Pripremam raspravu
Javna rasprava - Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga
Opis rasprave
Datum otvaranja rasprave: 24. lipnja 2021. 14:20
Datum zatvaranja rasprave: 23. srpnja 2021. 14:20
Uključi prikaz broja:

HRVATSKA REGULATORNA AGENCIJA ZA MREŽNE DJELATNOSTI

PRAVILNIK O NAČINU I ROKOVIMA PROVEDBE MJERA ZAŠTITE SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA

Zagreb, 2021.

I. OSNOVA ZA DONOŠENJE PRAVILNIKA

Člankom 12. stavkom 1. točkom 1. i člankom 99. stavkom 9. Zakona o elektroničkim komunikacijama (NN br. 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17; dalje: ZEK) propisana je ovlast Hrvatske regulatorne agencije za mrežne djelatnosti (dalje: HAKOM) za donošenje pravilnika kojim se propisuju način i rokovi u kojima operatori javnih komunikacijskih mreža i operatori javno dostupnih elektroničkih komunikacijskih usluga (dalje: operatori) moraju provesti obveze koje se odnose na sigurnost i cjelovitost elektroničkih komunikacijskih mreža i usluga.

U bitnome, obveze operatora odnose se na poduzimanje tehničkih i organizacijskih (ustrojstvenih) mjera koje su nužne radi zaštite sigurnosti elektroničke komunikacijske mreže i usluga od sigurnosnih incidenata te na obvezu obavješćivanja o sigurnosnim incidentima.

Imajući u vidu navedenu obvezu, Vijeće HAKOM-a donijelo je Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (NN br. 109/12, 33/13-ispravak, 126/13, 67/16 i 66/19), koji je trenutno na snazi.

HAKOM u ovom postupku predlaže izmjene navedenog Pravilnika koje su uvjetovane aktivnostima na EU razini vezano uz problematiku kibernetičke sigurnosti elektroničkih komunikacijskih mreža i usluga, posebno zajedničkim naporima država članica, Europske komisije i ENISA-e u vezi pojačane sigurnosti 5G mreža,  koje su rezultirale donošenjem tzv. 5G toolboxa[1]. Imajući u vidu obim izmjena, predlaže se donošenje novog Pravilnika.

II. OCJENA STANJA I OBRAZLOŽENJE IZMJENA

1. Ocjena stanja

EU je prepoznala važnost digitalizacije koja postaje okosnica gospodarskog, ekonomskog i društvenog razvoja, uzimajući u obzir ovisnost svih sektora (osobito promet, energija, proizvodnja, zdravstvo, poljoprivreda, mediji, javne usluge i dr.) o digitalnim tehnologijama.

Osim što omogućuje međusobnu povezanost različitih sektora, digitalizacija ima i prekogranični element djelovanja i temelj je za funkcioniranje unutarnjeg tržišta EU.

Isto tako, značaj digitalnih tehnologija posebice je vidljiv u vrijeme COVID-19 pandemije, jer je digitalizacija omogućila nastavak obrazovanja, poslovanja i društvene komunikacije.

Da bi se iskoristile koristi digitalne transformacije društva, nužno je s jedne strane osigurati povezivost, a s druge strane sigurnost i pouzdanost digitalnih tehnologija.[2]

U osiguranju povezivosti ključno mjesto zauzimaju mreže novih generacija, primarno 5G mreže, čije su prednosti osobito velike brzine prijenosa podataka i mala kašnjenja u prijenosu podataka, mogućnost istodobnog povezivanja velikog broja uređaja, kao i povezivanje uređaja i objekata (internet stvari).

Međutim, ako gospodarski i društveni život ovisi o digitalnim tehnologijama, potrebno je osigurati njihovu otpornost na sigurnosne rizike i posljedično zajamčiti njihovu pouzdanost.

Kao primarni rizik za sigurnost mrežnih i informacijskih sustava na kojima se temelji digitalni ekosustav, uključujući 5G mreže, utvrđene su kibersigurnosne prijetnje i napadi.

EK je Preporukom (EU) 2019/534 оd 26. ožujka 2019. o kibersigurnosti 5G mreža[3] pokrenula postupak definiranja relevantnih mjera koje bi na razini EU trebalo poduzeti u cilju smanjenja kibersigurnosnih rizika, posebno u odnosu na 5G mreže.

Rezultat je EU procjena rizika sigurnosti 5G mreža (EU coordinated risk assessment of the cybersecurity of 5G networks od 9. listopada 2019.[4]) i moguće mjere za umanjenje navedenih rizika, tzv. 5G toolbox (od 31. siječnja 2020.).

EK je u svojoj Komunikaciji od 29. siječnja 2020. o implementaciji 5G toolbox-a[5], naglasila nužnost nacionalne implementacije mjera iz 5G toolbox-a te suradnju država članica u cilju koordinacije na EU razini.

Značaj kibersigurnosti prepoznat je i u novoj EU kibersigurnosnoj strategiji za digitalno desetljeće od 16. prosinca 2020.[6], koja utvrđuje mjere za postizanje sigurne digitalne transformacije društva. 

Utoliko, bilo je potrebno analizirati postojeće nacionalne mjere kojima je cilj sigurnost elektroničkih komunikacijskih mreža i usluga, posebice u kontekstu uvođenja 5G tehnologija te posljedično urediti nacionalni okvir mjera zaštite sigurnosti i cjelovitosti mreža i usluga.

Nesporna je regulatorna uloga HAKOM-a u odnosu na sigurnost elektroničkih komunikacijskih mreža i usluga. Naime, sukladno članku 12. st. 1. t. 13. ZEK-a HAKOM je ovlašten nadzirati je li poslovanje operatora usklađeno s obvezama koje se odnose na sigurnost i cjelovitost elektroničkih komunikacijskih mreža i usluga te zaštitu osobnih podataka, koje obveze su detaljnije precizirane drugim odredbama ZEK-a, primarno člankom 99. Također, osim navedene nadzorne ovlasti, HAKOM je, kako je prethodno navedeno, ovlašten pravilnikom urediti način na koji će operatori provesti obveze vezano uz sigurnost i cjelovitost mreža i usluga.

Obveze operatora u odnosu na sigurnost elektroničkih komunikacijskih mreža i usluga kako su uređene starim regulatornim okvirom elektroničkih komunikacija, konkretno člankom 13.a. i 13.b. Okvirne direktive (EU) 2009/140/EZ, u velikoj mjeri zadržane su i u Direktivi (EU) 2018/1972 od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija (dalje: Zakonik), tj. novom regulatornom okviru elektroničkih komunikacija, primarno člancima 40. i 41. Zakonika.

Sukladno članku 2. točki 21. Zakonika sigurnost mreža i usluga znači sposobnost elektroničkih komunikacijskih mreža i usluga da odolijevaju, na određenoj razini pouzdanosti, bilo kojoj radnji kojom se ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost tih mreža i usluga, pohranjenih ili prenesenih ili obrađenih podataka ili srodnih usluga koje te elektroničke komunikacijske mreže ili usluge nude ili kojima omogućuju pristup.

Sukladno članku 2. točki 41. Zakonika sigurnosni incident znači događaj koji ima stvarni negativni učinak na sigurnost elektroničkih komunikacijskih mreža ili usluga.

U tom smislu, jasno je da kibernetička sigurnost predstavlja sastavni dio sigurnosti elektroničkih komunikacijskih mreža i usluga.

