NIS2.com.hr
Što je NIS2 Tko je obveznik Obveze Kazne Blog Kontakt
Zatraži audit →
🚨
Incident response

Rokovi i procedura prijave NIS2 incidenta

Detaljan vodič kroz tri faze prijave kibernetičkog incidenta po NIS2 — rano upozorenje (24h), detaljna obavijest (72h), završno izvješće (1 mjesec).

· 6 min čitanja

Jedan od najstrožih elemenata NIS2 direktive je obveza prijave značajnih kibernetičkih incidenata — s vrlo kratkim rokovima i u tri faze. Ovo je dramatična promjena u odnosu na staru NIS direktivu i traži unaprijed pripremljen plan, ne improvizaciju.

Ovaj članak detaljno objašnjava sve tri faze prijave, kome se prijavljuje i kako pripremiti procese.

Što je "značajan incident"?

Prema NIS2 (čl. 23), značajan incident je onaj koji:

  • Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj usluga ili financijski gubitak za organizaciju, ili
  • Pogađa ili može pogoditi druge fizičke ili pravne osobe uzrokujući im značajnu materijalnu ili nematerijalnu štetu

U praksi, ovo uključuje:

  • Ransomware napad s utjecajem na produkcijske sustave
  • Curenje podataka ili neovlašteni pristup značajnog opsega
  • DDoS napad koji prekida pružanje usluge
  • Kompromitacija ključnog sustava (Active Directory, ERP, baza podataka)
  • Phishing kampanja koja je rezultirala kompromitacijom računa
Sigurnije je prijaviti. Ako niste sigurni je li incident "značajan", radije prijavite — nadležno tijelo razumije ranu fazu nesigurnosti i radije se javlja konzultativno nego s kaznom.

Tri faze prijave

Faza 1 — Rano upozorenje (Early Warning) — 24 sata

U roku od 24 sata od saznanja za incident, morate poslati osnovnu informaciju nadležnom CSIRT-u. Cilj je upozoriti tijelo i omogućiti im procjenu šire prijetnje (npr. ako više organizacija prijavi sličan napad, riječ je o kampanji).

Sadržaj ranog upozorenja:

  • Identifikacija vaše organizacije
  • Sumnja li se na zlonamjernu radnju i nelegitiman karakter
  • Sumnja li se na prekogranični utjecaj
  • Vrijeme detekcije incidenta

U ovoj fazi ne trebate detalje. Često ih i nemate — samo znate da nešto nije u redu.

Faza 2 — Obavijest o incidentu (Incident Notification) — 72 sata

U roku od 72 sata od saznanja, šaljete detaljniji izvještaj koji uključuje:

  • Početnu procjenu incidenta — ozbiljnost, utjecaj
  • Indikatore kompromitacije (IoC) ako su poznati: IP adrese, datoteke, hash-evi
  • Pogođene sustave i opseg
  • Sumnja na atribuciju (ransomware grupa, APT, insider, itd.)
  • Mjere koje već poduzimate

U ovoj fazi obično imate dovoljno informacija da date razumnu sliku stanja, ali još ne potpunu forensic analizu.

Faza 3 — Završno izvješće (Final Report) — 1 mjesec

U roku od jednog mjeseca od obavijesti, šaljete potpuni izvještaj koji uključuje:

  • Detaljan opis incidenta i tijeka događaja
  • Vrstu prijetnje i atribuciju (ako je utvrđena)
  • Provedene mjere otklanjanja
  • Mjere koje će biti poduzete da se incident ne ponovi
  • Procjena prekograničnog utjecaja

Ovo je najvažniji dokument — pokazuje da ste incident profesionalno obradili, naučili iz njega, i poduzeli korekcije.

Kome se prijavljuje?

U Hrvatskoj postoje dva CSIRT-a, ovisno o tipu organizacije:

  • HR-CERT pri CARNetu — za privredne subjekte (ne-javne)
    Email: [email protected]
    Web: cert.hr
  • Nacionalni CERT pri SOA-i — za javne organizacije, tijela državne uprave

Plus, za neke sektore postoji dodatna obveza prijave sektorskom regulatoru:

  • Banke i financijska tržišta → HNB
  • Telekomi → HAKOM
  • Energetika → HERA
  • Zdravstvo → Ministarstvo zdravstva / HZJZ

Provjerite svoju specifičnu sektorsku obvezu — ponekad je potrebno paralelno prijaviti.

Pripreme prije incidenta

Najveća pogreška je čekati incident pa improvizirati — pod stresom, s 24-satnim rokom, lako se zaboravi ključna informacija ili prekrši rok.

Što pripremiti unaprijed:

1. Template za svaki tip izvješća

Imajte gotov Word dokument za sve tri faze (Early Warning / Notification / Final Report) s praznim poljima koja se mogu brzo popuniti. Štedi sate u krizi.

2. Imenovana osoba i zamjenik

Jedna osoba mora biti zadužena za prijavu (npr. CISO) i imati zamjenika ako je odsutna. Imenovanje pisanim aktom uprave — ako je incident u 23:00 u petak, ne smije biti dilema tko zove HR-CERT.

3. Out-of-band komunikacija

Ako vam je incident pogodio email i komunikacijske sustave, kako prijavljujete? Imajte backup kanal — mobilni telefon, alternativna email adresa hostana drugdje, signal/whatsapp grupa.

4. Lista kontakata

Tiskana lista (ne samo digitalna!) s kontaktima:

  • HR-CERT [email protected] + telefonski broj
  • Sektorski regulator (ako primjenjivo)
  • Eksterni incident response partner (ako postoji ugovor)
  • Pravnik za incident communication
  • PR / komunikacija (za javnu komunikaciju u većim incidentima)

5. Decision tree za "značajan incident"

Imajte jasna pravila kada se aktivira NIS2 prijava. Ne smije se diskutirati na pola dnevnice — sat počinje teći od saznanja, a saznanje može biti i automatski alarm.

Najčešće pogreške

  1. Kašnjenje rane prijave. "Još istražujemo" nije opravdanje za propust roka. 24h je tvrdi rok.
  2. Spekulacija u izvješću. Pišite što znate, jasno označite što je sumnja a što potvrđeno.
  3. Skrivanje detalja. CSIRT je tu da pomogne, ne kazni. Što više informacija dijelite, to vam više pomažu.
  4. Neažurirano završno izvješće. Ako se kroz forensic analizu otkriju nove činjenice, ažurirajte izvješće.
  5. Bez tabletop vježbe. Ako proces niste vježbali, nećete ga znati u stresu — provedite tabletop barem jednom godišnje.

Trebate pomoć u postavljanju NIS2 incident response procesa? Zatražite procjenu — pomažemo postaviti template-e, decision tree i provesti tabletop vježbu.

Trebate pomoć s NIS2 usklađenošću?

Besplatna procjena obveza, gap analiza i plan implementacije. Javljamo se u 24h.

Zatraži audit →

Slični članci

🛡️
Osnove
Što je NIS2 direktiva i zašto je važna za vašu firmu
📋
Implementacija
10 obveznih mjera NIS2 — kompletan vodič
⚠️
Compliance
NIS2 kazne i rizici — što doista riskirate