Baza je ažurirana 17.04.2024.
zaključno sa NN 43/24
HRVATSKA NARODNA BANKA
1629
Na temelju članka 101. stavka 2. točke 1. Zakona o kreditnim institucijama (»Narodne novine«, br. 159/2013., 19/2015., 102/2015., 15/2018., 70/2019., 47/2020. i 146/2020.) i članka 43. stavka 2. točke 10. Zakona o Hrvatskoj narodnoj banci (»Narodne novine«, br. 75/2008., 54/2013. i 47/2020.) guverner Hrvatske narodne banke donosi
ODLUKU
O PRIMJERENOM UPRAVLJANJU INFORMACIJSKIM SUSTAVOM
I. OPĆE ODREDBE
Predmet Odluke
Članak 1.
Ovom se Odlukom pobliže propisuju obveze kreditne institucije koje se odnose na upravljanje informacijskim sustavom te upravljanje rizicima informacijske i komunikacijske tehnologije.
Obveznici primjene
Članak 2.
(1) Odredbe ove Odluke primjenjuju se na kreditnu instituciju sa sjedištem u Republici Hrvatskoj koja je od Hrvatske narodne banke dobila odobrenje za rad.
(2) Odredbe ove Odluke na odgovarajući način primjenjuju se na podružnicu kreditne institucije iz treće zemlje koja je od Hrvatske narodne banke dobila odobrenje za osnivanje podružnice kreditne institucije iz treće zemlje.
Pojmovi
Članak 3.
(1) Pojedini pojmovi u smislu ove Odluke imaju sljedeće značenje:
1) informacijska i komunikacijska tehnologija (u nastavku teksta: IKT) jest tehnologija koja omogućuje automatizirano prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz i distribuciju informacija te raspolaganje njima
2) informacijski sustav (u nastavku teksta: IKT sustav) jest informacijska i komunikacijska tehnologija koja je uređena kao dio mehanizma ili međusobno povezane mreže kojima se pruža podrška poslovanju kreditne institucije
3) informacijska imovina jest skup informacija u materijalnom i nematerijalnom obliku koje vrijedi zaštititi
4) IKT imovina jest softverska ili hardverska imovina koja se nalazi u poslovnom okruženju
5) IKT usluge jesu usluge koje IKT sustavi pružaju korisnicima; primjeri obuhvaćaju unos podataka, pohranu podataka i obradu podataka te uključuju usluge izvješćivanja, praćenja i podrške za potrebe poslovanja i odlučivanja
6) IKT projekt jest svaki projekt u kojem se IKT sustavi i usluge mijenjaju, zamjenjuju, odbacuju ili implementiraju; IKT projekti mogu biti dio širih IKT programa ili programa transformacije poslovanja
7) korisnici IKT sustava jesu sve osobe koje se koriste IKT sustavom (radnici kreditne institucije, pružatelji usluga, klijenti kreditne institucije itd.)
8) povjerljivost jest svojstvo informacija (podataka) da nisu dostupne ili ne smiju biti otkrivene neovlaštenim subjektima
9) cjelovitost (integritet) jest svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno mijenjani
10) dostupnost (raspoloživost) jest svojstvo informacija i procesa koje omogućuje pristup tim informacijama i procesima te njihovu upotrebljivost, tj. njihovu pravodobnu dostupnost na zahtjev ovlaštenog korisnika
11) autentičnost jest svojstvo koje osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest
12) informacijska sigurnost jest očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija i IKT sustava; u smislu ove Odluke, informacijska sigurnost odnosi se na informacije koje su sadržane u IKT sustavu
13) operativni ili sigurnosni incident (u nastavku teksta: IKT incident) jest jedan događaj ili niz povezanih događaja koje kreditna institucija nije planirala, a koji imaju ili će vjerojatno imati negativan učinak na cjelovitost, dostupnost, povjerljivost i/ili autentičnost IKT usluga
14) kibernapad (kibernetički napad) jest zlonamjeran utjecaj s ciljem ugrožavanja informacijske sigurnosti, koji može rezultirati IKT incidentom
15) zapis (engl. log) jest bilješka o aktivnostima na IKT imovini nastala onim slijedom kako su se te aktivnosti ostvarivale (zapis operacijskog sustava, vatrozida, usmjernika, sustava za otkrivanje neovlaštenog pristupa i aktivnosti na IKT sustavu, zapis aplikacijskog softvera, baza podataka i slično)
16) IKT rizik jest rizik gubitaka zbog povrede povjerljivosti, gubitka integriteta sustava i podataka, neprikladnosti ili nedostupnosti sustava i podataka ili nemogućnosti promjene IKT-a unutar razumnog roka i uz razumne troškove u slučaju promjene zahtjeva okruženja ili poslovanja (tj. prilagodljivosti); IKT rizik obuhvaća sigurnosne rizike koji proizlaze iz neadekvatnih ili neuspješnih internih postupaka ili vanjskih događaja, uključujući kibernapade ili neadekvatnu fizičku sigurnost
