Izvješće o provedenom savjetovanju - Savjetovanje o Nacrtu prijedloga zakona o kibernetičkoj sigurnosti

Redni broj
Korisnik
Područje
Komentar
Status odgovora
Odgovor
1 Ana Balaško NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI Uz konkretne komentare koje sam ostavila pored pojedinih članaka prijedloga Zakona o kibernetičkoj sigurnosti (uspoređujući isti sa odredbama NIS2 Direktive ( 2022/2555)), izdvajam slijedeće primjedbe: • Opis i obuhvat Uredbe kao važnog provedbenog akta predmetnog Zakona nije jasno definiran, već se Uredba indirektno spominje u čl. 24., a potom se u drugim člancima poziva na čl.24. koji sam po sebi nije dovoljno jasan. • NIS2 čl.34 ne propisuje iznos (odnosno postotak godišnjeg prometa) najmanje novčane kazne, dok je u prijedlogu Zakon isto navedeno (čl. 101 i 102.). Metodologija određivanja istog? • U prijedlogu Zakona (čl.103) predviđene novčane kazne koje nisu propisane odredbama NIS2 Direktive • Osim novčanih kazni za pravne subjekte prijedlogom Zakona propisane su novčane kazne i za odgovorne osobe subjekata (čl.101. st.2,č.102.st.2 i čl.103.st2.) što NIS2 Direktivom nije određeno. • Prijedlogom Zakona zakonska obaveza proširena i na jedinice lokalne samouprave unutar sektora javne uprave (Prilog I. točka 10.) što je šire od NIS2 koji ide do regionalne razine (Prilog I. točka 10.), obuhvat na subjekte javne uprave na lokalnoj razini ostavljen samo kao opcija (NIS2 čl.2.st.5). Obuhvaćeno temeljem napravljene procjene rizika, ili ? • Prijedlogom Zakona zakonska obaveza proširena generalno na sustav obrazovanja (privatni i javni subjekti), neovisno o provođenju ključnih istraživačkih aktivnosti, što NIS 2 ostavlja samo kao opciju (NIS2 čl.2.st.5). Obuhvaćeno temeljem napravljene procjene rizika, ili ? Primljeno na znanje Opis i obuhvat Uredbe iz čl. 24. napravljen je u skladu s nomotehničkim pravilima te se zainteresirani mogu uputiti na aktualni Zakon i Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64 i 68 /2018) u kojima je primijenjen isti pristup u nešto užem opsegu NIS1 transpozicije. NIS direktiva se ne primjenjuje direktno već se transponira i usklađuje s nacionalnim zakonodavstvom u kojemu je nužno pratiti maksimalne iznose kazni definirane u NIS2 direktivi, ali i nacionalno odrediti raspone tih kazni odnosno utvrditi i minimalne iznose kazni. Navedeno je provedeno u skladu s nacionalnim pristupom definiranim Prekršajnim zakonom („Narodne novine“, broj: 107/07, 39/13, 157/13, 110/15, 70/17, 118/18 i 114/22) koji predstavlja opći propis kojim se propisuju odredbe koje se odnose na sve prekršaje propisane u drugim zakonima. Budući da je provedba kategorizacije subjekata elementarni postupak o kojem ovise brojni drugi važni aspekti provedbe zahtjeva NIS2 direktive odnosno slijedno i nacionalnog transpozicijskog zakona, člankom 103. utvrđuju se pravila o sankcijama kako bi se osigurala pravovremena i potpuna provedba postupaka kategorizacije odnosno utvrđivanja i ažuriranja popisa ključnih i važnih subjekata. Vezano uz mogućnost izricanja novčanih kazni odgovornim osobama subjekta, napominje se kako je člankom 32. stavkom 6. i člankom 33. stavkom 5. NIS2 direktive utvrđena obveza država članica osigurati da fizičke osobe koje su odgovorne za ključni i važni subjekt mogu smatrati odgovornim za kršenje svojih dužnosti da osiguraju usklađenost s NIS2 direktivom. Proces kategorizacije (procjena rizika) će odrediti subjekte obveznike na lokalnoj razini, dok je samo centralna razina uprave, odnosno tijela državne uprave, obuhvaćena u cijelosti, neovisno o veličini subjekata, upravo kako je to zahtijevano na razini NIS2 direktive. NIS2 opcija uključenja obrazovnog sustava je prihvaćena nacionalno, u suradnji s nadležnim tijelima za obrazovni sektor, te uz pristup kroz provedbu procjene rizika u okviru procesa kategorizacije, što znači da se ne uključuju svi subjekti, već subjekti prema procjeni rizika koja će se provesti prilikom procesa kategorizacije.
2 Antonija Hinckel Osojnik NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI "Dodatno je, u svrhu pune funkcionalnosti transpozicije, potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj. Rok za potpuni prijenos NIS2 direktive u opisanom smislu je 17. listopada 2024. godine." Ovaj rok je nerealan iz više razloga: 1. države članice poput Njemačke i Francuske s puno jačim kapacitetima ne postavljaju tako kratak rok 2. koje privatne tvrtke su uključene u implementaciju i prema kojem natječaju? 3. u slučaju da direktiva nije ispravno implementirana, tko je odgovoran, da li Ministarstvo branitelja? (iz ovog Zakona to nije razvidno) 4. donošenje podzakonskih akata je predvidjeno naknadno izvan tog roka, što implementaciju direktive čini posebno problematičnom zamale subjekte. Primljeno na znanje Ovaj rok (17.10.2024.) je definiran na razini EU i prihvatile su ga sve države članice. Rok podrazumijeva donošenje propisa i funkcionalnost nadležnih tijela dok se ostali procesi poput kategorizacije, provedbe mjera, revizije i nadzora pokreću postupno tijekom mjeseci i godina nakon donošenja Zakona, a prema rokovima u Prijelaznim i završnim odredbama Zakona. Provedba Zakona u dijelu ključnih i važnih subjekata provodit će se tek nakon kategorizacije subjekata, u Zakonom utvrđenim rokovima. Pri tome je svaki subjekt odgovoran za svoju vlastitu provedbu mjera na temelju vlastite procjene rizika i taj proces može provoditi samostalno ili uz angažiranje trećih strana. Privatne tvrtke se, između ostalog, planiraju uključiti kao autorizirana tijela za ocjenu sukladnosti (čl. 40). Formalni predlagatelj Zakona je član Vlade zadužen za nacionalnu sigurnost (danas potpredsjednik Vlade i ministar hrvatskih branitelja Tomo Medved), jednako kao što je to bio slučaj i prilikom NIS1 transpozicije 2018. godine. Stručno-administrativne poslove uobičajeno vodi ministarstvo člana Vlade zaduženog za nacionalnu sigurnost, a danas je to Ministarstvo hrvatskih branitelja. Nacionalno potvrđivanje sukladnosti s NIS2 direktivom u nadležnosti je Ministarstva vanjskih i europskih poslova. Donošenje podzakonskih akata predviđeno je u rokovima iz Zakona, a planira se prije 17.10.2024., jer se Zakon planira donijeti na prijelazu 2023. u 2024. godinu.
3 Diverto d.o.o. NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI Zakon o kibernetičkoj sigurnosti je još jedan evolucijski korak u osiguravanju hrvatskog, a tako i europskog kibernetičkog prostora. Svakako treba pozdraviti ovakvu važnu inicijativu koja za cilj ima učinkovito upravljanje organizacijom i sigurnosnim procesima. Ovaj Zakon prepoznaje važnost upravljačkih organizacijskih kontrola, ali u manjoj mjeri ističe važnost kontinuiranog nadzora kontrola sigurnosti, preventivne zaštite IKT sustava i obranu od prijetnji u što bliže realnom vremenu. Dio sigurnosnih kontrola odnosno mjera koji mogu pomoći smo predložili kroz komentare na konkretne članke. S obzirom na ciljeve NIS 2 direktive, predlažemo da se gore navedeno propagira kroz ostale relevantne dijelove Zakona i daljnje podzakonske akte. Primljeno na znanje Zakon predviđa tehničke, operativne i organizacijske mjere, utemeljene na procjeni rizika svakog pojedinog subjekta obveznika. Nezavisna kontrola usklađenosti je predviđena kroz revizije odnosno provedbu ocjena sukladnosti sa zahtjevima kibernetičke sigurnosti najmanje jednom u dvije godine (obavljaju autorizirane pravne osobe), a dodatno provodit će se i stručni nadzor nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti svakih tri do pet godina, ovisno o procjeni rizičnosti subjekta. Kontinuirana kontrola usklađenosti moguća je putem dobrovoljnih mjera kibernetičke zaštite definiranih u Zakonu (Nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora) i/ili putem korištenja pružatelja upravljanih sigurnosnih usluga iz Priloga I., točka 9.
4 Ivan Zidarević - Europska civilna inicijativa Zagreb NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI Poštovani, Na internet stranicama Ministarstva hrvatskih branitelja navedeno je da je misija Ministarstva negovanje i čuvanje vrednosti odbrambenog i osloboditeljskog Domovinskog rata, ratnih stradalnika i svih građana Republike Hrvatske. Glavni ciljevi su zaštita interesa i digniteta svih učesnika Domovinskog rata i sprovođenje javnih politika radi osiguravanja adekvatne zdravstvene i socijalne zaštite hrvatskih branitelja i njihovih članova porodica. S tim u vezi postavlja se pitanje zašto predlagatelj ovog Zakona nije Ministarstvo unutarnjih poslova, koje ima više iskustva i adekvatnog kadra za bavljenje ovom izazovnom temom. Primljeno na znanje Formalni predlagatelj Zakona je član Vlade zadužen za nacionalnu sigurnost (danas potpredsjednik Vlade i ministar hrvatskih branitelja Tomo Medved), jednako kao što je to bio slučaj i prilikom NIS1 transpozicije 2018. godine. Stručno-administrativne poslove uobičajeno vodi ministarstvo člana Vlade zaduženog za nacionalnu sigurnost, a danas je to Ministarstvo hrvatskih branitelja. Nacrt prijedloga Zakona izrađen je na razini Nacionalnog vijeća za kibernetičku sigurnost koje je u tu svrhu uspostavilo međuresornu radnu skupinu u kojoj su bili aktivno uključeni predstavnici 15 državnih tijela i pravnih osoba s javnim ovlastima, a dodatno je u fazi usklađivanja uključen i niz drugih institucija.
5 Krešimir Kristić NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI Meni se ovaj prijedlog čini dovoljno dobrim za usvajanje/donošenje Zakona. Zašto se uopće smatram relevantnim dati ovaj komentar? Od samoga početka važenja transponirane NIS direktive 2018. u ZKS, vodim i odgovoran sam za sukladnost poslovanja sa ZKS-om (NIS direktivom) dva od tri prva operatora ključnih usluga po ZKS-u. Pročitao sam ovaj prijedlog, sve 132 stranice i temeljem bogatoga iskustva u provedbi ZKS-a mislim da je prijedlog dobar, zaokružen, da je Zakon ovakav dobro definiran i što je najvažnije - da je provediv! Primljeno na znanje Provedivost Zakona, ali i promjena nacionalnog pristupa u odnosu na neke segmente koji nisu zadovoljavajuće provedeni rješenjima iz nacionalne transpozicije NIS1 direktive, bili su temelj izrade ovog Zakona.
