nadzoru lanaca dobave, dok integrirani sustav omogućuje jedinstven audit svakih 12 mjeseci.
Reference