17) testiranje informacijske sigurnosti jest provjera pouzdanosti i učinkovitosti kontrola informacijske sigurnosti
18) procjena, provjera i testiranje informacijske sigurnosti jesu postupci koji mogu obuhvatiti analize nedostataka u odnosu na standarde informacijske sigurnosti, provjere usklađenosti, interne i vanjske revizije IKT sustava, provjere fizičke sigurnosti, provjere/revizije izvornog koda, procjene ranjivosti, penetracijska testiranja (uključujući penetracijska testiranja vođena prijetnjama) i vježbe »crvenog tima« (engl. red team exercises)
19) upravljačke kontrole uključuju donošenje internih akata vezanih uz IKT sustav i uspostavljanje odgovarajuće organizacijske strukture te primjenu internih akata vezanih uz IKT sustav radi osiguravanja funkcionalnosti i sigurnosti IKT sustava
20) logičke kontrole jesu kontrole implementirane na softverskim komponentama informacijskog sustava
21) fizičke kontrole jesu kontrole koje štite IKT sustav od neovlaštenoga fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja
22) treća strana jest fizička ili pravna osoba koja je uspostavila poslovni odnos ili sklopila ugovor s kreditnom institucijom u svrhu pružanja proizvoda ili usluge, uključujući pružatelje usluga eksternalizacije
23) analiza utjecaja na poslovanje (engl. business impact analysis) jest postupak procjene aktivnosti (poslovnih procesa) i učinaka koje prekid poslovanja može imati na njih
24) ciljano vrijeme oporavka (engl. recovery time objective) jest prihvatljivo vrijeme neraspoloživosti poslovnih procesa kreditne institucije i resursa informacijskog sustava potrebnih za njihovo odvijanje, odnosno vrijeme tijekom kojega je potrebno obnoviti (oporaviti) poslovne procese
25) ciljana točka oporavka podataka (engl. recovery point objective) jest najdulje prihvatljivo razdoblje gubitka podataka u slučaju incidenta
(2) Ostali pojmovi koji se upotrebljavaju u ovoj Odluci imaju značenje u skladu s člankom 3. Zakona o kreditnim institucijama.
II. UPRAVLJANJE I IKT STRATEGIJA
Upravljanje
Članak 4.
(1) Uprava kreditne institucije dužna je:
1) uspostaviti prikladni okvir za upravljanje IKT rizikom i nadzor nad njime
2) jasno odrediti uloge i odgovornosti unutar kreditne institucije, uključujući uloge i odgovornosti uprave i njezinih odbora te
3) uspostaviti odgovarajuće funkcije glede upravljanja informacijskom i komunikacijskom tehnologijom, IKT rizika, sigurnosti IKT sustava i kontinuiteta poslovanja.
(2) Uprava kreditne institucije odgovorna je za uspostavu, odobravanje i praćenje provođenja IKT strategije kreditne institucije u okviru svoje cjelokupne poslovne strategije te za uspostavu učinkovitog okvira za upravljanje IKT rizicima.
(3) Uprava kreditne institucije dužna je osigurati:
1) dovoljan broj i stručnu osposobljenost radnika kreditne institucije za pružanje podrške operativnim potrebama u području IKT-a i postupcima upravljanja IKT rizicima te za provedbu IKT strategije
2) dostatna sredstva za ispunjavanje zahtjeva iz prethodne točke i
3) odgovarajuće osposobljavanje radnika o IKT rizicima na godišnjoj osnovi ili češće ako je potrebno, uključujući i nositelje ključnih funkcija.
IKT strategija
Članak 5.
(1) Kreditna institucija dužna je:
1) donijeti IKT strategiju
2) definirati planove aktivnosti koji podržavaju provođenje IKT strategije te
3) uspostaviti postupke praćenja i mjerenja učinkovitosti strategije iz točke 1. ovog stavka.
(2) IKT strategiju iz stavka 1. točke 1. ovog članka kreditna institucija dužna je uskladiti s cjelokupnom poslovnom strategijom tako da obuhvaća:
1) način razvoja IKT-a usmjeren prema učinkovitom pružanju podrške i provođenju poslovne strategije, što uključuje razvoj organizacijske strukture, promjene IKT sustava i ključne ovisnosti o trećim stranama
2) planiranu strategiju i razvoj IKT arhitekture, uključujući ovisnosti o trećim stranama i
3) jasne ciljeve glede informacijske sigurnosti, s naglaskom na IKT sustave i IKT usluge, radnike i postupke.
(3) Planom aktivnosti iz stavka 1. točke 2. ovog članka kreditna institucija dužna je definirati aktivnosti koje će poduzeti kako bi se postigao cilj strategije iz stavka 2. ovog članka. Kreditna institucija dužna je redovito preispitivati planove aktivnosti kako bi bili relevantni i prikladni.
Korištenje usluga trećih strana
Članak 6.
(1) Neovisno o odredbama Odluke o eksternalizaciji (»Narodne novine«, br. 118/2020.), kreditna institucija dužna je procijeniti i svesti na prihvatljivu razinu rizike koji proizlaze iz ugovornih odnosa s trećim stranama čije su aktivnosti vezane uz IKT usluge i IKT sustave kreditne institucije.
(2) Kreditna institucija dužna je osigurati da ugovori sklopljeni s pružateljima usluga osiguravaju kontinuitet i sigurnost IKT usluga i sustava.
(3) Ugovori iz stavka 2. ovog članka moraju uključivati sljedeće:
1) prikladne i razmjerne ciljeve i mjere glede informacijske sigurnosti, uključujući minimalne zahtjeve za kibersigurnost, što obuhvaća specifikaciju životnog ciklusa podataka kreditnih institucija, zahtjeve vezane uz lokacije podatkovnih centara, enkripciju podataka, mrežnu sigurnost i postupke sigurnosnog praćenja te
2) postupke rješavanja IKT incidenata, uključujući postupke eskalacije i izvješćivanja.
(4) Kreditna institucija dužna je pratiti i osigurati razinu usklađenosti pružatelja usluga sa sigurnosnim ciljevima te mjerilima i razinama performansi kreditne institucije.
III. OKVIR ZA UPRAVLJANJE IKT RIZICIMA
Organizacija, ciljevi i postupci upravljanja IKT rizicima
Članak 7.
(1) Kreditna institucija dužna je upravljati IKT rizicima kojima je izložena ili bi mogla biti izložena, pri čemu se opća pravila za primjenu i uspostavu sustava upravljanja rizicima u smislu Zakona o kreditnim institucijama i Odluke o sustavu upravljanja (»Narodne novine«, br. 96/2018., 67/2019., 145/2020. i 145/2021.) moraju primijeniti i na upravljanje IKT rizikom.
(2) S ciljem uspostave učinkovitog upravljanja IKT rizicima kreditna institucija dužna je definirati i dodijeliti ključne uloge, definirati odgovornosti te uspostaviti relevantne linije izvješćivanja. Okvir za upravljanje IKT rizicima mora biti u potpunosti integriran i usklađen s cjelokupnim okvirom upravljanja rizikom kreditne institucije.
(3) Unutar okvira za upravljanje IKT rizicima kreditna institucija dužna je uspostaviti postupke za:
1) utvrđivanje sklonosti preuzimanju IKT rizika u skladu sa sklonošću kreditne institucije preuzimanju rizika
2) utvrđivanje i procjenjivanje IKT rizika kojima je kreditna institucija izložena
3) utvrđivanje mjera za ovladavanje rizikom
4) praćenje učinkovitosti tih mjera i broja prijavljenih incidenata te, ako je to potrebno, poduzimanje radnji za ispravljanje tih mjera
5) izvješćivanje uprave kreditne institucije o IKT rizicima i mjerama i
6) utvrđivanje i procjenjivanje postojanja IKT rizika koji proizlaze iz bilo kakvih većih promjena u IKT sustavu ili IKT uslugama, procesima ili postupcima i/ili nakon svakoga značajnog IKT incidenta.
(4) Kreditna institucija dužna je osigurati da se okvir za upravljanje IKT rizicima dokumentira i kontinuirano poboljšava na temelju iskustava iz njegove provedbe i praćenja. Uprava kreditne institucije dužna je barem jedanput godišnje preispitati i odobriti okvir za upravljanje IKT rizicima.
Utvrđivanje i klasifikacija funkcija, procesa i imovine
Članak 8.
(1) Kreditna institucija dužna je utvrditi, uspostaviti i redovito ažurirati mapiranje svojih poslovnih funkcija, uloga, podržavajućih poslovnih procesa i informacijske imovine kako bi utvrdila njihovo pojedinačno značenje i međuovisnost s IKT rizicima te kako bi mogla primjereno upravljati informacijskom imovinom koja podržava kritične poslovne funkcije i procese.
(2) Kreditna institucija dužna je jasno odrediti odgovornost za informacijsku imovinu.
(3) Kreditna institucija dužna je klasificirati utvrđene poslovne funkcije, podržavajuće procese i informacijsku imovinu iz točke 1. ovog članka prema njihovoj kritičnosti, uzimajući u obzir zahtjeve glede povjerljivosti, cjelovitosti i dostupnosti. Pri procjeni rizika kreditna institucija dužna je preispitati klasifikaciju informacijske imovine.
Procjena i ovladavanje IKT rizikom
Članak 9.
(1) Kreditna institucija dužna je utvrditi IKT rizike koji utječu na utvrđene i klasificirane poslovne funkcije, podržavajuće procese i informacijsku imovinu, u skladu s njihovom kritičnošću.
(2) Kreditna institucija dužna je provoditi i dokumentirati procjenu IKT rizika na godišnjoj osnovi, ili češće u slučaju važnijih promjena u infrastrukturi ili postupcima koji utječu na poslovne funkcije, podržavajuće procese ili informacijsku imovinu.
