Postupak prijave kibernetičkog incidenta u 2025. prema novim propisima i EU standardima

Prijava kibernetičkog incidenta u 2025. postaje obvezna i jasno uređena novim propisima koji prate EU standarde. Pravovremena i ispravna prijava ključna je za zaštitu kritične infrastrukture, čime se smanjuju potencijalne štete. Uslijed sve učestalijih prijetnji, usklađenost s regulativom nije samo formalnost, već temelj sigurnosti i povjerenja. Ovaj vodič objasnit će vam koje korake treba poduzeti kako biste ispunili zakonske zahtjeve i zaštitili svoje sustave.

Pravni okvir i ključni propisi za prijavu kibernetičkih incidenata 2025.

Novi propisi za 2025. godinu donose jasno definiran i detaljan pravni okvir za prijavu kibernetičkih incidenata. Hrvatska svoje zakonske odredbe usklađuje sa standardima EU, posebice NIS2 Direktivom, čime se postavlja temelj za efikasnu zaštitu mreža i informacijskih sustava. Razumijevanje zakonskih pojmova i obveza ključnih subjekata nužno je za pravodobno i točno evidentiranje incidenata, a samim time za smanjenje rizika i šteta koje iz njih mogu proizaći.

Zakonski pojmovnik i kategorizacija subjekata

Zakon o kibernetičkoj sigurnosti 2024. uvodi jasne definicije za pojmove koji su osnova za primjenu propisa:

• Značajni kibernetički incident znači svaki događaj koji ima ili može imati ozbiljan učinak na pružanje usluga ključnih ili važnih subjekata.
• Ključni subjekti su oni čije usluge utječu na funkcioniranje društva, gospodarstva i sigurnosti, poput energetike, transporta, zdravstva i financija.
• Važni subjekti odnose se na organizacije koje, iako nisu ključne, imaju značajan utjecaj na sigurnost i pružanje usluga u određenim sektorima poput internetskih usluga, javne uprave i slično.

Za prijavu incidenta propisani su pragovi koji variraju ovisno o sektoru i vrsti incidenta. Zakonski okvir detaljno navodi kakav učinak incident mora imati da bi bio predmet prijave, uključujući trajanje, opseg i posljedice po poslovanje.

Ova kategorizacija pomaže u diferenciranju tko ima strože obveze te definira razinu odgovornosti svakog subjekta u mrežnoj sigurnosti. Obveza prijave značajnih incidenata odnosi se posebno na subjekte koji upravljaju kritičnom infrastrukturom.

Obveze prema Zakonodavstvu – tko i što mora prijaviti

Svi ključni i važni subjekti obvezni su prijaviti kibernetički incident prema sljedećim pravilima:

1. Rok za prijavu: Značajne incidente potrebno je prijaviti nadležnom tijelu najkasnije unutar 24 sata od otkrivanja.
2. Podaci koji se moraju prijaviti: Opis incidenta, procjena utjecaja i poduzete mjere za sanaciju.
3. Organ nadležan za prijavu: U Hrvatskoj je to Nacionalni CERT ili odgovorno državno tijelo za kibernetičku sigurnost.

Zakonska odredba predviđa da se svi incidenti koji imaju potencijal značajnijeg utjecaja na poslovanje ili usluge ne smiju skrivati niti prijavljivanje odgađati. Propisane su i šutnje kazne za neispunjavanje obveza, koje mogu uključivati novčane kazne i druge sankcije.

Važno je da subjekti imaju uspostavljene interni protokoli za brzo prepoznavanje i izvještavanje incidenata. U skladu s NIS2 Direktivom, očekuje se transparentnost i suradnja između sektora i državnih tijela.

Za detaljnije smjernice o usklađenosti sa zakonom i NIS2 Direktivom preporučuje se pregled stručnih izvora poput vodiča za kibernetičku sigurnost koji možete pronaći na Advisera stranici o NIS2 regulativi u Hrvatskoj.

Upravljanje kibernetičkim incidentima prema novim pravilima zahtijeva sustavan pristup, jer opasnosti brzo evoluiraju, a zakonska regulativa ih prati kako bi zaštitila društvo i gospodarstvo.

Postupak prijave kibernetičkog incidenta prema propisima za 2025.