Stoga, stupanjem na snagu novog regulatornog okvira elektroničkih komunikacija, a imajući u vidu ovlasti HAKOM-a u području regulacije sigurnosti i cjelovitosti elektroničkih komunikacijskih mreža i usluga te uzimajući u obzir zahtjeve 5G toolbox-a, HAKOM je izmjenama Pravilnika primarno precizirao obveze vezano uz kibersigurnost elektroničkih komunikacijskih mreža i usluga. Na navedeni način je uređena provedba tehničkih i dijela povezanih strateških mjera 5G toolbox-a.

Iako je postupak prijenosa Zakonika u nacionalno zakonodavstvo još u tijeku[7], HAKOM smatra da je opravdano mjere iz 5G toolbox-a implementirati u pravilnik koji se donosi na temelju važećeg zakona, jer to nalažu interesi pravne sigurnosti sudionika na tržištu u razdoblju do potpunog prijenosa Zakonika i stupanja na snagu novog Zakona o elektroničkim komunikacijama. Imajući u vidu da su opće odredbe o sigurnosti iz Zakonika i iz starog regulatornog okvira suštinski iste, nakon prenošenja odredbi Zakonika o nacionalno zakonodavstvo ne bi trebalo doći do značajnijih izmjena odredbi koje se predlažu u Pravilniku.

Za potrebe javne rasprave, a do donošenja novog Zakona o elektroničkim komunikacijama, korištena je terminologija iz Zakonika.

Sukladno članku 22. stavku 5. ZEK-a, o prijedlogu Pravilnika potrebno je provesti postupak javne rasprave sa zainteresiranom javnošću.

2. Obrazloženje izmjena

Pravilnik sadrži sljedeća poglavlja:

1. Opće odredbe

2. Pojmovi i značenja

3. Mjere za zaštitu sigurnosti i cjelovitosti mreža i usluga

4. Obavještavanje Agencije o sigurnosnim incidentima

5. Dodatne obveze za računalno-sigurnosne incidente

6. Obavještavanje drugih subjekata o sigurnosnim incidentima

7. Završne odredbe

8. Dodaci.

I.

Općim odredbama uređuje se sadržaj Pravilnika, a pojmovnikom se pojašnjava značenje važnijih pojmova koji se koriste u Pravilniku.

II.

Poglavlje 3. precizira mjere koje su pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga obvezni poduzimati u svrhu sigurnosti i cjelovitosti mreža i usluga (dalje: pružatelji). Pri tome su posebno specificirane mjere koje se odnose na sigurnost 5G mreža i usluga (članak 4.).

Naime, obveza je pružatelja poduzimati odgovarajuće tehničke i organizacije mjere radi zaštite sigurnosti kako svojih mreža i usluga, tako i međupovezanih mreža, a koje mjere moraju osigurati onu razinu sigurnosti koja odgovara postojećoj razini opasnosti. Prema tome, primjena odgovarajućih mjera uvjetovana je procjenom rizika za sigurnost mreža i usluga koju su operatori obvezni provesti

Konačna svrha primijenjenih mjera mora biti otpornost na radnje kojima se ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost tih mreža i usluga, pohranjenih, prenesenih ili obrađenih podataka ili srodnih usluga koje te elektroničke komunikacijske mreže ili usluge nude ili kojima omogućuju pristup.

Članak 3.

HAKOM je ocijenio osnovanim odrediti kao minimum primjenu tehničkih i ustrojstvenih mjera kojima je potrebno osigurati:

-         sustav upravljanja rizicima koji obuhvaća i sigurnosnu politiku te je temeljen na procjeni rizika uz odgovarajuću primjenu mjerodavnih tehničkih smjernica ENISA-e o prijetnjama[8]

-         sigurnosne zahtjeve za osoblje

-         sigurnost sustava i prostora

-         upravljanje postupcima

-         upravljanje sigurnosnim incidentima

-         upravljanje kontinuitetom poslovanja

-         nadzor i testiranje sigurnosti

-         svjesnost o sigurnosnim prijetnjama.

Riječ je o mjerama koje su obvezne za sve vrste mreža i usluga.

Prilikom određivanja navedenih mjera, HAKOM je primijenio mjerodavne preporuke i smjernice ENISA-e. Riječ je o preporukama i smjernicama koje je ENISA-e razvila u cilju doprinosa povećanoj razini sigurnosti elektroničkih komunikacija, a kojima su usklađene primjerene tehničke i organizacijske sigurnosne mjere. Iako su smjernice i preporuke ENISA-e primarno adresirane regulatornim tijelima, nije isključeno da ih regulatorna tijela koriste za usmjeravanje postupanja pružatelja. Upravo iz navedenog razloga HAKOM je definirao koje su to minimalne tehničke i organizacijske mjere koje je potrebno osigurati, pri čemu je određeno da se za način implementacije primjenjuju mjerodavne tehničke smjernice ENISA-e[9]. Pružatelji bi stoga trebali, kod implementacije mjera sigurnosti, voditi računa o onim rizicima i preporučenim mjerama za njihovo uklanjanje, kako je uređeno ENISA-inim preporukama.

U Dodatku 1. prijedloga Pravilnika definirane su mjerodavne norme koje je potrebno primjenjivati kod implementacije mjera iz stavka 3., pri čemu je riječ o minimumu normi i nije isključena primjena drugih relevantnih nacionalnih i/ili međunarodnih normi i sigurnosnih standarda (primjerice vezano uz pojedinu tehnologiju, obradu osobnih podataka i sl.). Da je zaštita osobnih podataka također obvezan dio sigurnosnih mjera uređeno je stavkom 6. člankom 3., a što je u skladu sa zahtjevima iz članka 99. stavka 4. ZEK-a.

Pružateljima je određena obveza dokumentiranja implementiranih mjera, radi mogućnosti dokazivanja.

Također, pružateljima je određeno, osim obveze implementacije sigurnosne politike, njezina dostava HAKOM-a, kako bi HAKOM mogao provoditi nadzorne ovlasti u odnosu na obveze sigurnosti. Obveza redovne, godišnje dostave sigurnosne politike, određena je onim pružateljima koji imaju više od 100 000 korisnika, a za one koji imaju manji broj korisnika određena je obveza dostave sigurnosne politike na zahtjev HAKOM-a. Navedeno je iz razloga kako bi se osigurala redovna kontrola onih pružatelja koji imaju značajan broj korisnika, ocjenjujući da je 100 000 korisnika po pružatelju značajan broj. Prema trenutnim statističkim podacima, navedeni broj korisnika ima 5 pružatelja.

Članak 4.

Navedenim člankom precizirane su posebne obveze u odnosu na sigurnost 5G mreža i usluga. Ovim se člankom u najvećoj mjeri implementiraju obveze 5G toolbox-a.

Pri tom je potrebno naglasiti da je primjena minimalnih mjera iz članka 3. prijedloga Pravilnika obveza svih pružatelja, dok se člankom 4. definiraju dodatne obveze za pružatelje 5G-a. U bitnome, ovim člankom se nadopunjuju mjere iz članka 3. na način da se za pojedine od njih dodatno precizira način implementacije, uzimajući u obzir specifičnosti 5G mreža, a time i potencijalnih sigurnosnih rizika. 