(3) Kreditna institucija dužna je kontinuirano pratiti prijetnje i ranjivosti relevantne za njihove poslovne procese, podržavajuće funkcije i informacijsku imovinu te preispitivati scenarije rizika koji utječu na njih.
(4) Na temelju rezultata procjene IKT rizika, kreditna institucije dužna je definirati i provoditi mjere za ovladavanje utvrđenim IKT rizikom, osigurati da taj rizik ostane unutar sklonosti preuzimanju rizika te zaštititi informacijsku imovinu u skladu s njezinom klasifikacijom.
(5) Uprava kreditne institucije mora biti jasno i pravodobno obaviještena o rezultatima procjene IKT rizika.
IKT revizija
Članak 10.
(1) Funkcija unutarnje revizije dužna je, pridržavajući se zahtjeva propisanih Odlukom o sustavu upravljanja i u skladu s pristupom koji se temelji na procjeni rizika, neovisno preispitivati i pružati objektivno uvjerenje o usklađenosti svih aktivnosti i organizacijskih jedinica u području IKT-a i sigurnosti s politikama i postupcima kreditne institucije.
(2) Unutarnji revizori s dostatnim znanjem, vještinama i stručnošću u području IKT rizika dužni su provoditi redovne revizije upravljanja, sustava i procesa/postupaka povezanih s IKT rizicima kreditne institucije kako bi upravi kreditne institucije pružili neovisno uvjerenje o njihovoj učinkovitosti.
(3) Uprava kreditne institucije dužna je odobriti plan unutarnje revizije, uključujući sve IKT revizije i sve značajne izmjene plana. Plan revizije i njegovo izvršenje, uključujući učestalost revizije, moraju odražavati i biti razmjerni IKT rizicima u kreditnoj instituciji te se redovito obnavljati.
(4) Kreditna institucija dužna je uspostaviti formalni postupak praćenja prijedloga, preporuka i mjera za njihovo otklanjanje radi otklanjanja značajnih nepravilnosti i nedostataka utvrđenih nalazom IKT revizije.
IV. INFORMACIJSKA SIGURNOST
Politika informacijske sigurnosti
Članak 11.
(1) Kreditna institucija dužna je izraditi i dokumentirati politiku informacijske sigurnosti kojom se definiraju načela i pravila za zaštitu povjerljivosti, cjelovitosti i dostupnosti informacija kreditne institucije i njezinih klijenata. Politika informacijske sigurnosti mora biti u skladu s ciljevima kreditne institucije glede informacijske sigurnosti i temeljiti se na relevantnim rezultatima procjene rizika. Uprava kreditne institucije dužna je odobriti tu politiku.
(2) Politika informacijske sigurnosti mora sadržavati opis glavnih uloga i odgovornosti upravljanja informacijskom sigurnošću. Kreditna institucija dužna je osigurati da su svi radnici i treće strane na odgovarajući način upoznati s politikom informacijske sigurnosti.
(3) Na temelju politike informacijske sigurnosti kreditna institucija dužna je uspostaviti i provoditi sigurnosne mjere za ovladavanje IKT rizicima kojima je izložena, što obuhvaća sljedeće:
1) upravljačke kontrole
2) logičke kontrole
3) fizičke kontrole
4) sigurnost IKT operacija
5) praćenje sigurnosti
6) provjeru, ocjenjivanje i testiranje informacijske sigurnosti i
7) osposobljavanje i podizanje razine svijesti o informacijskoj sigurnosti.
Voditelj informacijske sigurnosti
Članak 12.
Uprava kreditne institucije dužna je uspostaviti funkciju voditelja informacijske sigurnosti neovisnu o funkciji voditelja organizacijske jedinice za IKT te definirati njegov djelokrug, ovlasti i odgovornosti.
Logička sigurnost
Članak 13.
Kreditna institucija dužna je definirati, dokumentirati, provoditi, pratiti i redovito preispitivati postupke za logičku kontrolu pristupa. Postupci moraju obuhvaćati kontrole za praćenje odstupanja i neuobičajenih aktivnosti. Tim se postupcima mora uzeti u obzir i, gdje je primjenjivo, implementirati sljedeće:
1) načelo nužnosti pristupa informacijama (engl. need to know), načelo najmanjih povlastica (engl. least privilege) i načelo odvajanja dužnosti
2) jednoznačnu identifikaciju i mogućnost utvrđivanja odgovornosti korisnika pri pristupu i aktivnostima provedenima u IKT sustavima
3) primjerenu dodjelu i nadzor povlaštenog pristupa
4) primjereno evidentiranje aktivnosti korisnika
5) proces upravljanja pristupom koji, u skladu s poslovnom potrebom, uključuje primjerene postupke odobrenja, dodjele, preispitivanja, izmjene ili ukidanja prava pristupa i
6) metode autentifikacije koje su dovoljno pouzdane te razmjerne kritičnosti IKT sustava, informacija ili procesa kojima se pristupa.