Novi propisi za 2025. godinu uvode jasno strukturiran i detaljan postupak prijave kibernetičkog incidenta. Cilj je pravodobno otkrivanje i obavještavanje nadležnih tijela radi hitnog reagiranja i ograničavanja štete. U nastavku donosimo ključne faze postupka, od početne obavijesti do suradnje s institucijama.

Početna obavijest o incidentu

Prema zakonskim odredbama, svaki značajni kibernetički incident mora se prijaviti nadležnom CSIRT-u (Computer Security Incident Response Team) u roku od 72 sata od trenutka kada je incident otkriven ili kada postoji opravdana sumnja da je do njega došlo.

Ova početna obavijest ima nekoliko važnih elemenata:

• Rok: Najkasnije 72 sata od otkrivanja incidenta. Propisani rok zahtijeva brzo djelovanje, jer svaka minuta može značiti dodatnu štetu.
• Sadržaj obavijesti: Minimalno treba uključiti osnovne informacije o incidentu, poput vrste incidenta, datuma i vremena otkrića, pogođenih sustava i procjenu potencijalne štete.
• Način dostave: Prijava se šalje putem službenih kanala koje CSIRT organizira, najčešće e-mailom ili posebnim obrascima na web platformama.

Početna obavijest otvara formalni proces upravljanja incidentom i omogućuje nadležnim strukturama da odmah pokrenu analizu i koordinirane mjere. Pravovremenost ove prijave kritična je za efikasnost cijelog sustava zaštite.

Više informacija o prijavi i potrebnim elementima prve obavijesti možete pronaći na službenim stranicama CERT-a Hrvatske.

Detaljno izvještavanje i suradnja s nadležnim institucijama

Nakon što je početna obavijest poslana i potvrđena, slijedi faza detaljnog izvještavanja. Ovo je ključan segment za dubinsku analizu, procjenu šteta i uspostavu mjera za sprječavanje ponavljanja incidenta.

U ovoj fazi se zahtijeva:

• Dodatni podaci o incidentu: Detaljan opis incidenta uključujući tehničke informacije, vremenski slijed događaja, korištene metode napada, pogođene sustave i podatke o obuhvatu incidenta.
• Prilozi i dokazi: Log datoteke, zapisi mrežnog prometa, indikatori kompromitacije (IP adrese, URL-ovi, hash vrijednosti zlonamjernih datoteka).
• Poduzete mjere: Opis koraka i postupaka koji su već implementirani za sanaciju incidenta, te planovi za daljnju zaštitu.
• Suradnja: Ključni i važni subjekti dužni su surađivati s CSIRT-om i drugim nadležnim tijelima, poput Sigurnosno-obavještajne agencije (SOA) i Ministarstva digitalne transformacije, u svrhu potpunog razumijevanja i zaustavljanja incidenta.
• Obavještavanje krajnjih korisnika: Ako incident može utjecati na korisnike usluge, subjekt je prema propisima dužan pravovremeno ih obavijestiti o rizicima i preporučenim koracima za zaštitu.

Cijeli proces detaljnog izvještavanja mora biti transparentan i točan, jer na temelju ovih podataka kreću daljnje sigurnosne mjere i, ako je potrebno, pravne procedure.

Ova razina informacija koristi se i za statističke analize i unapređenje nacionalnog sustava kibernetičke sigurnosti, u skladu s regulativom EU kao što je NIS2 direktiva. Za potpuni pregled smjernica preporučuje se pregled Općih smjernica za provedbu obveze obavještavanja o incidentima.

Prijava kibernetičkog incidenta nije samo zakonska obveza već i presudna linija obrane organizacije i društva. Pridržavanje propisanog postupka pomaže u brzoj reakciji i jačanju ukupne sigurnosti.

Za dublju tematiku upravljanja incidentima i implementacije novih pravila savjetujemo detaljni pregled službenih izvora i zakonskih dokumenata.