Kako je u uvodu navedeno, EU analiza rizika 5G mreža pokazala je kako je nužno poduzeti mjere koje će osigurati 5G mreže i usluge od rizika od kibernetičkih prijetnji i napada te je stoga pored općenitih mjera iz članka 3. potrebno poduzeti dodatne mjere zaštite osobito ključnih i osjetljivih dijelova 5G mreža, gdje je najveći rizik za potencijalni sigurnosni incident.

Pružateljima 5G-a tako je određena obveza u sigurnosnoj politici utvrditi popis kritičnih funkcionalnosti i kritičnih komponenti i  dijelova svoje 5G mreže, pri čemu je referentan izvor za utvrđivanje koji su dijelovi 5G mreže ključni dokument EU koordinirana procjena rizika kibersigurnosti u 5G mrežama. U točki 2.21 navedenog dokumenta utvrđuju se ključni dijelovi mreže i njihovi kritični i osjetljivi dijelovi za koje je osobito potrebno primijeniti mjere zaštite sigurnosti, jer su potencijalno najranjiviji.

Navedena obveza određena je kako bi se mogle pratiti i analizirati mjere koje su poduzete u odnosu na njihovu sigurnost.

Stavkom 2. definirane su dodatne tehničke i organizacijske mjere za 5G koje uključuju:

-         dodatne mjere sigurnosti opreme za kritične i osjetljive dijelove 5G mreže:

Da bi 5G oprema bila funkcionalna nužno je da se zadovolje mjerodavni 5G standardi, koji su primarno razvijeni u okviru 3GPP-a[10]. Osim toga, nužno je primjenjivati mjerodavne certifikacijske standarde za 5G opremu (IKT procesi, proizvodi, usluge), bilo da su razvijeni u okviru EU programa kibernetičke sigurnosne certifikacije ili je riječ o nacionalnim certifikacijskim shemama. Ovdje je također određena primjena mjerodavnih tehničkih smjernica ENISA-e, kojima su precizirani mjerodavni 5G standardi. Minimum koji se očekuje je primjena relevantnih 5G tehnoloških standarda. (TM02, TM09, TM10)

-         mjere sigurnosti opskrbnog lanca 5G opreme i otpornosti dobavljača

Iako je to već dio mjera iz članka 3. u dijelu upravljanja postupcima, sigurnost opskrbnog lanca u odnosu na 5G opremu od posebne je važnosti. Pružatelji su stoga prilikom implementacije politike sigurnosti opskrbe, obvezni, u odnosu na 5G opremu, implementirati mjere procjene sigurnosti svih odabranih izvođača i proizvođača, ali i njihovih dobavljača. Također, obvezni su osigurati odgovarajući nadzor nad načinom i kvalitetom pružanja ugovorenih poslova i usluga (primjerice kroz odredbe ugovora), pri čemu su mjerodavne tehničke smjernice ENISA-e vezano uz nabavu sigurnih IKT proizvoda i usluga[11]. Isto tako bitna je dugoročna održivost i otpornost 5G opreme, slijedom čega je nužna implementacija mjera kojima će se od dobavljača tražiti dokazi ispunjavanja tih zahtjeva (izjave, ugovorne odredbe i sl.). ( TM08, TM11)

-         provođenje sigurnosne kontrole u skladu s mjerodavnim standardima za sigurnost 5G mreža i usluga

Imajući u vidu specifične rizike u odnosu na 5G mrežu, nužno je kod procjene rizika i primjene sigurnosnih mjera posebnu pozornost obratiti upravo na one rizike koji su specifični za 5G mreže (kibersigurnost osobito) te primijeniti one mjere koje su utvrđene u posebnim standardima za sigurnost 5G-a (primjerice 3GPP standardi) (TM02)

-         sustav ograničenja i nadzora udaljenog pristupa kritičnom dijelu mreže i informacijskom sustavu od trećih strana te implementacija, gdje je moguće, principa najmanje privilegiranog i podjela dužnosti

Kao dodatak mjerama sigurnosnih zahtjeva za osoblje i sigurnosti sustava i prostora, posebno je propisana mjera sigurnosti u slučaju udaljenog pristupa kritičnom dijelu mreže i informacijskom sustavu pružatelja. Pristup sustavima pružatelja, a time i podacima, trebao bi biti omogućen ograničavanjem prava samo na ona koja su nužna za obavljanje neke radnje, uz jasnu podjelu dužnosti odnosno ovlaštenja za obavljanje pojedinih radnji na kritičnim i osjetljivim dijelovima sustava. Time se kontrolira pristup sustavima i podacima te umanjuje rizik potencijalnih incidenata.  (TM03)

-         mjere za NOC i SOC

Definirano je da se operativni centar (NOC) i sigurnosno-operativni centar (SOC) mora nalaziti na području neke od zemalja članicama Europske unije. Riječ je o centrima koji su dio infrastrukture mreža pokretnih komunikacija, a čija je zadaća implementacija i nadzor mjera za sigurno upravljanje i rad mreže. U odnosu na 5G, NOC i SOC, u svom djelokrugu rada, osobito moraju provoditi nadzor kritičnih mrežnih komponenti i osjetljivih dijelova 5G mreža, u svrhu pravovremenog otkrivanja nepravilnosti te prepoznavanja i sprečavanja prijetnji. Utoliko, nužno je da se nalaze na području Europske unije, s obzirom na usklađene mjere sigurnosti koje primjenjuju države članice pa time i povjerenja u opseg implementiranih mjera sigurnosti. (TM05)

-         mjere zaštite upravljanja prometom komunikacijskih mreža ili usluga kako bi se spriječile neovlaštene promjene na mrežnim ili uslužnim komponentama (TM05)

-         mjere fizičke zaštite MEC-a (Multi-access Edge Computing) i baznih stanica temeljeno na procjeni rizika primjerice s obzirom na to gdje se komponente raspoređuju i koriste, te posebne mjere pristupa ograničenom broju sigurnosno provjerenom, kvalificiranom osoblju uz ograničen i nadziran pristup trećih strana

Imajući u vidu kako je riječ o dijelovima sustava koji sadrže znatnu količinu podataka te su stoga izloženi rizicima incidenata, potrebno je implementirati one mjere koje će uzeti u obzir rizike i osigurati otpornost na iste. Ovdje je naglasak na primjeni mjera fizičke zaštite pristupa lokacijama baznih stanica i MEC-a, osobito ako je riječ o ključnim i osjetljivim dijelovima 5G mreže. Pružatelji su stoga obvezni pojačati fizičku zaštitu kritičnih i osjetljivih dijelova 5G mreže, uzimajući pristup zasnovan na riziku za Multi-access Edge Computing (MEC) i bazne stanice, na primjer uzimajući u obzir gdje su komponente raspoređene i korištene (npr. MEC-a uporaba u bolnicama i sl.). U jačanju fizičkih kontrola pristupa važno je osigurati da pristup bude odobren samo ograničenom broju sigurnosno provjerenog, obučenog i kvalificiranog osoblja. Pristup trećih strana, izvođača i zaposlenika dobavljača trebao bi biti ograničen i nadziran, posebno kada se radi o kritičnim komponentama i osjetljivim dijelovima 5G mreža te odgovarajućim ugovorima operatora i trećih strana regulira. (TM06)

-         alati i procesi za osiguravanje integriteta softvera prilikom njegovog ažuriranja i primjene sigurnosnih zakrpa, pouzdane identifikacije i praćenja promjena i statusa zakrpa, osobito u virtualiziranim mrežnim funkcijama

