Vlada Republike Hrvatske
1399
Na temelju članka 30. stavka 2. Zakona o Vladi Republike Hrvatske (»Narodne novine«, br. 150/11, 119/14 i 93/16) i članka 20. Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, broj 64/18), Vlada Republike Hrvatske je na sjednici održanoj 26. srpnja 2018. godine donijela
UREDBU
O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
DIO PRVI
OPĆE ODREDBE
Predmet uredbe
Članak 1.
Ovom se Uredbom utvrđuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavješćivanje o incidentima.
Usklađenost s propisima Europske unije
Članak 2.
(1) Ovom Uredbom se u hrvatsko zakonodavstvo preuzima Direktiva 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19. 7. 2016.).
(2) Ovom se Uredbom osigurava provedba Provedbene uredbe Komisije (EU) 2018/151 оd 30. siječnja 2018. o utvrđivanju pravila za primjenu Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća u odnosu na dodatne specifikacije elemenata koje pružatelji digitalnih usluga moraju uzeti u obzir u upravljanju rizicima kojima je izložena sigurnost njihovih mrežnih i informacijskih sustava i parametara za utvrđivanje ima li incident znatan učinak (SL L 26/48, 31. 1. 2018. – u daljnjem tekstu: Provedbena uredba Komisije).
Pojmovi
Članak 3.
U smislu ove Uredbe pojedini pojmovi imaju sljedeće značenje:
1) »Zakon« – je Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
2) »operator ključnih usluga« – je operator koji je odlukom iz članka 9. Zakona određen operatorom ključne usluge
3) »davatelj digitalnih usluga« – je bilo koji privatni subjekt koji pruža neku digitalnu uslugu s Popisa iz Priloga II. Zakona u Europskoj uniji i koji na teritoriju Republike Hrvatske ima sjedište ili svog predstavnika, pod uvjetom da takav davatelj ne predstavlja mikro ili mali subjekt malog gospodarstva kako su oni definirani zakonom kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju malog gospodarstva
4) »incident« – bilo koji događaj koji ima stvaran, negativan učinak na sigurnost mrežnih i informacijskih sustava iz članka 17. Zakona
5) »kontinuitet pružanja usluga« – je sposobnost pružanja usluge bez prekida ili ponovnog uspostavljanja pružanja usluge nakon incidenta na unaprijed utvrđenoj i prihvatljivoj razini
6) »korisnik usluge« – svaka fizička i pravna osoba kojoj se usluga pruža temeljem zakona ili pravnog posla
7) »korisnik sustava« – svaka fizička osoba koja ima otvoren račun na ključnom sustavu
8) »odgovorna osoba« – čelnik, član uprave, direktor ili izvršni rukovoditelj najviše razine
9) »nadležni CSIRT« – je CSIRT nadležan na sektorskoj razini prema popisu nadležnosti iz Priloga III. Zakona
10) »nadležno sektorsko tijelo« – je nadležno sektorsko tijelo prema popisu nadležnosti iz Priloga III. Zakona
11) »jedinstvena nacionalna kontaktna točka« – Ured Vijeća za nacionalnu sigurnost.
DIO DRUGI
MJERE ZA POSTIZANJE VISOKE RAZINE KIBERNETIČKE SIGURNOSTI OPERATORA KLJUČNIH USLUGA
POGLAVLJE I.
UPRAVLJANJE SIGURNOŠĆU MREŽNIH I INFORMACIJSKIH SUSTAVA
Okvir upravljanja
Članak 4.
Operatori ključnih usluga dužni su uspostaviti sustav upravljanja sigurnošću mrežnih i informacijskih sustava iz članka 17. Zakona (u daljnjem tekstu: ključni sustavi).
Načela sigurnosti
Članak 5.
Funkcionalnost i sigurnost ključnih sustava temelji se na sljedećim načelima:
– povjerljivosti: svojstvu da usluge ili podaci ne budu dostupne ili otkrivene neovlaštenim osobama
– integritetu: svojstvu da usluge ili podaci nisu neovlašteno ili nepredviđeno mijenjani
– raspoloživosti: svojstvu koje omogućuje pristup ili upotrebljivost usluge ili podataka na zahtjev ovlaštenog korisnika
– autentičnosti: svojstvu koje osigurava da je identitet korisnika zaista onaj za koji se tvrdi da jest.
Uspostava i dokumentiranje politike upravljanja
Članak 6.
(1) Operatori ključnih usluga dužni su uspostaviti i dokumentirati politiku upravljanja sigurnošću ključnih sustava.
(2) Politika upravljanja sigurnošću ključnih sustava mora:
– definirati ciljeve i strateške smjernice očuvanja kontinuiteta poslovanja
– biti temeljena na procjeni i upravljanju rizicima
– opisati sustav upravljanja sigurnošću, uključujući interne nadzore provedbe mjera kibernetičke sigurnosti
– utvrditi donošenje potrebnih sigurnosno-operativnih procedura za ključne sustave, s poveznicama na druge interne akte koji reguliraju postojeće sigurnosno-operativne procedure, neovisno o tome odnose li se na ključne sustave ili sigurnost operatora u cjelini
– uključivati organizaciju i provedbu programa edukacije te stalnog podizanja svijesti o sigurnosti.
(3) Politika upravljanja sigurnošću ključnih sustava donosi se u pisanom obliku i mora ju odobriti najviša upravljačka razina.
Organizacijska struktura
Članak 7.
(1) Operatori ključnih usluga dužni su odrediti osobu s najvišim rukovodnim ovlastima odgovornu za uspostavu i upravljanje sigurnošću ključnih sustava.
(2) Operatori ključnih usluga dužni su uspostaviti organizacijsku strukturu, s formalnom raspodjelom zadaća, ovlasti i odgovornosti kojom će se osigurati primjereno upravljanje sigurnošću ključnih sustava.
Provedba internih nadzora
Članak 8.
(1) Operatori ključnih usluga dužni su uspostaviti sustav internog nadzora provedbe mjera kibernetičke sigurnosti određenih politikom upravljanja sigurnošću ključnih sustava, pri čemu bi poslovi internog nadzora moraju biti organizacijski odvojeni od organizacijske strukture odgovorne za ključne sustave.
(2) Interni nadzor iz stavka 1. ovoga članka provodi se najmanje jednom godišnje.
(3) Rezultati internog nadzora iz stavka 1. ovoga članka dostavljaju se, u pisanom obliku, odgovornoj osobi iz članka 7. stavka 1. ove Uredbe.
(4) Odgovorna osoba iz članka 7. stavka 1. ove Uredbe dužna je osigurati provedbu mjera kibernetičke sigurnosti u skladu s rezultatima internog nadzora iz stavka 1. ovoga članka.
POGLAVLJE II.