Fizička sigurnost
Članak 14.
(1) Kreditna institucija dužna je definirati, dokumentirati i provoditi mjere fizičke sigurnosti radi zaštite vlastitih prostorija, podatkovnih centara i ostalih osjetljivih područja od neovlaštenog pristupa i štetnih utjecaja iz okruženja.
(2) Kreditna institucija dužna je fizički pristup IKT sustavima dopustiti samo ovlaštenim osobama. Ovlaštenja se moraju dodijeliti u skladu s ulogama i odgovornostima pojedinaca te biti ograničena na osobe koje su primjereno osposobljene i čije se aktivnosti primjereno prate. Fizički pristup mora se redovito preispitivati kako bi se osiguralo brzo povlačenje suvišnih prava pristupa, kada za njima više nema potrebe.
Sigurnost IKT operacija
Članak 15.
(1) Kreditna institucija dužna je provoditi postupke za sprečavanje pojave sigurnosnih problema u IKT sustavima i uslugama te smanjiti njihov utjecaj na pružanje IKT usluga. Navedeni postupci uključuju sljedeće mjere:
1) utvrđivanje i otklanjanje potencijalnih ranjivosti na način da je osigurano da su softver i ugrađeni programi (engl. firmware) ažurirani, primjenom kritičnih sigurnosnih zakrpa (engl. patch) ili uspostavom kompenzacijskih kontrola
2) implementaciju osnovnih sigurnosnih postavki (engl. secure baseline) svih mrežnih komponenata
3) u skladu s provedenom procjenom rizika i klasifikacijom podataka, primjenu segmentacije mreže, sustava sprečavanja gubitka podataka i enkripcije mrežnog prometa
4) implementaciju zaštite krajnjih točaka IKT sustava (engl. endpoints), uključujući poslužitelje, radne stanice i mobilne uređaje
5) u skladu s provedenom procjenom rizika, uspostavu mehanizama za potvrdu cjelovitosti softvera, ugrađenih programa i podataka te
6) u skladu s klasifikacijom podataka, enkripciju podataka u mirovanju i u prijenosu.
(2) Kreditna institucija dužna je kontinuirano utvrđivati utječu li promjene u postojećem operativnom okruženju na postojeće sigurnosne mjere te je li potrebno donošenje dodatnih mjera radi ovladavanja povezanim rizicima.
Praćenje sigurnosti
Članak 16.
(1) Kreditna institucija dužna je uspostaviti proces i provoditi postupke za otkrivanje neuobičajenih aktivnosti koje bi mogle narušiti informacijsku sigurnost kreditne institucije i na odgovarajući način odgovoriti na te događaje. Kao dio kontinuiranog praćenja, kreditna institucija dužna je implementirati primjerene i učinkovite mehanizme za otkrivanje fizičkih i logičkih upada te povreda povjerljivosti, cjelovitosti i dostupnosti informacijske imovine.
(2) Kreditna institucija dužna je uspostaviti procese i provoditi postupke za utvrđivanje i neprekidno praćenje sigurnosnih i operativnih prijetnji koje bi mogle značajno utjecati na sposobnost kreditne institucije da pruža usluge. Kreditna institucija dužna je aktivno pratiti tehnološka kretanja kako bi bila upoznata sa sigurnosnim rizicima.
Provjera, procjenjivanje i testiranje informacijske sigurnosti
Članak 17.
(1) Kreditna institucija dužna je provjeravati, procjenjivati i testirati informacijsku sigurnost kako bi osigurala učinkovito utvrđivanje ranjivosti u IKT sustavima i uslugama.
(2) Kreditna institucija dužna je uspostaviti i primijeniti okvir za testiranje informacijske sigurnosti koji će uzeti u obzir prijetnje i ranjivosti utvrđene postupcima praćenja prijetnji te procjene IKT rizika.
(3) Kreditna institucija dužna je okvirom za testiranje informacijske sigurnosti osigurati da testiranja:
1) provode neovisne osobe s dovoljno znanja, vještina i stručnosti u testiranju mjera informacijske sigurnosti koje nisu uključene u razvoj mjera informacijske sigurnosti koje se testiraju te
2) uključuju ispitivanja ranjivosti i penetracijska testiranja koja su razmjerna razini rizika utvrđenog u poslovnim procesima i IKT sustavima.
(4) Kreditna institucija dužna je kontinuirano testirati sigurnosne mjere, što obuhvaća sljedeće:
1) za sve kritične IKT sustave provoditi testiranje barem jedanput godišnje i
2) za IKT sustave koji nisu kritični, razmjerno rizicima, barem jedanput svake tri godine.
(5) Kreditna institucija dužna je osigurati da se testovi sigurnosnih mjera provode u slučaju značajnih promjena procesa, infrastrukture i aplikacija dostupnih putem interneta.
