Izvješće o provedenom savjetovanju - Savjetovanje o Nacrtu prijedloga zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga s konačnim prijedlogom zakona

Redni broj
Korisnik
Područje
Komentar
Status odgovora
Odgovor
1 Mladen Milavić NACRT PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA, S KONAČNIM PRIJEDLOGOM ZAKONA Opći komentar i prijedlozi: Poštovani, U svezi novog Zakona o kibernetičkoj sigurnosti u nastavku slijede komentari i prijedlozi. Mišljenje je kako bi se postojeći prijedlog ovog zakona morao još malo raspraviti s obrirom na nedavnu odluku EK, gdje je EK poduzela još jedan važan korak u vezi s poboljšanjem kibernetičke sigurnosti. Sve države članice će morati transponirati do 9. svibnja Direktivu o sigurnosti mrežnih i informacijskih sustava ( NIS Directive), Komisija je donijela provedbenu Uredbu (implementing regulation) o digitalnim pružateljima usluga (npr. cloud computing usluge, online tržišta i tražilice). Predlažemo da se s obzirom na novu provedbenu Uredbu, napravi dodatno usuglašavanje s trendovima u kibernetičkoj sigurnosti, jer vjeujemo kako postoji potreba za dodatnim usklađenjem. Pri ovom, predlažemo da se kontaktiraju najbolje svjetske tvrtke i razmijene najbolje svjetske prakse u domeni kibernetičke sigurnosti. Naši komentari su usredotočeni na pet prioritetnih pitanja vezanih uz davatelje digitalnih usluga (Digital Service Providers – DSP): 1) režim "light-touch" i "one-stop shop" pristup reguliranju DSP-ova; 2) potreba da bilo koji predloženi režim novčanih kazni biti razmjeran i odražavati dogovoreni “light-touch” pristup; 3) definicija "usluge računalstva u oblaku"; 4) uloga nacionalnog nadležnog tijela za DSP i 5) prijedlog prijelaznog razdoblja u primjeni zakona; kao i povratne informacije o obvezama za DSP, kao što su sigurnosne osnove i prijavljivanje incidenta. “Light-touch” režim i One-Stop Shop U postupku usvjanja NIS direktive dogovoreno je kako DSP-ovi ne bi trebali biti podložni istim obvezama ili razinama kontrole kao operatori koji pružaju ključne usluge za društvo ili nacionalnu ekonomiju (Operators of Essential Services - OES), u energetici, transportu i drugim kritičnim sektorima. S obzirom na "prirodu njihovih usluga i operacija", europski su zakonodavci prihvatili samo DSP-ove u okviru NIS direktive, s razumijevanjem da će DSP-ovi biti podložni "light-touch" režimu. "One-stop shop", koji osigurava da DSP-ovi podliježu jedino nadležnosti regulatora unutar EU gdje DSP ima stalno mjesto poslovanja odnosno gdje davatelj usluga u neodređenom vremenskom razdoblju upravlja svojom djelatnošću kao što je to navedeno u članku 5. stavku 13. prijedloga. Navedeno predstavlja kritički element “light-touch” pristupa. To je osobito važno jer DSP-ovi obično nude svoje usluge u mnogim ili svim državama članicama. Od ključne je važnosti da se Hrvatska pridržava načela "one-stop shop". DSP-ovi koji imaju svoje glavno sjedište u EU, ali koji također pružaju usluge u Hrvatskoj, ne bi se trebali suočiti sa zahtjevima za dvostrukim izvješćivanjem (npr. prema DSP regulatoru zemlje sa stalnim mjestom poslovanja i nadležnom nacionalnom regulatoru) ili dvostrukim novčanim kaznama. Pozivamo da se u donošenju ovog zakona imaju na umu ovi problemi kako bi se izbjeglo kažnjavanje DSP-a jednostavno zbog osnivanja u Hrvatskoj. Prekršajne odredbe U sedmom dijelu naznačeno je da bi novčane kazne za OES operatore u kontekstu implementacije NIS direktive trebale biti u skladu s DSP-ovima. Niža razina potencijalnih novčanih kazni za DSP-ove bila bi više u skladu s usporedivim