Izvješće o provedenom savjetovanju - Savjetovanje o prijedlogu Zakona o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019.
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | Hrvatski Telekom d.d. | II. PROVEDBA, Članak 4. | Predlažemo da se predmetnim Zakonom detaljno definira pojam sheme kibernetičke sigurnosti. | Nije prihvaćen | Definicija je dana u članku 3. stavku 1. točki 3. kao „europska shema kibernetičke sigurnosne certifikacije“, gdje se ispravlja netočan izraz u hrvatskoj inačici Uredbe (EU) 2019/881 naveden u članku 2. stavku 1. točki 9. kao „europski program kibersigurnosne certifikacije“, dok je u engleskoj inačici naveden točan izraz kao „European cybersecurity certification scheme“. Izraz „shema“ je uobičajen tehnički izraz koji se koristi u postupcima certifikacije i dosljedno se kao takav koristi u svim područjima reguliranim europskim propisima pa ga stoga valja zadržati i u području kibernetičke sigurnosti. Točan sadržaj shema kojima se ova Uredba i Zakon bave je naveden u članku 54. Uredbe (EU) 2019/881 i nije ga potrebno ponavljati. |
| 2 | Hrvatski Telekom d.d. | II. PROVEDBA, Članak 6. | Predlažemo da se predmetnim Zakonom detaljno propiše način utvrđivanja potrebe za donošenjem nacionalne sheme kibernetičke sigurnosti, postupak donošenja iste na način da su u postupak, između ostalih, uključeni predstavnici IKT industrije, kao i obveza Zavoda da provede javnu rasprave prije donošenja navedene sheme. | Nije prihvaćen | Ovim Zakonom se osigurava provedba Uredbe (EU) 2019/881 osobito glede ispunjavanja nacionalne obveze navedene u članku 65. Uredbe i nema drugih ambicija. U članku 6. stavku 1. podstavku 1. ovog Zakona se doista spominje mogućnost izrade nacionalnih shema, no to će se morati riješiti zasebnim propisom ako interes za takvim nečim bude postojao pored važećih europskih shema kibernetičke sigurnosne certifikacije. |
| 3 | Hrvatski Telekom d.d. | II. PROVEDBA, Članak 11. | U svrhu transparentnosti i jednoznačnog tumačenja i primjene predmetnog Zakona, predlažemo da se Zakonom jasno definiraju nadležna tijela koja su izdavatelji europskog kibernetičkog sigurnosnog certifikata, odnosno izdavatelji izjave o sukladnosti. Predlažemo dopunu članka 11. stavaka 2. na način da se obvežu tijela iz članka 11. stavka 1. da su prije donošenja općeg akta obvezna provesti javnu raspravu. Predlažemo da se predmetnim Zakonom u svrhu transparentnosti i jednoznačnog tumačenja i primjene Zakona jasno propišu uvjeti suspenzije ili ograničenja europskog kibernetičkog sigurnosnog certifikata ili izjave o sukladnosti, kao i tijela ovlaštena za odlučivanje o navedenom. Ujedno naglašavamo kako je Uredbom 2019/881 naglašena potreba uzimanja u obzir utjecaja mjera na proizvođače ili pružatelje IKT proizvoda, IKT usluga i IKT procesa te na korisnike u smislu troška mjera, kao i društvenih ili gospodarskih koristi koje proizlaze iz očekivane poboljšane razine sigurnosti ciljanih IKT proizvoda, IKT usluga ili IKT procesa. Predlažemo brisanje cjelokupne odredbe članka 11. stavka 3. Prijedloga Zakona s obzirom da Uredba 2019/881 ne daje ovlaštenje državama članicama da odlučuju o zabrani stavljanja na tržište IKT proizvoda, usluga i procesa. | Nije prihvaćen | Ovim Zakonom se ne definiraju tijela – izdavatelji europskog kibernetičkog sigurnosnog certifikata niti neka druga nadležna tijela, jer je sve detaljno propisano Uredbom (EU) 2019/881. Certifikat (tehnički naziv za potvrdu ili svjedodžbu) da neki IKT proizvod, usluga ili proces zadovoljava uvjete i zahtjeve iz tražene sheme izdaju akreditirane (licencirane za taj posao) pravne osobe. Ako se naknadno utvrdi da neki već certificirani IKT proizvod, usluga ili proces više ne zadovoljava uvjete pod kojima je uopće dobio certifikat, tada samo i isključivo ona pravna osoba koja je certifikat izdala ima ga pravo i povući, privremeno ili trajno, ovisno o ozbiljnosti kršenja početnih uvjeta. Dakle, ne radi se o zabrani stavljanja na tržište nekog proizvoda per se, već je u pitanju zabrana lažnog reklamiranja i oglašavanja odnosno dovođenja potrošača u zabludu, što je pak predmet drugih propisa. S druge strane, ako je posjedovanje validnog certifikata nekim propisom proglašeno obveznim, tada se njegovim gubitkom de facto gubi dopuštenje za rad pa je proizvođač ili pružatelj tog IKT proizvoda, usluge ili procesa dužan obavijestiti potrošača o toj činjenici. |