(6) Kreditna institucija dužna je pratiti i procjenjivati rezultate provedenih testiranja i u skladu s njima obnavljati svoje sigurnosne mjere, a u slučaju kritičnih IKT sustava to činiti bez odgađanja.
(7) Testiranja sigurnosnih mjera moraju uzeti u obzir scenarije relevantnih i poznatih potencijalnih napada.
Osposobljavanje i podizanje razine svijesti o informacijskoj sigurnosti
Članak 18.
Kreditna institucija dužna je uspostaviti program za osposobljavanje, uključujući periodične programe osvještavanja o sigurnosti za sve svoje radnike i treće strane, kako bi osigurala da su osposobljeni za izvršavanje dužnosti i odgovornosti u skladu s relevantnom sigurnosnom politikom i postupcima. Kreditna institucija dužna je osigurati da se programom osposobljavanja pruži osposobljavanje svim radnicima i trećim stranama barem jedanput godišnje.
V. UPRAVLJANJE IKT OPERACIJAMA
Postupci upravljanja IKT operacijama
Članak 19.
(1) Kreditna institucija dužna je upravljati IKT operacijama na temelju dokumentiranih, usvojenih i implementiranih procesa i procedura. Tim dokumentima nužno je definirati kako kreditna institucija upotrebljava, prati i kontrolira svoje IKT sustave i usluge.
(2) Kreditna institucija dužna je osigurati da odvijanje IKT operacija bude usklađeno sa zahtjevima poslovanja. Kreditna institucija dužna je održavati i unapređivati učinkovitost svojih IKT operacija, poglavito svođenja pogrešaka koje proizlaze iz izvršavanja ručnih zadataka na najmanju moguću mjeru.
(3) Kreditna institucija dužna je bilježiti, pratiti i čuvati zapise za kritične IKT operacije kako bi se omogućilo otkrivanje, analiza i ispravljanje pogrešaka.
(4) Kreditna institucija dužna je popis IKT imovine održavati ažurnim te osigurati dovoljnu detaljnost popisa kako bi se:
1) omogućila brza identifikacija imovine, njezine sigurnosne klasifikacije, njezine lokacije i vlasništva te međuovisnosti između različite imovine
2) omogućili pravilni postupci upravljanja konfiguracijama i upravljanja promjenama i
3) pomoglo u odgovoru na incidente.
(5) Kreditna institucija dužna je:
1) pratiti i upravljati životnim ciklusom IKT imovine kako bi se osiguralo da je IKT imovina usklađena sa zahtjevima poslovanja i upravljanja rizicima
2) pratiti podržavaju li IKT imovinu treće strane i radnici zaduženi za interni razvoj te jesu li primijenjene sve relevantne zakrpe i nadogradnje i
3) procijeniti i ovladati rizicima koji proizlaze iz zastarjele ili nepodržane IKT imovine.
(6) Kreditna institucija dužna je provoditi postupke planiranja te praćenja performansi i kapaciteta kako bi pravodobno spriječila, otkrila i odgovorila na značajne probleme u radu IKT sustava i nedostatke kapaciteta IKT-a.
(7) Kreditna institucija dužna je:
1) definirati i provoditi postupke za izradu pričuvnih kopija te restauraciju podataka i IKT sustava kako bi se osigurala primjerena mogućnost oporavka
2) utvrditi opseg i učestalost izrade sigurnosnih kopija u skladu s procjenom rizika, zahtjevima poslovanja za oporavak te kritičnošću podataka i IKT sustava te
3) redovito testirati postupke izrade i restauracije podataka s pričuvnih kopija.
(8) Kreditna institucija dužna je osigurati da su pričuvne kopije podataka i sustava IKT-a pohranjene na siguran način te da su dovoljno udaljene od primarne lokacije kako ne bi bile izložene istim rizicima.
Upravljanje incidentima i problemima
Članak 20.
(1) Kreditna institucija dužna je uspostaviti odgovarajuće postupke i organizacijske strukture radi osiguravanja dosljedne i cjelovite kontrole incidenata i problema, postupanja s njima te njihova daljnjeg praćenja. Upravljanjem incidentima i problemima kreditna institucija dužna je obuhvatiti sljedeće:
1) postupke za utvrđivanje, praćenje, evidentiranje, kategorizaciju i klasifikaciju incidenata u skladu s prioritetom povezanim s kritičnošću poslovanja
2) uloge i odgovornosti za različite scenarije incidenta (npr. pogreške, neispravan rad, kibernapadi)
3) postupke upravljanja problemima, što uključuje utvrđivanje, analizu i rješavanje glavnih uzroka jednog ili više incidenata, kako bi se spriječilo ponavljanje incidenata
4) postupke odgovora na incidente kako bi se ublažili učinci povezani s incidentima i kako bi se osiguralo da usluga pravodobno postane operativna i sigurna
5) učinkovite interne komunikacijske planove, uključujući postupke obavješćivanja o incidentima i postupcima eskalacije i
6) posebne komunikacijski planove za kritične poslovne funkcije i procese u svrhu suradnje s relevantnim dionicima te pružanja pravodobnih informacija vanjskim stranama.