zakonima EU i Velikoj Britaniji, kao što su iste u području zdravlja i sigurnosti i odgovornosti za proizvode, te u skladu s planovima ostalih država članica u implementaciji NIS direktive. Ukratko, prijedlog da se DSP-ovi podvrgnu sličnim razinama kazni neproporcionalno je u usporedbi s drugim zakonima. Prijedlog da se DSP-ovi podvrgnu istoj razini kazni kao i OES operatore također ne uzima u obzir dogovoreni “light-touch” režim. Iako je NIS direktiva prepustila državama članicama da utvrde pravila o kaznama, bilo bi u suprotnosti s NIS direktivom podvrgnuti DSP-ove na istu razinu kazni kao i OES operatore. To bi se trebalo mijenjati kako bi se osigurala jedna razina novčanih kazni za OES operatore i još jedna, mnogo smanjenu razinu novčanih kazni za DSP-ove. Definicija " usluge računalstva u oblaku " i opseg pokrivenih DSP-ova Prijedlog iz članka 5., stavka 24. definicije “usluge računalstva u oblaku” je preširok jer ne razlikuje različite razine kritičnosti povezane s različitim vrstama usluga računalstva u oblaku. U skladu s priznatim, slobodno dostupnim međunarodnim standardima, obveze za usluge računalstva u oblaku trebale bi se primjenjivati samo na najkritičnije usluge na koje se druge tvrtke oslanjaju, a to su javne IaaS usluge računalstva u oblaku. Jedan od načina da se pruži najveća jasnoća razmatranja kritičnosti usluge računalstva u oblaku temelji se na vrsti usluge (servis, platforma ili infrastruktura) i modela implementacije oblaka (privatni, zajednički, hibridni ili javni) kao što je definirano u ISO17788:2014. Ovaj pristup bi također bio u skladu s zahtjevom iz NIS direktive za države članice EU I Veliku Britaniju da potiču usklađenost ili sukladnost s određenim i priznatim standardima. Vrsta infrastrukturne usluge, često se naziva Infrastructure-as-a-Service (IaaS), ima značajan utjecaj na razmatranje kritičnosti u tim okolnostima. Kao što je objašnjeno u odjeljku 10.2.1 "Service capabilities functional component" (ISO 17789:2014), vrsta usluge servisa (tj. Software-as-a-Service ili SaaS) može se implementirati pomoću platforme (npr. Platform-as-a-Service ili PaaS) koji zauzvrat može biti implementiran pomoću infrastrukture (IaaS). Sučelja između tih sukcesivnih slojeva potrebnih za pokretanje i upravljanje usluga računalstva u oblaku znače da IaaS incident može imati veću kritičnost nego PaaS ili SaaS. Nadalje, javne usluge računalstva u oblaku potencijalno su dostupne svakom klijentu. Javni će oblak imati veću kritičnost od privatnog oblaka, kao što je objašnjeno u odjeljku ISO 17789:2014, poglavlje 8.5.12.4 "Implications of cloud deployment models". Ograničavanje obveza za usluge računalstva u oblaku za javne računalne usluge IaaS također bi bilo u skladu s tekstom i ciljem NIS direktive. Nasuprot tome, uključivanje privatnih i hibridnih oblaka u opsegu bi bio u suprotnosti s pristupom NIS direktive navedenima u čl. 16 (4), jer DSP često neće biti svjestan incidenata koji utječu na pojedine organizacije koje realiziraju (koriste) usluge privatnog ili hibridnog oblaka i nakon toga neće imati dovoljno podataka za izvješćivanje. Proširivanje opsega za uključivanje svih poslovnih SaaS usluga ponuđenih u Hrvatskoj učinilo bi provedbu neizvedivom i vjerojatno neučinkovitom jer bi nadležno tijelo trebalo raditi kroz veliku količinu “šumova” u sustavu, što može lako smanjiti fokusiranje na najvažnije incidente koji utječu na kritičnu infrastrukturu / platformske usluge - na kojima se zatim izvode SaaS usluge. Obveze operatora ključnih usluga i davatelja digitalnih usluga u okviru