Za 5G mrežu karakteristična je virtualizacija sustava, slijedom čega je potrebno veliku pažnju posvetiti mjerama koje se odnose na ugradnju softvera. Nužno je pratiti i dokumentirati sve promjene i ažuriranja. (TM07, TM04)

-         procedure u svrhu oporavka u slučaju incidenata koji ima utjecaj i na međuovisne kritične sektore i usluge

Digitalna transformacija društva temelji se na elektroničkim komunikacijama, slijedom čega je nužno, u cilju neometanog funkcioniranja kritičnih sektora i usluga koji se oslanjaju na elektroničke komunikacije (financije, promet, električna energija, bolnice, opskrba vodom, hitne službe i dr.) definirati procedure kako bi se osigurao neometan rad u slučaju incidenta koji ima utjecaj na predmetne međuovisne sektore. (TM11, SA08)

-         strategija korištenja minimalno dva dobavljača opreme unutar mreže, koja uzima u obzir tehnička ograničenja i zahtjeve za interoperabilnošću različitih dijelova 5G mreže

Kako bi se izbjegla ovisnost o samo jednom dobavljaču, pružatelji trebaju imati implementiranu strategiju korištenja minimalno 2 dobavljača opreme za 5G mrežu. Navedeno znači osigurati raznovrsnost dobavljača u različitim dijelovima 5G mreže (pristupni, RAN i sl.) (SM05)

Članak 5.

Kako bi se osiguralo da implementirane mjere odgovaraju utvrđenim rizicima te da se isto tako redovito ažuriraju, osobito imajući u vidu prijetnje ili incidente kojima su pružatelji bili izloženi, ali također i novoutvrđenim rizicima, pružatelji su obvezni redovno revidirati svoju sigurnosnu politiku. Pružatelji trebaju osigurati neovisnost i stručnost kod provođenja revizije, bilo da ju obavljanju njihovi zaposlenici koji nisu vezani uz područje revizije (odnosno ne sudjeluju u postupcima implementacije mjera sigurnosti, primarno) ili obavljanje povjeriti vanjskom revizoru.

Kako bi HAKOM mogao provoditi svoje nadzorne ovlasti, operatorima je određena godišnja obveza dostave nalaza revizije zajedno s preporučenim mjerama, odnosno planom uklanjanja uočenih nedostataka. Obveza redovne, godišnje dostave nalaza revizije, određena je onim pružateljima koji imaju više od 100 000 korisnika, a za one koji imaju manji broj korisnika određena je obveza dostave nalaza revizije na zahtjev HAKOM-a. Navedeno je iz razloga kako bi se osigurala redovna kontrola onih pružatelja koji imaju značajan broj korisnika, ocjenjujući da je 100 000 korisnika po pružatelju značajan broj. Prema trenutnim statističkim podacima, navedeni broj korisnika ima pet pružatelja.

HAKOM zadržava pravo, ukoliko ocijeni da predložene mjere uklanjanja nedostataka ne bi bile primjerene za sprječavanje i umanjenje utjecaja incidenata, odrediti dodatne mjere, a također može, ukoliko je to nužno za sprečavanja sigurnosnog incidenta kada se utvrdi znatna prijetnja ili rješavanje sigurnosnog incidenta, donijeti obvezujuće upute kojima će se odrediti primjena adekvatnih mjera sigurnosti. 

Naime, iako je implementacija tehničkih i organizacijskih mjera sigurnosti primarno obveza operatora te prvenstveno temeljena na provedenoj procjeni rizika vlastitih mreža i usluga, HAKOM mora imati ovlast poduzimati dodatne mjere koje ocijeni potrebnim za sigurnost mreža i usluga. Ukoliko je ugrožena sigurnost mreža i usluga posljedično su ugroženi interesi korisnika usluga, jer su moguće kako povrede osobnih podataka i privatnosti tako i korištenje digitalnih usluga koje se temelje na elektroničkim komunikacijama. Kako je jedan od ciljeva i načela HAKOM-a promicanje interesa korisnika usluga osiguravanjem visoke razine zaštite osobnih podataka i privatnosti te održavanjem cjelovitosti i sigurnosti javnih komunikacijskih mreža (čl. 5. st. 4. t. 3. i 6.) to je nužno da HAKOM ima mogućnost, bilo u okviru nadzora, bilo temeljem primjerice informacija drugih mjerodavnih tijela (CSIRT, NCERT i dr.), davati one upute pružateljima koje će doprinijeti sigurnosti mreža i usluga. Navedeno se odnosi i na mjere koje su nužne u cilju nacionalne sigurnosti, po zahtjevu nadležnog tijela.

IV.

U ovom poglavlju uređen je način izvještavanja HAKOM-a o sigurnosnim incidentima koji su značajnije utjecali na rad mreža i/ili usluga. Definirani su kriteriji za izvještavanje, i to kvalitativni te kvantitativni, koji se provjeravaju ako nisu ispunjeni kvalitativni. U oba slučaja provjerava se je li došlo do značajnog računalno-sigurnosnog incidenta sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata. Drugim riječima, prilikom prijavljivanja incidenata, analizira se je li riječ o incidentu koji kao takav potpada pod kvalitativne, odnosno kvantitativne kriterije za izvještavanje. Potom se provjerava je li riječ o računalno-sigurnosnom incidentu prema Nacionalnoj taksonomiji računalno-sigurnosnih incidenata. Moguće su situacije da:

1. incident predstavlja incident prema kvalitativnim i/ili kvantitativnim kriterijima te ujedno i računalno-sigurnosni incident prema Nacionalnoj taksonomiji računalno-sigurnosnih incidenata (prijava HAKOM-u i putem Pixi platforme)

2. incident predstavlja incident prema kvalitativnim i/ili kvantitativnim kriterijima, ali ne i računalno-sigurnosni incident prema Nacionalnoj taksonomiji računalno-sigurnosnih incidenata (prijava HAKOM-u)

3. incident ne predstavlja incident prema kvalitativnim i/ili kvantitativnim kriterijima, ali predstavlja računalno-sigurnosni incident prema Nacionalnoj taksonomiji računalno-sigurnosnih incidenata (prijava putem Pixi platforme)

4.  nije riječ o incidentu prema predmetnim klasifikacijama.

U Dodatku 2 definiran je obrazac sa sadržanim prethodno navedenim kriterijima, a rokovi izvještavanja su nepromijenjeni u odnosu na važeći Pravilnik.

U Dodatku 3 definiran je predložak za izvješćivanje o sigurnosnom incidentu.

V.

U odnosu na značajne računalno-sigurnosne incidente propisana je obveza izvještavanja sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata, putem PiXi platforme, odnosno elektroničkog sučelja razvijenog kroz projekt „Grow2CERT – Povećanje zrelosti Nacionalnog CERT-a za čvršću suradnju u zajednici kibernetičke sigurnosti“. Svrha projekta je povećanje pripravnosti Nacionalnog CERT-a i integracija dodatnih komponenti na Nacionalnoj platformi PiXi (Platforma za prikupljanje, analizu i razmjenu podataka o računalno-sigurnosnim prijetnjama i incidentima) zbog omogućavanja interakcije s MeliCERTes sustavom kao mehanizmom za suradnju na EU razini.

VI.