(2) Kreditna institucija dužna je u slučaju značajnih IKT incidenata u primjerenom roku od nastanka incidenta obavijestiti Hrvatsku narodnu banku o incidentu, njegovu učinku i poduzetim radnjama.
VI. UPRAVLJANJE IKT PROJEKTIMA I PROMJENAMA
Upravljanje IKT projektima
Članak 21.
(1) Kreditna institucija dužna je uspostaviti proces upravljanja projektima kojim su definirane uloge i odgovornosti potrebne za učinkovitu podršku provedbe IKT strategije.
(2) Kreditna institucija dužna je na odgovarajući način pratiti i ovladati rizicima koji proizlaze iz upravljanja IKT projekatima uzimajući pri tome u obzir rizike koji mogu proizaći iz međuovisnosti različitih projekata i ovisnosti višestrukih projekata o istim resursima i/ili stručnosti.
(3) Kreditna institucija dužna je uspostaviti i provoditi politiku upravljanja IKT projektima koja obuhvaća barem:
1) ciljeve projekta
2) uloge i odgovornosti
3) procjenu rizika projekta
4) plan, vremenski okvir i korake projekta
5) ključne etape i
6) zahtjeve za upravljanje promjenama.
(4) Kreditna institucija dužna je politikom upravljanja IKT projektima osigurati da zahtjeve informacijske sigurnosti analizira i odobrava funkcija koja je neovisna o funkciji razvoja.
(5) Kreditna institucija dužna je osigurati da su sva područja na koja utječe IKT projekt zastupljena u projektnom timu te da projektni tim raspolaže znanjem potrebnim za sigurnu i uspješnu provedbu projekta.
(6) Ovisno o važnosti i veličini IKT projekata, kreditna institucija dužna je redovito i dodatno po potrebi izvješćivati upravu kreditne institucije o uspostavi i napretku IKT projekata te povezanim rizicima.
Nabava i razvoj IKT sustava
Članak 22.
(1) Kreditna institucija dužna je definirati i provoditi postupak, utemeljen na procjeni rizika, kojim se uređuju nabava, razvoj i održavanje IKT sustava.
(2) Kreditna institucija dužna je osigurati da se prije svake nabave ili razvoja IKT sustava jasno i na odgovarajućoj razini upravljanja definiraju i odobre funkcionalni i nefunkcionalni zahtjevi, uključujući zahtjeve glede informacijske sigurnosti.
(3) Kreditna institucija dužna je uspostaviti mjere za ovladavanje rizikom od nenamjernih promjena ili namjerne manipulacije IKT sustavom tijekom razvoja i uvođenja u produkcijsko okruženje.
(4) Kreditna institucija dužna je:
1) definirati metodologiju za testiranje i odobravanje IKT sustava prije njihove prve uporabe, uzevši u obzir kritičnost poslovnih procesa i imovine
2) primjenjivati testna okruženja koja na odgovarajući način odražavaju produkcijsko okruženje i
3) testiranjem potvrditi da novi IKT sustavi funkcioniraju kao što je predviđeno.
(5) Kreditna institucija dužna je testirati IKT sustave, IKT usluge i mjere informacijske sigurnosti kako bi se utvrdile moguće sigurnosne slabosti, odstupanja i incidenti.
(6) Kreditna institucije dužna je:
1) implementirati odvojena okruženja IKT-a kako bi osigurala primjereno odvajanje dužnosti i ublažila učinak neprovjerenih promjena u produkcijskim sustavima,
2) odvojiti produkcijska okruženja od razvojnih, testnih i drugih neprodukcijskih okruženja,
3) zaštititi cjelovitost i povjerljivost produkcijskih podataka u neprodukcijskim okruženjima te pristup produkcijskim podatcima ograničiti na ovlaštene korisnike te
4) zaštititi cjelovitost izvornog koda interno razvijenih IKT sustava.
(7) Kreditna institucija dužna je detaljno dokumentirati razvoj, implementaciju, rad i konfiguraciju IKT sustava.
(8) U skladu s procjenom rizika kreditna institucija dužna je primjenjivati postupke nabave i razvoja IKT sustava i na IKT sustave koje razvijaju ili kojima upravljaju krajnji korisnici poslovne funkcije izvan IKT organizacije. Kreditna institucija dužna je voditi registar ovakvih sustava koji su podrška kritičnim poslovnim funkcijama ili procesima.
Upravljanje IKT promjenama
Članak 23.
Kreditna institucija dužna je uspostaviti i provoditi postupak upravljanja IKT promjenama kojim se osigurava da se sve promjene IKT sustava bilježe, testiraju, procjenjuju, odobravaju, provode i provjeravaju na kontroliran način.
VII. UPRAVLJANJE KONTINUITETOM POSLOVANJA
Opće odredbe upravljanja kontinuitetom poslovanja
Članak 24.