nadzora U ovom dijelu (članak 27. (4) govori se kako su operatori ključnih usluga (OES) i davatelji digitalnih usluga (DSP) dužni u okviru nadzora nadležnom sektorskom tijelu, na njegov zahtjev, omogućiti neposredan pristup svojim objektima i sustavima koji im služe za potporu u obavljanju ključnih odnosno digitalnih usluga. Obzirom na poslovni model pružatelj usluga računalstva u oblaku ovakva odredba neće biti provediva jer u stvarnosti nije moguće omogućiti pristup mreži podatkovnih centara (izravni pristup), osobito objekata i sustava. Naš je prijedlog da se navedeno treba regulirati / upravljati kroz postojeće revizije ili neki drugi model kako bi se omogućilo nesmetano obavljanje ovih usluga na jedinstvenom tržištu EU. Hrvatsko nacionalno nadležno tijelo za davatelje digitalnih usluga Napominjemo da sadašnji prijedlog transpozicije predviđa da je nacionalni CERT nacionalno nadležno tijelo (NCA). Pozdravljamo ovu odredbu, jer svaka nacionalna agencija mora imati potrebnu tehničku stručnost, fizičku infrastrukturu i odgovarajuće resurse koji su posebno važni za mrežnu i informacijsku sigurnost. Osim toga, od ključne je važnosti da svaki obvezni režim obavijesti o incidentima ne utječe negativno na postojeće, dobrovoljne prakse za razmjenu informacija koje se danas odvijaju između industrije i vlade. Dobrovoljna razmjena informacija najčešće se temelji na povjerljivim odnosima uspostavljenim tijekom određenog vremenskog razdoblja. Sukladno tome, hrvatska vlada bi trebala osigurati: (1) da nacionalnom CERT-u daju odgovarajuće resurse, infrastrukturu i stručnost; i (2) da industrija dobiva pojašnjenja o predviđenom odnosu između tradicionalnih dionika u području mrežne i informacijske sigurnosti u Hrvatskoj kako bi se osigurali odgovarajući vatrozidovi između postojećeg dobrovoljnog dijeljenja informacija na temelju povjerenja i obaveznog izvješćivanja o incidentu. Svaki nedostatak jasne razdvojenosti između tih procesa može imati neželjene posljedice s potencijalno štetnim posljedicama na sposobnost očuvanja postojeće povjerljive mreže. Prijelazno razdoblje S obzirom na prilično kasnu fazu u kojoj Hrvatska sada prenosi NIS direktivu i odgađanje donošenja provedbenih akata, predlažemo produženje prijelaznog razdoblja (do kraja 2019.) tijekom kojeg bi tvrtke trebale imati koristi od određene fleksibilnosti u smislu primjene. Takvo prijelazno razdoblje bit će ključno kako bi se tvrtkama dala dovoljno vremena za prilagodbu i pripremu za usklađivanje s tim novim zahtjevima. Djelomično prihvaćen Provedbena uredba Europske komisije od 30.01.2018. (SL L 26/48, 31.1.2018.) predstavlja provedbeni akt NIS direktive (DIREKTIVA (EU) 2016/1148 EUROPSKOG PARLAMENTA I VIJEĆA od 6. srpnja 2016.) s kojom je potpuno usklađena te ju dodatno razrađuje u elementima istaknutim u naslovu (masno): „PROVEDBENA UREDBA KOMISIJE (EU) 2018/151 оd 30. siječnja 2018. o utvrđivanju pravila za primjenu Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća u odnosu na dodatne specifikacije elemenata koje pružatelji digitalnih usluga moraju uzeti u obzir u upravljanju rizicima kojima je izložena sigurnost njihovih mrežnih i informacijskih sustava i parametara za utvrđivanje ima li incident znatan učinak. Za razliku od NIS direktive koja predstavlja obvezu transpozicije u nacionalno zakonodavstvo svake države članice EU, Provedbena uredba se direktno primjenjuje na sve države članice u dijelu koji propisuje odgovornosti DSP-ova sa sjedištem u zemlji članici. Prema tome, u ovom dijelu odgovornosti DSP-ova nema mogućnosti dodatnog usklađivanja na razini države članice već se izravno primjenjuje Provedbena uredba od 30. siječnja 2018., nastavno na NIS direktivu. Provedbena uredba EK bila je prije donošenja na javnoj raspravi u organizaciji EK (https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2017-4460501_en) te su u razdoblju od 13. rujna do 11. listopada 2017. zaprimljene i obrađene primjedbe i prijedlozi različitih subjekata koji su iskazali interes pa i globalnih kompanija. 