Uređen je način obavještavanja korisnika i drugih pružatelja usluga u slučaju sigurnosnog incidenta ili sigurnosne prijetnje, kao i mogućim mjerama za njihovo uklanjanje, ako je to moguće.

VII.

Imajući u vidu da je većina obveza u primjeni temeljem trenutno važećeg Pravilnika, HAKOM je ocijenio osnovanim odrediti stupanje na snagu u roku od 30 dana od objave u Narodnim novinama, osim za obveze za 5G koje stupanju na snagu 1. lipnja 2022. U tom smislu očekuje se dostava prve sigurnosne politike u odnosu na mjere iz članka 4. Pravilnika (5G) u siječnju 2023. za 2022. godinu,  a prvog nalaza revizije za navedene mjere do 30. svibnja 2023. za 2022. godinu.

Time se pružateljima ostavlja primjeren rok za implementaciju propisanih mjera vezano uz sigurnost 5G mreža i usluga i dokazivanje njihovog provođenja.

Dodatno, radi lakšeg popunjavanja, obrazac iz Dodatka 3 je pripremljen u Word formatu i moći će se također preuzeti na službenim internetskim stranicama HAKOM-a, nakon stupanja na snagu Pravilnika.

III.  TEKST NACRTA PRIJEDLOGA PRAVILNIKA

Prilaže se tekst Nacrta Pravilnika.

Na temelju članka 12. stavka 1. točke 1., članka 19. stavka 1. i članka 99. stavka 9. Zakona o elektroničkim  komunikacijama (Narodne novine, br. 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17), Vijeće Hrvatske regulatorne agencije za mrežne djelatnosti donosi

PRAVILNIK

O NAČINU I ROKOVIMA PROVEDBE MJERA ZAŠTITE SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA

I.          OPĆE ODREDBE

SADRŽAJ PRAVILNIKA

Članak 1.

Ovim Pravilnikom propisuju se način i rokovi u kojima pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga (dalje: pružatelji) moraju poduzimati sve odgovarajuće mjere kako bi zajamčili sigurnost i cjelovitost svojih mreža, u svrhu osiguravanja neprekinutog obavljanja usluga koje se pružaju putem tih mreža, te uređuje način izvješćivanja Hrvatske regulatorne agencije za mrežne djelatnosti (dalje: Agencija) o povredi sigurnosti i/ili gubitku cjelovitosti od značajnog utjecaja na rad njihovih mreža ili obavljanje njihovih usluga.

POJMOVI I ZNAČENJA

Članak 2.

U smislu ovog Pravilnika pojedini pojmovi imaju sljedeće značenje:

1.  cjelovitost mreže: skup tehničkih zahtjeva za procese, rad i izmjene u elektroničkoj komunikacijskoj mreži, u svrhu osiguravanja nesmetane uporabe međusobno povezanih elektroničkih komunikacijskih mreža, kao i pristupa tim mrežama te cjelovitosti podataka  pohranjenih  u  elektroničkoj  komunikacijskoj  mreži,

2.  ENISA (eng. European Union Agency for Network and Information Security): Agencija Europske unije za mrežnu i informacijsku sigurnost,

3.  IKT proizvod, proces ili usluga: značenje kako je propisano Uredbom (EU) 2019/881

4.  informacijski sustav: komunikacijski, računalni ili drugi elektronički sustav u kojem se podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene korisnike,

5.  Nacionalna taksonomija računalno-sigurnosnih incidenata: ujednačeni kriteriji pri klasifikaciji  računalno-sigurnosnih incidenata u vlastitim informacijskim i mrežnim sustavima, na nacionalnoj razini

6.  Nacionalni CERT: nacionalno tijelo za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u Republici Hrvatskoj,

7.  PiXi platforma: nacionalna platforma za prikupljanje, analizu i razmjenu podataka o računalno-sigurnosnim prijetnjama i incidentima te prijavu značajnih računalno-sigurnosnih incidenata,

8.  sigurnosna politika: skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove vrijednosti, uključujući opremu (eng. hardware), programsku podršku (eng. software) i podatke,

9.  sigurnosni incident: događaj koji ima stvarni negativni učinak na sigurnost elektroničkih komunikacijskih mreža ili usluga,

10.           sigurnost mreža i usluga: sposobnost elektroničkih komunikacijskih mreža i usluga da, određenom pouzdanošću, odolijevaju bilo kojoj radnji kojom se ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost tih mreža i usluga, pohranjenih ili prenesenih ili obrađenih podataka, ili srodnih usluga koje se pružaju ili su dostupne tim elektroničkim komunikacijskim mrežama ili uslugama,

11.           utjecaj na autentičnost: kompromitiranje korisničkog identiteta,

12.           utjecaj na cjelovitost: namjerno ili slučajno neovlašteno mijenjanje komunikacijskih podataka ili metapodataka,

13.           utjecaj na dostupnost: djelovanje na kontinuitet pružanja usluge, degradiranje performanse usluge, te djelomični ili potpuni pad mreže ili usluge,

14.           utjecaj na povjerljivost: kompromitiranje povjerljivosti komunikacije, komunikacijskih podataka ili metapodataka,

15. značajan računalno-sigurnosni incident: računalno-sigurnosni incident koji utječe na kritične podatke (neklasificirane i klasificirane) i/ili informacijske sustave i računalne mreže u javnom i privatnom sektoru, posebice na sustave koji su dio nacionalne kritične infrastrukture, na kojima se ti podaci obrađuju i kojima se prenose te koji može ostvariti i/ili ostvaruje negativan utjecaj na svakodnevni život velikog broja građana, nacionalnu ekonomiju i nacionalnu sigurnost u cjelini.

MJERE ZA ZAŠTITU SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA

Opće obveze

Članak 3.

(1)   Pružatelji su obvezni poduzimati odgovarajuće tehničke i ustrojstvene mjere, uključujući šifriranje kada je primjereno, radi zaštite sigurnosti i cjelovitosti svojih mreža i usluga te sprječavanja i umanjenja utjecaja sigurnosnih incidenata na korisnike usluga i međupovezane elektroničke komunikacijske mreže i usluge, pri čemu poduzete mjere moraju osigurati razinu sigurnosti koja odgovara postojećoj razini opasnosti za sigurnost mreže i usluga.

(2) Tehničke i ustrojstvene mjere iz stavka 1. ovog članka osobito uključuju:

-         sustav upravljanja rizicima koji obuhvaća i sigurnosnu politiku te je temeljen na procjeni rizika, uz odgovarajuću primjenu mjerodavnih tehničkih smjernica ENISA-e o prijetnjama

-         sigurnosne zahtjeve za osoblje

-         sigurnost sustava i prostora

-         upravljanje postupcima

-         upravljanje sigurnosnim incidentima

-         upravljanje kontinuitetom poslovanja

-         nadzor i testiranje sigurnosti

-         svjesnost o sigurnosnim prijetnjama.

(3) Pri poduzimanju mjera iz stavka 1. i 2. ovog članka, pružatelji u najvećoj mogućoj mjeri primjenjuju mjerodavne tehničke smjernice ENISA-e o sigurnosnim mjerama, prijetnjama te drugim relevantnim smjernicama.

(4) Popis referentnih normi za provođenje mjera iz stavka 1. i 2. ovog članka nalazi se u Dodatku 1. ovog Pravilnika.

(5) Osim referentnih normi iz Dodatka 1. ovog Pravilnika, pružatelji mogu primijeniti i druge odgovarajuće norme te mjerodavne nacionalne i/ili međunarodne sigurnosne standarde u svrhu ostvarivanja mjera iz ovog Pravilnika.