UPRAVLJANJE RIZICIMA
Uspostava sustava upravljanja rizicima
Članak 9.
(1) Operatori ključnih usluga dužni su uspostaviti sustav upravljanja rizicima kojima je izložen ključni sustav.
(2) Sustav upravljanja rizicima iz stavka 1. ovoga članka mora uključivati:
– metodologiju utvrđivanja rizika od incidenata
– određivanje odgovornih osoba za provođenje redovite procjene rizika od incidenata
– izradu ili odabir kataloga primjenjivih rizika i njegovo ažuriranje
– prihvaćeni način obrade rizika (izbjegavanje, ublažavanje, prijenos ili prihvaćanje rizika)
– popis preostalih rizika
– postupak donošenja formalne odluke o prihvaćanju preostalih rizika od strane najviše upravljačke razine.
Procjena rizika
Članak 10.
(1) Operatori ključnih usluga primjenjuju mjere za sprečavanje i ublažavanje učinaka incidenata razmjerno procjeni rizika kojemu je izložen njihov ključni sustav.
(2) Operatori ključnih usluga dužni su provoditi aktivnosti vezane za izgradnju, nadogradnju i održavanje ključnih sustava uvažavajući rezultate procjene rizika kojemu je izložen njihov ključni sustav.
Članak 11.
(1) Operatori ključnih usluga dužni su kontinuirano ažurirati katalog rizika, uzimajući u obzir unutarnje i vanjske prijetnje koje se pojavljuju, novootkrivene ranjivosti, gubitak djelotvornosti postojećih mjera za sprečavanje i ublažavanje učinaka incidenata, promjene rizika uslijed promjene arhitekture informacijskih sustava, sve promjene koje utječu na sigurnost ključnih sustava, kao i rezultate prethodnih procjena rizika.
(2) Operatori ključnih usluga dužni su najmanje jednom godišnje provoditi procjenu rizika kojemu je izložen njihov ključni sustav i donositi odluku o prihvaćanju preostalih rizika.
Identifikacija opreme, osoba i aktivnosti u okviru kojih se provodi procjena rizika
Članak 12.
(1) Operatori ključnih usluga dužni su identificirati:
– opremu od koje se sastoje ključni sustavi
– osobe koje imaju pravo pristupa ključnim sustavima i
– poslovne aktivnosti koje se obavljaju na ključnim sustavima ili su u potpori ključnih sustava.
(2) Operatori ključnih usluga dužni su procjenom rizika obuhvatiti sve identificirane elemente iz stavka 1. ovoga članka.
Sprječavanje, otkrivanje i rješavanje incidenata te ublažavanje učinka incidenata
Članak 13.
(1) Procjena rizika provodi se za identificiranu opremu, osobe i aktivnosti iz članka 12. ove Uredbe.
(2) Procjena rizika provodi se na temelju prihvaćenog kataloga rizika s obavezom procjene rizika najmanje za definirana područja zaštite ključnih sustava u poglavlju III. ove Uredbe.
(3) Procijenjeni rizici obrađuju se izbjegavanjem, ublažavanjem, prijenosom ili prihvaćanjem rizika.
(4) Za procijenjene sigurnosne rizike obrada se provodi izborom različitih sigurnosnih mjera i kontrola iz odgovarajuće međunarodne norme informacijske sigurnosti.
(5) Sigurnosne mjere i kontrole iz odgovarajuće međunarodne norme informacijske sigurnosti moraju omogućavati: odvraćanje, izbjegavanje, prevenciju, detekciju, reakciju i oporavak, djelujući na odgovarajući način na prijetnje i ranjivosti ključnih sustava, odnosno na utjecaje incidenata na ključne sustave.
Dokumentacija o procjeni rizika
Članak 14.
Operatori ključnih usluga dužni su dokumentaciju nastalu provedbom procjene rizika kojemu je izložen njihov ključni sustav štititi na način koji osigurava pristup isključivo ovlaštenim osobama.
POGLAVLJE III.
PODRUČJA ZAŠTITE KLJUČNIH SUSTAVA
Fizička sigurnost i sigurnost okruženja
Članak 15.
Operatori ključnih usluga dužni su osigurati provedbu mjera koje se odnose na fizičku sigurnost i sigurnost okruženja ključnih sustava od štete uzrokovane kvarom sustava, ljudskim pogreškama, zlonamjernim djelovanjem ili djelovanjem prirodnih fenomena.
Sigurnost opskrbe
Članak 16.
(1) Operatori ključnih usluga dužni su osigurati dostupnost opreme, materijala, energenata i drugih resursa nužnih za redovno i kontinuirano funkcioniranje i održavanje ključnih sustava.
(2) Opskrbni lanac resursa iz stavka 1. ovoga članka mora uključivati procjenu sigurnosti svih odabranih izvođača i podizvođača, kao i praćenje izvora nabavljenih resursa.
Upravljanje ugovornim odnosima
Članak 17.
(1) Operatori ključnih usluga dužni su redovito procjenjivati i na prihvatljivu razinu svesti rizike koji proizlaze iz ugovornih odnosa s pravnim i fizičkim osobama čije izvršenje može utjecati na ključne sustave.
(2) Operatori ključnih usluga dužni su kontinuirano nadzirati način i kvalitetu pružanja ugovorenih poslova i usluga koje mogu utjecati na ključne sustave.
(3) Operatori ključnih usluga dužni su provesti postupak procjene rizika prije ostvarivanja ugovornog odnosa s pravnim i fizičkim osobama čije aktivnosti mogu utjecati na ključne sustave.
Upravljanje eksternalizacijom
Članak 18.
(1) Operatori ključnih usluga koji za upravljanje i/ili održavanje ključnih sustava koriste vanjskog davatelja usluge, dužni su redovito procjenjivati i na prihvatljivu razinu svesti rizike koji se mogu u okviru eksternalizacije usluge pojaviti.
(2) Operatori ključnih usluga odgovorni su da pružatelj usluga iz stavka 1. ovoga članka u potpunosti primjenjuje mjere zaštite ključnih sustava propisane ovom Uredbom.
(3) Operatori ključnih usluga dužni su provesti postupak procjene rizika eksternalizacije usluge prije sklapanja ugovora o pružanju usluge.
(4) Ugovori iz stavka 3. ovoga članka moraju sadržavati klauzulu o obvezi omogućavanja nesmetanog nadzora nadležnog sektorskog tijela.
(5) Ugovori iz stavka 3. ovoga članka moraju sadržavati klauzulu o obvezi pružanja usluge i nakon raskida ugovora u razumnom roku koji omogućuje operatoru ključne usluge sklapanje ugovora s drugim vanjskim davateljem usluge ili organizaciju samostalnog izvršavanja usluge od strane operatora ključne usluge.