6 ZORAN SAMBOL NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI Nacrt Prijedloga Zakona o kibernetičkoj sigurnosti valjalo je napraviti u suradnji s Ministarstvom znanosti i obrazovanja, Ministarstvom obrane i Ministarstvom unutarnjih poslova kako bi se dobio "sveobuhvatni pregled" problematike. Kibernetički izazovi ne mogu se promatrati u "manjem broju dimenzija". Primljeno na znanje Nacrt prijedloga Zakona izrađen je na razini Nacionalnog vijeća za kibernetičku sigurnost koje je u tu svrhu uspostavilo međuresornu radnu skupinu u kojoj su bili uključeni predstavnici 15 državnih tijela i pravnih osoba s javnim ovlastima, a dodatno je u fazi usklađivanja uključen i niz drugih institucija. Sva tri, u komentaru navedena ministarstva, sudjelovala su u pojedinim fazama izrade ovog Zakona.
7 ivo bakalić NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI , I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA Ivo Bakalić Pridružujem se primjedbi da je prijedlog zakona po svom značaju trebao biti rezultat suradnje više ministarstava, prvenstveno MUP, Ministarstva znanosti, Ministarstva obrane, Ministarstva pravosuđa. U odnosu na Ministarstvo branitelja kao predlagatelja ne mogu pronaći poveznicu sa sadržajem zakona. Ivo Bakalić, sudac Trgovačkog suda u Splitu Primljeno na znanje Nacrt prijedloga Zakona izrađen je na razini Nacionalnog vijeća za kibernetičku sigurnost koje je u tu svrhu uspostavilo međuresornu radnu skupinu u kojoj su bili uključeni predstavnici 15 državnih tijela i pravnih osoba s javnim ovlastima, a dodatno je u fazi usklađivanja uključen i niz drugih institucija. Sva četiri, u komentaru navedena ministarstva, sudjelovala su u pojedinim fazama izrade ovog Zakona. Formalni predlagatelj Zakona je član Vlade zadužen za nacionalnu sigurnost (danas potpredsjednik Vlade i ministar hrvatskih branitelja Tomo Medved), jednako kao što je to bio slučaj i prilikom NIS1 transpozicije 2018. godine. Stručno-administrativne poslove uobičajeno vodi ministarstvo člana Vlade zaduženog za nacionalnu sigurnost, a danas je to Ministarstvo hrvatskih branitelja.
8 MARKO RAKAR NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI , IV. TEKST PRIJEDLOGA ZAKONA NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte. Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju. Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija. Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta. Nije prihvaćen Subjekti obveznici Zakona dužni su provoditi mjere kibernetičke sigurnosti proporcionalno vlastitoj procjeni rizika, pri čemu trebaju razmatrati rizike u svim segmentima koje Zakon utvrđuje te koristiti neku od standardiziranih metoda za upravljanje rizikom. Na taj način postiže se primjena mjera koja je u potpunosti u skladu s procjenom rizika, a procjena rizika prati veličinu i vrstu subjekta, odnosno njegove poslovne karakteristike. Cijelo jedno poglavlje Zakona (Poglavlje II.), utvrđuje obveze suradnje nadležnih tijela na nacionalnoj razini. Kibernetička sigurnost je integralni dio nacionalne sigurnosti u svim članicama EU. Odabir središnjeg tijela, odnosno izgradnja nacionalnog centra za kibernetičku sigurnost, u svim državama provodi se na temelju tradicije razvoja i raspoloživih sposobnosti i resursa. U RH je sigurnosno-obavještajni sustav bio nositelj izrade Nacionalne strategije kibernetičke sigurnosti 2014. godine, NIS1 transpozicije 2018. godine, pa je kroz Nacionalno vijeće za kibernetičku sigurnost nastavljen isti pristup i sa NIS2 transpozicijom. Odabir SOA-e je rezultat već razvijenih kapaciteta te procjene da će se interni Centar za kibernetičku sigurnost SOA-e moći najbrže i najučinkovitije transformirati u nužno potrebni Nacionalni centar za kibernetičku sigurnost (NCSC). Ne postoji jednoobrazno rješenje oko osnivanja NCSC-a na razini EU i svaka članica osnivanje NCSC-a regulira temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a veći broj članica EU je za osnivanje NCSC-a koristila sigurnosno-obavještajne sustave. Primjerice, u Danskoj, Španjolskoj, Grčkoj (članice EU), kao i Velikoj Britaniji, Kanadi, Južnoj Koreji i drugim razvijenim demokratskim državama, NCSC je dio sigurnosnih i obavještajnih sustava, dok su neke zemlje poput Njemačke i Italije proces osnivanja NCSC-a započele u okvirima sigurnosno-obavještajnog sustava (navedene dvije članice EU su naknadno provodile daljnju organizacijsku transformaciju NCSC tijela u samostalne agencije, ali su godinama njihova NCSC tijela funkcionirala unutar sigurnosno-obavještajnih sustava tih država). U Francuskoj se središnje tijelo za kibernetičku sigurnost (ANSSI) nalazi unutar sustava obrane i nacionalne sigurnosti te odgovara državnom tajniku za obranu i nacionalnu sigurnost. Dodatno napominjemo kako u onim državama, u kojima su nacionalni centri kibernetičke sigurnosti smješteni u ministarstvima, postoji zakonska obveza njihove