Izvješće o provedenom savjetovanju - Savjetovanje o Pravilniku o načinu i rokovima provedbe mjera zaštite sigurnosti mreža i usluga
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | Milan Rogic | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 3. | Nije jasno iz ovog članka kada je nešto primjereno za kodiranje (enkripciju) a kada ne, samim time naglasak na obveznom, gubi svoju smisao na početku ovog članka. Konkretno, dali je obvezno a samim time i primjereno kodiranje (enkripcija) tzv. Backhaul linkova kao ranjivog dijela svake mreže ?. | Primljeno na znanje | Primjerenost ovisi o klasifikaciji informacija i rezultatima procjene rizika u svrhu sprečavanja i umanjivanja utjecaja sigurnosnih incidenata na korisnike i druge elektroničke komunikacijske mreže i usluge. |
| 2 | A1 Hrvatska d.o.o. | DODATAK 2, KVALITATIVNI KRITERIJI ZA IZVJEŠĆIVANJE | Vezano uz Dodatak 2. Prijedloga pravilnika i kvalitativne kriterije za izvješćivanje A1 moli precizno pojašnjenje prijave po kvalitativnim kriterijima s obzirom na kvantitativne kriterije jer kako je sada definirano kvalitativni kriteriji se mogu tumačiti puno šire od kvantitativnih te samim time otvaraju veliki rizik za operatore da ne postupaju po ovom pravilniku. Navedeno je potrebno radi osiguranja načela pravne sigurnosti. | Primljeno na znanje | Kvalitativni kriteriji nisu vezani uz broj obuhvaćenih korisnika incidentom već utjecajem na geografsko područje, gospodarstvo i društvo budući da se primjerice može raditi o nekom otoku koji zapravo ne bi nikad bio obuhvaćen kvantitativnim kriterijima zbog malog broja stanovnika, a moguće da je incidentom obuhvaćen cijeli otok te nema mogućnost npr. pristupa broju 112. Iz takvih razloga su osim kvantitativnih kriterija stavljeni i kvalitativni kriteriji. |
| 3 | A1 Hrvatska d.o.o. | DODATAK 2, KVANTITATIVNI KRITERIJI ZA IZVJEŠĆIVANJE | Vezano uz Dodatak 2. Prijedloga pravilnika i brojevno neovisne interpersonalne komunikacijske usluge A1 moli pojašnjenje kroz primjere o kakvim se uslugama radi. | Primljeno na znanje | Brojevno neovisne interpesonalne komunikacijske usluge često se nazivaju “Over-The-Top” (OTT) komunikacijske usluge te su to usluge kao što su Viber, WhatsApp, Gmail, Outlook, itd. |
| 4 | A1 Hrvatska d.o.o. | V. PRIJELAZNE I ZAVRŠNE ODREDBE , Članak 10. | Vezano uz čl.10. Prijedloga pravilnika A1 moli pojašnjenje pojma operatori mreža. | Primljeno na znanje | Operatori mreža koje se upotrebljavaju kao potpora sustavima kritičnih infrastruktura su operatori čije mreže služe za osiguranje poslovanja sustava kritične infrastrukture Republike Hrvatske. |
| 5 | A1 Hrvatska d.o.o. | III. SIGURNOSNI INCIDENTI, Članak 7. | Vezano uz čl.7.st.1. Prijedloga pravilnika A1 moli pojašnjenje da li je ovaj stavak primjenjiv baš na svaki potencijalno sigurnosni incident s obzirom da se operatori u svakodnevnom poslovanju susreću s analizom „suspektnih“ događaja u informacijskom sustavu koji najčešće u konačnici ne predstavlja kategoriju sigurnosnog incidenta. Primjer takvog događaja može biti generički phishing email. | Primljeno na znanje | Članak 7. stavak 1. propisuje obvezu operatora da u slučaju svakog sigurnosnog incidenta, operatori uvijek moraju provjeriti je li došlo do značajnog računalno-sigurnosnog incidenta sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata, odnosno da nije dovoljno prijaviti incident samo HAKOM-u već ukoliko je zadovoljio uvjete za prijavu računalno-sigurnosnih incidenata sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata tada je potrebno incident prijaviti i HAKOM-u i u PiXi platformu. Što se tiče primjene ovog stavka, on se odnosi na definiciju značajnog sigurnosnog incidenta iz Nacionalne taksonomije računalno sigurnosnih incidenata. |
| 6 | A1 Hrvatska d.o.o. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 5. | Vezano uz čl.5.st.3. Prijedloga pravilnika A1 moli pojašnjenje da li su procjena rizika i plan tretiranja rizika odvojeni od nalaza revizije i plana uklanjanja uočenih nedostataka te da li procjenu rizika i izradu plana tretiranja rizika može provoditi operator samostalno ili je i za tu aktivnost potrebno angažirati ovlašteno revizorsko tijelo | Primljeno na znanje | Svaka revizija informacijskog sustava obuhvaća procjenu rizika kao i plan tretiranja rizika koji je sam operator obvezan provesti pri čemu je može provesti samostalno, a navedeno je preduvjet za provođenje vanjske revizije za koju je potrebno angažirati ovlašteno revizorsko tijelo. |
| 7 | Hrvatski Telekom d.d. | IV. OVLAŠTENJE ZA OBAVLJANJE REVIZIJE SIGURNOSTI MREŽA I USLUGA, Članak 9. | Predlažemo brisanje ovog članka jer je u koliziji s odredbama akata više pravne snage: Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93, Zakonom o akreditaciji, Uredbi (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 te Zakonom o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019., kako smo to detaljno obrazložili u komentaru na članak 5. stavak 2. | Djelomično prihvaćen | Imajući u vidu odredbe citirane Uredbe (EZ) br. 765/2008, Uredbe (EU) 2019/881 te Zakona o provedbi iste Uredbe, napominjemo kako je sukladno članku 41. stavku 10. Zakona o elektroničkim komunikacijama izričito je propisana obveza Pravilnikom urediti između ostalog mjerila i način certificiranja pravnih osoba koje je za provedbu te revizije ovlastio HAKOM.Pri tome smatramo kako ista odredba nije u koliziji sa ostalim pravnim propisima imajući u vidu kako će HAKOM ovlastiti samo pravne osobe akreditirane kod nacionalnog akreditacijskog tijela (u Republici Hrvatskoj ili drugoj državi članici). Također, komentar je djelomično prihvaćen na način da će članak 9. stavak 4. biti izmijenjen da glasi: “Rješenje o ovlaštenju iz stavka 1. ovog članka izdaje se pravnim osobama s rokom valjanosti određenim akreditacijom iz stavka 2. ovog članka.” |
| 8 | Telemach Hrvatska d.o.o. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 4. | U odredbi članka 4. stavak 2. alineja 3. definirati odgovarajuću razinu dugoročne održivosti/otpornosti opreme i/ili IKT procesa, proizvoda i usluga, radi unificirane primjene propisa. | Nije prihvaćen | Odgovarajuća razina dugoročne održivosti dokazuje se dobrim poslovnim praksama, kao što je npr. suradnja s provjerenim dobavljačima opreme i/ili IKT procesa, proizvoda i usluga, odnosno s dobavljačima koji osiguravaju visoku razinu SLA te koji npr. posluju na različitim zemljopisnim lokacijama. |
| 9 | Telemach Hrvatska d.o.o. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 4. | U odredbi članka 4. st. 2 alineja 2 nije dovoljno staviti referencu na ENISA-ine dokumente, potrebno je nomotehnički jasno urediti očekivane zahtjeve. | Nije prihvaćen | Budući da Pravilnik propisuje obveze operatora kako bi osigurali sigurnost svojih mreža i usluga, a ENISA propisuje smjernice kako to provesti, smatramo kako je opravdano zahtijevati od operatora da primjenjuju mjerodavne tehničke smjernice ENISA-e o sigurnosnim mjerama 5G mreža. |
| 10 | Telemach Hrvatska d.o.o. | I. OPĆE ODREDBE, Članak 2. | U odredbi članka 2. u pojmovniku nedostaje definicija „cjelovitosti mreža“. | Nije prihvaćen | U članku 2. točci 12. ovog Pravilnika nalazi se definicija “utjecaj na cjelovitost: utjecaj na svojstvo točnosti i potpunosti (npr. namjerno ili slučajno neovlašteno mijenjanje ili uništavanje komunikacijskih podataka ili metapodataka).” |
| 11 | Telemach Hrvatska d.o.o. | I. OPĆE ODREDBE, Članak 1. | Generalno, ovaj se Pravilnik temelji na odredbi članka 41. stavka 6. Zakona o elektroničkim komunikacijama, a kojim se u hrvatsko zakonodavstvo preuzimaju odgovarajući akti Europske unije sukladno zakonodavnoj proceduri. Stoga smatramo pravno neutemeljenim da se ovim provedbenim aktom utvrđuje primjena Direktiva i Uredbi Europske unije koje nisu predmet članka 41. stavak 6. Zakona o elektroničkih komunikacija, niti su u nadležnosti HAKOMa. Tako je primjerice kibernetička sigurnost (NIS2) u nadležnosti Ministarstva branitelja. Stoga, potrebno je nomotehnički i pravno ostati u okvirima zadanim Zakonom o elektroničkim komunikacijama, te se provedbenim aktom ne može prenositi pravna stečevina mimo zakonodavne procedure. | Nije prihvaćen | Pravna osnova za donošenje ovog Pravilnika je članak 41. Zakona o elektroničkim komunikacijama (NN br. 76/2022) od 1. srpnja 2022. kojim su u pravni poredak Republike Hrvatske prenesene odredbe članka 40. i 41. Direktive (EU) 2018/1972. Stoga je obveza Vijeća HAKOM-a temeljem članka 184. stavka 4. Zakona o elektroničkim komunikacijama donijeti ovaj Pravilnik kao provedbeni propis kojim se uređuje područje sigurnosti elektroničkih komunikacijskih mreža i usluga. |
| 12 | Hrvatski Telekom d.d. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 5. | U članku 5. stavku 2. navodi se kako reviziju obavlja vanjsko revizorsko tijelo koje je Agencija za to ovlastila sukladno članku 9. ovoga Pravilnika. Hrvatski Telekom d.d. smatra kako je ova odredba podzakonskog akta u koliziji s odredbama akata više pravne snage: Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93, Zakonom o akreditaciji, Uredbi (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 te Zakonom o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. Naime, tim je pravnim aktima propisano kako je nacionalno akreditacijsko tijelo jedino tijelo u državi članici koje provodi akreditaciju s ovlaštenjem koje mu je dala država. U Republici Hrvatskoj to je Hrvatska akreditacijska agencija, koja je osnovana Uredbom Vlade Republike Hrvatske (NN 158/2004 i 44/2005 i 30/2010), na temelju Zakona o akreditaciji (NN 158/2003, 75/2009 i 56/2013). U Zakonu o provedbi Uredbe (EU) 2019/881 EU parlamenta i vijeća od 17. travnja 2019., koji se izrijekom citira u uvodu novog Pravilnika, u članku 5. Nadležna tijela stoji da je Nacionalno tijelo za kibernetičku sigurnosnu certifikaciju u Republici Hrvatskoj Zavod za sigurnost informacijskih sustava (u daljnjem tekstu: Zavod), a Nacionalno akreditacijsko tijelo u Republici Hrvatskoj je Hrvatska akreditacijska agencija. Tijela za ocjenjivanje sukladnosti u Republici Hrvatskoj su pravne osobe ili fizičke osobe koje su akreditirane kod Hrvatske akreditacijske agencije i koje su, ako je to propisano odredbama ovoga Zakona, dodatno autorizirane od strane Zavoda. Dakle, jedina relevantna tijela za davanje akreditacije / dodatne autorizacije u Republici Hrvatskoj su isključivo Hrvatska akreditacijska agencija i Zavod za sigurnost informacijskih sustava. Slijedom navedenog, u situaciji kada odredbe Pravilnika u Dodatku 1 upućuju na primjenu referentnih ISO normi (standarda), Hrvatski Telekom d.d. smatra da reviziju sigurnosti mreža i usluga operatora može obavljati svaki poduzetnik koji je akreditiran od strane ovlaštenog tijela (nacionalnog akreditacijskog tijela ili drugog nacionalnog akreditacijskog tijela u smislu Uredbe (EZ) br. 765/2008), pri čemu je bilo kakvo dodatno odobrenje koje se mora ishoditi od HAKOM-a u suprotnosti s gore spomenutim propisima više pravne snage od ovog Pravilnika, odnosno protuzakonito. Stoga predlažemo da odredba članka 5. stavka 2. glasi: "Reviziju obavlja vanjsko revizorsko tijelo koje je akreditirano od strane Hrvatske akreditacijske agencije ili drugog nacionalnog akreditacijskog tijela u smislu Uredbe (EZ) br. 765/2008, za obavljanje revizije informacijskih sustava sukladno važećim standardima ISO 27001 i ISO 22 301." | Nije prihvaćen | Imajući u vidu odredbe citirane Uredbe (EZ) br. 765/2008, Uredbe (EU) 2019/881 te Zakona o provedbi iste Uredbe, napominjemo kako je sukladno članku 41. stavku 10. Zakona o elektroničkim komunikacijama izričito je propisana obveza Pravilnikom urediti između ostalog mjerila i način certificiranja pravnih osoba koje je za provedbu te revizije ovlastio HAKOM. Pri tome smatramo kako ista odredba nije u koliziji sa ostalim pravnim propisima imajući u vidu kako će HAKOM ovlastiti samo pravne osobe akreditirane kod nacionalnog akreditacijskog tijela (u Republici Hrvatskoj ili drugoj državi članici). |
| 13 | Hrvatski Telekom d.d. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 4. | U članku 4. stavku 2. točki 1. navodi se da oprema za kritične i osjetljive dijelove 5G mreže mora zadovoljavati mjerodavne 5G standarde, osobito 3GPP standarde sukladno mjerodavnim smjernicama ENISA-e, kao i primjenjive EU i nacionalne programe (certifikacijske sheme) kibernetičke sigurnosti. Smatramo da je ovakva odredba u suprotnosti s načelom pravne sigurnosti. Naime, nacionalni programi (certifikacijske sheme) kibernetičke sigurnosti trenutno ne postoje, a Hrvatski Telekom d.d. ima 5G mrežu u produkciji već godinama. Elementi te 5G mreže zadovoljavali su standarde aktualne u vrijeme kada se radila njihova nabava i implementacija. S druge strane, Pravilnikom se određuje obaveza da ta postojeća 5G oprema mora zadovoljiti neke buduće EU nacionalne programe i certifikacijske sheme koje u ovom trenutku ne postoje. Mišljenja smo da se takva obveza ne bi smjela primjenjivati retroaktivno, odnosno svakako bi se trebalo omogućiti prijelazno razdoblje za implementaciju novih EU i nacionalnih programa i certifikacijskih shema u odnosu na postojeću 5G opremu. Ispunjavanje programa i certifikacijskih shema istog trenutka kada oni stupe na snagu za postojeću je 5G opremu naprosto nemoguće. | Nije prihvaćen | Odredbe članka 4. stavka 2. trenutno važećeg Pravilnika koji je na snazi od 2021. godine na istovjetan način propisuju obveze operatora 5G mreža. Također, Paket instrumenata EU-a (Komunikacija Europske komunikacije COM(2020)) „5G Toolbox” od 29. siječnja 2020. sadrži preporuku državama članicama da poduzmu konkretne mjere za procjenu kibersigurnosnih rizika u 5G mrežama i jačanje mjera za smanjenje rizika. Stoga smatramo da su operatori imali dovoljno vremena za prilagodbu s mjerodavnim 5G, 3GPP standardima, a sukladno mjerodavnim smjernicama ENISA-e. Vezano uz buduće certifikacijske sheme kibernetičke sigurnosti, rok implementacije će biti propisan drugim mjerodavnim nacionalnim aktom. |
| 14 | Hrvatski Telekom d.d. | I. OPĆE ODREDBE, Članak 1. | Predlažemo brisanje sljedećeg dijela teksta ovog članka: "te mjerila i način certificiranja pravnih osoba koje je za provedbu te revizije ovlastila Agencija". Razlozi su detaljno obrazloženi u komentaru na članak 5. stavak 2. | Nije prihvaćen | Sukladno članku 41. stavku 10. Zakona o elektroničkim komunikacijama izričito je propisana obveza Pravilnikom urediti između ostalog mjerila i način certificiranja pravnih osoba koje je za provedbu te revizije ovlastio HAKOM. |
| 15 | Ericsson Nikola Tesla d.d. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 4. | Člankom 4 stavak 2 alineja 3, utvrđeno je da operatori 5G mreža moraju implementirati mjeru koja glasi: „korištenje dobavljača koji dokažu odgovarajuću razinu dugoročne održivosti/otpornosti opreme i/ili IKT procesa, proizvoda i usluga“. Ovim putem molimo da se citirani tekst dopuni pojašnjenjem što se smatra dokazom odgovarajuće razine dugoročne održivosti/otpornosti te koji se kriteriji primjenjuju za ocjenu odgovarajuće razine? Hvala! | Nije prihvaćen | Odgovarajuća razina dugoročne održivosti dokazuje se dobrim poslovnim praksama, kao što je npr. suradnja s provjerenim dobavljačima opreme i/ili IKT procesa, proizvoda i usluga, odnosno s dobavljačima koji osiguravaju visoku razinu SLA te koji npr. posluju na različitim zemljopisnim lokacijama. |
| 16 | A1 Hrvatska d.o.o. | III. SIGURNOSNI INCIDENTI, Članak 6. | Vezano uz čl.6.s.t3.t.1. A1 smatra da ovaj rok može ovisiti o vrsti incidenta te predlaže da HAKOM razmotri da se umjesto 1h definira „najbrže moguće“ pri čemu će primjenjiv rok definirati kroz posebnu uputu ovisno o vrsti incidenta. Takva uputa ni bi uzela u obzir nikako rok kraći od 1h, no ovisno o objektivnim okolnostima isti može biti i duži od 1h. | Nije prihvaćen | HAKOM smatra da su predloženi rokovi primjereni, posebice iz razloga što HAKOM također ima odgovornost prema korisnicima koji se u slučaju značajnijeg incidenta obraćaju HAKOM-u te ukoliko HAKOM nema pravovremeno potrebne informacije o incidentu, ne može obavljati svoje obveze prema građanima RH. |
| 17 | Hrvatski Telekom d.d. | II. MJERE ZA ZAŠTITU SIGURNOSTI MREŽA I USLUGA, Članak 3. | U stavku 7. treba stajati jednina "dostaviti politiku informacijske sigurnosti za prethodnu godinu", a ne množina "politike". | Prihvaćen | Komentar prihvaćen na način da će članak 3. stavak 7. biti izmijenjen da glasi: “Operatori koji imaju više od 100 000 korisnika obvezni su elektroničkim putem jednom godišnje, najkasnije do kraja mjeseca siječnja, dostaviti Agenciji politiku informacijske sigurnosti za prethodnu godinu, a na zahtjev Agencije i više puta tijekom godine. Operatori koji imaju manje od 100 000 korisnika moraju dostaviti Agenciji politiku informacijske sigurnosti na njezin zahtjev.” |
| 18 | A1 Hrvatska d.o.o. | III. SIGURNOSNI INCIDENTI, Članak 7. | Vezano uz čl.7.st.2. Prijedloga pravilnika A1 predlaže HAKOM-u da razmotri usklađivanje ovog roka s GDPR regulativom i rokom koji iznosi 72h. | Prihvaćen | Komentar prihvaćen na način da će članak 7. stavak 2. biti izmijenjen da glasi: “Obavijesti o značajnim računalno-sigurnosnim incidentima sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata moraju se dostavljati putem PiXi platforme u roku 72 sata od njihovog otkrivanja. Uvjeti i način korištenja ove platforme propisani su u Uvjetima korištenja PiXi platforme koja se nalazi na internetskoj stranici Nacionalnog CERT-a.” |