Kontrola pristupa prostorima
Članak 19.
(1) Operatori ključnih usluga dužni su osigurati provedbu mjera kojima se osigurava ovlašten i ograničen fizički i logički pristup prostorima u kojima se nalaze ključni sustavi, utemeljen na poslovnim i/ili sigurnosnim zahtjevima.
(2) Operatori ključnih usluga dužni su utvrditi i trajno ažurirati postupke kontrole pristupa prostorima iz stavka 1. ovoga članka, kojima moraju minimalno obuhvatiti:
– definiranje popisa osoba s pravom pristupa
– postupke ulaska osoba bez trajnog prava pristupa
– nadzor kontrole pristupa.
Fizičko i logičko razdvajanje ključnih sustava
Članak 20.
(1) Operatori ključnih usluga dužni su provesti fizičko i/ili logičko odvajanje ključnih sustava od svih ostalih mrežnih i informacijskih infrastruktura.
(2) Ako fizičko i/ili logičko odvajanje ključnih sustava nije moguće, operatori ključnih usluga dužni su skladu s procjenom rizika:
– provesti mjere koje umanjuju preostali rizik nastao zbog nemogućnosti potpunog odvajanja
– dokumentirati i prihvatiti preostale rizike
– dokumentirati sve točke ključnog sustava u kojima odvajanje nije moguće.
Kontrola pristupa ključnom sustavu
Članak 21.
(1) Operatori ključnih usluga dužni su osigurati provedbu mjera kojima se osigurava ovlašten i ograničen fizički i logički pristup ključnim sustavima, utemeljen na poslovnim i/ili sigurnosnim zahtjevima.
(2) Operatori ključnih usluga dužni su utvrditi i trajno ažurirati postupke kontrole pristupa ključnim sustavima, kojima moraju minimalno obuhvatiti:
– postupke i sustave kontrole pristupa koji uključuju korištenje jedinstvenih identifikatora osoba i osiguravaju postupke autentifikacije
– mehanizme kontrole pristupa ključnim sustavima, koji moraju osigurati da istome pristupaju isključivo korisnici koji na to imaju pravo, a u skladu s poslovnim i/ili sigurnosnim zahtjevima
– sustav upravljanja korisničkim pravima pristupa, koji mora uključivati identifikacije, autentifikacije, autorizacije, evidentiranja, kao i stalni nadzor korisničkih prava pristupa
– sustav kontinuiranog praćenja pristupa ključnim sustavima koji minimalno mora omogućiti odobravanje i nadzor prava pristupa, praćenje i izvješćivanje u slučaju pokušaja neovlaštenog pristupa
– administratorski pristup ključnim sustavima koji se provodi u skladu s pravilima koja jamče korištenje sklopovske i programske opreme i mrežnog okruženja namijenjenog isključivo administratorskom pristupu
– redovitu procjenu učinkovitosti postupaka i pravila kontrole pristupa i po potrebi njihovo unaprjeđivanje
– redovitu reviziju dodijeljenih prava pristupa i njihovo oduzimanje u slučaju prestanka potrebe za istim.
Dnevnik aktivnosti ključnih sustava
Članak 22.
(1) Operatori ključnih usluga dužni su koristiti sustav za nadzor i bilježenje korisničkih aktivnosti na ključnom sustavu.
(2) Vrste zapisa koje se bilježe moraju minimalno obuhvaćati prijave i odjave korisnika sustava, otvaranje i zatvaranje korisničkih računa, promjene prava korisnika, promjene sigurnosnih prava na sustavu i podatke o funkcioniranju sustava koji pokrivaju odgovarajuće poslužitelje.
(3) Svaki zabilježeni zapis sustava za nadzor i bilježenje korisničkih aktivnosti mora minimalno sadržavati:
– identitet korisnika sustava
– vrstu zapisa
– vrijeme zapisa
– logičku lokaciju ključnog sustava na koju se zapis odnosi.
(4) Sustav za nadzor i bilježenje korisničkih aktivnosti mora:
– omogućavati prikupljanje podataka o korisničkim aktivnostima sa svih dijelova ključnog sustava
– biti odvojen od sustava s kojih prikuplja podatke i
– uspostavljen na način da se maksimalno umanji mogućnost neovlaštene izmjene zapisa korisničkih aktivnosti.
(5) Operatori ključnih usluga dužni su osigurati kontinuirano praćenje aktivnosti i provođenje postupka analize zapisa u slučaju incidenta.
(6) Zapisi u sustavu za nadzor i bilježenje korisničkih aktivnosti čuvaju se najmanje posljednjih 6 mjeseci.
Zaštita podataka koji se obrađuju, pohranjuju i prenose u ključnom sustavu
Članak 23.
(1) Operatori ključnih usluga dužni su osigurati provedbu mjera zaštite podataka koji se obrađuju, pohranjuju i prenose u ključnom sustavu u svrhu zaštite povjerljivosti, raspoloživosti i cjelovitosti podataka.
(2) Operatori ključnih usluga dužni su utvrditi osjetljive podatke nad kojima je potrebno primijeniti kriptografske mehanizme zaštite tijekom njihove obrade, pohrane i prenošenja u ključnom sustavu u svrhu zaštite povjerljivosti i cjelovitosti podataka.
(3) Operatori ključnih usluga dužni su mjere iz stavaka 1. i 2. odgovarajuće primjenjivati i na prijenosne medije koji se koriste za obradu, pohranu ili pomoću kojih se prenose podaci u ključnom sustavu.
Zaštita od zlonamjernog programskog koda
Članak 24.
(1) Operator je dužan zaštiti ključni sustav od zlonamjernog programskog koda primjenom odgovarajućih sigurnosnih mjera i kontrola.
(2) Sigurnosne mjere i kontrole iz stavka 1. ovoga članka moraju osigurati prepoznavanje i onemogućavanje zlonamjernog programskog koda unutar ključnog sustava te zapisivanje i pohranu informacija nužnih za prepoznavanje narušavanja funkcionalnosti ključnog sustava i održavanje kontinuiteta pružanja ključne usluge.
Zaštita od narušavanja raspoloživosti ključnog sustava
Članak 25.
(1) Operator je dužan zaštititi ključni sustav od računalnih napada koji mogu narušiti njegovu raspoloživost primjenom odgovarajućih sigurnosnih mjera i kontrola.
(2) Sigurnosne mjere i kontrole iz stavka 1. ovoga članka moraju osigurati prepoznavanje i onemogućavanje računalnih napada koji mogu narušiti raspoloživost ključnog sustava te zapisivanje i pohranu informacija nužnih za prepoznavanje narušavanja funkcionalnosti ključnog sustava i održavanje kontinuiteta pružanja ključne usluge.
Razvoj i održavanje ključnih sustava
Članak 26.