uske suradnje i koordinacije sa sigurnosno-obavještajnim tijelima. Formalni predlagatelj Zakona je član Vlade zadužen za nacionalnu sigurnost (danas potpredsjednik Vlade i ministar hrvatskih branitelja Tomo Medved), jednako kao što je to bio slučaj i prilikom NIS1 transpozicije 2018. godine. Stručno-administrativne poslove uobičajeno vodi ministarstvo člana Vlade zaduženog za nacionalnu sigurnost, a danas je to Ministarstvo hrvatskih branitelja. Nacrt prijedloga Zakona izrađen je na razini Nacionalnog vijeća za kibernetičku sigurnost koje je u tu svrhu uspostavilo internu međuresornu radnu skupinu u kojoj su bili uključeni predstavnici 15 državnih tijela i pravnih osoba s javnim ovlastima, a dodatno je u fazi usklađivanja Nacrta zakona uključen i niz drugih institucija. Radna skupina nije formalno imenovana donošenjem posebne odluke, već je radila pod ingerencijama Nacionalnog vijeća za kibernetičku sigurnost i redovito izvještavala Vijeće o napretku. Izvješća o radu Nacionalnog vijeća za kibernetičku sigurnost s popisom uključenih institucija i članova Vijeća dostupna su na sljedećoj poveznici: https://www.uvns.hr/hr/informacijska-sigurnost/kiberneticka-sigurnost
9 ZORAN SAMBOL IV. TEKST PRIJEDLOGA ZAKONA, Članak 1. Stavak (1) Nedostaje definicija "visoke zajedničke razine kibernetičke sigurnosti". Koja je metrika, tko je određuje i tko bira procjenitelje metrike "razine kibernetičke sigurnosti"? Primljeno na znanje NIS2 direktiva predstavlja „metriku“ visoke zajedničke razine kibernetičke sigurnosti, usuglašenu na razini EU i 27 država članica. U tu svrhu sve države članice transponiraju NIS2 direktivu te preko zajedničke baze podataka, u organizaciji nadležnih ministarstava vanjskih poslova, dokazuju sukladnost, koju u konačnici provjerava Europska komisija.
10 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Točka 31. predlažemo da se ne naglašavaju primjeri jer isti isključuju neke druge jednakovažne primjere osobnih podataka, odnosno, stavlja se naglasak na neke primjere koji nisu temeljeni na bilo kojoj analizi rizika ili praksi. Također, dio vezan za IP može biti krivo interpretiran. S tim u vezi, predlažemo da točka 31. glasi: "„ osobni podaci “ su svi podaci kako su definirani člankom 4. stavkom 1. točkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119/1, 4. svibnja 2016.) (u daljnjem tekstu: Uredba (EU) 2016/679)." Nije prihvaćen Intencija predlagatelja Zakona bila je ukazati na to da je korištenje osobnih podataka u okviru ovog Zakona izuzetak, a ne pravilo. Stoga je GDPR definicija prilagođena konkretnim slučajevima iz područja primjene ovog Zakona.
11 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Predlažemo da se, gdjegod je to moguće i kad se ne radi o direktnoj transpoziciji definicije iz Direktive (EU) 2022/2555, odnosno kad nadogradnja definicije ne bi bila u sukobu s Direktivom, definicija pojmova što je moguće detaljnije razloži. Naime, iz sigurnosne je prakse poznato da do čestih nerazumijevanja i grešaka dolazi upravo radi primjene različitih metodologija i/ili standarda koje se vežu iz različite pojmove. S tim u vezi, naglašavamo važnost pojmova vezanih za sigurnost, usluge, incidente i upravljanje incidentima, te rizike i ranjivosti. Nije prihvaćen Člankom 4. Prijedloga zakona preuzimaju se odredbe članka 6. NIS2 direktive, pa tako i u dijelu koji se odnosi na pojmove vezane za sigurnost, usluge, incidente i upravljanje incidentima, te rizike i ranjivosti. Definicije pojmova iz članka 6. NIS2 direktive potrebno je u potpunosti ispravno preuzeti, što znači da je odredbe uredbi EU zabranjeno prepisivati u nacionalne propise, a pojmove iz direktiva EU potrebno je preuzeti u tekstu kakav je sadržan u dotičnoj direktivi odnosno u transpozicijskom propisu kojim su dotična direktiva i pojam preuzeti u nacionalno zakonodavstvo.
12 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Čl.4.st.1.t.16. umjesto riječi informacija potrebno koristiti riječ podataka s obzirom na čl.5.st.1.t.27 Zakona o elektroničkim komunikacijama, a sve u svrhu usklađivanja sektorski specifičnih definicija. Prihvaćen Prihvaća se.
13 HGK IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. U skladu s čl. 4. st.1 toč. 17. Nacrta, Hrvatska gospodarska komora potpada pod javne subjekte jer je nositelj pojedinih javnih ovlasti koje obavlja u okviru svoje službene dužnosti. S obzirom na nedostupnost određenih informacija o pojedinim fizičkim, odnosno pravnim osobama te trošak izvještavanja naglašavamo da se HGK smatra obveznom izvještavati isključivo taksativno navedena tijela u točki 28. ovoga članka, pri čemu predlažemo da se dodatno precizira o kojim se tijelima radi. Nije prihvaćen Pretpostavljamo da se komentar odnosi na čl. 21. Zakona te upućujemo na Prilog III., u kojem su popisana sva tijela nadležna za provedbu zahtjeva kibernetičke sigurnosti, kao i sektori za koja su nadležni.