(6) Mjerama iz stavka 2. ovog članka mora se osigurati i primjena sigurnosne politike kod obrade i zaštite osobnih podataka.

(7) Pružatelji su obvezni dokumentirati poduzete i implementirane mjere iz stavka 2. i 6. ovog članka te ih učiniti dostupnim Agenciji na njezin zahtjev.

(8) Pružatelji koji imaju više od 100 000 korisnika  obvezni su elektroničkim putem jednom godišnje, najkasnije do kraja mjeseca siječnja, dostaviti Agenciji sigurnosnu politiku za prethodnu godinu koja obuhvaća mjere iz Dodatka 1. i članka 4. ovog Pravilnika, a na zahtjev Agencije i više puta tijekom godine. Pružatelji koji imaju manje od 100 000 korisnika obvezni su dostaviti Agenciji sigurnosnu politiku na njezin zahtjev.

Sigurnost 5G mreža i usluga

Članak 4.

(1) U odnosu na 5G mreže, sigurnosna politika mora sadržavati i popis kritičnih mrežnih komponenti i osjetljivih dijelova 5G mreže, uzimajući u obzir popis kritičnih i osjetljivih  dijelova 5G mreže definiran dokumentom EU koordinirana procjena rizika kibersigurnosti u 5G mrežama.

(2) Uz mjere iz članka 3. stavka 2. ovoga Pravilnika, pružatelji za 5G obvezni su  implementirati sljedeće dodatne tehničke i organizacijske mjere:

-         oprema za kritične i osjetljive dijelove 5G mreže mora zadovoljavati mjerodavne 5G standarde, osobito 3GPP standarde sukladno mjerodavnim smjernicama ENISA-e, kao i primjenjive EU i nacionalne programe (certifikacijske sheme) kibernetičke sigurnosti

-         sustav sigurnosti opskrbe 5G opreme, što između ostalog uključuje procjenu sigurnosti svih odabranih izvođača, proizvođača i njihovih dobavljača, te sustav nadzora nad načinom i kvalitetom pružanja ugovorenih poslova i usluga uz odgovarajuću primjenu mjerodavnih smjernica ENISA-e vezano uz nabavu sigurnih IKT procesa, proizvoda i usluga

-         korištenje dobavljača koji dokažu odgovarajuću razinu dugoročne održivosti/otpornosti opreme i/ili IKT procesa, proizvoda i usluga

-         provođenje sigurnosne kontrole u skladu s mjerodavnim standardima za sigurnost 5G mreža i usluga

-         sustav ograničenja i nadzora udaljenog pristupa kritičnom dijelu mreže i informacijskom sustavu od trećih strana te implementacija, gdje je moguće, principa najmanje privilegiranog i podjela dužnosti

-         operativni centar (NOC) i sigurnosno-operativni centar (SOC) mora se nalaziti na području neke od zemalja članicama Europske unije

-         NOC i SOC, svako u svom djelokrugu rada, moraju provoditi nadzor kritičnih mrežnih komponenti i osjetljivih dijelova 5G mreža u svrhu pravovremenog otkrivanja nepravilnosti te prepoznavanja i sprečavanja prijetnji

-         mjere zaštite upravljanja prometom komunikacijskih mreža ili usluga kako bi se spriječile neovlaštene promjene na mrežnim ili uslužnim komponentama

-         mjere fizičke zaštite MEC-a (Multi-access Edge Computing) i baznih stanica temeljeno na procjeni rizika primjerice s obzirom na to gdje se komponente raspoređuju i koriste, te posebne mjere pristupa ograničenom broju sigurnosno provjerenom, kvalificiranom osoblju uz ograničen i nadziran pristup trećih strana

-         alati i procesi za osiguravanje integriteta softvera prilikom njegovog ažuriranja i primjene sigurnosnih zakrpa, pouzdane identifikacije i praćenja promjena i statusa zakrpa, osobito u virtualiziranim mrežnim funkcijama

-         procedure u svrhu oporavka u slučaju incidenata koji ima utjecaj i na međuovisne kritične sektore i usluge

-         strategija korištenja minimalno dva dobavljača opreme unutar mreže, koja uzima u obzir tehnička ograničenja i zahtjeve za interoperabilnošću različitih dijelova 5G mreže.

(3) Pri poduzimanju mjera iz stavka 2. ovog članka, pružatelji u najvećoj mogućoj mjeri primjenjuju mjerodavne tehničke smjernice ENISA-e o sigurnosnim mjerama 5G mreža.

(4) Pružatelji su obvezni dokumentirati mjere iz stavka 2. ovog članka.

Revizija sigurnosti mreža i usluga

Članak 5.

(1) Pružatelji su obvezni najmanje jednom godišnje provoditi procjenu rizika te reviziju sigurnosti mreža i usluga kako bi se utvrdilo jesu li ispunjene minimalne mjere sigurnosti iz Dodatka 1 i članka 4. ovog Pravilnika, uzimajući pri tom u obzir rezultate prethodnih revizija.

(2) Reviziju mogu obavljati zaposlenici pružatelja koji nisu vezani za područje revizije i koji imaju odgovarajuće znanje i iskustvo ili vanjsko revizorsko tijelo.

(3) Nalaz revizije iz stavka 1. ovog članka, zajedno s planom uklanjanja uočenih nedostataka, pružatelji koji imaju više od 100 000 korisnika su obvezni dostaviti Agenciji do 30. svibnja tekuće godine za prethodnu godinu. Pružatelji koji imaju manje od 100 000 korisnika obvezni su dostaviti Agenciji nalaz revizije na njezin zahtjev.

(4) U slučaju da plan uklanjanja uočenih nedostataka iz stavka 3. ovog članka ne ocijeni primjerenim za sprječavanje i umanjenje utjecaja sigurnosnih i računalno-sigurnosnih incidenata na korisnike usluga i međupovezane elektroničke komunikacijske mreže ili za osiguranje cjelovitosti mreža i usluga, Agencija može pružateljima odrediti dodatne mjere. 

(5) Agencija može donositi obvezujuće upute, što uključuje mogućnost naloga pružateljima za poduzimanjem mjera u svrhu sprečavanja sigurnosnog incidenta kada se utvrdi znatna prijetnja i /ili rješavanja sigurnosnog incidenta i vremenske rokove provedbe.

(6) Neovisno o rezultatima revizije, Agencija može pružateljima određivati mjere radi osiguranja sigurnosti i cjelovitosti elektroničkih komunikacijskih mreža i usluga, osobito 5G mreža, ukoliko ocijeni da je to potrebno iz razloga nacionalne sigurnosti, temeljem prethodnog mišljenja nadležnog tijela za zaštitu nacionalne sigurnosti ili radi osiguranja ključnih usluga definiranih mjerodavnim zakonom, na prijedlog nadležnih tijela. 

OBAVJEŠTAVANJE AGENCIJE O SIGURNOSNIM INCIDENTIMA

Članak 6.

(1) Pružatelji su obvezni obavijestiti Agenciju o sigurnosnom incidentu koji je značajnije utjecao na rad mreža i/ili usluga sukladno kriterijima za izvješćivanje iz Dodatka 2., pri čemu pružatelji provjeravaju ispunjavanje Kvantitativnih kriterija te ukoliko isti nisu zadovoljeni provjeravaju ispunjenost Kvalitativnih kriterija iz navedenog Dodatka. U slučaju svakog sigurnosnog incidenta, pružatelji uvijek moraju provjeriti je li došlo do značajnog računalno-sigurnosnog incidenta sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata iz navedenog Dodatka.