(1) Operatori ključnih usluga dužni su definirati načine, kriterije i postupke razvoja ključnih sustava, s posebnim naglaskom na važnost razmatranja sigurnosnih aspekata od početne faze projekta, a u skladu s donesenom metodologijom upravljanja projektima.
(2) Operatori ključnih usluga dužni su, u sklopu procesa razvoja ključnih sustava, uspostaviti i dokumentirati proces razvoja i isporuke sustava koji obuhvaća postupke analize i projektiranja, razvoja programske podrške, testiranja i uvođenja u produkcijski plan.
(3) Operatori ključnih usluga dužni su na odgovarajući način razdvojiti razvojnu, testnu i produkcijsku okolinu.
(4) Operatori ključnih usluga dužni su osigurati da sve razvijene programske komponente ključnog sustava, kao i nove sklopovske komponente ključnog sustava, prije uvođenja u produkcijski rad budu na odgovarajući način testirane i da ih odobre odgovorne osobe.
(5) Operatori ključnih usluga dužni su osigurati da se za sve programske komponente ključnog sustava, prije uvođenja u produkcijski rad, provede postupak provjere ranjivosti i penetracijskog testiranja.
Upravljanje projektima
Članak 27.
(1) Operatori ključnih usluga dužni su utvrditi kriterije, načine i postupke upravljanja projektima razvoja i održavanja ključnih sustava iz članka 26. ove Uredbe.
(2) Operatori ključnih usluga dužni su za svaki projekt iz stavka 1. ovoga članka odrediti odgovornu osobu i projektni tim.
Upravljanje sklopovskom imovinom
Članak 28.
(1) Operatori ključnih usluga dužni su upravljati sklopovskom imovinom ključnog sustava tijekom cijelog njegovog životnog ciklusa.
(2) Postupak upravljanja sklopovskom imovinom mora obuhvatiti identifikaciju, evidentiranje, korištenje, održavanje, rashodovanje i kontrolirano uništavanje imovine.
Upravljanje promjenama programske imovine
Članak 29.
(1) Operatori ključnih usluga dužni su upravljati promjenama programske imovine ključnih sustava.
(2) Postupak upravljanja programskom imovinom mora obuhvatiti minimalno:
– utvrđivanje postojećih inačica programske imovine ključnih sustava
– identifikaciju i praćenje svih promjena inačica programske imovine ključnih sustava koje utječu ili mogu utjecati na funkcionalnost i/ili sigurnost ključnog sustava
– evidentiranje svih promjena inačica programske imovine ključnih sustava onim slijedom kako su nastale zajedno s vremenom nastanka promjene.
(3) Operatori ključnih usluga dužni su u slučaju svake značajnije promjene programske imovine ključnog sustava, u skladu s procjenom rizika, provesti postupak provjere ranjivosti i penetracijskog testiranja.
Konfiguracija ključnih sustava
Članak 30.
(1) Operatori ključnih usluga dužni su osigurati:
– da ključni sustavi sadrže isključivo sklopovsku i programsku opremu koja je nužna za nesmetano funkcioniranje i sigurnost sustava i
– da se na ključnom sustavu dopusti samo onaj podatkovni promet koji je nužan.
(2) Ako uvjet iz stavka 1. ovoga članka nije moguće zadovoljiti, operatori ključnih usluga dužni su u skladu s procjenom rizika:
– provesti mjere koje umanjuju preostali rizik nastao zbog nemogućnosti ograničenog korištenja sklopovske i programske opreme i nužnog podatkovnog prometa
– dokumentirati i prihvatiti preostale rizike.
(3) Pravila kojima se definiraju ograničenja podatkovnog prometa, kao što su mrežne adrese, protokoli i portovi, potrebno je redovito obnavljati sukladno funkcionalnim i sigurnosnim potrebama ključnog sustava.
(4) Ograničenja podatkovnog prometa moraju se primjenjivati unutar ključnog sustava, između funkcionalnih podsustava, kao i kod vanjskih povezivanja ključnog sustava.
(5) Konfiguraciju ključnih sustava i popis svih elemenata koji čine ključni sustav potrebno je detaljno dokumentirati.
Preventivne provjere ranjivosti ključnih sustava
Članak 31.
(1) Operatori ključnih usluga dužni su, u skladu s procjenom rizika, osigurati provođenje redovitih i kontinuiranih provjera ranjivosti ključnih sustava, osobito onih dijelova sustava koji koriste resurse na javno dostupnim mrežnim i informacijskim sustavima.
(2) Operatori ključnih usluga dužni su osigurati da se nedostatci i ranjivosti utvrđeni tijekom postupaka provjere ranjivosti i penetracijskog testiranja obrade kroz postupak upravljanja rizicima.
Upravljanje kontinuitetom poslovanja
Članak 32.
(1) Operatori ključnih usluga dužni su identificirati poslovne procese bitne za osiguranje kontinuiteta poslovanja ključne usluge u slučajevima incidenata iz članka 35. ove Uredbe.
(2) Operatori ključnih usluga dužni su donositi operativne planove postupanja u svrhu osiguranja kontinuiteta poslovanja ključnih usluga, koji moraju minimalno uključivati:
– konkretne tehničke procedure postupanja u svrhu oporavka ključne usluge
– jasne korake i odgovornosti za aktivaciju planova oporavka ključne usluge
– definirana vremena u kojima ključna usluga mora biti uspostavljena.
(3) Operatori ključnih usluga dužni su periodično, u skladu s procjenom rizika, provesti i dokumentirati testiranje planova iz stavka 2. ovoga članka.
Pričuvna pohrana
Članak 33.
(1) Operatori ključnih usluga dužni su uspostaviti postupak upravljanja pričuvnom pohranom podataka koji su potrebni za ponovnu uspostava ključnih usluga u zahtijevanom vremenu.
(2) Postupak upravljanja pričuvnom pohranom mora obuhvaćati postupke izrade, pohrane i testiranja pričuvnih kopija podataka te oporavka podataka s pričuvnih kopija.
(3) Pričuvne kopije podataka moraju biti ažurne i pohranjene na jednoj ili više lokacija, od kojih najmanje jedna mora biti, u skladu s procjenom rizika, dovoljno udaljena od lokacije na kojoj se nalaze izvorni podaci.
DIO TREĆI
OBAVJEŠĆIVANJE O INCIDENTIMA
POGLAVLJE I.
OBVEZNO OBAVJEŠĆIVANJE O INCIDENTIMA
Obveza obavješćivanja
Članak 34.
Operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez neopravdane odgode, obavješćivati nadležni CSIRT o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju.
Incidenti sa znatnim učinkom na kontinuitet pružanja ključne usluge
Članak 35.