14 Porobija & Špoljarić d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Smatramo određivanjem SOA-e kao središnjeg državnog tijela za područje kibernetičke sigurnosti, odnosno, de facto određivanjem kao regulatornog tijela koje nadzire primjenu ZKS, te koji ujedno provodi neposredni nadzor na adresatima nepogodnim budući da bi se time potencijalno kompromitiralo opće djelovanje SOA-e kao središnjeg i ključnog obavještajnog tijela Republike Hrvatske, dok bi se istovremeno od strane reguliranih subjekata, ali i drugih nadzornih tijela država članica EU, mogla proizvesti nevoljkost i otpor suradnji i dijeljenju informacija, čime bi se potencijalno smanjila efikasnost primjene ZKS, kao i opće smanjenje razine kibernetičke sigurnosti. SOA je Zakonom o sigurnosno-obavještajnom sustavu Republike Hrvatske određena kao jedno od ključnih obavještajnih tijela za zaštitu nacionalne sigurnosti Republike Hrvatske i nacionalnih interesa Republike Hrvatske. Bez obzira na bilo kakve druge ovlasti koje bi SOA-i bila dodijeljena, centralna svrha i cilj djelovanja SOA-e je uvijek i bez iznimke zaštita nacionalne sigurnosti Republike Hrvatske, dok je centralni interes koji se štiti prije svih interes Republike Hrvatske. S druge strane tijela-regulatori, bez obzira na polje koje se regulira, kao primarnu svrhu imaju osiguravanje provođenja propisa koji uređuju pojedino polje te ostvarenje šire svrhe i ciljeva koji su određeni propisima koji uređuju djelovanje regulatora. Navedeni se cilj se postiže kroz izravnu suradnju sa reguliranim subjektima, što vrlo često podrazumijeva i određenu dozu povjerenja i transparentnosti u međusobnom odnosu. SOA bi se kao regulatorno tijelo moglo naći u vrlo nezavidnoj situaciji, tj. sukobu interesa da mora birati između interesa subjekata koje regulira i povjerljivosti informacija koje postanu dostupne prilikom provođenja regulatornih ovlasti s jedne strane i prikupljanja, analize i korištenja istih povjerljivih informacija ako bi takve informacije potencijalno predstavljale informacije koje bi mogle koristiti u svrhu zaštite interesa Republike Hrvatske ili čak zaštitu nacionalne sigurnosti Republike Hrvatske. Smatramo da u tom slučaju ne smije biti dvojbe da bi SOA morala izabrati interes Republike Hrvatske iznad interesa reguliranih subjekata, jer bi u suprotnom došlo do neizvršavanja primarne zadaće SOA-e. No problem je da navedena činjenica ne može ostati nepoznata budućim reguliranim subjektima, ali i regulatornim tijelima drugih država članica koje nisu dio obavještajne zajednice drugih država članica EU (koliko nam je poznato, niti jedno drugo regulatorno tijelo, prema trenutačnim najavama, neće biti sigurnosno-obavještajna agencija države EU). Osim toga, kao što smo već istaknuli, primarna zadaća SOA-e je zaštita nacionalne sigurnosti i nacionalnih interesa RH. U tu svrhu SOA provodi određen skup radnji i mjera koji su, po svojoj prirodi, tajne i nejavne. Transparentnost i otvorenost djelovanja predstavljaju nužan element postupanja svakog regulatora budući da se konačna svrha i cilj postižu kroz suradnju sa reguliranim subjektima. Baš iz razloga takvog (očekivanog i razumljivog) tajnovitog i netransparentnog djelovanja, smatramo da postoji opasnost od korištenja regulatornih ovlasti u ostvarivanje svrha koje nisu primarno regulatorne prirode, a što bi se vrlo lako moglo shvatiti od strane reguliranih subjekata kao potencijalna zlouporaba regulatornih ovlasti na njihovu štetu te bi moglo rezultirati značajnim otporom suradnji sa regulatorom. Iz navedenog razloga smatramo da je SOA po svojoj prirodi nepogodan regulator za polje kibernetičke sigurnosti, te bi ustrajanje u određivanju SOA-e kao regulatora moglo rezultirati: a. Dovođenjem SOA-e u položaj gdje mora birati između izvršavanja svoje primarne zadaće zaštite nacionalne sigurnosti i interesa RH i zaštite tajnosti i povjerljivosti informacija nadziranih subjekata koje jamči zakon. b. Nevoljkošću reguliranih subjekata, a posebice multi-nacionalnih subjekata koji u poslovanju koriste povjerljive informacije vrlo visoke vrijednosti, da surađuju sa regulatorom u RH. c. Nevoljkošću drugih EU regulatora da dijele određene informacije za regulatorom u RH. Iako je jasno da bi bilo potrebno da SOA ima svoje mjesto u nacionalnoj mreži tijela koja osiguravaju i nadziru razinu kibernetičke sigurnosti u RH, smatramo da bi bilo pogodnije sa aspekta izbjegavanja potencijalnih dvojbi o primarnoj svrsi i misiji SOA-e, ali i sa aspekta percepcije regulatora (pa time i provedbi odredaba ZKS) da se kao regulatorno tijelo za ZKS odredi ili zasnova novi