Upravljanje kibernetičkim incidentima: Plan, postupak i obveze u Hrvatskoj

Kibernetički incident može pogoditi bilo koju organizaciju — od multinacionalne korporacije do male hrvatske tvrtke. Razlika između katastrofe i kontrolirane situacije leži u pripremljenosti. Organizacije s jasnim planom odgovora oporave se brže, s manjom štetom i nižim troškovima. Ovaj vodič objašnjava kako pripremiti plan, kako reagirati na incident i kako ispuniti zakonske obveze prema NIS2 i GDPR-u.

Sažetak i ključne točke

NIS2 zahtijeva prijavu incidenta u 24 sata (rano upozorenje) i 72 sata (detaljna obavijest).

GDPR zahtijeva prijavu povrede podataka AZOP-u u 72 sata.

Organizacije s planom odgovora smanjuju troškove incidenta za 60 % (IBM, 2025.).

NIST SP 800-61 definira 4 faze upravljanja incidentom: priprema, otkrivanje i analiza, zaustavljanje/uklanjanje/oporavak, aktivnosti nakon incidenta.

Svaka organizacija treba tim za odgovor (IRT/CSIRT) — makar i neformalni.

Dokumentacija incidenta obvezna je i prema NIS2 i prema GDPR-u.

Sadržaj

Što je kibernetički incident?
Zašto svaka organizacija treba plan odgovora
Faze upravljanja incidentom
Priprema: Tim za odgovor
Otkrivanje i analiza
Obveze prijave prema NIS2
Obveze prijave prema GDPR-u
Zaustavljanje i uklanjanje prijetnje
Oporavak i naučene lekcije
Plan odgovora — što mora sadržavati
Najčešće pogreške
FAQ
Zaključak

Što je kibernetički incident?

Kibernetički incident je događaj koji ugrožava ili narušava povjerljivost, cjelovitost ili dostupnost informacijskih sustava, mreža ili podataka.

Vrsta incidenta	Primjeri
Ransomware	Šifriranje podataka i zahtjev za otkupninom
Povreda podataka	Neovlašteni pristup ili krađa osobnih podataka

Razina	Kriterij	Primjer	Odgovor
Kritična	Potpuni prestanak poslovanja ili masivna povreda podataka	Ransomware koji zahvati sve sustave	Aktivacija cijelog IRT-a, prijava CERT-u/AZOP-u
Visoka	Značajan utjecaj na poslovanje ili osjetljive podatke	Kompromitacija baze klijenata	Aktivacija IRT-a, moguća prijava
Srednja	Ograničeni utjecaj, zahvaćeni pojedinačni sustavi	Malware na jednom računalu	IT tim, praćenje
Niska	Minimalan utjecaj, sumnja na incident	Neuspjeli pokušaj phishinga	Dokumentiranje, praćenje

S planom odgovora	Bez plana odgovora
Troškovi incidenta 60 % niži	Prosječni trošak: 4,88 mil. USD
Vrijeme otkrivanja: 100 dana	Vrijeme otkrivanja: 194 dana
Vrijeme zaustavljanja: 54 dana	Vrijeme zaustavljanja: 73 dana
Kontrolirano upravljanje krizom	Kaotična reakcija, veća šteta

Propis	Zahtjev
NIS2	Obveza upravljanja incidentima i prijave za ključne/važne subjekte
GDPR	Obveza prijave povreda osobnih podataka AZOP-u
ISO 27001	Kontrole A.5.24–A.5.28 — upravljanje incidentima
DORA	Upravljanje ICT incidentima za financijski sektor

Faza	Aktivnosti	Cilj
1. Priprema	Plan odgovora, tim, alati, edukacija, vježbe	Biti spreman prije nego incident nastane
2. Otkrivanje	Praćenje sustava, analiza upozorenja, klasifikacija	Brzo otkriti i potvrditi incident
3. Analiza	Određivanje opsega, utjecaja i uzroka	Razumjeti što se događa
4. Zaustavljanje	Izolacija pogođenih sustava	Spriječiti daljnje širenje
5. Uklanjanje	Uklanjanje prijetnje iz sustava	Očistiti sustave od napadača
6. Oporavak	Vraćanje sustava u normalu	Nastavak poslovanja
7. Naučene lekcije	Analiza, dokumentacija, poboljšanja	Spriječiti ponavljanje