(1) Učinak incidenta na kontinuitet pružanja ključne usluge utvrđuje se prema sljedećim kriterijima:
– broju korisnika pogođenih prekidom pružanja ključne usluge
– trajanju incidenta
– zemljopisnoj raširenosti incidenta ili
– drugim sektorskim kriterijima poput ekonomskog učinka i ovisnosti drugih područja ili djelatnosti o pružanju usluge.
(2) Incidenti sa znatnim učinkom na kontinuitet pružanja ključne usluge su incidenti koji ispunjavanju kriterije iz stavka 1. ovoga članka prema njihovom razvrstavanju po ključnim uslugama i incidentima kako je to predviđeno Popisom koji se nalazi u Prilogu I. ove Uredbe i čini njezin sastavni dio.
Incidenti sa znatnim učinkom na kontinuitet pružanja digitalne usluge
Članak 36.
Incidenti sa znatnim učinkom na kontinuitet pružanja digitalne usluge su incidenti koji ispunjavaju kriterije iz članka 4. Provedbene uredbe Komisije.
Procjena učinka incidenta na kontinuitet pružanja ključne usluge
Članak 37.
(1) Operatori ključnih usluga dužni su osigurati provođenje procjene učinka svih incidenta u svrhu identificiranja incidenata sa znatnim učinkom na kontinuitet pružanja ključne usluge.
(2) Operatori ključnih usluga dužni su osigurati provođenje procjene iz stavka 1. ovoga članka na način da se:
– broj korisnika pogođenih prekidom pružanja ključne usluge može odrediti prema broju fizičkih i pravnih osoba kojima je operator ključne usluge dužan pružati uslugu temeljem zakona ili pravnog posla ili ako zbog specifičnih okolnosti incidenta to nije primjenjivo, broju fizičkih i pravnih osoba koji su se koristili uslugom procijenjenog temeljem podataka o korištenju ključnom uslugom iz ranijeg razdoblja
– trajanje incidenta može odrediti prema razdoblju trajanju prekida pružanja usluge ili poremećaja u pružanju usluge koji utječe na njezinu dostupnost, autentičnost, cjelovitost ili povjerljivost
– zemljopisna raširenost incidenta može odrediti prema veličini područja na kojem su korisnici ključne usluge bili pogođeni prekidom njezinog pružanja, uključujući područja drugih država članica.
(3) Ako se ne može utvrditi kada je počelo razdoblje prekida ili poremećaja u pružanju usluge, razdoblje trajanja incidenta određuje se prema razdoblju prekida ili poremećaja rada usluge od trenutka u kojem je prekid ili poremećaj u pružanju usluge otkriven.
(4) Operatori ključnih usluga dužni su provoditi procjenu iz stavka 1. ovoga članka kontinuirano tijekom cjelokupnog trajanja incidenta, sve dok se incident ne riješi.
Procjena učinka incidenta na kontinuitet pružanja digitalne usluge
Članak 38.
Davatelji digitalnih usluga dužni su osigurati provođenje procjene svih incidenata u svrhu identificiranja incidenata sa znatnim učinkom na kontinuitet pružanja digitalne usluge sukladno parametrima propisanim u tu svrhu Provedbenom uredbom Komisije.
POGLAVLJE II.
ODJELJAK A.
OBAVIJESTI O INCIDENTIMA SA ZNATNIM UČINKOM NA KONTINUITET PRUŽANJA USLUGE
Vrste obavijesti
Članak 39.
Operatori ključnih usluga i davatelji digitalnih usluga dužni su dostavljati sljedeće obavijesti o incidentima sa znatnim učinkom na kontinuitet pružanja usluge (u daljnjem tekstu: incidenti sa znatnim učinkom):
– inicijalnu obavijest o incidentu sa znatnim učinkom
– prijelazno izvješće o incidentu sa znatnim učinkom i
– završno izvješće o incidentu sa znatnim učinkom.
Inicijalna obavijest o incidentu sa znatnim učinkom
Članak 40.
(1) Inicijalna obavijest o incidentu sa znatnim učinkom dostavlja se odmah, a najkasnije u roku od četiri sata od trenutka otkrivanja incidenta sa znatnim učinkom.
(2) Inicijalna obavijest o incidentu sa znatnim učinkom mora sadržavati opis osnovnih značajki incidenta i njegove očekivane posljedice, temeljene na podacima koji su operatoru ključne usluge odnosno davatelju digitalne usluge bili dostupni tijekom procjene učinka incidenta i po otkrivanju incidenta sa znatnim učinkom.
(3) Inicijalna obavijest o incidentu sa znatnim učinkom mora sadržavati i procjenu dana dostave prijelaznog izvješća o incidentu sa znatnim učinkom koji ne može biti kasnije od tri radna dana od podnošenja inicijalne obavijesti o incidentu.
Prijelazno izvješće o incidentu sa znatnim učinkom
Članak 41.
(1) Prvo prijelazno izvješće o incidentu sa znatnim učinkom dostavlja se najkasnije u roku od tri radna dana od podnošenja inicijalne obavijesti o incidentu.
(2) Prvo prijelazno izvješće o incidentu sa znatnim učinkom mora sadržavati detaljniji opis incidenta i njegovih posljedica.
(3) Ako ne raspolažu stvarnim podacima, operatori ključnih usluga i davatelji digitalnih usluga dužni su prvo prijelazno izvješće podnijeti uz napomenu da se opisi temelje na procjeni podataka.
(4) Operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez odgode, dostavljati i dodatna prijelazna izvješća o incidentu sa znatnim učinkom ako saznaju za nove podatke ili značajnije promjene do kojih je došlo od prvog prijelaznog izvješća, a osobito ako je incident eskalirao ili se smanjio ili su otkriveni novi uzroci ili je poduzeo nove radnje za rješavanje incidenta.
Završno izvješće o incidentu sa znatnim učinkom
Članak 42.
(1) Operatori ključnih usluga i davatelji digitalnih usluga dužni su podnijeti završno izvješće o incidentu sa znatnim učinkom najkasnije u roku od 15 dana od dana procijene da je redovito pružanje usluge ponovno uspostavljeno.
(2) Završno izvješće o incidentu sa znatnim učinkom mora sadržavati stvarne podatke o učinku incidenta, analizu uzroka incidenta, sažetak mjera koje su primijenjene za ublažavanje incidenta ili se planiraju primjenjivati radi otklanjanja uočene ranjivosti i sprečavanja pojave incidenta u budućnosti.
(3) Operatori ključnih usluga i davatelji digitalnih usluga dužni su završno izvješće o incidentu sa znatnim učinkom podnijeti i prije proteka roka iz stavka 1. ovoga članka ako utvrde da već prijavljeni incident više ne ispunjava kriterije za određivanje incidenta sa znatnim učinkom te da se ne očekuje da će ih ispunjavati do rješavanja incidenta, o čemu su dužni obavijestiti nadležni CSIRT bez odgode.