1) “light-touch” pristup predstavlja razliku između DSP-ova i OES-ova u smislu odgovornosti za provedbu procjene rizika i primjene mjera, pri čemu DSP-ovi to procjenjuju sami na bazi pravila EK u NIS direktivi i Provedbenoj uredbi EK, dok u slučaju OES-a pravila donose države članice nacionalnim transpozicijskim aktima za prijenos NIS direktive. Druga razlika je odgovornost za obavješćivanje o incidentima u okviru koje su DSP-ovi odgovorni provoditi izvješćivanje prema parametrima značajnih incidenata utvrđenih spomenutom Provedbenom uredbom EK, a OES-ovi će obvezu obavještavanja izvršavati prema parametrima utvrđenim nacionalnim transpozicijskim aktima. Dodatno, DSP-ovi su izuzeti od obveza iz NIS direktive u slučaju kada zadovoljavaju uvjet za mikro i male subjekte malog gospodarstva (do 50 zaposlenih, godišnji promet do 10 milijuna EUR). "One-stop shop" se odnosi na utvrđivanje primjene obveza DSP-ova sukladno sjedištu DSP-a u jednoj državi članici EU i bez obzira na mogućnost davanja specificiranih vrsta digitalnih usluga na tržištu cijele EU. Pri tome se nadležna tijela država članica u kojima DSP daje usluge moraju koordinirati s nadležnim tijelima države u kojoj DSP ima sjedište (npr CSIRT-ovi), a nadležna tijela u kojima DSP ima sjedište dužna su poštivati obveze DSP-ova propisane aktima EK. U tom smislu nema dvostrukog postupanja prema DSP-ova ni po kojoj osnovi već su nadležna tijela koja postupaju uvijek ona iz države članice u kojoj je sjedište DSP-a i sam DSP je odgovoran koordinirati svoje sigurnosne mjere i obavješćivanje o incidentima prema nadležnim tijelima države članice u kojoj ima sjedište. Hrvatska je dužna osigurati nadležna tijela za DSP-ove koji imaju ili će imati sjedište u RH, kao i za potrebe koordinacije s nadležnim tijelima u drugim državama EU-a u kojima je sjedište DSP-a koji pruža usluge hrvatskim građanima. Pri tome je odgovornost za procjenjivanje potpadaju li pod obveze NIS direktive, na samim DSP-ovima, kao i za provedbu sigurnosnih mjera i obavješćivanje o značajnim incidentima u odgovornosti DSP-a. Nadležna tijela za DSP-ove moraju biti definirana u svim državama članicama kako bi mogla postupati u slučaju zahtjeva DSP-a koji je sam prepoznao da je obveznik NIS direktive, ili u slučaju incidenta sa znatnim učinkom koji je nastao zbog DSP-ovog izbjegavanja obveza u provedbi NIS direktive (i spomenute Provedbene uredbe EK). U svim slučajevima to su nadležna tijela države članice u kojoj DSP ima sjedište. “Light-touch” režim za DSP-ove nije u vezi s iznosima kazni zbog neprovođenja obveza, već isključivo s načelom primjerene pažnje za korisnike svojih usluga i to se odnosi kako na OES-ove tako i na DSP-ove. Predložene kazne su simetrične za OES i DSP pravne osobe i usklađene su s iznosima predviđenim u RH za ovakve postupke. Naravno, te kazne su primjenjive za sve identificirane OES-ove te DSP-ove sa sjedištem u RH. S obzirom da DSP može predstavljati dio infrastrukture OES operatora, a broj korisnika i geografska pokrivenost uslugama su bitno veći u slučaju DSP-ova, nema razloga za njihov povlašteni tretman