Upravljanje incidentima i povredama podataka u Hrvatskoj
GDPR zahtijeva prijavu povrede AZOP-u u 72 sata. NIS2 zahtijeva rano upozorenje CERT-u u 24 sata. Pripremamo procedure, predloške izvještaja i koordiniramo s hrvatskim regulatorima — tako da ste spremni kad se incident dogodi.
Naše usluge upravljanja incidentima
72-satno GDPR izvješćivanje
Priprema obavijesti o povredi podataka za AZOP i pogođene pojedince, procjena težine i koordinacija s DPO-om.
24-satno NIS2 upozorenje
Rano upozorenje hrvatskom CERT-u, 72-satna detaljna obavijest i završni izvještaj u roku od mjesec dana.
Plan upravljanja incidentima
Izrada kompletnog plana: procedure otkrivanja, eskalacije, komunikacije i oporavka prilagođene vašoj organizaciji.
Koordinacija u krizi
Upravljanje kriznim timom, koordinacija s internim IT timom, AZOP-om, CERT-om i vanjskim savjetnicima.
Dokumentacija i predlošci
Predlošci za AZOP obavijest, CERT izvještaje, interne evidencije incidenata i komunikacijske planove.
Analiza nakon incidenta
Analiza uzroka, naučene lekcije, preporuke za poboljšanje i korektivne mjere za smanjenje budućeg rizika.
Što se događa bez plana za upravljanje incidentima?
AZOP i CERT provode nadzor — organizacije bez priprema za incidente riskiraju ozbiljne posljedice:
GDPR kazne do €10M
Neprijavljena povreda podataka: kazna do 10 mil. € ili 2% globalnog prometa (čl. 83(4)). AZOP može pokrenuti postupak i za nepravovremenu prijavu.
NIS2 sankcije za uprave
Članovi uprave osobno odgovaraju za propuste u upravljanju kibernetičkim incidentima. Kazne do 10 mil. € ili 2% prometa.
Operativni zastoj
Kibernetički incident bez plana oporavka može zaustaviti poslovanje danima. Prosječni trošak zastoja za velike tvrtke premašuje 9.000 € po minuti.
Gubitak povjerenja klijenata
Nepravovremena ili loše koordinirana reakcija na incident narušava povjerenje. Obveza obavijesti pogođenim pojedincima prema GDPR-u dodatno povećava reputacijski rizik.
Rokovi i obveze izvješćivanja u Hrvatskoj
GDPR i NIS2 propisuju različite rokove i procedure za različite vrste incidenata. Ovo su ključne obveze za hrvatske organizacije.
GDPR — povreda osobnih podataka
- Obavijest AZOP-u u roku od 72 sata od saznanja
- Obavijest pogođenim pojedincima bez odgode (visok rizik)
- Interna dokumentacija svih povreda (i onih koje se ne prijavljuju)
- Procjena vjerojatnog rizika za prava i slobode
NIS2 — kibernetički incident
- Rano upozorenje CERT-u unutar 24 sata
- Obavijest o incidentu s procjenom unutar 72 sata
- Završni izvještaj s analizom unutar mjesec dana
- Koordinacija s nadležnim tijelom prema sektoru
DORA — ICT incident (financije)
- Inicijalna obavijest Hanfi o značajnom ICT incidentu
- Međuizvještaj s ažuriranim informacijama
- Završni izvještaj s analizom uzroka i korektivnim mjerama
- Klasifikacija incidenata prema kriterijima DORA uredbe
Kako pripremamo upravljanje incidentima
Procjena spremnosti i nedostataka
Analiziramo vaše trenutne procedure, identificiramo nedostatke u odnosu na GDPR, NIS2 i DORA zahtjeve. Mapiramo ključne sustave, podatke i komunikacijske kanale.
Izrada plana upravljanja incidentima
Razvijamo kompletni plan: procedure otkrivanja i klasifikacije, eskalacijske putove, komunikacijske predloške za AZOP i CERT, uloge i odgovornosti kriznog tima.