(4) Obavijest iz stavka 3. ovoga članka mora sadržavati naznaku dana dostave završnog izvješća.
(5) Operatori ključnih usluga i davatelji digitalnih usluga obavijestit će nadležni CSIRT o produženju roka iz stavaka 1. i 4. ovoga članka ako im nisu raspoloživi stvarni podaci o učinku incidenta.
(6) U obavijesti iz stavka 5. ovoga članka obvezno se navodi obrazloženje za odgodu i novi procijenjeni rok dostave konačnog izvješća koji ne može biti duži od 30 dana od dana procijene da je redovito pružanje usluge ponovno uspostavljeno.
Dostava obavijesti o incidentima sa znatnim učinkom
Članak 43.
(1) Nadležni CSIRT donosi smjernice za dostavu obavijesti o incidentima sa znatnim učinkom, kojima se određuje način dostave obavijesti i obrasci za obvezno obavješćivanje o incidentima sa znatnim učinkom.
(2) Nadležni CSIRT utvrđuje obrasce iz stavka 1. ovoga članka uz suglasnost nadležnog sektorskog tijela.
(3) Operatori ključnih usluga i davatelji digitalnih usluga dužni su dostavljati obavijesti o incidentima sa znatnim učinkom sukladno smjernicama iz stavka 1. ovoga članka.
Razmjena obavijesti
Članak 44.
(1) Nadležni CSIRT dužan je bez odgode zaprimljene obavijesti o incidentu sa znatnim učinkom dostaviti nadležnom sektorskom tijelu.
(2) Iznimno od stavka 1. ovoga članka, nadležni CSIRT nije u obvezi dostavljati zaprimljene obavijesti o incidentima sa znatnim učinkom ako nadležno sektorsko tijelo temeljem posebnog propisa zaprima izravno od operatora ključne usluge obavijesti o incidentima koje po svom sadržaju i svrsi odgovaraju zahtjevima iz Zakona i ove Uredbe.
(3) Nadležno sektorsko tijelo dužno je obavijestiti nadležni CSIRT o postojanju iznimke iz stavka 2. ovoga članka.
ODJELJAK B.
POSTUPANJE PO OBAVIJESTIMA O INCIDENTIMA SA ZNATNIM UČINKOM
Rješavanje incidenata sa znatnim učinkom
Članak 45.
(1) Nadležni CSIRT po zaprimanju zahtjeva operatora ključnih usluga, davatelja digitalne usluge ili nadležnog sektorskog tijela za rješavanje incidenta provodi analizu i klasifikaciju incidenta na temelju zaprimljenih obavijesti o incidentu sa znatnim učinkom te se uključuje u postupak rješavanja incidenta.
(2) Nadležni CSIRT u rješavanju incidenata sa znatnim učinkom mogu koristiti stručnu pomoć nacionalno nadležnog CSIRT-a za drugi sektor, CSIRT-ova drugih država članica nadležnih za sektor u kojem je incident nastao te, prema potrebi, CSIRT mrežu Europske komisije.
(3) Nadležni CSIRT je dužan, u suradnji s nadležnim sektorskim tijelom, za svaki incident sa znatnim učinkom utvrditi njegov prekogranični utjecaj.
(4) Nadležno sektorsko tijelo dužno je procjenjivati učinak svakog pojedinačnog incidenta, o kojem je obaviješten sukladno članku 44. ove Uredbe, na osiguranje kontinuiteta pružanja ključne odnosno digitalne usluge na sektorskoj razini.
(5) Nadležno sektorsko tijelo dužno je temeljem procjena iz stavka 4. ovoga članka uključivati se u postupak uspostave kontinuiteta pružanja usluge kada je na sektorskoj razini ugrožen kontinuitet pružanja ključne odnosno digitalne usluge.
Evidencije o incidentima sa znatnim učinkom
Članak 46.
(1) Nadležni CSIRT-ovi dužni su voditi evidencije o svim incidentima sa znatnim učinkom prema sektorima i podsektorima iz priloga I. Zakona.
(2) Evidencije iz stavka 1. ovoga članka i rokovi za dostavu podataka iz evidencija jedinstvenoj nacionalnoj kontaktnoj točki utvrđuju se smjernicama koje donosi jedinstvena nacionalna kontaktna točka.
POGLAVLJE III.
OBAVJEŠĆIVANJE O INCIDENTIMA NA DOBROVOLJNOJ OSNOVI
Članak 47.
(1) Subjekti koji pružaju ključne usluge s popisa iz Priloga I. Zakona ili digitalne usluge s Popisa iz Priloga II. Zakona, a ne predstavljaju operatora ključnih usluga odnosno davatelja digitalnih usluga u smislu ove Uredbe, mogu nadležni CSIRT obavješćivati o incidentima koji su uzrokovali prekid ili značajniji poremećaj u pružanju ključne ili digitalne usluge.
(2) Subjekti iz stavka 1. ovoga članka dostavljaju obavijesti o incidentima na dobrovoljnoj osnovi sukladno smjernicama iz članka 43. ove Uredbe.
(3) Nadležni CSIRT postupit će po zahtjevu za rješavanje incidenata iz stavka 1. ovoga članka prema prioritetima i raspoloživim resursima, vodeći računa o obvezama iz članka 45. ove Uredbe.
DIO ČETVRTI
PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 48.
Nadležni CSIRT-ovi dužni su donijeti smjernice iz članka 43. stavka 1. ove Uredbe u roku od 90 dana od dana stupanja na snagu ove Uredbe.
Članak 49.
Ova Uredba stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 022-03/18-03/34
Urbroj: 50301-29/09-18-8
Zagreb, 26. srpnja 2018.
Predsjednik
mr. sc. Andrej Plenković, v. r.
PRILOG I.