| 4 | Hrvatski Telekom d.d. | II. PROVEDBA, Članak 12. | Predlažemo da se predmetnim Zakonom u svrhu transparentnosti i jednoznačnog tumačenja i primjene Zakona jasno propišu uvjeti suspenzije ili ograničenja europskog kibernetičkog sigurnosnog certifikata ili izjave o sukladnosti, kao i tijela ovlaštena za odlučivanje o navedenom. Ujedno naglašavamo kako je Uredbom 2019/881 naglašena potreba uzimanja u obzir utjecaja mjera na proizvođače ili pružatelje IKT proizvoda, IKT usluga i IKT procesa te na korisnike u smislu troška mjera, kao i društvenih ili gospodarskih koristi koje proizlaze iz očekivane poboljšane razine sigurnosti ciljanih IKT proizvoda, IKT usluga ili IKT procesa. Predlažemo brisanje cjelokupnog članka 12. stavka 4. Prijedloga Zakona s obzirom da Uredba 2019/881 ne daje ovlaštenje državama članicama da odlučuju o zabrani stavljanja na tržište IKT proizvoda, usluga i procesa. | Nije prihvaćen | Daje se isti odgovor kao za komentar pod brojem 3, jer je o istome odnosno komentari su vezani. |
| 5 | Hrvatski Telekom d.d. | III. PREKRŠAJNE ODREDBE, Članak 14. | Predlažemo brisanje članka 14. stavka 1. Prijedloga Zakona u dijelu koji predviđa da će se novčanom kaznom u iznosu od 100.000,00 do 500.000,00 kuna kazniti za prekršaj pravna osoba koja nudi na tržištu IKT proizvode, usluge i procese za koje joj je europski kibernetički sigurnosni certifikat ili izjava o sukladnosti opozvana ili ograničena prema članku 11. stavku 3. ili članku 12. stavku 3. ovog Zakona, a s obzirom da, kako je u prethodnim komentarima navedeno - Uredba 2019/881 ne daje ovlaštenje državama članicama da odlučuju o zabrani stavljanja na tržište IKT proizvoda, usluga i procesa pa posljedično niti ovlaštenje o odlučivanju o predloženim novčanim kaznama. Ujedno naglašavamo kako je Uredbom 2019/881 naglašena potreba uzimanja u obzir utjecaja mjera na proizvođače ili pružatelje IKT proizvoda, IKT usluga i IKT procesa te na korisnike u smislu troška mjera, kao i društvenih ili gospodarskih koristi koje proizlaze iz očekivane poboljšane razine sigurnosti ciljanih IKT proizvoda, IKT usluga ili IKT procesa, kao i da predviđene kazne moraju biti učinkovite, proporcionalne i odvraćajuće | Nije prihvaćen | Daje se isti odgovor kao za komentar pod brojem 3, jer je prijedlog posljedica iste primjedbe koja je već obrađena odnosno komentari su vezani. Dodatno se daje informacija o postojanju obveze usklađivanja visina kazni na jedinstvenom digitalnom tržištu EU, što će Europska komisija i napraviti kad bude dobila sve provedbene propise država članica. Po dogovoru oko usklađivanju sankcijskih režima na razini EU, predložit će se izmjena ili dopuna ovog Zakona kako bi se takvo ujednačavanje i provelo. |
| 6 | Tamara Kajmić Košutić | III. PREKRŠAJNE ODREDBE, Članak 14. | Nejasno je što znači da će se kazniti firma koja nudi na tržištu IKT proizvod, uslugu i proces za koje je certifikat opozvan ili ograničen. Da li se odredba iz čl 14 st 1 odnosi samo na IKT proizvode, usluge i procese koji se prethodno imali certifikat ili izjavu o sukladnosti pa im je opozvana ili ograničena? Što točno znači stavljanje na tržište? Da li korisnici koji već koriste IKT proizvod mogu nastaviti s njegovim korištenjem? | Nije prihvaćen | Ne treba pojašnjavati ono što je jasno iz same Uredbe (EU) 2019/881 ili je uređeno propisima o regulaciji tržišta, obveznim odnosima, zaštiti potrošača i slično... Proizvođač ili pružatelj za svoj IKT proizvod, uslugu ili proces traži certifikaciju (i plaća ju) od „tijela za ocjenjivanje sukladnosti“ (naravno, akreditirane pravne osobe za taj posao) kako bi pojačao prodaju na tržištu te je stoga ta inačica, naziv i trgovačko ime IKT proizvoda, usluge ili procesa vezano uz izdani certifikat. Gubitkom certifikata, proizvođač ili pružatelj više ne smije pod tim istim ili vrlo sličnim nazivom, oznakom ili imenom nuditi istu inačicu IKT proizvoda, usluge ili procesa, jer bi to bilo dovođenje potrošača u zabludu odnosno varanje. IKT proizvod, usluga ili proces koji je izgubio certifikat se načelno može nastaviti koristiti (odluka na potrošaču) no svi potrošači moraju biti informirani o činjenici i razlogu gubitka certifikata za proizvod koji koriste (predmet drugih propisa, navodim kao primjer). Samo u slučaju kad se nekim zakonskim propisom zahtijeva posjedovanje validnog certifikata, tada bi se IKT proizvod, usluga ili proces kojemu je suspendiran certifikat morao prestati koristiti, jer mogu nastati štete zbog kojih je takva obveza i uvedena (primjerice robotski uređaji u medicini, autopiloti u zrakoplovima i sl.). |