Uloga	Odgovornost	Tko
Voditelj IRT-a	Koordinacija odgovora, donošenje odluka	Voditelj IT sigurnosti ili CTO
IT stručnjak	Tehnička analiza, zaustavljanje, oporavak	IT administrator, sigurnosni inženjer
DPO	Procjena utjecaja na osobne podatke, prijava AZOP-u	Službenik za zaštitu podataka
Pravnik	Zakonske obveze, komunikacija s regulatorima	Interni ili vanjski pravnik
Komunikator	Komunikacija s medijima, klijentima, zaposlenicima	PR ili direktor
Uprava	Strateške odluke, odobrenje resursa	Direktor ili član uprave
Vanjski stručnjaci	Forenzika, specijalistička pomoć	Prema potrebi

Izvor	Primjeri
SIEM sustav	Centralizirano praćenje sigurnosnih logova i korelacija događaja
EDR/XDR	Upozorenja o sumnjivom ponašanju na krajnjim točkama
IDS/IPS	Otkrivanje upada na mrežnoj razini
Prijave zaposlenika	Sumnjivi e-mailovi, neobično ponašanje sustava
Vanjska obavijest	CERT, partner, klijent ili istraživač prijavljuje incident
Nadzor dark weba	Otkrivanje ukradenih podataka ili pristupnih podataka na prodaji

Indikator	Primjer
Neobična mrežna aktivnost	Veliki izlazni promet u neuobičajeno vrijeme
Sumnjivi procesi	Nepoznati procesi s visokom aktivnošću
Promjene datoteka	Masovno preimenovanje ili šifriranje datoteka
Neuspješne prijave	Veliki broj neuspješnih pokušaja prijave
Promjena konfiguracije	Neovlaštene promjene vatrozida ili politika
Novi korisnički računi	Kreiranje neovlaštenih korisničkih računa

Faza	Rok	Što prijaviti	Kome
Rano upozorenje	24 sata od saznanja	Osnovna informacija: vrsta incidenta, potencijalni utjecaj	CERT.hr
Obavijest o incidentu	72 sata od saznanja	Detaljnije: opseg, ozbiljnost, indikatori kompromitacije	CERT.hr
Međuizvješće	Na zahtjev CERT-a	Ažurirani podaci o tijeku	CERT.hr
Završno izvješće	1 mjesec nakon incidenta	Potpuna analiza: uzrok, mjere, naučene lekcije	CERT.hr

Obveza	Rok	Uvjet	Kome
Prijava AZOP-u	72 sata	Ako postoji rizik za prava i slobode ispitanika	azop@azop.hr
Obavijest ispitanicima	Bez nepotrebnog odgađanja	Ako je visok rizik za prava ispitanika	Pogođene osobe
Interna dokumentacija	Odmah	Svaka povreda, bez obzira na prijavu	Interna evidencija

Element	Opis
Priroda povrede	Vrsta incidenta, kategorije i broj pogođenih osoba/zapisa
Kontakt DPO-a	Ime i kontakt službenika za zaštitu podataka
Moguće posljedice	Procjena utjecaja na ispitanike
Poduzete mjere	Mjere za ublažavanje i sprečavanje daljnje štete

Strategija	Kada koristiti	Primjer
Izolacija na razini mreže	Ransomware, lateralno kretanje	Odspojiti pogođeni segment od mreže
Izolacija na razini uređaja	Malware na jednom uređaju	Isključiti računalo iz mreže (ali ne gasiti)
Blokiranje računa	Kompromitacija korisničkih podataka	Onemogućiti pogođene korisničke račune
DNS sinkholing	C2 komunikacija	Preusmjeriti promet prema C2 na siguran poslužitelj
Blokiranje IP adresa	Poznati napadačevi IP-jevi	Ažurirati vatrozid

Aktivnost	Zašto je važno
Ne gasiti sustave	Sadržaj memorije (RAM) važan je za forenziku
Snimiti memoriju	Alati: FTK Imager, Volatility
Kopirati logove	Sačuvati logove prije rotacije ili brisanja
Dokumentirati sve	Tko je što učinio, kada, s kojim rezultatom
Održavati lanac čuvanja	Dokazi moraju biti neizmijenjeni za pravni postupak

Korak	Aktivnost
1	Oporavak sustava iz čistih sigurnosnih kopija
2	Provjera integriteta obnovljenih podataka
3	Postupno vraćanje — počnite s najkritičnijim sustavima
4	Pojačano praćenje — napadač može pokušati ponovo
5	Testiranje — provjerite da sustavi rade ispravno
6	Obavijest korisnicima i partnerima o ponovnoj dostupnosti

