Što je sigurnosni incident
Sigurnosni incident je svaki događaj koji ugrožava povjerljivost, cjelovitost ili dostupnost sustava i podataka — od ransomware napada i curenja podataka do prekida usluge. Nije svaki incident ujedno povreda osobnih podataka u smislu GDPR-a, ali se ta dva pojma često preklapaju i mogu pokrenuti dvije paralelne obveze prijave (NIS2 i GDPR).
Prijava prema NIS2
NIS2 i hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/2024) propisuju stupnjevito prijavljivanje značajnih incidenata nadležnom tijelu:
- Rana obavijest u roku od 24 sata od saznanja o značajnom incidentu
- Obavijest s procjenom u roku od 72 sata
- Završno izvješće najkasnije mjesec dana nakon obavijesti (NIS2 čl. 23.)
Paralelno, ako je riječ o povredi osobnih podataka, primjenjuje se rok od 72 sata za prijavu AZOP-u prema GDPR čl. 33.
Kako se pripremiti
- Plan odgovora na incidente s jasnim ulogama i kontaktima
- Postupak interne eskalacije (svaki zaposlenik mora znati kome prijaviti)
- Evidencija incidenata i dokaza
- Redovite vježbe i edukacija
Ključna regulativa
- NIS2 / Zakon o kibernetičkoj sigurnosti (NN 14/2024) — rokovi i obveze prijave
- GDPR čl. 33. i 34. — prijava povrede osobnih podataka