subjekt koji nije formalni dio sigurnosno-obavještajne zajednice. Nije prihvaćen Kibernetička sigurnost je integralni dio nacionalne sigurnosti u svim članicama EU. Odabir središnjeg tijela, odnosno izgradnja nacionalnog centra za kibernetičku sigurnost, u svim državama se provodi na temelju tradicije razvoja i raspoloživih sposobnosti i resursa. U RH je sigurnosno-obavještajni sustav bio nositelj izrade Nacionalne strategije kibernetičke sigurnosti 2014. godine, NIS1 transpozicije 2018. godine, pa je kroz Nacionalno vijeće za kibernetičku sigurnost nastavljen isti pristup i sa NIS2 transpozicijom. Odabir SOA-e je rezultat procjene da će se interni Centar za kibernetičku sigurnost SOA-e moći najbrže i najučinkovitije transformirati u nužno potrebni Nacionalni centar za kibernetičku sigurnost (NCSC). Ne postoji jednoobrazno rješenje oko osnivanja NCSC-a na razini EU i svaka članica osnivanje NCSC-a regulira temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a veći broj članica EU je za osnivanje NCSC-a koristila sigurnosno-obavještajne sustave. Primjerice, u Danskoj, Španjolskoj, Grčkoj (članice EU), kao i Velikoj Britaniji, Kanadi, Južnoj Koreji i drugim razvijenim državama, NCSC je dio sigurnosnih i obavještajnih sustava, dok su neke zemlje poput Njemačke i Italije proces osnivanja NCSC-a započele u okvirima sigurnosno-obavještajnog sustava (navedene dvije članice EU su naknadno provodile daljnju organizacijsku transformaciju NCSC tijela u samostalne agencije, ali su godinama njihova NCSC tijela funkcionirala unutar sigurnosno-obavještajnih sustava tih država). U Francuskoj se središnje tijelo za kibernetičku sigurnost (ANSSI) nalazi unutar sustava obrane i nacionalne sigurnosti te odgovara državnom tajniku za obranu i nacionalnu sigurnost. Dodatno napominjemo kako u onim državama, u kojima su nacionalni centri kibernetičke sigurnosti smješteni u ministarstvima, postoji zakonska obveza njihove uske suradnje i koordinacije sa sigurnosno-obavještajnim tijelima. Tijela-regulatori kako su opisana u komentaru predstavljaju regulatore pojedinih vertikalnih sektora kao što su to primjerice sektori telekomunikacija ili bankarstva. NIS2 direktiva, jednako kao ni ovaj Zakon, ne bave se reguliranjem vertikalnih sektora, već stvaraju preduvjete za veću zajedničku razinu kibernetičke sigurnosti na razini EU. Sve mjere NIS2 direktive su horizontalne i predstavljaju sigurnosno-organizacijske mjere. Prostor za buduće uvođenje jače normizacije i pratećih akreditacijskih i certifikacijskih zahtjeva u području kibernetičke sigurnosti može se tek očekivati kroz druge EU propise (npr. Cyber Resiliancy Act predložen 2022. godine), ali ni to neće biti proces usporediv s reguliranim vertikalnim sektorima gospodarstva već samo nešto više standardiziran pristup kibernetičkoj sigurnosti i njenim najboljim praksama. Sukob interesa sigurnosno-obavještajnih tijela nije do sada zabilježen niti u jednoj od niza država u kojima su nacionalni centri za kibernetičku sigurnost pozicionirani u sigurnosno-obavještajnim tijelima. Također, niti jedan od nacionalnih centara kibernetičke sigurnosti na globalnoj razini nema regulatorne ovlasti. NIS2 direktiva ne postavlja zahtjev državama članicama za određivanje regulatornih tijela, tako da niti jedno tijelo u državama članicama, određeno za nadležno tijelo u okviru NIS2 transpozicije, nije regulatorno tijelo i nema regulatorne ovlasti, a to je slučaj i s Nacionalnim centrom za kibernetičku sigurnost u okviru predloženog Zakona.
15 Karlo Paljug IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Prijedlog je da se definicija osobnih podataka iz točke 31. ostavi jednakom onoj iz članka 4. stavka 1. točke 1. GDPR: „osobni podaci” znače svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca." Ovakvim dodavanjem/izmjenama može stovit će se pravna nesigurnost. Smisao definicije osobnih podataka iz GDPR je da se da dovoljno široka definicija kako bi se obuhvatili svi oni podaci kojima se može pridodati atribut "osobni". Navođenje posebnih podataka kao osobnih podataka, je adekvatna praksa za smjernice, ali ne i u ovom slućaju za zakon budući nije nužno da u svim nabrojanim situacijama će se stvarno raditi o osobnim podacima (npr. IP adresa može biti adresa društva). Također, samim upućivanjem na članak drugog akta, ne spada u najbolju praksu kod pisanja zakona. Nije prihvaćen Intencija predlagatelja Zakona bila je ukazati na to da je korištenje osobnih podataka u okviru ovog Zakona izuzetak, a ne pravilo. Stoga je GDPR definicija prilagođena konkretnim slučajevima iz područja primjene ovog Zakona.