Uloga tijela i organizacija u nacionalnom sustavu prijave i odgovora

Da bi se sustav prijave i odgovora na kibernetičke incidente mogao učinkovito provoditi, ključna je koordinacija između različitih državnih tijela i organizacija. Oni čine povezujuću mrežu koja prati, analizira i reagira na prijavljene kibernetičke prijetnje unutar nacionalnog okvira, ali i u suradnji s međunarodnim partnerima. Ovaj sustav temelji se na jasnoj podjeli odgovornosti i pravovremenoj razmjeni informacija, što omogućuje pravovremenu zaštitu infrastrukture i smanjenje rizika od daljnjih napada.

Uloga Nacionalnog CSIRT-a i suradnja s EU institucijama

Nacionalni CSIRT (Computer Security Incident Response Team) centralno je tijelo za primanje, analizu i koordinaciju odgovora na kibernetičke incidente u Hrvatskoj. CSIRT ima nekoliko ključnih zadaća koje uključuju:

• Prijem i obrada prijava o kibernetičkim incidentima od strane svih obveznika prijave incidenata.
• Analiza prijavljenih incidenata s ciljem razumijevanja prirode i razmjera prijetnje.
• Koordinacija međuresorne suradnje između različitih državnih tijela, privatnog sektora i ključnih dionika.
• Podrška pogođenim subjektima putem tehničkih preporuka i smjernica za otklanjanje posljedica incidenata.

Suradnja Nacionalnog CSIRT-a s institucijama EU ključna je za razmjenu podataka i zajedničko djelovanje u slučaju kibernetičkih prijetnji koje prelaze nacionalne granice. Hrvatski CSIRT redovno surađuje s EU CSIRT mrežom i ENISA-om (Europskom agencijom za kibernetičku sigurnost), čime se osigurava razmjena obavijesti, upozorenja i najnovijih trendova u području sigurnosti. Ta suradnja omogućuje brzu reakciju na složenije incidenta koji utječu na više država članica Europske unije.

Na taj način moguće je pratiti globalne prijetnje i prilagođavati nacionalne protokole, što u konačnici povećava otpornost hrvatskog sustava. Više o važnosti ovakvog modela možete pratiti na stranicama ENISA-e.

Nadzor i provedba zakonskih obveza

Nacionalni sustav prijave kibernetičkih incidenata ne funkcionira bez dosljednog nadzora i provedbe zakonskih zahtjeva. U Hrvatskoj nadzor nad primjenom obveza iz zakona o kibernetičkoj sigurnosti provode različita tijela:

• Ministarstvo unutarnjih poslova i njihove specijalizirane jedinice za kibernetičku sigurnost provjeravaju usklađenost subjekata u sektoru kritične infrastrukture.
• Agencija za zaštitu osobnih podataka, u slučajevima kada incidenti utječu na sigurnost osobnih podataka.
• Inspekcije za provedbu zakona o kibernetičkoj sigurnosti koje mogu obavljati kontrole i nadzore u pravnom i tehničkom smislu.

Ove aktivnosti uključuju redovne inspekcije, nadzor prijava incidenata i provjere tehničkih i organizacijskih mjera koje subjekti moraju imati uspostavljene. U slučaju neispunjavanja zakonskih obveza, primjenjuju se sankcije koje mogu biti u obliku novčanih kazni, pa čak i drugih administrativnih mjera.

Sankcije su jasno definirane i usmjerene na osiguranje da svi subjekti ozbiljno pristupe zaštiti svojih sustava. Ova vrsta nadzora i provedbe omogućuje transparentnost i vjerodostojnost cijelog sustava, što je ključno za povjerenje korisnika i cjelokupnog javnog sektora.

Za detaljnije informacije o zakonskoj provedbi i nadzoru, pogledajte preporuke i izvještaje mrežne sigurnosti dostupne na službenim državnim stranicama, kao i na portalima poput ENISA-e.

Uloga svih ovih tijela osigurava da sustav kibernetičke sigurnosti u Hrvatskoj ne bude samo teorijski okvir, nego i stvarno operativni mehanizam koji štiti od stvarnih prijetnji.

Preventivne mjere i sustavi za detekciju kibernetičkih incidenata

Prevencija je ključni dio obrane od kibernetičkih prijetnji. Uvođenjem učinkovitih mjera i sustava za rano otkrivanje incidenata, organizacije mogu značajno smanjiti rizik od štete i pravodobno reagirati na napade. Sustavan pristup baziran na procjeni rizika i edukaciji zaposlenika podiže razinu sigurnosti i omogućuje usklađenost s novim propisima koji vrijede od 2025. godine.