KRITERIJI ZA UTVRĐIVANJE INCIDENATA KOJI IMAJU ZNATAN UČINAK NA PRUŽANJE KLJUČNE USLUGE
Sektor | Podsektor | Ključna usluga | Kriteriji | Pragovi |
Energetika | Električna energija | Proizvodnja električne energije | Smanjenje proizvodnje | 60 MW |
Prijenos električne energije | Prekid prijenosa | Bez iznimke | ||
Distribucija električne energije | Prekid napajanja | Više od 20.000 obračunskih mjernih mjesta | ||
Nafta | Transport nafte naftovodima | Prekid transporta | Bez iznimke | |
Proizvodnja nafte | Smanjenje proizvodnje naftnog polja | 10.000 t/god | ||
Proizvodnja naftnih derivata | Smanjenje proizvodnje naftnih derivata | Motorni benzini: 40.000 t/god Dizelsko gorivo: 40.000 t/god Plinska ulja: 20.000 t/god | ||
Skladištenje nafte i naftnih derivata | Smanjenje skladišnog kapaciteta nafte na terminalu | 200.000 m 3 | ||
Smanjenje skladišnog kapacitet naftnih derivata pojedinog skladišta | 12.000 m 3 | |||
Plin | Distribucija plina | Prekid distribucije krajnjim kupcima | Više od 20.000 obračunskih mjernih mjesta. | |
Transport plina | Prekid transporta | Bez iznimke | ||
Skladištenje plina | Smanjenje skladišnih kapaciteta | 5% potrošnje plina u RH u prethodnoj godini | ||
Prihvat i otprema UPP-a | Smanjenje kapaciteta uplinjavanja UPP u m 3 /h | Više od 100.000 m 3 /h | ||
Proizvodnja prirodnog plina | Smanjenje proizvodnje plina predanog u transportni sustav na pojedinom ulazu | 20% | ||
Prijevoz | Zračni promet | Zračni prijevoz putnika i tereta | Broj putnika pogođenih incidentom na pojedinoj zračnoj luci | 20% od uobičajenog prometa |
Upravljanje infrastrukturom zračne luke, uključujući upravljanje pomoćnim objektima zračne luke | Broj putnika pogođenih incidentom na pojedinoj zračnoj luci | 20% od uobičajenog prometa | ||
Kontrola zračnog prometa | Narušavanje integriteta podataka na ključnim operativnim sustavima | Ugrožen 1 zrakoplov u bilo kojem volumenu kontroliranog zračnog prostora i na manevarskim površinama aerodroma | ||
Gubitak podataka na ključnim operativnim sustavima | Ugrožen 1 zrakoplov u bilo kojem volumenu kontroliranog zračnog prostora i na manevarskim površinama aerodroma | |||
Željeznički promet | Upravljanje i održavanje željezničke infrastrukture, uključujući upravljanje prometom i prometno-upravljačkim i signalno-sigurnosnim podsustavom | Ugrožavanje integriteta prometno-upravljačkog, signalno-sigurnosnog ili elektro-energetskog podsustava | Bez iznimke | |
Usluge prijevoza robe i/ili putnika željeznicom | Broj voznih jedinica (vlakova) pogođenih incidentom | 10 dnevno | ||
Upravljanje uslužnim objektima i pružanje usluga u uslužnim objektima | Broj voznih jedinica (vlakova) pogođenih incidentom | 10 dnevno | ||
Pružanje dodatnih usluga koje su nužne za pružanje usluga prijevoza robe ili putnika željeznicom | Broj voznih jedinica (vlakova) pogođenih incidentom | 10 dnevno | ||
Vodni prijevoz | Nadzor kretanja brodova (VTS usluga) | Ugrožavanje integriteta sustava za nadzor i upravljanje pomorskim prometom VTMIS i pružanja VTS usluga | Onemogućeno korištenje punih funkcionalnosti sustava za nadzor i upravljanje pomorskim prometom VTMIS i pružanja VTS usluga iz najmanje jednog kontrolnog centra u trajanju dužem od 3 sata | |
Obavljanje poslova pomorske radijske službe | Ugrožavanje integriteta sustava pomorske radijske službe i pružanja usluga pomorske radijske službe | Onemogućeno korištenje punih funkcionalnosti sustava pomorske radijske službe i pružanja usluga pomorske radijske službe iz najmanje jedne obalne radijske postaje u trajanju dužem od 3 sata | ||
Održavanje objekata pomorske signalizacije | Ugrožavanje integriteta objekata pomorske signalizacije 1. kategorije značaja po sigurnost plovidbe | Nedostupnost najmanje 20% objekata pomorske signalizacije 1. kategorije značaja po sigurnost plovidbe u pojedinom plovnom području u trajanju dužem od 3 sata | ||
Nedostupnost najmanje 20% objekata pomorske signalizacije 1. kategorije značaja po sigurnost plovidbe u lukama otvorenim za javni promet od osobitog (međunarodnog) gospodarskog značaja za RH s prilaznim plovnim putovima u trajanju dužem od 3 sata | ||||
Prijevoz putnika u međunarodnom i/ili domaćem prometu | Ovisnost drugih sektora o usluzi | Svi sektori čiji korisnici ili zaposlenici koriste pomorski prijevoz | ||
Utjecaj incidenata na gospodarske i društvene aktivnosti te na javnu sigurnost | Trajanje incidenta u periodu duljem od jednog dana | |||
Ukrcaj i iskrcaj tereta u lukama u međunarodnom i domaćem prometu | Nedostupnost i ograničenost operativnog sustava | Nemogućnost obavljanja lučkih operacija u periodu duljem od 3 dana | ||
Važnost održavanja dostatne razine usluge | Ako incident uzrokuje nemogućnost obavljanja ključne usluge u vremenu duljem od 3 dana može uzrokovati zastoje u ovisnim sektorima | |||
Važnost održavanja dostatne razine usluge | Ako incident uzrokuje nemogućnost obavljanja ključne usluge u vremenu duljem od 3 dana može uzrokovati zastoje u ovisnim sektorima | |||
Prijevoz putnika, tereta i vozila u unutarnjim morskim vodama i teritorijalnom moru Republike Hrvatske koji se obavlja na unaprijed utvrđenim linijama prema javno objavljenim uvjetima reda plovidbe i cjenikom usluga | Onemogućeno obavljanje usluge prijevoza | Prekid obavljanja usluge prijevoza na više od 30% linija u trajanju duljem od 3 sata | ||
Praćenje i lociranje plovila u unutarnjoj plovidbi | Onemogućavanje rada »RIS« sustava koji se odnosi na »Praćenje i lociranje plovila u unutarnjoj plovidbi« (VTT) | Ugroza praćenja i lociranja minimalno jednog plovila u unutarnjoj plovidbi | ||
Obavijesti brodarstvu u unutarnjoj plovidbi | Onemogućavanje točne i pravovremene objave »Obavijesti brodarstvu u unutarnjoj plovidbi« | Ugroza objave minimalno jedne »Obavijesti brodarstvu u unutarnjoj plovidbi« | ||