(2) U slučaju da dođe do ispada barem jednog od dva redundantna kabela/informacijska sustava, pružatelji su obvezni  prijaviti navedeni sigurnosni incident kao incident koji ima utjecaj na redundanciju, odgovarajućom primjenom predloška iz  Dodatka 3. ovog Pravilnika.

(3) Obavijest o sigurnosnim incidentima iz stavka 1. ovog članka mora se dostaviti Agenciji bez odgode, čim su podaci dostupni, i to putem predloška propisanog u Dodatku 3. ovog Pravilnika:

1.    u roku od najviše 1 sat nakon ispunjavanja kriterija za izvješćivanje, odnosno isteka minimalnog trajanja sigurnosnog incidenta iz Dodatka 2,

2.    u roku od najviše 1 sat nakon otklanjanja sigurnosnog incidenta,

3.    u roku od najviše 20 dana od dana otklanjanja sigurnosnog incidenta.

(4) U slučaju nastanka sigurnosnog incidenta koji ispunjava kvantitativne ili kvalitativne kriterije za izvješćivanje te je ujedno došlo do značajnog računalno-sigurnosnog incidenta sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata iz Dodatka 2., pružatelji su obavezni dostaviti Agenciji obavijest o navedenom incidentu putem predloška iz Dodatka 3. ovog Pravilnika i putem PiXi platforme. Dodatne obveze za prijavu značajnih računalno-sigurnosnih incidenata propisane su u članku 7. ovog Pravilnika.

(5) Pružatelji su obvezni osigurati Agenciji podatke za kontakt sukladno Dodatku 3 ovog Pravilnika u svrhu brze razmjene informacija o sigurnosnim incidentima, te pružiti potrebne tehničke informacije Agenciji radi praćenja sigurnosti i integriteta javnih komunikacijskih mreža.

(6) Sve obavijesti o sigurnosnim incidentima moraju se dostavljati Agenciji upotrebom protokola za siguran prijenos podataka ili u šifriranom obliku elektroničkim putem na adresu elektroničke pošte incidenti@hakom.hr ili na drugi prikladan način sukladno predlošku iz Dodatka 3. ovog Pravilnika.

(7) Agencija može zatražiti dopunu izvješća iz stavka 2. u svrhu praćenja određenog sigurnosnog incidenta te boljeg razumijevanja prirode nastalog sigurnosnog incidenta.

(8) Pružatelji mogu obavijestiti Agenciju i o drugim, po  njihovom mišljenju, važnim sigurnosnim incidentima koji se odnose na sigurnost i integritet javnih komunikacijskih mreža i/ili usluga, a koji nisu obuhvaćeni sigurnosnim incidentima iz stavka 1. ovog članka.

DODATNE OBVEZE ZA ZNAČAJNE RAČUNALNO-SIGURNOSNE INCIDENTE

Članak 7.

(1) Obavijesti o značajnim računalno-sigurnosnim incidentima sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata moraju se dostavljati putem PiXi platforme. Uvjeti i način korištenja ove platforme propisani su u Uvjetima korištenja PiXi platforme koja se nalazi na internetskoj stranici Nacionalnog CERT-a.

(2) Nakon razmatranja prijavljenih incidenata, Agencija će u suradnji s Nacionalnim CERT-om, naložiti eventualnu dopunu izvješća te poduzimanje drugih mjera za sprečavanje ili uklanjanje incidenata, uključujući i davanje određenih preporuka, smjernica i upozorenja o sigurnosnim ugrozama.

(3) U slučaju potrebe pokretanja odgovarajućeg postupka iz nadležnosti Agencije u odnosu na prijavljene incidente, Agencija će aktivno surađivati s Nacionalnim CERT-om, te u slučaju potrebe zatražiti stručnu pomoć i koordinaciju pri definiraju konkretnih aktivnosti i korektivnih mjera u vezi s nastalim ili potencijalnim računalno-sigurnosnim incidentima.

OBAVJEŠTAVANJE DRUGIH SUBJEKATA O SIGURNOSNIM INCIDENTIMA

Članak 8.

Pružatelji su obvezni bez odgode:

1.    na jasan i lako dokaziv način obavijestiti korisnike svojih usluga o sigurnosnom incidentu koji je značajnije utjecao na rad javnih komunikacijskih mreža i/ili usluga, sukladno kriterijima za izvješćivanje iz Dodatka 2. te objaviti informacije o nastalom značajnom incidentu na svojoj službenoj internetskoj stranici. Informacije o značajnom incidentu moraju sadržavati opis područja obuhvaćenog incidentom, koji može biti prikazan i u kartografskom obliku.

2.    u slučaju osobite opasnosti od sigurnosnog incidenta u javnim elektroničkim komunikacijskim mrežama ili javno dostupnim elektroničkim komunikacijskim uslugama, obavijestiti korisnike svojih usluga na koje bi takva opasnost mogla utjecati, o raspoloživim mjerama za uklanjanje opasnosti i/ili njezinih posljedica, a ako je primjereno i o sigurnosnoj prijetnji.

ZAVRŠNE ODREDBE

Članak 9.

1. Ovaj Pravilnik stupa na snagu 30 dana od dana objave u „Narodnim novinama“, osim članka 4. koji stupa na snagu 1. lipnja 2022.

2. Stupanjem na snagu ovog Pravilnika prestaje vrijediti Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (NN br. 109/12, 33/13-ispravak, 126/13, 67/16 i 66/19).

DODATAK 1

MINIMALNE MJERE SIGURNOSTI

Minimalne mjere sigurnosti

Referentne norme

Sustav za upravljanja rizicima

ISO 27001:2013

ISO 27002:2013

ISO 27005:2011

Sigurnosni zahtjevi za osoblje

ISO 27002:2013

Sigurnost sustava i objekata (prostora)

ISO 27001:2013

ISO 27002:2013

Upravljanje operacijama (postupcima)

ISO 27002:2013

Upravljanje sigurnosnim incidentima

ISO 27002:2013

Upravljanje kontinuitetom poslovanja

ISO 22301:2019

Nadzor i testiranje sigurnosti

ISO 27002:2013

Svjesnost o sigurnosnim prijetnjama

ISO 27002:2013

DODATAK 2

KVANTITATIVNI KRITERIJI ZA IZVJEŠĆIVANJE

Sigurnosni incident utječe na:

govornu uslugu u nepokretnoj mreži / govornu uslugu u pokretnoj mreži / uslugu pristupa internetu u nepokretnoj mreži / uslugu pristupa internetu u pokretnoj mreži / brojevno neovisnu interpersonalnu komunikacijsku uslugu / uslugu komunikacije između strojeva (M2M) / uslugu odašiljanja radijskih i televizijskih programa

Minimum krajnjih

korisnika obuhvaćenih sigurnosnim incidentom[12]

Minimalno trajanje

sigurnosnog incidenta

Dostupnost

1% - 2%

8 sati

Dostupnost

2% - 5%

6 sati

Dostupnost

5% - 10%

4 sata

Dostupnost

10% - 15%

2 sata

Dostupnost

> 15%

1 sat

Dostupnost

> 1 000 000 korisnik/sati

Povjerljivost/ autentičnost/ cjelovitost

> 1%

Neovisno o trajanju

KVALITATIVNI KRITERIJI ZA IZVJEŠĆIVANJE

Sigurnosni incident

 

Dostupnost/ povjerljivost/ autentičnost/ cjelovitost usluge

 

  1. Značajan zbog geografskog obuhvata incidenta (prekogranično, velika udaljena/ruralna područja, otoci, grad Zagreb i sl. )

 

  1. Značajan zbog utjecaja na gospodarstvo i društvo ili na korisnike (nemogućnost pristupa 112, nacionalnim brojevima za hitne službe, utjecaj na javne sustave upozorenja, velika materijalna šteta, visoki rizici za javnu sigurnost ili gubitak života, medijska pokrivenost, utjecaj na kontinuitet osnovnih usluga ili kritičnih sektora/operatora, utjecaj na posebne dane kao dana izbora ili referenduma.)