Na proces upravljanja kontinuitetom poslovanja primjenjuju se odredbe Odluke o sustavu upravljanja osim ako ovom Odlukom nije drugačije propisano.
Analiza utjecaja na poslovanje
Članak 25.
(1) Kreditna institucija dužna je redovito provoditi analizu utjecaja na poslovanje i njome obuhvatiti učinke potencijalnih prekida poslovanja na povjerljivost, cjelovitost i dostupnost te uzeti u obzir kritičnost i međuovisnost poslovnih funkcija, podržavajućih procesa, trećih strana i informacijske imovine.
(2) Kreditna institucija dužna je osigurati da su IKT sustavi i usluge usklađeni s analizom utjecaja na poslovanje.
Planovi oporavka
Članak 26.
(1) Kreditna institucija dužna je, na temelju analize utjecaja na poslovanje i vjerojatnih scenarija, donijeti planove oporavka koji će omogućiti oporavak i dostupnost IKT sustava i usluga potrebnih za odvijanje kritičnih i/ili ključnih poslovnih procesa unutar ciljanog vremena oporavka i ciljane točke oporavka podataka.
(2) U okviru planova oporavka kreditna institucija dužna je razmotriti i provoditi mjere za osiguranje kontinuiteta kako bi ublažila slučajeve prekida dostupnosti trećih strana, koji su od ključne važnosti za kontinuitet pružanja IKT usluga kreditne institucije.
Testiranje planova
Članak 27.
(1) Kreditna institucija dužna je redovito testirati planove oporavka IKT sustava, a barem jednom godišnje planove oporavka za IKT sustave i usluge koji su potrebni za odvijanje ključnih/kritičnih poslovnih funkcija i procesa.
(2) Na temelju rezultata testiranja, saznanja o aktualnim prijetnjama te iskustava stečenih iz prethodnih događanja kreditna institucija dužna je ažurirati planove kontinuiteta poslovanja i planove oporavka barem jedanput godišnje. Promjene ciljeva oporavka, poslovnih funkcija, podržavajućih procesa ili informacijske imovine također su temelj za ažuriranje planova kontinuiteta poslovanja i planova oporavka.
(3) Kreditna institucija dužna je testiranjem svojih planova oporavka steći uvjerenje kako može osigurati održivost poslovanja sve dok se ponovno ne uspostave kritične operacije. Tim testiranjem kreditna institucija osobito je dužna:
1) obuhvatiti testiranje prikladnog niza vjerojatnih scenarija s težim učinkom, uključujući one koji su uzeti u obzir pri izradi planova kontinuiteta poslovanja i planova oporavka
2) u skladu s procjenom rizika obuhvatiti prebacivanje kritičnih poslovnih funkcija i podržavajućih procesa u okruženje za oporavak od katastrofe te dokazati njihovu održivost tijekom dostatnog razdoblja i mogućnost povrata u uobičajeni rad
3) osmisliti testiranja kojima se preispituju pretpostavke na kojima se temelje planovi kontinuiteta poslovanja (uključujući krizno upravljanje i planove za komuniciranje u kriznim situacijama) i planovi oporavka IKT sustava i
4) provjeriti mogu li radnici i treće strane, IKT sustavi i usluge odgovoriti u skladu sa scenarijima i ciljevima oporavka.
(4) Kreditna institucija dužna je:
1) dokumentirati rezultate testiranja te
2) analizirati i obraditi sve utvrđene nedostatke koji proizlaze iz testiranja te o njima izvijestiti upravu kreditne institucije.
Krizna komunikacija
Članak 28.
U slučaju prekida poslovanja ili drugih kriznih događaja te tijekom provedbe planova kontinuiteta poslovanja i planova oporavka kreditna institucija dužna je osigurati učinkovite mjere za komuniciranje u kriznim situacijama kako bi svi relevantni interni i vanjski dionici (uključujući nadležna tijela i treće strane) bili pravodobno i primjereno obaviješteni.
VIII. PRIJELAZNE I ZAVRŠNE ODREDBE
Stupanje na snagu i primjena
Članak 29.
(1) Danom stupanja na snagu ove Odluke prestaje važiti Odluka o primjerenom upravljanju informacijskim sustavom (»Narodne novine«, br. 37/2010.).
(2) Ova Odluka objavit će se u »Narodnim novinama«, a stupa na snagu 1. travnja 2023.
(3) Kreditna institucija dužna je, u skladu s procjenom rizika, pri prvoj izmjeni postojećih ugovora s trećim stranama čije su aktivnosti vezane uz IKT usluge i IKT sustave, a najkasnije do 31. prosinca 2023., revidirati i, ako je potrebno, izmijeniti postojeće ugovore da bi se osigurala usklađenost s ovom Odlukom.
O.br. 321-091/09-22/BV Zagreb, 9. rujna 2022.
Guverner Hrvatske narodne banke Boris Vujčić, v. r.