16 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. U nastavku navodimo komentare na postojeće pojmove za koje smatramo da ih je potrebno detaljnije pojasniti, izmijeniti ili izbrisati: Aktivna kibernetička zaštita - preporučamo da se u definiciju uz Nacionalni sustav za otkrivanje kibernetičkih prijetnji dodaju i "pružatelji usluga otkrivanja i zaštite kibernetičke sigurnosti koje pružaju javna tijela ili privatne tvrtke". Digitalna usluga - preporučamo dopunu definicije s obzirom na postojanje slobodnog softvera i besplatnih rješenja. IKT usluga - predlažemo da se jasnije i detaljnije definira pojam IKT usluge. IKT uslugu čini skup procesa, ljudi i tehnologija i zbog toga smatramo da postojeća definicija nije sveobuhvatna. Postupanje s incidentom - korištenje riječi "sprečavanje" u opisu pojma podrazumijeva da do incidenta neće niti doći. Predlažemo da se definicija promijeni na način da se umjesto "sprečavanje" navede "sprečavanje novih incidenata". Pružatelji usluga povjerenja - definicija je nedovoljno opisana te iz nje nije moguće jasno utvrditi što su to pružatelji usluga povjerenja. Ranjivost - predlažemo da se definicija dopuni sa slabostima, osjetljivošću i nedostacima u organizacijskim i operativnim postupcima koji su uz IKT čest izvor ranjivosti. Rizik - predlažemo da se definicija pojma "rizik" obriše sukladno prijedlogu na razini EU (Amandman 39, unutar dokumenta https://www.europarl.europa.eu/doceo/document/A-9-2021-0313-AM-001-280_HR.pdf) Sistemski rizik - sistemski rizik je prema ovoj definiciji šireg opsega i obuhvaća više subjekata. Predlažemo da se jasno definira tko je odgovoran za sistemski rizik. Jesu li to nadležna tijela ili netko drugi? Usluga računalstva u oblaku - definicija je nejasna i nedovoljno opisana. Postoji li razlog zbog kojeg pojam nije definiran kao i u NIS 2 direktivi? Dodatno, preporučamo dodati definiciju pojmova: - Upravljana usluga i - Sigurnosno upravljana usluga (ukoliko se prihvati komentar da se subjekti "sigurnosno upravljana usluga" dodaju kao vrsta subjekta unutar Priloga I., sektor 9. Upravljanje uslugama IKT-a (B2B)) Djelomično prihvaćen Pojam aktivne kibernetičke zaštite će se prikladno skratiti, dok je u slučaju definicija koje se preuzimaju iz NIS2 direktive te definicija potrebno u potpunosti ispravno preuzeti, što znači da je odredbe uredbi EU zabranjeno prepisivati u nacionalne propise, a pojmove iz direktiva EU potrebno preuzeti u tekstu kakav je sadržan u dotičnoj direktivi odnosno u transpozicijskom propisu kojim su dotična direktiva i pojam preuzeti u nacionalno zakonodavstvo. Vezano za upit o sistemskom riziku molimo pogledati čl. 12. Zakona, iz kojeg je razvidno kako se koristi u nadležnim tijelima za proces kategorizacije i pripadnu procjenu rizika.
17 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Molimo Vas za pojašnjenje. Koja je razlika između „javnih subjekata“ koji su definirani u članku 4. stavku 1. točki 17. i „subjekata javnog sektora“ koji su definirani u članku 4. stavku 1. točki 53. prijedloga zakona? Zašto nam je ta razlika bitna? Primljeno na znanje Definicije „javnog subjekta“ i „subjekata javnog sektora“ u članku 4. daju se u smislu potreba predmetnog Zakona, kako bi se osiguralo različite opsege primjene u pojedinim propisanim zakonskim instrumentima. Definicija „javnog subjekta“ naknadno je izmijenjena na način da se izbjegnu nepotrebna preklapanja s obuhvatom pojma „subjekata javnog sektora“.
18 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Predlažemo da se u definiciji 'osobni podaci' (Članak 4. stavak 1. točka 31.) gdje se navode konkretni primjeri osobnih podataka (URL, IP adresa, adresa e-pošte, nazivi domena itd.), naglasi da je riječ samo o primjerima koji mogu ali i ne moraju biti osobni podaci, ovisno o situaciji. Tim više što se u dosta situacija neki od tih podataka uopće neće smatrati osobnim podatkom (npr. adresa e-pošte može glasiti samo info@ImeOrg.hr, što nije osobni podatak). Ovakva zakonska definicija 'osobnih podataka' koja navodi konkretne primjere osobnih podataka (koje sam GDPR ne navodi) mogla bi dovesti do problema u primjeni jer bi se ti podaci mogli paušalno uzeti kao osobni, bez sagledavanja konkretne situacije. Inače, NIS 2 ne sadrži definiciju 'osobnih podataka' već samo navodi primjere u točki 121 preambule, pa bih alternativno predložili i da se još jednom razmotri svrsishodnost samog članka 4. stavka 1. točke 31. predmetnog prijedloga zakona odnosno njegovo brisanje. Nije prihvaćen Intencija predlagatelja Zakona bila je ukazati na to da je korištenje osobnih podataka u okviru ovog Zakona izuzetak, a ne pravilo. Stoga je GDPR definicija prilagođena konkretnim slučajevima iz područja primjene ovog Zakona.
19 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. U definiciji istraživačke oragnizacije izuzimate, primjerice, fakultete koji su istovremeno i obrazovne i istraživačke organizacije, ali koje se bave i stručnim radom - i sve tri djelatnosti bi trebali raditi podjednako. Dodatno, MZO ima registar znanstvenih organizacija: https://mzo.gov.hr/istaknute-teme/znanost/znanstvenici-i-znanstvene-organizacije/upisnik-znanstvenih-organizacija-674/674 Nije prihvaćen Člankom 4. preuzimaju se odredbe članka 6. NIS2 direktive, pa tako i u dijelu koji se odnosi na definiciju pojma „istraživačka organizacija“. Samu definiciju predmetnog pojma iz članka 6. NIS2 direktive potrebno je u potpunosti ispravno preuzeti, što u odnosu na pojam „istraživačka organizacija“ znači obvezu preuzimanja definicije u tekstu sadržanom u članku 6. stavku 1. točki 41. NIS2 direktive. Nadalje, Zakonom se uvodi preporuka NIS2 direktive i uključuje se uz istraživački sektor i obrazovni sektor. Razlog tome je da se istraživački sektor kroz NIS2 direktivu smatra skupom organizacija koje se primarno bave istraživanjem. Upravo zato je prihvaćena mogućnost proširenja na obrazovni sektor, u kojemu će biti moguće procesom kategorizacije uključiti u okvir Zakona subjekte kao što su određeni fakulteti. NIS2 direktiva postavlja zahtjev provedbe mjera kibernetičke sigurnosti u cijelosti poslovanja kategoriziranog subjekta, tako da će obuhvatiti i istraživačke i obrazovne i stručne segmente na opisani način kategoriziranog fakulteta i to neovisno o području u kojem je kategoriziran. Navedeno je usuglašeno sa sektorski nadležnim Ministarstvom znanosti i obrazovanja.