Dokumentacija i predlošci
Pripremamo predloške za AZOP obavijest (čl. 33), CERT rano upozorenje, internu evidenciju incidenata, komunikaciju s pogođenim pojedincima i završne izvještaje.
Testiranje i simulacija
Provodimo tabletop vježbe simulirajući realne scenarije — ransomware napad, povreda osobnih podataka, DDoS incident. Testiramo reakciju tima i rokove izvješćivanja.
Često postavljana pitanja o upravljanju incidentima u Hrvatskoj
Sigurnosni incident koji dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima. Primjeri: ransomware napad, gubitak uređaja s podacima, email poslan krivoj osobi, neovlašteni pristup bazi podataka.
Ne. GDPR zahtijeva obavijest AZOP-u samo ako povreda vjerojatno rezultira rizikom za prava i slobode pojedinaca. Međutim, sve povrede moraju biti interno dokumentirane — uključujući činjenice, učinke i poduzete mjere. AZOP može zatražiti uvid u evidenciju.
GDPR dopušta faznu obavijest ako sve informacije nisu dostupne u roku od 72 sata. Ključno je prijaviti incident na vrijeme s dostupnim informacijama i naknadno dopuniti. Kašnjenja moraju biti opravdana i dokumentirana — AZOP može izreći kaznu za neopravdano kašnjenje.
Minimalno: DPO ili CISO, voditelj IT/sigurnosti, pravni savjetnik, osoba zadužena za komunikacije, poslovni vlasnik pogođenog sustava. Za veće organizacije preporučujemo i vanjske stručnjake. Uloge i odgovornosti moraju biti definirane unaprijed.
Dokument koji definira procedure za otkrivanje, klasifikaciju, eskalaciju, odgovor i oporavak od sigurnosnih incidenata. Uključuje kontakt podatke kriznog tima, komunikacijske predloške za AZOP i CERT, procedure za različite vrste incidenata i rokove izvješćivanja.
GDPR se odnosi na povrede osobnih podataka s rokom od 72 sata prema AZOP-u. NIS2 se odnosi na značajne kibernetičke incidente s ranim upozorenjem CERT-u u 24 sata. Jedan incident može aktivirati obje obveze — npr. ransomware koji zahvati osobne podatke zahtijeva i AZOP i CERT obavijest.
Da. GDPR se primjenjuje na sve organizacije koje obrađuju osobne podatke, neovisno o veličini. Povrede se događaju i malim tvrtkama — izgubljeni laptop, hakirani email račun ili ransomware. Plan ne mora biti složen, ali mora postojati prije incidenta.
Osim GDPR kazni (do 20 mil. € ili 4% prometa), troškovi uključuju: forenzičku istragu, obavijesti pogođenim pojedincima, pravne troškove, gubitak klijenata i reputacijski štetu. Prema IBM-u, prosječni globalni trošak povrede podataka u 2024. iznosi 4,88 mil. USD.
Tabletop vježba simulira realni incident za stol s kriznim timom. Pripremamo scenarij relevantan za vašu industriju, vodimo vježbu kroz faze otkrivanja, eskalacije i odgovora, te dokumentiramo nalaze i preporuke za poboljšanje. Preporučujemo vježbu barem jednom godišnje.
DORA zahtijeva od financijskih institucija višestupanjsko izvješćivanje o značajnim ICT incidentima prema Hanfi: inicijalna obavijest, međuizvještaj s ažuriranim informacijama i završni izvještaj s analizom uzroka. Klasifikacija incidenata temelji se na kriterijima utjecaja, trajanja i zahvaćenosti.
Saznajte više o upravljanju incidentima
Industrije u kojima djelujemo
Pripremite plan za upravljanje incidentima
Besplatan početni sastanak za procjenu vaše spremnosti na incidente. Kad se incident dogodi, nema vremena za planiranje — pripremite se unaprijed.