Prakticiranje kontinuirane procjene rizika i sigurnosnih testiranja

Redovito provođenje procjene rizika nije samo formalnost već nužan korak za otkrivanje ranjivosti u informacijskim sustavima. Takve procjene trebaju biti dinamične, što znači da se izvode kontinuirano ili barem periodično u skladu s razvojem prijetnji i promjenama u infrastrukturi. Otkrivanje slabih točaka na vrijeme pruža prednost u postavljanju učinkovitih obrambenih mjera, što može spriječiti veće incidente.

Sigurnosna testiranja, poput penetracijskih testova i skeniranja propusta, dopuštaju da se provjere stvarne barijere zaštite. Takvi testovi simuliraju napade iz perspektive zlonamjernih aktera i pomažu u otkrivanju propusta prije nego što ih iskoriste napadači. Redovitim testiranjem:

• Identificirate i uklanjate sigurnosne propuste.
• Validirate učinkovitost postojećih kontrola.
• Pripremate se za nepredviđene kibernetičke uvjete.

Održavanje ove discipline ključno je za ispunjavanje regulatornih zahtjeva, uključujući preporuke iz Procjene kibernetičke sigurnosti. Sustavi za detekciju, poput IDS/IPS (Intrusion Detection/Prevention Systems), kontinuirano prate mrežni promet i događaje te alarmiraju timove za sigurnost o sumnjivim aktivnostima.

Podizanje svijesti i edukacija zaposlenika

Najčešći razlog uspješnih kibernetičkih napada je ljudska pogreška ili neznanje. Zato edukacija zaposlenika igra presudnu ulogu u smanjenju rizika incidenata. Programi podizanja svijesti trebaju biti dosljedno provedeni i prilagođeni specifičnostima organizacije.

Temeljni ciljevi takve edukacije su:

• Prepoznavanje najčešćih prijetnji kao što su phishing, socijalni inženjering, ransomware i maliciozni privici.
• Razumijevanje važnosti sigurnosnih politika i procedura.
• Demonstracija ispravnih sigurnosnih praksi u svakodnevnom radu.

Redovite radionice, online tečajevi i simulacije napada djeluju preventivno, jer podižu oprez u svim slojevima organizacije. Primjer dobre prakse je implementacija trajnih programa edukacije koji uključuju mjerenje uspješnosti, kao što opisuje METACORTEX edukacija o sigurnosnoj svijesti.

Sigurnosna kultura koja uključuje sve zaposlenike osigurava da su oni prvi štit organizacije, pravovremeno prepoznajući i prijavljujući potencijalne incidente. Ovakav pristup direktno pridonosi smanjenju sigurnosnih propusta i povećava otpornost cijelog sustava.

Kombiniranjem stalnih procjena rizika i odgovarajuće edukacije, organizacije se pripremaju za učinkovito upravljanje kibernetičkim prijetnjama te ostaju u skladu s propisima EU i nacionalnim zakonskim okvirima za 2025. godinu.

Posljedice nepoštivanja propisanih postupaka prijave

Nepridržavanje propisanih postupaka prijave kibernetičkog incidenta može imati ozbiljne posljedice za svaku organizaciju. Zakonski propisi za 2025. godinu jasno definiraju obveze prijave i sankcije koje se primjenjuju kada te obveze nisu ispunjene. Posljedice nisu samo pravne prirode, već mogu znatno narušiti i ugled organizacije te otežati oporavak od samog incidenta.

Zakonske sankcije i novčane kazne

Zakoni koji uređuju kibernetičku sigurnost u Hrvatskoj predviđaju stroge sankcije za subjekte koji ne prijave incidente ili to učine nepravilno. Prema Zakon o kibernetičkoj sigurnosti, nepoštivanje obveze prijave može dovesti do:

• Novčanih kazni koje mogu doseći desetke tisuća kuna, ovisno o ozbiljnosti prekršaja i šteti koju je incident prouzročio.
• Mogućnosti uvođenja dodatnih mjera poput privremenih zabrana rada sustava ili drugih upravnih sankcija.
• Kaznenih postupaka ako postoji element zanemarivanja ili namjere u nepostupanju.

