Goran Piškor, dipl. ing. el. Seminar DIGITALIZACIJA ELEKTROENERGETSKOG SEKTORA I IZAZOVI KIBERNETIČKE SIGURNOSTI 21. ožujka 2019. ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. HEP Operator distribucijskog sustava d.o.o.

SADRŽAJ IZLAGANJA Uvod ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. SADRŽAJ IZLAGANJA Uvod Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Uvod Kibernetička sigurnost može se definirati kao skup alata, politika, sigurnosnih koncepata, sigurnosnih mjera, pristupa, smjernica, pristupa upravljanju rizicima, akcija, obučavanja, najboljih praksi, sigurnosti i tehnologije koja može zaštititi kibernetičko okruženje, organizaciju i imovinu korisnika 23. prosinac 2015. Ukrajina 30 transformatorskih stanica ~ 230.000 korisnika bez električne energije (1-6 sati)

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Uvod NIS Direktiva Direktiva EU 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (06. srpanj 2016.) Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (6. srpanj 2018.) Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (26. srpanj 2018.)

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Cilja zakona - osigurati provedbu mjera za postizanje visoke zajedničke razine kibernetičke sigurnosti u davanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti, uključujući funkcioniranje digitalnog tržišta Prilog I. – Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta Prilog II. – Popis digitalnih usluga Prilog III. – Popis nadležnih tijela

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Operatori ključnih usluga Određivanje operatora ključnih usluga Identifikacijski postupak Određivanje važnosti negativnog učinka incidenta Procjena ovisnosti o mrežnom i informacijskom sustavu Dostava podataka za potrebe postupka identifikacije operatora ključne usluge Popis operatora ključnih usluga Digitalne usluge

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Energetsko tržište, transport, bankarstvo, financijske usluge i tržišta, zdravstvo, pristup i distribucija vode i razne digitalne usluge Energetske usluge – proizvodnja, transport, prijenos i distribucija nafte, plina i električne energije Transportne usluge – zrak, željeznica, pomorski, riječni i cestovni promet Financije – banke, kreditne kartice i elektronička plaćanja, tržišta kapitala, službeni registri i regulatorna tijela

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Obaveza provedba mjera Mjere za upravljanje rizikom operatora ključnih usluga Opseg primjene mjera Primjena mjera prema procjeni rizika Odgovornost za primjenu mjera Utvrđivanje mjera

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Obavješćivanje o incidentima Obveza obavješćivanja (CSIRT) Kriteriji za određivanje učinka incidenata Obavijesti o incidentima Informiranje javnosti o incidentu CSIRT (Computer Security Incident Response Team) - tijelo nadležno za prevenciju i zaštitu od incidenata, za koju se u Republici Hrvatskoj koristi i kratica CERT (Computer Emergency Response Team).

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 1. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Nadzor operatora ključnih usluga Jedinstvena nacionalna točka Tehničko tijelo za ocjenu sukladnosti Zaštita podataka Prekršajne odredbe Prijelazne i završne odredbe

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Uredbom se utvrđuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavješćivanje o incidentima. Prilog 1. – Kriteriji za utvrđivanje incidenata koji imaju znatan učinak na pružanje ključne usluge

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Upravljanje sigurnošću mrežnih i informacijskih sustava Funkcionalnost i sigurnost ključnih sustava temelji se na sljedećim načelima: povjerljivosti: svojstvu da usluge ili podaci ne budu dostupne ili otkrivene neovlaštenim osobama integritetu: svojstvu da usluge ili podaci nisu neovlašteno ili nepredviđeno mijenjani raspoloživosti: svojstvu koje omogućuje pristup ili upotrebljivost usluge ili podataka na zahtjev ovlaštenog korisnika autentičnosti: svojstvu koje osigurava da je identitet korisnika zaista onaj za koji se tvrdi da jest

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Upravljanje sigurnošću mrežnih i informacijskih sustava Uspostava i dokumentiranje politike upravljanja sigurnošću ključnih sustava definirati ciljeve i strateške smjernice očuvanja kontinuiteta poslovanja temeljena na procjeni i upravljanju rizicima opisati sustav upravljanja sigurnošću, uključujući interne nadzore provedbe mjera kibernetičke sigurnosti utvrditi donošenje potrebnih sigurnosno-operativnih procedura za ključne sustave

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Upravljanje rizicima Uspostava sustava upravljanja rizicima Procjena rizika Identifikacija opreme, osoba i aktivnosti u okviru kojih se provodi procjena rizika Sprječavanje, otkrivanje i rješavanje incidenata te ublažavanje učinka incidenata Dokumentacija o procjeni rizika

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Područja zaštite ključnih sustava Fizička sigurnost i sigurnost okruženja Sigurnost opskrbe Upravljanje ugovornim odnosima Upravljanje eksternalizacijom Kontrola pristupa prostorima Fizičko i logičko razdvajanje ključnih sustava Kontrola pristupa ključnom sustavu Dnevnik aktivnosti ključnih sustava Zaštita podataka koji se obrađuju, pohranjuju i prenose u ključnom sustavu

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Područja zaštite ključnih sustava Zaštita od zlonamjernog programskog koda Zaštita od narušavanja raspoloživosti ključnog sustava Razvoj i održavanje ključnih sustava Upravljanje projektima Upravljanje sklopovskom imovinom Upravljanje promjenama programske imovine Konfiguracija ključnih sustava Preventivne provjere ranjivosti ključnih sustava Upravljanje kontinuitetom poslovanja Pričuvna pohrana podataka za ponovnu uspostava ključnih usluga

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Obavješćivanje o incidentima Operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez neopravdane odgode, dostavljati obavijest o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju: inicijalna obavijest o incidentu sa znatnim učinkom prijelazno izvješće o incidentu sa znatnim učinkom završno izvješće o incidentu sa znatnim učinkom

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. 2. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga Rješavanje incidenata sa znatnim učinkom Analiza i klasifikacija incidenta Utvrđivanje prekograničnog utjecaja Rješavanje incidenta u suradnji sa nadležnim CSIRT i: CSIRT nadležan za drugi sektor CSIRT druge država članica nadležnih za sektor u kojem je incident nastao CSIRT Europske komisije.

ZAKON I UREDBA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA Goran Piškor, dipl. ing. el. Hvala na pozornosti !