Nacionalno tijelo za kibernetičku sigurnosnu akreditaciju (NCCA)
Zakonom o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije) Zavod za sigurnost informacijskih sustava određen je nacionalnim tijelom za kibernetičku sigurnosnu certifikaciju (NCCA).
Temeljem Uredbe (EU) 2019/881 ZSIS, kao NCCA tijelo, nadležan je za sljedeće aktivnosti:
-
nadzor nad praćenjem ispunjavanja zahtjeva europskih shema kibernetičke sigurnosne certifikacije
-
praćenje usklađenosti i zahtijevanje ispunjavanje obveza proizvođača ili pružatelja IKT proizvoda, usluga i procesa te upravljanih sigurnosnih usluga, koji imaju poslovni nastan u Republici Hrvatskoj i koji provode samoprocjenu sukladnosti kao i nositelja certifikata izdanih u skladu s europskom shemom kibernetičke sigurnosne certifikacije
-
aktivnu podršku i suradnju s nacionalnim akreditacijskim tijelom u praćenju i nadzoru aktivnosti tijela za ocjenjivanje sukladnosti
-
autorizaciju tijela za ocjenjivanje sukladnosti te ograničavanje, suspenziju ili povlačenje postojeće autorizacije
-
obrađivanje pritužbi fizičkih ili pravnih osoba u svezi s europskim kibernetičkim sigurnosnim certifikatima i u svezi s EU izjavama o sukladnosti
-
suradnju s drugim NCCA tijelima ili drugim javnim tijelima kroz razmjenu informacija o mogućoj neusklađenosti IKT proizvoda, usluga i procesa te upravljanih sigurnosnih usluga sa zahtjevima iz Uredbe (EU) 2019/881 ili sa zahtjevima europskih shema kibernetičke sigurnosne certifikacije
-
praćenje relevantnih promjena u području europske kibernetičke sigurnosne certifikacije.
Kako bi se osiguralo da sva tijela za ocjenu sukladnosti, nositelji europskog kibernetičkog sigurnosnog certifikata kao i izdavatelji EU izjava o sukladnosti slijede pravila utvrđena europskim shemama kibernetičke sigurnosne certifikacije ZSIS provodi revizorske aktivnosti nad izdavateljima europskog kibernetičkog sigurnosnog certifikata i izdavateljima EU izjave o sukladnosti radi usklađenosti s odredbama Zakona i Uredbe (EU) 2019/881.
Autorizacija
Za izdavanje europskih certifikata kibernetičke sigurnosti tijela za ocjenu sukladnosti moraju biti akreditirana od strane nacionalnog akreditacijskog tijela (Hrvatska akreditacijska agencija) prema ISO/IEC 17065 standardu te u skladu s Uredbom (EZ) br. 765/2008 i Uredbom (EU) 2019/881. Ako europske sheme kibernetičke sigurnosne certifikacije sadrže posebne ili dodatne zahtjeve koje tijelo za ocjenu sukladnosti mora ispuniti, onda ZSIS utvrđuje ispunjenje tih zahtjeva te u skladu s tim izdaje autorizaciju.
Prijavljivanje
ZSIS kao NCCA tijelo, za svaku europsku shemu kibernetičke sigurnosne certifikacije, Europskoj komisiji prijavljuje tijela za ocjenjivanje sukladnosti koja su akreditirana i, ako je primjenjivo, autorizirana za izdavanje europskih kibernetičkih sigurnosnih certifikata određene jamstvene razine.
Isto tako, ZSIS prijavljuje Europskoj komisiji i sve naknadne promjene u svezi s prijavljenim tijelima za ocjenu sukladnosti.
Europska komisija u Službenom listu Europske unije objavljuje popis tijela za ocjenjivanje sukladnosti prijavljenih u okviru određene certifikacijske sheme.
Nacionalni registri
ZSIS vodi registar tijela za ocjenjivanje sukladnosti akreditiranih i autoriziranih u Republici Hrvatskoj kao i registar europskih kibernetičkih sigurnosnih certifikata izdanih u Republici Hrvatskoj.
Tijela za ocjenu sukladnosti s poslovnim nastanom u Republici Hrvatskoj obvezna su ZSIS-u dostaviti ovjerenu digitalnu kopiju svakog izdanog certifikata.
ZSIS vodi registar EU izjava o sukladnosti izdanih u Republici Hrvatskoj te su sve pravne i fizičke osobe po provedenom samoocjenjivanju obvezne dostaviti ovjerenu digitalnu kopiju svake izdane izjave o sukladnosti.
Podnošenje prigovora
Jedna od zadaća ZSIS-a kao NCCA tijela je postupanje po pritužbama u skladu s Uredbom (EU) 2019/881. Sve fizičke i pravne osobe mogu ZSIS-u podnijeti prigovor na europski kibernetički sigurnosni certifikat koji je izdalo nacionalno tijelo za kibernetičku sigurnosnu certifikaciju odnosno tijelo za ocjenu sukladnosti u skladu s člankom 56. stavkom 6. Uredbe (EU) 2019/881 ili na EU izjavu o sukladnosti izdanu na temelju članka 53. Uredbe (EU) 2019/881. ZSIS će u odgovarajućoj mjeri istražiti predmet tih pritužbi i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage.
Za vrijeme trajanja suspenzije ili ograničenja europskog kibernetičkog sigurnosnog certifikata ili EU izjave o sukladnosti IKT proizvoda, usluga ili procesa te upravljanih sigurnosnih usluga nije dopušteno njihovo stavljanje na tržište prije okončanja postupaka.
Prigovor se može podnijeti na adresu:
Zavod za sigurnost informacijskih sustava
Fra Filipa Grabovca 3, 10 000 Zagreb
ili putem e-mail adrese prigovor.ncca@zsis.hr
ZSIS o prigovoru odlučuje rješenjem protiv kojeg nije dopuštena žalba, ali se može pokrenuti upravni spor pred nadležnim upravnim sudom.
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Zakon o kibernetičkoj sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima