Izvješće o provedenom savjetovanju - Nacrt prijedloga Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | Hrvatski Telekom d.d. | Odluka Vijeća Agencije o sigurnosnom riziku proizvođača i dobavljača opreme, Članak 6. | Objava odluka HAKOM-a (članak 6. stavak 3.) Molimo pojašnjenje hoće li u odlukama za koje je predviđeno da će ih objavljivati HAKOM biti navedeno na koje kritične mrežne komponente i proizvođača ili dobavljača će se odluka odnositi? Nadalje, hoće li se u slučaju zasebnog zahtjeva druge pravne ili fizičke osobe za istu kritičnu mrežnu komponentu istog proizvođača ili dobavljača provoditi zasebni postupak ili će biti primjenjiva prethodno donesena odluka HAKOM-a? | Primljeno na znanje | Odluka Vijeća HAKOM-a, kojom je na temelju sigurnosne procjene Sigurnosno-obavještajne agencije za određene kritične mrežne komponente određenog proizvođača i dobavljača opreme utvrđen visoki sigurnosni rizik, javno se objavljuje na internetskim stranicama HAKOM-a, vodeći računa o propisima kojima je uređena zaštita tajnosti podataka. Odluka HAKOM-a sadržavat će i nalog za postupanje s opremom određenoj pravnoj ili fizičkoj osobi koja je podnijela zahtjev. U tom smislu, u slučaju zasebnog zahtjeva druge pravne ili fizičke osobe za istu kritičnu mrežnu komponentu istog proizvođača ili dobavljača opreme provodit će se zasebni postupak. |
| 2 | Hrvatski Telekom d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | Podaci koji se dostavljaju uz zahtjev za provođenje postupka procjene sigurnosnog rizika (članak 4. stavak 4.) Molimo pojašnjenja vezano uz sljedeće: - s obzirom na širok raspon mogućih certifikata vezanih uz pojedini zahtjev/opremu molimo pojašnjenje na koje certifikate se misli. Misli li se samo na certifikate vezano uz opremu ili i na certifikate proizvođača/dobavljača? Kada je riječ o certifikatima koji su vezani uz opremu misli li se na sve moguće certifikate ili samo na certifikate koji se odnose na područje elektroničkih komunikacija za područje EU/EEA? - što se smatra sposobnošću proizvođača i dobavljača da osiguraju kontinuiranu isporuku opreme? - upitnik iz priloga predviđa dostavu podataka o proizvođaču ili dobavljaču koje obveznik podnošenja zahtjeva, a koji nije ujedno proizvođač ili dobavljač opreme, ne može u cijelosti samostalno osigurati niti može biti odgovoran za točnost i ažurnost tih podataka. Naime, s obzirom na tražene podatke u upitniku podnositelj zahtjeva je u popunjavanju podataka o proizvođačima i dobavljačima u velikoj mjeri ovisan o podacima koje će mu proizvođač i dobavljač dostaviti, s ograničenom mogućnošću provjere istih. Stoga molimo da se ta činjenica na odgovarajući način uzme u obzir pri donošenju i provedbi obveza iz Pravilnika. | Primljeno na znanje | Primljeno na znanje. |
| 3 | Hrvatski Telekom d.d. | Značenje pojmova, Članak 2. | Sigurnosno osjetljive mrežne komponente (članak 2. točka 13.) S obzirom da je pod pojmom kritične mrežne komponente radijska pristupna mreža (RAN) obuhvaćena samo u slučaju ako se upotrebljava ili namjerava upotrebljavati kao potpora sustavima kritičnih infrastruktura molimo pojašnjenje radi li se o istom obuhvatu pojma radijske pristupne mreže (RAN) u članku 2. točki 6. i u članku 2. točki 13. Pravilnika. | Primljeno na znanje | U tehničkom smislu, radi se o istom obuhvatu pojma radijske pristupne mreže u članku 2. stavku 1. točki 6. i u članku 2. stavku 1. točki 13. Pravilnika. |
| 4 | HUAWEI TECHNOLOGIES d.o.o. | Značenje pojmova, Članak 2. | Predlažemo definirati pojam radijske pristupne mreže (RAN). OBRAZLOŽENJE: Iako se RAN u definicijama Pravilnika spominje na dva mjesta, taj pojam je i dalje ostao nedefiniran. Odredbom čl. 2. st. 1. toč. 6. Pravilnika utvrđeni su uvjeti u kojima RAN može iznimno postati kritična mrežna komponenta, dok je odredbom čl. 2. st. 1. toč. 13. RAN označen kao sigurnosno osjetljiva mrežna komponenta. Bilo bi korisno da Pravilnik definira RAN s obzirom da RAN iznimno može postati kritična mrežna komponenta, a istovremeno je i sigurnosno osjetljiva mrežna komponenta. Kao orijentaciju prilikom definiranja, postavljamo nekoliko ključnih pitanja. Možete li dati potpunu definiciju RAN-a kao dijela 5G mreže? Možete li navesti na koju se opremu RAN odnosi i dati nekoliko praktičnih primjera? Je li npr. RAN ograničen samo na bazne stanice, neke komponente baznih stanica (poput antena, radija i jedinica osnovnog pojasa (based band unit)), itd.? | Primljeno na znanje | Smatramo da nije potrebno posebno definirati pojam radijske pristupne mreže (RAN) u ovom Pravilniku. |
| 5 | HUAWEI TECHNOLOGIES d.o.o. | Predmet Pravilnika, Članak 1. | S obzirom da Pravilnik regulira elektroničke komunikacijske mreže koje podupiru kritičnu infrastrukturu, postavlja se pitanje koje su kritične infrastrukture službeno identificirane i potvrđene u Hrvatskoj. Naime, Zakon o kritičnim infrastrukturama konačno ne definira koje su to kritične infrastrukture Republike Hrvatske. Zbog navedenog primjerice za dobavljače i korisnike opreme bilo bi korisno znati kada i u kojim slučajevima treba pokrenuti postupak procjene rizika u slučaju javne nabave, ako nisu upoznati hoće li ona podržavati kritičnu infrastrukturu ili ne? Postoji li javna informacija o potvrđenim kritičnim infrastrukturama u Hrvatskoj? Tražena informacija pomogla bi za ispravnu primjenu Pravilnika u praksi. | Primljeno na znanje | Primljeno na znanje. |
| 6 | HUAWEI TECHNOLOGIES d.o.o. | Odluka Vijeća Agencije o sigurnosnom riziku proizvođača i dobavljača opreme, Članak 6. | Predlažemo da odluka Agencije iz čl. 6. Pravilnika sadrži točne razloge za utvrđivanje stupnja rizika. | Primljeno na znanje | Primljeno na znanje. |
| 7 | HUAWEI TECHNOLOGIES d.o.o. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | Trenutačnim prijedlogom Pravilnika navodi se da će se, ukoliko se odlukom iz članka 6. Pravilnika odredi rok zamjene opreme koji je kraći od pet godina, a taj rok je kraći od životnog vijeka opreme, odlukom utvrditi i način nadoknade mogućih troškova takve zamjene. S obzirom da će potencijalni ukupni troškovi zamjene opreme biti znatni (mogu se mjeriti i u stotinama miliona eura), predlažemo da se Pravilnikom navede odgovorno tijelo koje će isplatiti odgovarajuću naknadu kao i rok u kojem se isplata mora izvršiti. Naime, predvidivo je da će ukupni troškovi zamjene rizične opreme biti znatni te bi mogli značajno opterećivati državni proračun. | Primljeno na znanje | Odluka Vijeća HAKOM-a iz članka 6. Pravilnika dovoljno je jasno određena u pogledu svojeg sadržaja. |
| 8 | HUAWEI TECHNOLOGIES d.o.o. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | Smatramo da naknada troškova ne bi trebala biti ograničena unaprijed definiranim životnim vijekom opreme ili rokom zamjene opreme, jer je oprema funkcionalna i upotrebljiva i po isteku predviđenog životnog vijeka. Ukoliko je pravnim aktima države odlučeno opremu koja je ranije bila prihvatljiva proglasiti visoko rizičnom, trebalo bi pravnoj osobi koja će zamjenom opreme pretrpjeti štetu, tu štetu naknaditi. Je li toj opremi protekao životni vijek ili nije, ne bi trebalo biti uvjetom za takvu naknadu. Životni vijek opreme nema stvarnog značaja, dovoljno je da oprema za njezinog vlasnika ima komercijalnu ili upotrebnu vrijednost, te je vrlo upitno može li se životni vijek opreme objektivno ocijeniti. Što se događa u slučaju da se životni vijek opreme stalno produžava odgovarajućim održavanjem? | Primljeno na znanje | Primljeno na znanje. |
| 9 | Ericsson Nikola Tesla d.d. | PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE, PRILOG | 17. Da li predlagatelj propisa namjerava ovaj upitnik pripremiti i u verziji na engleskom jeziku za potrebe subjekata iz inozemstva, a s ciljem da ne bi kroz razne neslužbene prijevode nastale sadržajne razlike između izvornog upitnika i prijevoda upitnika? Hvala! | Primljeno na znanje | Primljeno na znanje. |
| 10 | A1 Hrvatska d.o.o. | PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE | A1 Hrvatska d.o.o. (dalje: A1) ovim putem zahvaljuje na prilici da komentira odredbe Nacrta Prijedloga Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže (dalje: Prijedlog Pravilnika) a koje, ovisno o opsegu obveza, mogu značajno utjecati na poslovanje operatora u troškovnom dijelu te dijelu osiguranja kvalitete usluga koje operatori pružaju krajnjim korisnicima. Stoga je prema mišljenju A1 potrebno prije svega pojasniti koje će sve mrežne komponente i u kojim slučajevima biti predmet procjene te sve navedeno uskladiti sa zahtjevima i odredbama EU dokumenata, poglavito u dijelu kibernetičke sigurnosti, kako obveze koje se nameću operatorima elektroničkih komunikacija ne bi bile prekomjerne, a što bi se moglo tumačiti kao protivno jednom od temeljnih načela ex ante regulacije, tj. načelu razmjernosti između cilja koji se želi postići i obveza koje se nameću i koje se trebaju u određenom roku implementirati. Slijedom navedenog, A1 iznosi komentare uz pojedine odredbe Prijedloga Pravilnika te još jednom, sukladno praksi pojedinih zemalja iz okruženja, moli da stručni nositelj izrade Prijedloga Pravilnika razmotri preciznije definiranje pojedinih mrežnih komponenti u obliku priloga Pravilniku, a sve kako bi operatori mogli učinkovitije upravljati svojim poslovanjem. | Primljeno na znanje | Primljeno na znanje. |
| 11 | ZORAN SAMBOL | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | (1)a Postupak procjene sigurnosnog rizika za pravne osobe iz točke (1) obuhvaća sveukupnu procjenu sigurnosnog rizka za sve zaposlene unutar pravne osobe kao i sve povezana pravna društva, osnivače i vlasnike. | Primljeno na znanje | Primljeno na znanje. |
| 12 | Hrvatski Telekom d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | Posebne obveze vezano uz sigurnosno osjetljive mrežne komponente (članak 4. stavak 7.) Nastavno na prethodna naša pitanja i komentare vezano uz pojmove „radijske pristupne mreže (RAN)“ i „sigurnosno osjetljive mrežne komponente“, adresirana uz članak 2. točku 6. i članak 2. točku 13. Pravilnika, molimo da se uzme u obzir i sljedeće. Operatori u javnim pokretnim elektroničkim mrežama već sada imaju obvezu prijave HAKOM-u podataka o zemljopisnoj lokaciji i tehničkim podacima za svaku postavljenu radijsku postaju ili izmjenu podataka o postojećoj radijskoj postaji i to prije početka rada te radijske postaje. Stoga, ukoliko je namjera obvezom iz članka 4. stavka 7. Pravilnika obuhvatiti i radijske pristupne mreže u javnim pokretnim elektroničkim mrežama smatramo nepotrebno otegotnim operatorima u javnim pokretnim mrežama propisivati još jednu istovrsnu obvezu na način kako je predloženo. Naime, uz to što bi se radilo o značajnom administrativnom opterećenju s obzirom na značajan broj zahvata koji se svake godine provode na radijskim postajama, time bi se ujedno usporilo, a u pojedinim slučajevima i onemogućilo puštanje u rad pojedinih radijskih postaja. Pri tome prvenstveno mislimo na nemogućnost osiguranja odgovarajućeg (privremenog) pokrivanja u posebnim slučajevima koje je potrebno realizirati u roku od nekoliko dana ili sati (npr. masovni događaji kao što su koncerti, proslave i slično na lokacijama koje se ne koriste uobičajeno za to ili u slučaju prirodnih nepogoda, više sile i drugo). Mišljenja smo kako bi bilo dovoljno u sadašnjem postupku prijave HAKOM-u postojeći opseg podataka za svaku postavljenu radijsku postaju ili izmjenu podataka o postojećoj radijskoj postaji prije početka rada te radijske postaje dopuniti podatkom o proizvođaču ili dobavljaču opreme. Za ostale podatke iz članka 4. stavka 4. točke b. ne vidimo svrhu dostavljanja istog seta podataka pri svakoj pojedinoj ugradnji opreme sve dok se radi o istoj vrsti opreme istog proizvođača/dobavljača opreme. Mišljenja smo da bi bilo učinkovitije te podatke dostaviti jednom prije prve ugradnje pojedine vrste opreme nekog proizvođača ili dobavljača. Time bi se značajno smanjila količina dokumentacije, pojednostavnio postupak pripreme i dostave podatka te provjere zaprimljenih podataka, a otklonila bi se i zapreka za žurno osiguranje pokrivanja na pojedinom području. | Djelomično prihvaćen | Odredbe članka 4. stavaka 7. i 8. Pravilnika izmijenjene su na odgovarajući način. |
| 13 | Hrvatski Telekom d.d. | Značenje pojmova, Članak 2. | Kritične mrežne komponente (članak 2. točka 6.) Naše razumijevanje značenja pojma „kritične mrežne komponente“ je sljedeće: - kritičnom mrežnom komponentnom se smatra jezgrena mreža, pri čemu se svi ostali nabrojani elementi i funkcije (elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te mrežni elementi za međupovezivanje) smatraju kritičnim mrežnim komponentama ukoliko su dio jezgrene mrežne funkcionalnosti; - radijska pristupna mreža (RAN) se smatra kritičnom mrežnom komponentom kada se radi o nekom specifičnom RAN rješenju vlasnika/upravitelja pojedine kritične infrastrukture. Kako je rizik od mogućih značajnih sigurnosnih ugroza vezanih za zaštitu podataka povezan s mrežnim komponentama u jezgrenom segmentu mreže i pojam „kritične mrežne komponente“ bi se trebao odnositi na mrežne komponente koje su dio jezgrene mreže. To je u skladu i s ocjenom kritičnih mrežnih komponenti iz dokumenta EU koordinirana procjena rizika kibernetičke sigurnosti u 5G mrežama, pri čemu je taj dokument osnova na kojoj je izrađen Paket mjera Europske unije za kibernetičku sigurnost 5G mreža (tzv. 5G Toolbox). To je bitno istaknuti jer se i u Standardnom obrascu sadržaja dokumenta za savjetovanje koji je objavljen uz prijedlog Pravilnika navodi kako donošenjem ovog Pravilnika Republika Hrvatska provodi stratešku mjeru iz 5G Toolbox-a. Stoga bi šire tumačenje bilo nelogično imajući u vidu svrhu osiguravanje provjere sigurnosnog rizika, a dodatno bi zbog potencijalno puno šireg opsega mrežnih elemenata uključenih u postupak procjene sigurnosnog rizika u značajnoj mjeri opteretilo sve dionike uključene u taj postupak procjene (podnositelji zahtjeva, HAKOM i Sigurnosno-obavještajna agencija) u dijelu pripreme i analize zahtjeva, dok bi podnositelje zahtjeva usporilo u nabavnim postupcima i u instalaciji opreme, što bi u konačnici moglo negativno utjecati na održavanje već dosegnute razine sigurnosti, kvalitete i razvoja mreže. S obzirom da se obveze predložene predmetnim Pravilnikom u najvećoj mjeri primjenjuju u odnosu na kritične mrežne komponente, a kako bi se osigurala pravna sigurnost za obveznike na koje se primjenjuje predmetni Pravilnik i istovrsno razumijevanje svih dionika, smatramo kako je značenje pojma „kritične mrežne komponente“ potrebno prilagoditi kako bi jasnije odražavalo prethodno navedeno razumijevanje. | Djelomično prihvaćen | Definicija pojma "kritične mrežne komponente" u članku 2. stavku 1. točki 6. Pravilnika prilagođena je na odgovarajući način.. |
| 14 | HUAWEI TECHNOLOGIES d.o.o. | Značenje pojmova, Članak 2. | Predlažemo da se definicija kritičnih mrežnih komponenti dodatno precizira u svrhu pravne sigurnosti. PRIJEDLOG: U svrhu jasnijeg definiranja kritičnih mrežnih komponenti, predlažemo na trenutnu definiciju dodati tekst tako da prva rečenica odredbe čl. 2. st. 1. toč. 6. Pravilnika glasi: “jezgrena mreža, elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti bilo koje od prethodnih kritičnih mrežnih komponenti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te njezini mrežni elementi za međupovezivanje“ Radi još bolje jasnoće, predlaže se sljedeći format čl. 2. st. 1. toč. 6.: „kritične mrežne komponente: a) jezgrena mreža, b) elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, c) sustavi upravljanja i prateće funkcionalnosti bilo koje od prethodnih kritičnih mrežnih komponenti pod a) i b), d) sigurnosni elementi mrežnog transporta i prijenosa, e) oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te njezini mrežni elementi za međupovezivanje.“ OBJAŠNJENJE: Predloženom odredbom čl. 2. st. 1. toč. 6. Pravilnika “sustavi upravljanja i prateće funkcionalnosti” kao i “mrežni elementi za međupovezivanje” definirani su kao samostalne kritične mrežne komponente. Ono što je problematično je da su ti pojmovi iz tehničke perspektive izuzetno široki i neodređeni. U slučaju u kojem bi se svi postojeći i budući "sustavi upravljanja", njihove "prateće funkcionalnosti" kao i "mrežni elementi za međupovezivanje" označili kritičnim mrežnim komponentama, došlo bi toga da bi enormna količina ne kritičnih komponenti postala kritična. Primjerice, postojala bi opasnost da sustavi naplate i praćenja učinka, koji su po svojoj prirodi sustavi upravljanja, postanu kritična komponentna bez obzira jesu li sastavni dio kritične funkcionalnosti elektroničkih komunikacijskih mreža. Bilo koji takav sustav treba smatrati kritičnom mrežnom komponentom samo ako podržava kritične funkcije elektroničke komunikacijske mreže. Predloženim izmjenama u ovom prijedlogu sporni su pojmovi gramatički povezani s nedvojbenim kritičnim mrežnim komponentama u predmetnoj odredbi. Predloženim izmjenama u ovom prijedlogu sporni pojmovi i postojeće nejasnoće bili bi riješeni. | Djelomično prihvaćen | Definicija pojma "kritične mrežne komponente" u članku 2. stavku 1. točki 6. Pravilnika prilagođena je na odgovarajući način. |
| 15 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 12. Članak 4 stavak 8 Pravilnika navodi da će na temelju zaprimljenih podataka iz članka 4 stavka 7 Pravilnika, Agencija Sigurnosno-obavještajnoj agenciji dostavljati obavijest o planiranim ugradnjama opreme onih proizvođača i dobavljača opreme za koje je u bilo kojem postupku procjene sigurnosnog rizika, provedenom u skladu s ovim Pravilnikom, utvrđen visok sigurnosni rizik. No prema postojećem tekstu Pravilnika, sigurnosna procjena se uopće ne provodi za sigurnosno osjetljive mrežne komponente, nego samo za kritične mrežne komponente. Proizvođači/dobavljači samo RAN opreme (koji dakle ne dobavljaju jezgrenu mrežu nego samo RAN opremu) izuzeti su iz postupka procjene sigurnosnog rizika te naravno za njih ni ne može biti utvrđen visok sigurnosni rizik. Navedeno dovodi do rezultata da prema sadašnjem prijedlogu Pravilnika, Sigurnosno obavještajnoj agenciji ne mogu biti dostavljeni podaci za dobavljače/proizvođače koji isporučuju samo RAN opremu, a na hrvatskom tržištu to znači podaci za dobavljače/proizvođače iz trećih zemalja, odnosno država koje nisu članice EU. Predlažemo da se izmjenom članka 4 stavka 2 Pravilnika, kako smo predložili u našem komentaru broj 6, izričito odredi da se postupak procjene sigurnosnog rizika provodi u odnosu na proizvođače i dobavljače kritičnih mrežnih komponenti te na proizvođače i dobavljače sigurnosno osjetljivih mrežnih komponenti. | Djelomično prihvaćen | Novim stavkom 9. u članak 4. Pravilnika dodana je obveza da se propisani postupak sigurnosne procjene provodi, osim za kritične mrežne komponente, i za novonabavljene sigurnosno osjetljive mrežne komponente, koje su nabavljene nakon dana stupanja na snagu ovoga Pravilnika, uz odgodu ove obveze do 1. siječnja 2027. |
| 16 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 8. S obzirom da se sigurnosni rizik odnosi na osobu proizvođača i dobavljača (kako je i navedeno u prvom stavku ovog članka Pravilnika), a ne na samu opremu, pretpostavljamo da zahtjev za provođenje postupka procjene sigurnosnog rizika nije potrebno ponavljati u slučaju uvođenja novih modela opreme na tržište, osobito uzimajući u obzir da je uvođenje novih modela opreme konstantan proces, no ipak molimo za potvrdu ispravnosti iznesenog stava? U tom smislu, predlažemo izmjenu članka 4 stavka 4 točke b) prijedloga Pravilnika na način da se samo traži dostava popisa opreme, životnog vijeka opreme i dokaza sposobnosti proizvođača i dobavljača. | Djelomično prihvaćen | Članak 4. stavak 4. točka b) Pravilnika izmijenjena je na odgovarajući način. |
| 17 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 6. Prema članku 4 stavka 2 prijedloga Pravilnika, postupak procjene sigurnosnog rizika provodi se samo za proizvođače i dobavljače „kritične mrežne komponente elektroničke komunikacijske mreže“, a u koju prema definicijama iz članka 2 prijedloga Pravilnika nije uvrštena RAN oprema u javnim elektroničkim komunikacijskim mrežama. Za proizvođače i dobavljače sigurnosno osjetljive mrežne komponente u koje spada RAN oprema, nije predviđeno provođenje postupka procjene sigurnosnog rizika. To znači da bi se na hrvatskom tržištu postupak procjene sigurnosnog rizika provodio za proizvođače i dobavljače iz EU (koji dobavljaju kritičnu mrežnu komponentu - jezgrenu mrežu u mobilnim elektroničkim komunikacijskim mrežama) dok bi proizvođači i dobavljači iz trećih zemalja, odnosno izvan EU (koji su dobavljači samo RAN opreme), bili izuzeti od bilo kakve procjene sigurnosnog rizika. Ne moramo napominjati da je ovo u potpunoj suprotnosti s preporukama Europske komisije i intencijama dokumenta EU Toolbox („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine), a gdje se npr. navodi - SM03: „provoditi rigorozno ocjenjivanje profila rizičnosti svih relevantnih dobavljača na nacionalnoj razini..”. Predlažemo da se izmjenom članka 4 stavka 2 Pravilnika, a sukladno i našem prethodnom komentaru pod brojem 5, izričito odredi da se postupak procjene sigurnosnog rizika provodi u odnosu na proizvođače i dobavljače kritičnih mrežnih komponenti te na proizvođače i dobavljače sigurnosno osjetljivih mrežnih komponenti, bez obzira da li se radi o javnim elektroničkim komunikacijskim mrežama ili elektroničkim komunikacijskim mrežama koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura i bez obzira iz koje zemlje proizvođač/dobavljač dolazi. Sukladno našem komentaru predlažemo da članak 4 stavak 2 Pravilnika glasi kako slijedi: “Postupak iz stavka 1. ovoga članka pokreće se na zahtjev pravne ili fizičke osobe za kritične mrežne komponente elektroničke komunikacijske mreže i za sigurnosno osjetljive mrežne komponente elektroničke komunikacijske mreže”. | Djelomično prihvaćen | Slijedom obrazloženja danih na djelomično prihvaćanje komentara pod točkama 14., 20. i 21. na članak 4. Pravilnika, propisani postupak sigurnosne procjene provodit će se i za novonabavljene sigurnosno osjetljive mrežne komponente, koje su nabavljene nakon dana stupanja na snagu ovoga Pravilnika (uz odgodu ove obveze do 1. siječnja 2027.). Također, člankom 4. stavkom 2. Pravilnika precizirano je da se postupak sigurnosne procjene pokreće za kritične mrežne komponente elektroničke komunikacijske mreže proizvođača i dobavljača opreme iz trećih zemalja. |
| 18 | Ericsson Nikola Tesla d.d. | III. POSTUPCI, OBVEZE I OGRANIČENJA ZA PRAVNE I FIZIČKE OSOBE, Obveze pravnih i fizičkih osoba i Agencije | 5. Sa stanovišta sigurnosti elektroničkih komunikacijskih mreža, jezgrena mreža (Core), elementi upravljanja itd., kao i radijska pristupna mreža (RAN) (bez obzira upotrebljava li se u elektroničkim komunikacijskim mrežama za pružanje javne usluge ili kao potpora sustavima kritične infrastrukture) predstavljaju sigurnosno jednako osjetljivu infrastrukturu. Štoviše, u 5G baznim stanicama (gNB) koje su dio svake radijske pristupne mreže (RAN) ukida se enkripcija korisničkih podataka te je u gNB-u omogućen potpun pristup svim podacima u tzv. cleartext-u, odnosno bez zaštite enkripcije. Dodatno, unutar RAN-a moguće je manipuliranje integritetom poruka, prioritetima poruka i signalizacije (QoS), a RAN oprema je podložna i kibernetičkim zlouporabama koje mogu kompromitirati ili blokirati rad cjelokupne mobilne elektroničke komunikacijske mreže. Nadalje, tehnički razvoj i inicijative, kao što su distribuirani RAN, podijeljeni RAN, openRAN itd. dodatno fragmentiraju funkcije RAN-a, tako da ne postoji jasna granica između RAN tj. funkcionalnosti pristupne mreže i funkcionalnosti jezgrene mreže (Core) te omogućuju migraciju „inteligencije mreže“ tj. „Core“ funkcionalnosti u RAN mrežu. RAN-om u elektroničkim komunikacijskim mrežama za pružanje javne usluge danas se prenosi većina sigurnosno osjetljivih podataka (sudstvo, vanjski poslovi, znanost, tehnologije, javne financije, gospodarstvo...) a tako će biti i ubuduće. Stoga tzv. EU Toolbox („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine) za mjeru SM03 preporučuje: „ na temelju procjene profila rizičnosti, primijeniti ograničenja, uključujući potrebna izuzeća kako bi se smanjili rizici, za ključne resurse koji su u Izvješću o usklađenoj procjeni rizika na razini EU-a definirani kao kritični i osjetljivi (npr. funkcije jezgrene mreže, funkcije upravljanja mrežom i orkestracije _ te funkcije pristupne mreže _ )“. Također, i u posljednjem Izvještaju o napretku ("Second report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity") objavljenom dana 15.06.2023. godine, izrijekom se navodi da procjena i ograničenja moraju obuhvatiti kritične i osjetljive dijelove mreže uključujući RAN. Izuzimanje proizvođača i dobavljača RAN-a od postupka procjene sigurnosnog rizika (kao što je slučaj u trenutnom prijedlogu Pravilnika) bez obzira radi li se o mrežama za pružanje javne usluge ili potpore kritičnoj infrastrukturi, može imati ozbiljne sigurnosne posljedice. Postupak procjene sigurnosnog rizika, sukladno EU preporukama, potrebno je provoditi za proizvođače i dobavljače kritičnih i sigurnosno osjetljivih mrežnih komponenti, dakle i za proizvođače i dobavljače jezgrene mreže kao i za proizvođače i dobavljače radio pristupne mreže (RAN), bez obzira da li se radi o elektroničkim komunikacijskim mrežama za pružanje javne usluge ili potporu kritičnoj infrastrukturi. Skrećemo pažnju i na Direktivu NIS 2 ("DIREKTIVA EU 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA" od 14. prosinca 2022.) gdje se sektorom visoke kritičnosti definira i sektor “digitalne infrastrukture” i vrsta subjekta “pružatelj javnih elektroničkih komunikacijskih mreža". Iz navedenog proizlazi očita svijest o važnosti javnih elektroničkih komunikacijskih mreža te i iz ovog razloga predlažemo da se provode sigurnosne procjene za proizvođače i dobavljače kritičnih i sigurnosno osjetljivih mrežnih komponenti, bez obzira da li se radi o javnim elektroničkim komunikacijskim mrežama ili elektroničkim komunikacijskim mrežama koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura. | Djelomično prihvaćen | Člankom 4. Pravilnika propisano je. kao opće pravilo, da se postupak sigurnosne procjene pokreće za kritične mrežne komponente elektroničke komunikacijske mreže proizvođača i dobavljača opreme. Međutim, dodana je obveza da se i za novonabavljene sigurnosno osjetljive mrežne komponente, koje su nabavljene nakon dana stupanja na snagu ovoga Pravilnika, provodi propisani postupak sigurnosne procjene, uz odgodu ove obveze do 1. siječnja 2027. |
| 19 | Telemach Hrvatska d.o.o. | Značenje pojmova, Članak 2. | U odnosu na čl.2, točka 6 kritične mrežne komponente, predlažemo radi preciziranja odredbe, iza teksta „sustavi upravljanja i prateće funkcionalnosti“, dodati tekst „svakog od prethodno navedenih kritičnih mrežnih komponenti“ te prije riječi „mrežni elementi za međupovezivanje“, dodati riječ „njezini“. U odnosu na točku 15, istog članka, predlažemo da tekst glasi: „sustavi kritične infrastrukture : sustavi i mreže nacionalne i europske kritične infrastrukture određeni u skladu sa zakonom kojim se uređuju kritične infrastrukture.“ | Djelomično prihvaćen | Definicija pojma "kritične mrežne komponente" u članku 2. stavku 1. točki 6. Pravilnika prilagođena je na odgovarajući način, dok je definicija pojma "sustavi kritične infrastrukture" dovoljno jasno propisana. |
| 20 | A1 Hrvatska d.o.o. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | U članku 4. stavak 7. Prijedloga Pravilnika definirana je obveza za dostavu HAKOM-u podataka iz članka 4. stavak 4. točka a) i b) Prijedloga Pravilnika, kao i planirane zemljopisne lokacije postavljanja sigurnosno osjetljivih mrežnih komponenata koje su u definiciji u članku 2. stavak 1. točka 13., definirane kao RAN. Nadalje, u članku 4. stavak 8. Prijedloga Pravilnika definirano je da će HAKOM Sigurnosno-obavještajnoj agenciji proslijediti samo podatke o onoj opremi za koju je utvrđen visoki sigurnosni rizik. Nije jasna svrha ove odredbe i uvođenja pojma sigurnosno osjetljivih mrežnih komponenti jer RAN oprema (kako sada proizlazi iz Prijedloga Pravilnika) za koju može biti utvrđen visoki sigurnosni rizik je samo ona RAN oprema koja je isključivo potpora kritičnoj infrastrukturi, a na koju se onda, ako se utvrdi visoko rizičnom, primjenjuje odredba članka 6. Prijedloga Pravilnika, odnosno ili se zabranjuje uporaba takve opreme ili se ista treba zamijeniti u određenom roku iz članka 7. Prijedloga Pravilnika. Drugim riječima, uopće nije ni moguće da se u tom slučaju takva oprema postavlja na bilo kojoj zemljopisnoj lokaciji. | Djelomično prihvaćen | Odredbe članka 4. stavaka 7. i 8. Pravilnika izmijenjene su na odgovarajući način. |
| 21 | Hrvatski Telekom d.d. | PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE, PRILOG | Upitnik o procjeni sigurnosnog rizika proizvođača i dobavljača opreme – 3. Podaci o odgovornoj osobi proizvođača ili dobavljača opreme (Prilog) Postoji mogućnost da odgovorna osoba nema izdanu putovnicu. Stoga predlažemo da se predvidi mogućnost dostavljanje podatka i o nekom drugom identifikacijskom dokumentu. | Nije prihvaćen | Smatramo da je putovnica odgovarajući identifikacijski dokument. |
| 22 | Hrvatski Telekom d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | Zahtjev za provođenje postupka procjene sigurnosnog rizika za opremu koja je ugrađena prije stupanja na snagu Pravilnika (članak 7. stavak 2.) S obzirom da se za pojedinu opremu koja se već koristi u elektroničkoj komunikacijskoj mreži ne može isključiti kako neće biti moguće prikupiti sve podatke i dokumentaciju za koje se u članku 4. navodi kako moraju biti priloženi uz zahtjev (što osobito može biti slučaj ako je na primjer proizvođač ili dobavljač opreme u međuvremenu prestao postojati, ali i ako mu nije interes pomoći u prikupljanju svih potrebnih podataka ili dokumentacije), predlažemo da se u tom slučaju predvidi kako je uz zahtjev dovoljno dostaviti podatke koji su obvezniku podnošenja zahtjeva dostupni kako bi se zahtjev smatrao urednim. U skladu s tim predlažemo sljedeću izmjenu u članku 7. stavku 2.: "Pravna i fizička osoba iz članka 4. stavka 1. ovoga Pravilnika, koja je izgradila elektroničku komunikacijsku mrežu prije dana stupanja na snagu ovoga Pravilnika, obvezna je za opremu iz stavka 1. ovoga članka podnijeti uredan zahtjev iz članka 4. stavka 2. ovoga Pravilnika, uz dostavu svih dostupnih podataka iz članka 4. stavka 4. ovoga Pravilnika, u roku od dvanaest mjeseci od dana stupanja na snagu ovoga Pravilnika." | Nije prihvaćen | Člankom 7. stavkom 2. Pravilnika jasno su propisane obveze pravne i fizičke osobe koja je izgradila elektroničku komunikacijsku mrežu prije dana stupanja na snagu ovoga Pravilnika. |
| 23 | Hrvatski Telekom d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | Rok zamjene opreme (članak 7. stavak 4.) U slučaju odluke kojom se određuje obveza zamjene opreme smatramo kako bi rok zamjene opreme trebalo odrediti u odnosu na životni vijek opreme. Time bi se omogućila zamjena ugrađene opreme nakon isteka životnog vijeka opreme. Slijedom toga predlažemo da članak 7. stavak 5. glasi: „(4) Odlukom iz članka 6. ovoga Pravilnika odredit će se primjereni rok zamjene opreme za koju je utvrđen visok sigurnosni rizik, vodeći računa o životnom vijeku opreme.“ U slučaju prihvaćanja navedene izmjene može se brisati stavak 5. u članku 7. Pravilnika. Ukoliko bi se ipak zadržala predložena odredba iz članka 7. stavka 5. Pravilnika, skrećemo pažnju kako iz navedenog nije jasno tko će snositi trošak takve zamjene. S tim u vezi smatramo potrebnim napomenuti kako se ti troškovi ni u kom slučaju ne bi smjeli nadoknaditi iz sredstava koje HAKOM prikuplja od operatora, tj. obveznika plaćanja naknada za obavljanje poslova HAKOM-a, s obzirom a bi time posredno operatori potencijalno sami snosili trošak zamjene svoje opreme ili opreme svojih konkurenata, a što je suprotno svrsi ovih odredbi u prijedlogu Pravilnika. | Nije prihvaćen | Smatramo da je člankom 7. stavkom 4. Pravilnika određen primjeren rok zamjene opreme za koju je utvrđen visok sigurnosni rizik. |
| 24 | Hrvatski Telekom d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | Postupak procjene sigurnosnog rizika koji se provodi u svrhu podnošenja ponude u postupku javne nabave (članak 4. stavak 3.) Obzirom na predviđeno trajanje postupka procjene sigurnosnog rizika (8 dana za prosljeđivanje zahtjeva Sigurnosno-obavještajnoj agenciji + 30 dana za ocjenu sigurnosnog rizika + 8 dana za obavijest o prihvatljivom sigurnosnom riziku proizvođača /dobavljača), nejasno je kako će se ponuditelj moći kvalificirati za postupak javne nabave s obzirom na rokove trajanja javno nabavnog postupka. Znači li to da će se postupci javne nabave za opremu koja se namjerava koristiti kao potpora sustavima kritičnih infrastruktura adekvatno produljiti kroz dulji period savjetovanja ili sličan mehanizam u okviru Zakona o javnoj nabavi? | Nije prihvaćen | Imajući u vidu činjenicu da naručitelji u postupcima javne nabave određuju rok za dostavu zahtjeva za sudjelovanje i ponuda uzimajući u obzir složenost predmeta nabave i vrijeme potrebno za izradu zahtjeva za sudjelovanje i ponuda, a poštujući minimalne rokove propisane odredbama Zakona o javnoj nabavi, smatramo da su rokovi određeni člankom 4. Pravilnika uređeni na odgovarajući način. |
| 25 | HUAWEI TECHNOLOGIES d.o.o. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | Smatramo da je potrebno definirati što se podrazumijeva pod „potporom“ sustavima kritičnih infrastruktura. OBRAZLOŽENJE: Sukladno odredbi čl. 4. st. 1. Pravilnika, svaka osoba koja ima ili namjerava izgraditi, nadograditi ili održavati elektroničku komunikacijsku mrežu kao „potporu“ sustavima kritičnih infrastruktura mora podnijeti svoje kritične mrežne komponente na sigurnosnu procjenu. Također, sukladno odredbi čl. 2. st. 1. toč. 6. svaki RAN koji je dio elektroničke komunikacijske mreže koja je ili namjerava biti „potpora“ sustavima kritičnih infrastruktura - postaje kritična mrežna komponenta. Iako su ovo „temeljne“ odredbe u kojima se koristi pojam „potpora“ taj se pojam spominje i na drugim mjestima u Pravilniku (te se ovaj naš komentar odgovarajuće primjenjuje i na te slučajeve). Kao orijentaciju prilikom definiranja, postavljamo nekoliko ključnih pitanja. Što znači „potpora“ u kontekstu Pravilnika? Kako se može mjeriti? Od čega se sastoji? Mogu li se dobiti neki osnovni praktični primjeri elektroničkih komunikacijskih mreža koje su potpora sustavima kritičnih infrastruktura? | Nije prihvaćen | U članku 2. stavku 1. točki 15. Pravilnika jasno je definirano što se smatra sustavima kritične infrastrukture. |
| 26 | Ericsson Nikola Tesla d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | 16. Vezano za članak 7 stavak 5 prijedloga Pravilnika, također molimo da se uzmu u obzir rokovi iz našeg komentara pod brojem 15, a predani u odnosu na članak 7 stavka 4 prijedloga Pravilnika. | Nije prihvaćen | Smatramo da su rokovi propisani člankom 7. Pravilnika primjereno određeni. |
| 27 | Ericsson Nikola Tesla d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | 15. Zbrajanjem roka od dvanaest mjeseci iz članka 7 stavka 2 Pravilnika i roka od 5 godina iz članka 7 stavka 4 Pravilnika, dolazimo do toga da je moguće opremu proizvođača i dobavljača za koje je utvrđen visok sigurnosni rizik koristiti 6 godina od stupanja Pravilnika na snagu. S aspekta sigurnosti elektroničkih komunikacijskih mreža, zamjena opreme u tom roku je potpuno irelevantna s obzirom da ćemo i prije isteka tog roka imati novu generaciju komunikacijskih sustava, a koja će prirodno ionako zamijeniti postojeću. Dakle, ovaj bi rok mogao omogućiti nesmetano korištenje opreme proizvođača i dobavljača za koje je utvrđen visok sigurnosni rizik i daljnja ulaganja u tu opremu sve do dolaska nove tehnološke generacije. U cilju adresiranja aktualnih sigurnosnih izazova sukladno EU preporukama: „…države članice trebaju uvesti restrikcije na visokorizične dobavljače/proizvođače bez odgode, t.j. uzimajući u obzir da gubitak vremena može povećati ranjivost mreža u EU…“ - ("Second report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity", objavljen 15.06.2023. godine); primjereni rok za zamjenu opreme ne bi smio biti dulji od 01.01.2027 godine. Za sigurnosno osjetljive zemljopisne lokacije na kojima se nalaze npr. vladine ustanove, vojne baze, energetska infrastruktura, transportna čvorišta, luke i sl., rok zamjene opreme ne bi smio biti dulji od godinu dana računajući od stupanja Pravilnika na snagu. Također predlažemo da se u periodu do zamjene opreme, uvede zabrana bilo kakvih ulaganja pravnih i fizičkih osoba koje su izgradile elektroničku komunikacijsku mrežu, u opremu proizvođača i dobavljača za koje je utvrđen visok sigurnosni rizik, a koja ulaganja nisu neophodna za održavanje postojeće razine funkcionalnosti opreme do isteka perioda zamjene, a upravo kako bi se korisnike opreme potaknulo na zamjenu opreme umjesto daljnjih ulaganja u takvu opremu. Predlažemo da se članak 7 stavak 4 Pravilnika zamijeni sljedećim tekstom: „Odlukom iz članka 6 ovoga Pravilnika odredit će se primjereni rok zamjene opreme proizvođača ili dobavljača za kojeg je utvrđen visok sigurnosni rizik, vodeći računa o životnom vijeku opreme, pri čemu rok zamjene opreme ne može biti dulji od 01.01.2027. godine te će se ujedno odrediti i zabrana bilo kakvih ulaganja pravnih i fizičkih osoba koje su izgradile elektroničku komunikacijsku mrežu, u opremu ili usluge proizvođača ili dobavljača u odnosu na kojeg je utvrđen visok sigurnosni rizik, a koja ulaganja nisu neophodna za održavanje postojeće razine funkcionalnosti opreme ili usluga do isteka perioda zamjene. Za sigurnosno osjetljive zemljopisne lokacije na kojima se nalaze npr. vladine ustanove, vojne baze, energetska infrastruktura, transportna čvorišta, luke i sl., rok zamjene opreme je 12 mjeseci računajući od stupanja Pravilnika na snagu.“. | Nije prihvaćen | Smatramo da su rokovi propisani člankom 7. Pravilnika primjereno određeni. |
| 28 | Ericsson Nikola Tesla d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | 14. Člankom 7 stavka 2 prijedloga Pravilnika predviđeno je da se zahtjev za sigurnosnu procjenu podnosi u roku 12 mjeseci od stupanja Pravilnika na snagu. S obzirom da se ovdje radi o određivanju roka samo za podnošenje zahtjeva, ne vidimo razloga da se s time čeka 12 mjeseci jer se time faktički odgađa početak primjene sigurnosnih mjera i ne doprinosi se ostvarenju ciljeva EU Toolbox-a („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine). Predlažemo da se članak 7 stavka 2 prijedloga Pravilnika izmijeni na način da se odredi rok od najviše 90 dana od stupanja Pravilnika na snagu za podnošenje zahtjeva za sigurnosnu procjenu proizvođača i dobavljača kritičnih i sigurnosno osjetljivih mrežnih komponenti. Navedeni rok omogućava pripremu potrebne dokumentacije, a s druge strane doprinosi bržem početku provođenja sigurnosnih mjera. | Nije prihvaćen | Smatramo da je propisani rok iz članka 7. stavka 2. Pravilnika primjereno određen. |
| 29 | Ericsson Nikola Tesla d.d. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | 13. U skladu s našim komentarom pod brojem 11 predlažemo izmjenu članka 7 stavka 1 prijedloga Pravilnika na način da glasi kako slijedi: “Za kritične mrežne komponente i za sigurnosno osjetljive mrežne komponente opreme koja je prije dana stupanja na snagu ovoga Pravilnika ugrađena u elektroničke komunikacijske mreže, koje se upotrebljavaju u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura, provodi se postupak procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika.” | Nije prihvaćen | Slijedom obrazloženja danih na djelomično prihvaćanje komentara pod točkama 14., 20. i 21. na članak 4. Pravilnika, propisani postupak sigurnosne procjene provodit će se i za novonabavljene sigurnosno osjetljive mrežne komponente, koje su nabavljene nakon dana stupanja na snagu ovoga Pravilnika (uz odgodu ove obveze do 1. siječnja 2027.).. |
| 30 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 11. Članak 4 stavak 7 Pravilnika zahtijeva da se najmanje 30 dana prije ugradnje sigurnosno osjetljivih mrežnih komponenti u elektroničku komunikacijsku mrežu dostavi Agenciji u elektroničkom obliku podatke iz članka 4 stavka 7 točaka a) i b) Pravilnika te planirane zemljopisne lokacije ugradnje te opreme. Navedenim se pravilom regulira ugradnja sigurnosno osjetljivih mrežnih komponenti u periodu nakon stupanja Pravilnika na snagu, no s druge strane Pravilnikom nije regulirano, odnosno nisu uvedene nikakve obveze u vezi sigurnosno osjetljivih mrežnih komponenti ugrađenih prije stupanja Pravilnika na snagu. Time nastaje situacija da se te komponente mogu i nakon stupanja Pravilnika na snagu koristiti bez ikakvih ograničenja, nadzora i provjera. S ciljem otklanjanja opisanog rizika, predlažemo izmjenu Pravilnika na način da se sa sigurnosno osjetljivim mrežnim komponentama postupa na isti način kao i s kritičnim mrežnim komponentama, a sukladno EU Toolbox-u („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine) koja glasi: „…primijeniti ograničenja, uključujući potrebna izuzeća kako bi se smanjili rizici, za ključne resurse koji su u Izvješću o usklađenoj procjeni rizika na razini EU-a definirani kao kritični i osjetljivi (npr. funkcije jezgrene mreže, funkcije upravljanja mrežom i orkestracije te _ funkcije pristupne mreže _)“. Navedeno bi između ostalog značilo da se i na sigurnosno osjetljive mrežne komponente treba primijeniti članak 7 prijedloga Pravilnika. | Nije prihvaćen | Slijedom obrazloženja danih na djelomično prihvaćanje komentara pod točkama 14. i 20. na članak 4. Pravilnika, propisani postupak sigurnosne procjene provodit će se za novonabavljene sigurnosno osjetljive mrežne komponente, koje su nabavljene nakon dana stupanja na snagu ovoga Pravilnika (uz odgodu ove obveze do 1. siječnja 2027.). |
| 31 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 9. S obzirom da se na više mjesta u Pravilniku spominje životni vijek opreme, molimo određivanje definicije životnog vijeka opreme za potrebe primjene Pravilnika, a radi jednoznačnog određivanja životnog vijeka opreme te radi izbjegavanja mogućih nedoumica oko tumačenja navedenog pojma. | Nije prihvaćen | Trajanje životnog vijeka opreme određuje proizvođač opreme. |
| 32 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 7. Predlažemo da se članak 4 stavak 3 prijedloga Pravilnika izmijeni na način: ⦁ da se pokretanje postupka procjene sigurnosnog rizika predvidi kao obveza prije podnošenja ponude u postupku javne nabave (“mora pokrenuti” umjesto “može pokrenuti”), a kako javne naručitelje ne bi opterećivali ponuditelji za koje se na temelju procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika utvrdi visok sigurnosni rizik. Ujedno molimo podnositelja prijedloga za pojašnjenje fraze iz članka 4 stavka 3 prijedloga Pravilnika gdje se navodi “može pokrenuti proizvođač i/ili dobavljač čija će se oprema upotrebljavati…”. Da li navedeno znači da npr. dobavljač koji namjerava predati ponudu može podnijeti zahtjev za pokretanje procjene sigurnosnog rizika i za sebe i za proizvođača opreme koju namjerava ponuditi u postupku javne nabave? | Nije prihvaćen | Imajući u vidu činjenicu da naručitelji u postupcima javne nabave određuju rok za dostavu zahtjeva za sudjelovanje i ponuda uzimajući u obzir složenost predmeta nabave i vrijeme potrebno za izradu zahtjeva za sudjelovanje i ponuda, a poštujući minimalne rokove propisane odredbama Zakona o javnoj nabavi, smatramo da je odredba članka 4. stavka 3. Pravilnika uređena na odgovarajući način. |
| 33 | Ericsson Nikola Tesla d.d. | Mjerila za procjenu sigurnosnog rizika, Članak 3. | 4. Predlažemo da se popis mjerila za procjenu sigurnosnog rizika iz članka 3 Pravilnika proširi sukladno dokumentu “Annex 2 - Summary of the findings of the EU coordinated risk assessment” koji čini sastavni dio dokumenta EU Toolbox („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine). Predlažemo dodavanje i sljedećih mjerila: ⦁ “postojanje odluke Europske komisije o priznanju zemlje porijekla proizvođača i zemlje porijekla dobavljača kao zemlje koja osigurava adekvatnu zaštitu osobnih podataka"; ⦁ “mogući autoritarni režim zemlje porijekla proizvođača ili dobavljača opreme"; ⦁ “proizvođač ili dobavljač opreme su pod izravnom ili neizravnom kontrolom vlade putem vlasničke strukture ili znatnih financijskih sredstava (transparentnost financiranja)". Zbog potrebe da proizvođač opreme, a potencijalno i dobavljač opreme, uslijed pružanja usluga domaćim operaterima (npr. prilikom pružanja usluga održavanja gdje izravno pristupa opremi telekoma) prenosi određeni set osobnih podataka u svoju zemlju podrijetla, smatramo da je potrebno uzeti u obzir i ovo mjerilo, a radi osiguranja odgovarajuće zaštite građana Republike Hrvatske i Europske unije te nacionalne sigurnosti. Navedeni prijedlozi su usklađeni s dokumentom „PREPORUKA KOMISIJE (EU) 2019/534 оd 26. ožujka 2019., Kibersigurnost 5G mreža“, gdje se u članku 20 uvodnih odredaba navodi: „Drugi čimbenici mogu uključivati regulatorne ili druge zahtjeve za dobavljače opreme za informacijske i komunikacijske tehnologije. Pri procjeni važnosti takvih čimbenika trebalo bi među ostalim uzeti u obzir ukupan rizik utjecaja treće zemlje, posebno kad je riječ o njezinu modelu upravljanja, postoji li sporazum o suradnji ili sličan dogovor, kao što su odluke o primjerenosti, u području zaštite podataka između Unije i dotične treće zemlje ili je li ta zemlja stranka multilateralnih, međunarodnih ili bilateralnih sporazuma o kibersigurnosti, borbi protiv kiberkriminaliteta ili zaštiti podataka.“. | Nije prihvaćen | Smatramo da su mjerila za procjenu sigurnosnog rizika proizvođača i dobavljača opreme iz članka 3. Pravilnika propisana na odgovarajući način. |
| 34 | Ericsson Nikola Tesla d.d. | Značenje pojmova, Članak 2. | 2. Člankom 2 točka 3 Pravilnika, elektronička komunikacijska mreža je utvrđena kao „prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu…“. Umjesto navedenog predlažemo upotrebu pojma „sustavi prijenosa koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu…“, a u skladu s terminologijom koju koristi EUR-Lex portal. | Nije prihvaćen | Definicija pojma "elektronička komunikacijska mreža" u članku 2. stavku 1. točki 3. Pravilnika istovjetna je definiciji navedenog pojma propisanoj Zakonom o elektroničkim komunikacijama. |
| 35 | Ericsson Nikola Tesla d.d. | I. OPĆE ODREDBE, Značenje pojmova | 1. Predlažemo da se Pravilnikom, uz proizvođače i dobavljače mrežnih komponenti, kao treća skupina fizičkih ili pravnih osoba koje moraju zadovoljiti procjenu sigurnosnog rizika odrede pružatelji usluga upravljanja elektroničkim komunikacijskim mrežama (eng. „Managed Services“), a sukladno EU Toolbox („Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures“, izdan od strane Member States’ Cooperation Group on Network and Information Security u siječnju 2020. godine) za mjeru SM04 - “Controlling the use of Managed Service Providers (MSPs) and equipment suppliers third line support”. U skladu s navedenim predlažemo da se u članku 2 Pravilnika doda definicija pružatelja usluga upravljanja koja bi glasila: „pružatelj usluga upravljanja: svaka fizička i pravna osoba koja pruža usluge upravljanja za elektroničke komunikacijske mreže koje se upotrebljavaju ili namjeravaju upotrebljavati u Republici Hrvatskoj za pružanje javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura“. Ujedno predlažemo da se i u ostatak Pravilnika uvrste potrebne izmjene kako bi se i u odnosu na pružatelje usluga upravljanja provodio postupak procjene sigurnosnog rizika pod istim uvjetima kao za proizvođače i dobavljače kritičnih i osjetljivih mrežnih komponenti, uz osnovnu svrhu da pružateljima usluga upravljanja u odnosu na koje je utvrđen visok sigurnosni rizik ne smije biti omogućeno pružanje navedenih usluga. Navedeno smatramo potrebnim jer pružatelji navedenih usluga u tijeku vršenja svojih poslova vrše zadatke na samim mrežnim komponentama što znači da imaju pristup svim mrežnim komponentama, omogućen im je pristup podacima s mrežnih komponenti te je samim time otvoren i prostor za moguće zlouporabe. | Nije prihvaćen | Ovaj Pravilnik donosi se na temelju zakonske ovlasti iz članka 55. stavka 6. Zakona o elektroničkim komunikacijama (NN br. 76/22. i 14/24.) i njime se uređuje postupak procjene sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže koje se upotrebljavaju ili namjeravaju upotrebljavati u Republici Hrvatskoj za pružanje javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura. |
| 36 | Telemach Hrvatska d.o.o. | Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, Članak 7. | U odnosu na čl.7 st.5 Pravilnika predlaže se brisanje riječi „mogućih“. Predlaže se, na kraju stavka, iza riječi „zamjene“ dodati tekst „pri čemu će se uzeti u obzir troškovi nabave i instalacije nove opreme, povećane troškove održavanja uzrokovane zamjenom opreme, troškove deinstalacije i zbrinjavanja postojeće opreme te trošak radnih sati potrebnih za zamjenu opreme, kao i troškovi održavanja postojeće opreme.“ | Nije prihvaćen | Smatramo da je odredba članka 7. stavka 5. Pravilnika uređena na odgovarajući način. |
| 37 | Telemach Hrvatska d.o.o. | Odluka Vijeća Agencije o sigurnosnom riziku proizvođača i dobavljača opreme, Članak 6. | U odnosu na čl.6 st.2 točku b) predlaže se dopuna teksta tako da se na kraju točke b) iza riječi „odluka“ doda tekst „ te moguće načine otklanjanja rizika“. U istom članku 6, st.2 predlaže se dopuna točke d) na način da se iza riječi „rokove“ doda tekst „i troškove nadoknade“ tako da točka d) glasi: „u slučaju ugrađene opreme, uvjete, rokove i troškove nadoknade zamjene te opreme iz članka 7. ovoga Pravilnika“. | Nije prihvaćen | Smatramo da su sastavni dijelovi odluke Vijeća HAKOM-a, na način kako su propisani člankom 6. stavkom 2. Pravilnika, primjereni i dostatni. |
| 38 | Telemach Hrvatska d.o.o. | I. OPĆE ODREDBE, Predmet Pravilnika | Zahvaljujemo na prilici za dostavom komentara. U nastavku dostavljamo prijedloge radi preciziranja pojedinih odredaba. U odnosu na čl.1 st.1., predlažemo dopuniti tekst na način da se na kraju stavka 1., iza riječi „kao potporu sustavima kritičnih infrastruktura“, doda tekst „određenih temeljem propisa kojim se uređuju kritične infrastrukture“ | Nije prihvaćen | U članku 2. stavku 1. točki 15. Pravilnika definirano je što se smatra sustavima kritične infrastrukture. |
| 39 | A1 Hrvatska d.o.o. | Značenje pojmova, Članak 2. | Molimo pojašnjenje definicije iz članka 2. stavak 1. točka 6. Prijedloga Pravilnika koja glasi: „6. kritične mrežne komponente: jezgrena mreža, elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te mrežni elementi za međupovezivanje. U elektroničkim komunikacijskim mrežama, koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura, kritične mrežne komponente obuhvaćaju i radijsku pristupnu mrežu (RAN)“ Ista je nužna radi potpunog razumijevanja i pravovremenog ispunjavanja obveza koje su propisane u članku 4. i članku 7. Prijedloga Pravilnika koje se odnose na kritične mrežne komponente opreme koje se upotrebljavaju u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura i da li sustavi kritičnih infrastruktura obuhvaćaju isključivo identificirane kritične infrastrukture sukladno Zakonu o kritičnim infrastrukturama. Stoga nam je potrebno precizno pojašnjenje: a) o kojim se točno mrežnim komponentama radi uz podjelu na nepokretnu i pokretnu mrežu, s posebnim osvrtom na sustave upravljanja i prateće funkcionalnosti i mrežnih elemenata za međupovezivanje b) da li se kritične mrežne komponente prijavljuju u svakom slučaju neovisno o tome da li su potpora ili ne sustavima kritičnih infrastruktura, drugim riječima kada se koriste i za pružanje komercijalnih elektroničkih komunikacijskih usluga? Naime, kada se govori o potpori sustavu kritične infrastrukture, možete li nam potvrditi da taj termin ne obuhvaća pružanje uobičajene usluge u pokretnoj mreži koja je dio komercijalne ponude privatnim i poslovnim korisnicima? Naše je razumijevanje da predmetni pojam potpore sustavu kritične infrastrukture obuhvaća, primjerice, interne komunikacijske sustave na nekoj lokaciji kritične infrastrukture? c) koji su to slučajevi elektroničkih komunikacijskih mreža koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura u kojem isključivo slučaju kritične mrežne komponente obuhvaćaju dodatno i radijsku pristupnu mrežu (RAN)? S tim u vezi potrebno je i pojasniti o kojoj se RAN opremi radi. | Nije prihvaćen | Definicija pojma "kritične mrežne komponente" u članku 2. stavku 1. točki 6. Pravilnika dopunjena je i dovoljno jasno određena, a dodatno su sustavi kritične infrastrukture jasno definirani u članku 2. stavku 1. točki 15. Pravilnika. |
| 40 | ZORAN SAMBOL | PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE, PRILOG | U tablici umjesto "Navedite članove upravljačkih i nadzornih tijela:" treba pisati "Navedite članove upravljačkih i nadzornih tijela s podacima; Ime i Prezime, adresa stanovanja i OIB:" | Nije prihvaćen | Smatramo da upitnik u ovom dijelu sadržava dostatne osnovne podatke. |
| 41 | ZORAN SAMBOL | PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE, PRILOG | U tablici umjesto: "Navedite nositelje poslovnih udjela/dioničare koji imaju više od 25% udjela/dionica u kapitalu društva:" treba pisati: "Navedite nositelje poslovnih udjela/dioničare koji imaju udjele/dionice u kapitalu društva:" | Nije prihvaćen | Smatramo da je predviđeni prag od 25% (kontrolni prag) dostatan za provedbu sigurnosne procjene. |
| 42 | ZORAN SAMBOL | III. POSTUPCI, OBVEZE I OGRANIČENJA ZA PRAVNE I FIZIČKE OSOBE, Obveze pravnih i fizičkih osoba i Agencije | Pravne i fizičke osobe osobe iz točke (1) ne smiju biti u sudskom, predstečajnom ili stečajnom postupku te ne smiju dugovati Republici Hrvatskoj ni po jednoj osnovi: porezi, davanja, plaćanja... | Nije prihvaćen | Nije predmet uređivanja ovoga Pravilnika. |
| 43 | Ericsson Nikola Tesla d.d. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | 10. Molimo da predlagatelj Pravilnika odredi što se smatra dokazom sposobnosti proizvođača i dobavljača da osigura kontinuiranu isporuku opreme, iz članka 4 stavka 4 Pravilnika? | Prihvaćen | Dokaz o sposobnosti proizvođača i dobavljača opreme brisan je iz odredbe članka 4. stavka 4. točke b) Pravilnika. |
| 44 | Ericsson Nikola Tesla d.d. | Značenje pojmova, Članak 2. | 3. Molimo da predlagatelj propisa definira što se sve smatra sustavima kritične infrastrukture za potrebe primjene ovog Pravilnika. Naime, Zakon o kritičnim infrastrukturama daje opću definiciju pojma kritične infrastrukture, ali nedostaje identifikacija konkretnih infrastruktura koje spadaju u kritičnu infrastrukturu. | Prihvaćen | Člankom 2. stavkom 1. točkom 15. Pravilnika definirano je što se smatra sustavima kritične infrastrukture. |
| 45 | Telemach Hrvatska d.o.o. | Obveze pravnih i fizičkih osoba i Agencije, Članak 4. | U odnosu na čl.4, st.4, točka b) predlažemo da se tekst „podroban opis opreme“ dopuni sa naznakom da se radi o aktivnoj opremi te da isti tekst glasi „podroban opis aktivne opreme“ | Prihvaćen | Prihvaćen. |