Pristup elektroničkim navigacijskim kartama u unutarnjoj plovidbi | Onemogućenje rada korisničkih radnih stanica na obali u pristupu ćelijama »Elektroničkih navigacijskih karata u unutarnjoj plovidbi« (ENC) | Onemogućeno korištenje minimalno jedne ćelije ENC-a | ||
Baza podataka o trupu plovila u unutarnjoj plovidbi | Ugroza točnosti sadržaja u bazi podataka | Ugroza sadržaja u bazi podataka za minimalno jedno plovilo | ||
Međunarodno elektroničko izvještavanje u unutarnjoj plovidbi | Nemogućnost primanja i slanja ERI poruka | Nemogućnost primanja/slanja minimalno jedne ERI poruke | ||
Cestovni prijevoz | Javni prijevoz putnika | Broj voznih jedinica pogođenih incidentom | 20 | |
Broj putnika pogođenih incidentom | 10 000 | |||
Korištenje cestovne infrastrukture | Ugrožavanje integriteta prometno-upravljačkog, elektro-energetskog ili sustava za zaštitu od požara na cestovnoj infrastrukturi (uključujući objekte: mostovi, tuneli, vijadukti) | Bez iznimke | ||
Upravljanje prometnim tokovima ili informiranje vozača (ITS) | Prekid usluge centra za kontrolu i upravljanje prometom | 30 minuta | ||
Prekid usluge centra za informiranje vozača o stanju u prometu | 60 minuta | |||
Broj prometnih svjetala (semafora) pogođenih incidentom | 10 | |||
Bankarstvo | Platne usluge | Kriteriji koje operatori ključnih usluga u sektoru bankarstva trebaju upotrijebiti za klasifikaciju značajnih operativnih ili sigurnosnih incidenata prema smjernicama Europskog nadzornog tijela za bankarstvo (EBA) iz članka 96. stavka 3. Direktive (EU) 2015/2366 o platnim uslugama na unutarnjem tržištu (PSD2 Direktiva) | Pragovi koje operatori ključnih usluga u sektoru bankarstva trebaju upotrijebiti za klasifikaciju značajnih operativnih ili sigurnosnih incidenata prema smjernicama Europskog nadzornog tijela za bankarstvo (EBA) iz članka 96. stavka 3. PSD2 Direktive | |
Infrastrukture financijskog tržišta | Usluge mjesta trgovanja | Trajanje incidenta | 30 minuta | |
Usluge središnjih drugih ugovornih strana (CCP) | Trajanje incidenta | 30 minuta | ||
Zdravstveni sektor | Primarna zdravstvena zaštita | Nedostupnost Centralnog zdravstvenog informacijskog sustava Hrvatske | 8 sati | |
Nedostupnost Zdravstvene VPN mreže HealthNet | 8 sati | |||
Nedostupnost odobrenog programskog rješenja za pružatelja zdravstvene zaštite | 12 sati | |||
Nedostupnost informacijskog sustava hitne medicinske pomoći | 8 sati | |||
Sekundarna zdravstvena zaštita | Nedostupnost Centralnog zdravstvenog informacijskog sustava Hrvatske | 8 sati | ||
Nedostupnost Zdravstvene VPN mreže HealthNet | 8 sati | |||
Nedostupnost odobrenog programskog rješenja za pružatelja zdravstvene zaštite | 12 sati | |||
Nedostupnost bolničkog informacijskog sustava u općoj bolnici | 1 sat | |||
Tercijarna zdravstvena zaštita | Nedostupnost Centralnog zdravstvenog informacijskog sustava Hrvatske | 8 sati | ||
Nedostupnost Zdravstvene VPN mreže HealthNet | 8 sati | |||
Nedostupnost bolničkog informacijskog sustava u kliničkom bolničkom centru | 1 sat | |||
Nedostupnost bolničkog informacijskog sustava u kliničkoj bolnici | 1 sat | |||
Nedostupnost bolničkog informacijskog sustava u klinici | 1 sat | |||
Transfuzijska medicina i transplantacija organa | Nedostupnost informacijskog sustava za djelatnost transfuzijske medicine | 8 sati | ||
Nedostupnost Zdravstvene VPN mreže HealthNet | 8 sati | |||
Nedostupnost koordinatora Nacionalnog transplantacijskog programa | 1 sat | |||
Zdravstveno osiguranje i prekogranična zdravstvena zaštita | Nedostupnost informacijskog sustava ZOROH – Zdravstveno osiguranje – registar osiguranika Hrvatske | 24 sata | ||
Nedostupnost servisa za provjeru statusa obveznog i dopunskog zdravstvenog osiguranja | 8 sati | |||
Nedostupnost sustava za izdavanje Europskih kartica zdravstvenog osiguranja | 72 sata | |||
Sigurnost hrane | Nedostupnost Središnjeg informacijskog sustava sanitarne inspekcije | 24 sata | ||
Zaštita od opasnih kemikalija | Nedostupnost Registra sigurnosno-tehničkih listova | 72 sata | ||
Nedostupnost Registra opasnih kemikalija proizvedenih ili uvezenih/unesenih na teritorij RH | 72 sata | |||
Distribucija i sigurnost lijekova i medicinskih proizvoda | Nemogućnost obustave stavljanja u promet lijekova i povlačenja lijekova iz prometa | 72 sata | ||
Nemogućnost praćenja ozbiljnih nesukladnosti i provjere kakvoće lijekova na tržištu RH | 60 sati | |||
Nemogućnost praćenja sigurnosti medicinskih proizvoda | 84 sata | |||
Nadzor nad zdravstvenim stanjem stanovništva i ljudskim resursima u zdravstvu kroz vođenje javnozdravstvenih registara | Nedostupnost Nacionalnog javnozdravstvenog informacijskog sustava | 8 sati | ||
Nedostupnost Zdravstvene VPN mreže HealthNet | 8 sati | |||
Opskrba vodom za piće i njezina distribucija | Opskrba krajnjih korisnika | Prekid opskrbe zdravstveno ispravne vode iz sustava javne vodoopskrbe | više od 24 sata | |
Potpuni prekid opskrbe vodom iz sustava javne vodoopskrbe | više od 24 sata | |||
Digitalna infrastruktura | DNS usluga za .hr TLD | Nedostupnost usluge | 60 min | |
Neovlaštena promjena podataka na domenama | 20% od ukupnog broja registriranih .hr domena | |||
Registar naziva domena za .hr TLD | Nedostupnost usluge | 180 min | ||
Neovlaštena promjena podataka na domenama | 20% od ukupnog broja registriranih .hr domena | |||
Sustav za registriranje i administriranje sekundarne domene | Nedostupnost usluge | 180 min | ||
Nedostupnost ovlaštenih registara | 40% od ukupnog broja registara | |||
Usluga IXP | Nedostupnost usluge za 50% spojenih članica | 8 sati | ||
Nedostupnost usluge za 75% spojenih članica | 4 sata | |||
Nedostupnost usluge za sve spojene članice | 2 sata | |||
Poslovne usluge za državna tijela | Usluge u sustavu e-Građani | Broj korisnika pogođenih prekidom | 20% | |
Trajanje incidenta | 2 sata | |||
Poslovne usluge za korisnike državnog proračuna | Trajanje incidenta | 1 sat | ||
Broj sektorskih korisnika pogođenih incidentom | 1 |