u slučaju izbjegavanja provedbe obveza iz NIS direktive. Ograničenja primjene hrvatskog zakona na DSP-ove jasno su utvrđena u čl.3., st.2., Nacrta, a primjena ranije spomenute Provedbene uredbe EK na DSP-ove kako je gore pojašnjeno predviđena je člankom 15. stavkom 2. i člankom 22. stavkom 2. Nacrta. Definicija digitalne usluge „računalstvo u oblaku“ prenesena je u cijelosti iz NIS direktive te ju nije moguće mijenjati na razini država članica već ju države članice moraju transponirati u nacionalno zakonodavstvo. Tri NIS direktivom odabrane digitalne usluge (prema procjeni EK i suglasnosti država članica u okviru postupka donošenja NIS direktive), predstavljaju ključne usluge na razini jedinstvenog digitalnog tržišta EU-a, dok kritičnost pojedinih načina implementacije infrastrukture i usluga DSP-ova, koje daju na EU tržištu, procjenjuju sami DSP-ovi. Pri tome su DSP-ovi dužni birati način provedbe sigurnosnih mjera i relevantne međunarodne ili EU norme koje će koristiti. Primjerice, parametri po kojima DSP mora utvrđivati je li učinak nekog incidenta znatan, u potpunosti su zadani čl.3. Provedbene uredbe EK. Obveza obavješćivanja o incidentu se primjenjuje samo kada DSP ima pristup podacima za procjenu utjecaja incidenta prema zadanim parametrima. Članak 27. stavak 4. Nacrta bit će izmijenjen i nadopunjen, uvažavajući posebno članak 17. stavak 3. NIS direktive. Nacrtom se predviđa davanje novih nadležnosti tijelima u RH koje su u određenoj mjeri i do sada obavljale slične poslove ili su sektorski nadležna za gospodarska područja obuhvaćena NIS direktivom. U tom smislu sva tijela posjeduju inicijalnu spremnost za obavljanje traženih poslova, a kroz rokove provedbe Nacrta bit će potrebno daljnje oblikovanje poslovnih procesa i infrastrukture u svim nadležnim tijelima i identificiranim operatorima ključnih usluga, a za što će im biti na raspolaganju i mogućnosti korištenja nepovratnih EU financijskih sredstava kako je pojašnjeno u obrazloženju Nacrta. Detaljnija razrada sustava obavješćivanja na nacionalnoj razini i u odnosu na EU razinu planira se u okviru podzakonskog akta ovog Nacrta, Uredbi Vlade RH, koja je u izradi i planira se njeno stupanje na snagu ubrzo nakon stupanja na snagu predmetnog Zakona. Prijelazno razdoblje za provedbu mjera za identificirane OES-e je utvrđeno u roku od 12 mjeseci od identifikacije OES-a, koja se provodi u roku od 90 dana od donošenja Zakona planiranog za svibanj 2018. U tom smislu ovaj rok se za identificirane OES-ove i očekuje u 4. kvartalu 2019. Što se tiče obaveza o izvješćivanju, definiran je rok od 120 dana od stupanja na snagu Zakona, a isti će u velikoj mjeri služiti lakšoj provedbi sigurnosnih mjera kod operatora ključnih usluga i koordinaciji nadležnih tijela te uigravanju cijelog sustava tijekom 4. kvartala 2018. i u 2019. godini. Rok za obavješćivanje i nakon stupanja na snagu primjenjiv je samo za identificirane nacionalne OES-ove, a za DSP-ove sa sjedištem u RH (i koji ne predstavljaju mikro i mali subjekt malog gospodarstva), koji procjene da zadovoljavaju kriterije iz NIS direktive i Provedbene uredbe EK, taj rok je prema tim aktima teče od 10. svibnja 2018. Prijelazni rokovi u Nacrtu su odabrani na sličan način u svim državama članicama i prate NIS direktivu, a proces transpozicije u RH je u okvirima prosječne dinamike kakva je u transpoziciji NIS direktive u državama članicama, s tim da se Nacrtom u odnosu na DSP-ove njegovim člankom 48. ponovno upućuje na Provedbenu uredbu EK (budući da se ona izravno primjenjuje u svim državama članicama).