Zavod za sigurnost informacijskih sustava i Hrvatska akademska i istraživačka mreža - CARNET izradili su dokument "Okvir dobrih praksi za usklađivanje operatora ključnih usluga s mjerama Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga i provođenje ocjene sukladnosti".
Prema Zakonu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (ZKS)(NN 64/18) Zavod za sigurnost informacijskih sustava i Hrvatska akademska i istraživačka mreža – CARNET su tehnička tijela za ocjenu sukladnosti. Tehnička tijela prema članku 34. i 35. ZKS-a provode periodične provjere mjera za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga poduzetih nad sigurnošću mrežnih i informacijskih sustava operatora ključnih usluga i davatelja digitalnih usluga. Takva provjera provodi se na zahtjev nadležnog sektorskog tijela ili samog operatora ključnih usluga odnosno davatelja digitalnih usluga, a tehničko tijelo izrađuje izvješće o provjeri mjera koje se sastoji od ocjene sukladnosti i korektivnih mjera.
„Okvir dobrih praksi za usklađivanje operatora ključnih usluga s mjerama Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga i provođenje ocjene sukladnosti“ predstavlja smjernice, preporuke i dobre prakse za ostvarivanje sukladnosti s mjerama sigurnosti. Dokument je namijenjen operatorima ključnih usluga koji imaju obvezu usklađivanja s Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (Uredba) (NN 68/2018). Uredbom su utvrđene mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavještavanje o incidentima.
Dokument nije obvezujući i osnovna mu je namjena služiti kao implementacijski vodič za operatore ključnih usluga prilikom ostvarivanja sukladnosti s mjerama sigurnosti, ali istodobno i kao vodič za nadležna sektorska tijela, tehnička tijela za ocjenu sukladnosti, vanjske i interne revizore koji će provoditi nadzor ili ocjenjivanje sukladnosti kod operatora ključnih usluga.
Radi se o dokumentu koji će se ažurirati prema potrebama i temeljem iskustava stečenih prilikom procesa provedbe ocjene sukladnosti.