Primjerice, organizacija koja ne prijavi incident u roku od 24 sata od otkrivanja izlaže se riziku težih sankcija. Takva nepravovremena prijava ometa procese zaštite i može povećati štete, što zakonski nadležna tijela strogo sankcioniraju.

Reputacijski rizici i poslovne posljedice

Osim pravnih sankcija, nepoštivanje postupaka prijave nosi i značajne reputacijske posljedice:

• Gubitak povjerenja partnera, korisnika i šire javnosti.
• Smanjenje konkurentnosti na tržištu zbog percepcije nesigurnosti.
• Motivacija inspekcija i regulatornih tijela za dodatne nadzore i kontrole.
• Povećani troškovi sanacije i upravljanja krizom zbog zakašnjelog reagiranja.

Kao što se često kaže, reputacija je teže vratiti nego novac. U svijetu gdje informacije brzo kruže, jedna nepravovremena ili nepotpuna prijava može dovesti do negativnih vijesti i trajnog narušavanja imidža tvrtke.

Primjeri sanacija nakon nepoštivanja postupaka prijave

Kad dođe do propusta u prijavi i nastupe sankcije, organizacije su često primorane poduzeti dodatne mjere za ispravak situacije. Najčešće mjere uključuju:

1. Reviziju sigurnosnih politika i procedura te njihovu pojačanu implementaciju.
2. Edukaciju zaposlenika radi povećanja svijesti i ispravnog postupanja u slučaju incidenta.
3. Povećanje ulaganja u tehničke sustave za rano otkrivanje i praćenje incidenata.
4. Javnu ispriku ili komunikaciju prema korisnicima kako bi se ublažile reputacijske štete.
5. Intenzivniju suradnju s nadzornim tijelima i pojačanu transparentnost u radu.

Takve sanacije zahtijevaju dodatne resurse i vrijeme, što dodatno povećava ukupne troškove i opterećenje tvrtke.

Širenje svijesti o važnosti pravovremene prijave

Primjena pravila prijave nije samo zakonska obveza već i ključni dio obrane od daljnjih sigurnosnih prijetnji. Pravovremenom i ispravnom prijavom olakšava se efektivna reakcija tijela za kibernetičku sigurnost, što može spriječiti širenje incidenata i zaštititi cijelu mrežu od većih posljedica.

Većina ozbiljnih incidenata danas zahtijeva brzo djelovanje i dobru koordinaciju između privatnih organizacija i državnih tijela. Svaki propust u prijavi usporava taj proces i povećava rizike za cijelo društvo.

Za detalje o kaznama i regulatornim zahtjevima, dodatno proučite NIS2 direktivu s objašnjenjima sankcija.

Cjelokupni pristup prijavi i pravovremenom obavještavanju usklađen je s EU standardima, a nepoštivanje može uzrokovati velike probleme. Dobro je zato imati jasno definirane interne procedure i provoditi redovne edukacije kako bi se izbjegle negativne posljedice.

Zaključak

Prijava kibernetičkog incidenta prema propisima za 2025. postaje jasno definiran i obvezan proces za sve ključne i važne subjekte. Ključno je pravovremeno i točno prijavljivanje kako bi se omogućila brza reakcija nadležnih tijela i minimizirala šteta.

Usklađenost s novim pravilima nije samo zakonski zahtjev, već i temeljna mjera za zaštitu poslovanja i povjerenja korisnika. Organizacije trebaju uspostaviti interne protokole i educirati djelatnike kako bi se prijave odvijale bez odgode i uz punu transparentnost.

Ova praksa osigurava sigurnosni okvir koji podržava ne samo nacionalne, već i europske standarde, što je ključno za stabilnost cijelog sustava kibernetičke sigurnosti. Priprema za nadolazeće propise zahtijeva sustavan pristup s jasno definiranim ulogama i mjerenjima.

Za dublje razumijevanje pravnih obveza i tehničkih zahtjeva, važno je pratiti razvoj zakonodavstva i prilagođavati interne politike u skladu s tim. Takav pristup smanjuje rizike sankcija i potiče odgovorno postupanje u digitalnom okruženju.