 

 

neovisno o trajanju i broju korisnika

DODATAK 3

PREDLOŽAK ZA IZVJEŠĆIVANJE O SIGURNOSNOM INCIDENTU

Potrebni podaci

Popunjava operator

Naziv operatora

 

Datum podnošenja izvještaja

 

Datum i vrijeme nastanka/otkrivanje sigurnosnog incidenta

 

Opis incidenta

 

Tip incidenta

A– Ispad usluge

(npr. kontinuitet, dostupnost)

 

B– Drugi utjecaj na usluge

(npr. povjerljivost, cjelovitost,

autentičnost)

 

C– Utjecaj na druge sustave

(npr. ucjenjivački zlonamjerni

softver u uredskoj mreži, bez utjecaja na uslugu)

D– Prijetnja ili ranjivost

(npr. otkrivanje slabosti u kriptiranju)

 

E– Utjecaj na redundanciju

(npr. prelazak na redundanciju ili sigurnosni sustav)

 

F– Zamalo incident

(npr. aktivacija sigurnosnih mjera)

Obuhvaćene usluge

Nepokretna telefonija

 

Pokretna telefonija

 

Nepokretni internet

 

Pokretni internet

 

OTT usluge

 

M2M

 

Emitiranje

 

Drugo

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

 

Broj korisnika

 

Trajanje

 

 

Trajanje

 

 

Trajanje

 

 

Trajanje

 

 

Trajanje

 

 

Trajanje

 

 

Trajanje

 

 

Trajanje

Izvorni uzrok

Sistemske greške

 

Ljudske greške

 

Zlonamjerne radnje

 

Prirodni fenomen

 

Greška treće strane

 

Tehnologija usluga ili podusluga

Kabelska

 

DSL

 

Email

 

Optika

 

GRPS/EDGE

 

GSM

Instant messaging protokol

 

LTE

 

MTC

 

PSTN

 

Signalizacijski protokol

 

UMTS

URLLC

 

VoIP

 

Web/App

 

eMBB

 

Drugo

Tehnički uzroci

Palež

 

Presjek kabela

 

Krađa kabela

 

Prekid hlađenja

 

DDoS napad

 

Zemljotres

 

Prisluškivanje

 

Elektromagnetska interferencija

 

Vanjski okolišni uzroci

 

Neispravna promjena/ažuriranje hardvera

Neispravna promjena/ažuriranje softvera

 

Vatra

 

Poplava

 

Iscrpljene zalihe goriva

 

Kvar na hardveru

 

Krađa hardvera

 

Obilan snijeg/led

 

Oluja

 

Krađa identiteta

 

Zlonamjerni softveri i virusi

 

Preotimanje mrežnog prometa

 

Preopterećenje

 

Phishing

 

Proceduralna mana

 

Prekid napajanja

 

Strujni udari

 

Sigurnosno isključivanje

 

Softverska greška

 

Iskorištavanje ranjivosti

 

Požar

 

Drugo

Tehnička imovina obuhvaćena incidentom

Adresni poslužitelji

 

App

 

Rezervno napajanje

 

Sustav naplate i posredovanja

 

Zgrade i fizički sigurnosni sustavi

 

Pohrana u oblaku

 

Sustav hlađenja

 

Inteligentni mrežni uređaji

 

Međukonekcijske točke

Logički sigurnosni sustavi

 

Bazne stanice i upravljački sklopovi

 

Centar za razmjenu poruka

 

Mobilni prospojnici

 

Registar mobilnih korisnika i lokacija

 

Operativni sustav potpore

 

Nadzemni kablovi

 

PSTN prospojnici

Sustav napajanja

 

SIM/eSIM

 

Ulični kabineti

 

Podmorski kabeli

 

Pretplatnička oprema

 

Prospojnici i usmjerivači

 

Prijenosni čvorovi

 

Podzemni kablovi

 

Mrežna stanica

 

Drugo

 

Čimbenici značajnosti

Broj obuhvaćenih korisnika

 

Trajanje incidenta

 

Geografska proširenost

Opseg poremećaja u funkcioniranju

 

Utjecaj na ekonomiju i društvo

 

 

Skala utjecaja

Bez utjecaja

 

Manji utjecaj

Veliki utjecaj

 

Vrlo veliki utjecaj

Čimbenici ozbiljnosti prijetnje

(za tip D)

Troškovi ublažavanja

 

Potencijalna šteta

 

Stopa širenja prijetnje

 

 

Vjerojatnost izlaganja

 

Kritičnost potencijalno pogođenih sustava

 

Nedostatak dobrih rješenja za ublažavanje prijetnje

Ozbiljnost prijetnje

(za tip D)

Mala

Srednja

Velika

Rješavanje sigurnosnog incidenta i opis poduzetih mjera

 

Mjere poduzete nakon otklanjanja sigurnosnog incidenta

 

Dugoročne mjere

 

Kontakt podaci za praćenje procesa

 

Ostale važne informacije

 

[1] https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures

[2] Detaljnije:

https://ec.europa.eu/digital-single-market/en/news/digitalyou-digital-connectivity

https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_20_1655 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en

[3] https://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?uri=CELEX:32019H0534&from=EN

[4] https://ec.europa.eu/commission/presscorner/detail/en/ip_19_6049

[5] https://ec.europa.eu/digital-single-market/en/news/secure-5g-deployment-eu-implementing-eu-toolbox-communication-commission

[6] https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade

[7]https://zakonodavstvo.gov.hr/UserDocsImages//dokumenti//201223%20VRH%20Zakljucak%20i%20PZA%202021.pdf

[8] Dokument „Guideline on Threats and Assets“ je dostupan na internetskoj stranici ENISA-e

[9] Dokument „GUIDELINE ON SECURITY MEASURES UNDER THE EECC“ je dostupan na internetskoj stranici ENISA-e

[10] Dokument „SECURITY IN 5G SPECIFICATIONS“ je dostupan na internetskoj stranici ENISA-e

[11] Dokument „Indispensable baseline security requirements for the procurement of secure ICT products and services“ je dostupan na internetskoj stranici ENISA-e

[12] Podatak se dobiva na način da se broj korisnika obuhvaćenih incidentom podijeli s ukupnim brojem korisnika pojedine usluge u Hrvatskoj (godišnji podaci dostupni su internetskoj stranici Agencije) te podijeli sa 100.

  • Odaberite sekciju kako biste vidjeli amandmane i komentare.