Pitanje	Svrha
Što se točno dogodilo?	Razumijevanje uzroka
Kada je otkriveno i koliko je trajalo?	Procjena vremena reakcije
Jesu li postojeće mjere funkcionirale?	Evaluacija zaštite
Što je funkcioniralo u odgovoru?	Identificiranje dobrih praksi
Što nije funkcioniralo?	Identificiranje slabosti
Koje su konkretne mjere poboljšanja?	Sprečavanje ponavljanja

Element	Opis
Opseg i svrha	Koje vrste incidenata pokriva, ciljevi
Tim za odgovor	Uloge, odgovornosti, kontakti (interni + vanjski)
Klasifikacija incidenata	Kriteriji za razine ozbiljnosti
Postupci otkrivanja	Kako prepoznati incident, tko može prijaviti
Postupci zaustavljanja	Korak po korak za svaku vrstu incidenta
Komunikacijski plan	Tko komunicira s kime (CERT, AZOP, mediji, klijenti)
Postupci oporavka	Kako obnoviti sustave i nastaviti poslovanje
Rokovi prijave	NIS2 (24/72h), GDPR (72h), interni rokovi
Kontakti	Ažurirani kontakti svih relevantnih osoba i tijela
Vježbe i testiranje	Redovite vježbe za provjeru plana

#	Aktivnost	Odgovorna osoba
1	Potvrda incidenta	IT/sigurnost
2	Klasifikacija i prioritizacija	Voditelj IRT-a
3	Aktivacija IRT-a	Voditelj IRT-a
4	Izolacija pogođenih sustava	IT tim
5	Početak dokumentacije	Svi sudionici
6	Obavijest upravi	Voditelj IRT-a
7	Procjena utjecaja na podatke (DPO)	DPO
8	Kontakt vanjskih stručnjaka (po potrebi)	Voditelj IRT-a

Vrsta vježbe	Učestalost	Sudionici
Tabletop vježba	Kvartalno	IRT + uprava
Simulacija incidenta	Polugodišnje	IRT + IT tim
Potpuna vježba oporavka	Godišnje	Cijela organizacija
Testiranje sigurnosnih kopija	Mjesečno	IT tim

Upravljanje kibernetičkim incidentima: Plan, postupak i obveze u Hrvatskoj

Sažetak i ključne točke

Sadržaj

Što je kibernetički incident?

Podijelite članak

Trebate pomoć s usklađenošću?

Klasifikacija prema ozbiljnosti

Zašto trebate plan odgovora

Financijski argumenti

Regulatorni argumenti

Faze upravljanja incidentom

Detaljan pregled faza

Priprema: Tim za odgovor

Struktura tima za odgovor na incidente (IRT/CSIRT)

Za manje organizacije

Otkrivanje i analiza

Kako otkrivati incidente

Indikatori kompromitacije (IoC)

Trijažni postupak

Obveze prijave prema NIS2

Kada je prijava obvezna

Obveze prijave prema GDPR-u

Što prijava AZOP-u mora sadržavati (čl. 33. GDPR-a)

Zaustavljanje i uklanjanje

Strategije zaustavljanja

Očuvanje dokaza

Uklanjanje prijetnje

Oporavak i naučene lekcije

Oporavak

Naučene lekcije (Post-Incident Review)

Plan odgovora

Elementi plana odgovora na incidente (IRP)

Kontrolna lista za prvi sat

Redovite vježbe

Najčešće pogreške

1. Nema plana — reagira se ad hoc

2. Plan postoji, ali ga nitko ne poznaje

3. Gašenje računala umjesto izolacije

4. Propuštanje rokova prijave

5. Nedokumentiranje incidenta

6. Fokus samo na tehničko rješavanje

7. Nema naučenih lekcija

FAQ

Trebam li plan odgovora ako sam mala tvrtka?

Tko u tvrtki treba znati za plan?

Koliko košta upravljanje incidentom?

Moram li prijaviti svaki incident CERT-u?

Što ako ne znam je li incident značajan?

Zaključak

Povezani članci

Povezani članci

Krađa identiteta: Zaštita i postupanje

Penetracijski testovi i procjena ranjivosti: Vodič za NIS2 usklađenost

Zero Trust sigurnosni model: Što je, zašto ga trebate i kako ga primijeniti