20 ZORAN SAMBOL IV. TEKST PRIJEDLOGA ZAKONA, Članak 4. Točka 2. Mislili se na Nacionalni hrvatski CERT: https://www.cert.hr/onama/? Ako se misli, onda se to i treba napisati. Nije prihvaćen U članku 4. dana je opća definicija pojma CSIRT jer se isti koristi u Zakonu.
21 NINO ŠETUŠIĆ IV. TEKST PRIJEDLOGA ZAKONA, Članak 5. Potrebno je razjasniti što su klasificirani podaci ili se pozvati ne neki dokument koji to definira. Također o kojim/čijim klasificiranim podacima se radi, samo Republike Hrvatske, drugih zemalja članica i EU? Što podacima koje kompanije smatraju klasificiranim. Nije prihvaćen Zakon se ne bavi kategorijama podataka jer se to ne može jednostavno definirati za veliki broj vrlo raznorodnih sektora, podsektora i vrsta subjekata. Ti pojmovi se koriste samo u smislu jasnijeg utvrđivanja opsega ovog Zakona i njegovog odnosa prema drugim propisima, a isti su definirani već dugi niz godina u različitim temeljnim propisima koji uređuju određenu materiju, primjerice klasificirani podaci u Zakonu o tajnosti podataka (NN 79/07, 86/12).
22 Porobija & Špoljarić d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 9. Članak 9. st. 1. t. 3. Formulacija navedenog kriterija za razvrstavanje koja se poziva na odredbe Zakona o poticanju razvoja malog gospodarstva izrazito je nejasna i može rezultirati pravnom nesigurnošću kod budućeg tumačenja zakona i klasifikacije subjekta sukladno zakonu. Naime, subjekti (u konkretnom podstavku to su pružatelji javnih elektroničkih komunikacijskih usluga i javno dostupnih elektroničkih komunikacijskih usluga) koji bi bili razvrstani kao ključni subjekti bi bili tzv. subjekti malog gospodarstva koji se sukladno odredbama čl. 2. st. 1. t. 1. i 3. određuju kao subjekti koji: - imaju manje od 250 zaposlenih i - ostvaruju ukupni godišnji poslovni prihod u iznosu protuvrijednosti do 50.000.000,00 EUR ili imaju ukupnu aktivu ako su obveznici poreza na dobit, odnosno imaju dugotrajnu imovinu ako su obveznici poreza na dohodak u iznosu protuvrijednosti do 43.000.000,00 EUR. No, unutar iste odredbe dodaje se da će se kao ključne subjekte razvrstati i svi subjekti koji prelaze gornje granice subjekta malog gospodarstva. Predmetna odredba se može tumačiti da obuhvaća sve subjekte sa manje ili više od 250 zaposlenih i poslovnim prihodom manjim ili većim od 50.000.000,00 EUR. Drugim riječima, odnosi se na sve subjekte koji pružaju usluge javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga, te se pozivanjem na predmetnu odredbu Zakona o poticanju razvoja malog gospodarstva uopće ne postiže razlikovanje subjekata prema kriterijima veličine ili ekonomske snage. Nejasna je namjera predlagatelja zakona u svezi sa navedenom formulacijom, no s obzirom da se u prethodnoj točci istog stavka jasno i nedvosmisleno određuje da u odnosu na pružatelje TSP usluga, top level domain pružatelje usluga i DNS pružatelje usluga razvrstavanje provodi bez obzira na veličinu, nejasno je zašto je u odnosu na pružatelje usluga javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga nije korištena ista formulacija kada iz trenutačnog teksta proizlazi isti tretman. Smatramo bitnim ukazati da je NIS 2 direktiva u članku 2. st. 1. upućuje na javne ili privatne subjekte koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci 2003/361/EZ (a ne upućuje na sve subjekte malog gospodarstva tzv. SME) i onima koji prelaze tu granicu, a što znači da je NIS 2 kao kriterij veličine uzeo srednja poduzeća koja se, prema čl. 3. st. 4. Zakona o poticanju razvoja malog gospodarstva imaju smatrati poduzećima koja zapošljavaju između 51-250 ljudi i prema financijskim izvješćima za prethodnu godinu ostvaruju godišnji poslovni prihod u iznosu protuvrijednosti između 10.000.001,00 EUR i 50.000.000,00 EUR, ili imaju ukupnu aktivu ako su obveznici poreza na dobit, odnosno imaju dugotrajnu imovinu ako su obveznici poreza na dohodak, u iznosu protuvrijednosti od 10.000.001,00 EUR do 43.000.000,00 EUR. Ukoliko je namjera predlagatelja zakona bila da ipak odredi određene kriterije veličine u odnosu na navedene subjekte, predlažemo pozivanje na odredbe članka 3. Zakona o poticanju razvoja malog gospodarstva u kojem se određuju kriteriji za razlikovanje mikro, malih i srednjih subjekata malog gospodarstva prema veličini, kao pogodniju odredbu za segmentaciju prema veličini subjekta. Prihvaćen Prihvaća se.
23 Porobija & Špoljarić d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 10. Članak 10. st. 1. t. 1. Jednako kao i komentar na čl. 9. st. 1. t. 3., ovdje se koristi nejasna formulacija iz koje proizlazi da bi se kao važne subjekte moglo razvrstati sve javne i privatne subjekte iz Priloga II Zakona (one koji jesu subjekti malog gospodarstva, kao i one koji prelaze gornju granicu, dakle sve subjekte) Smatramo bitnim ukazati da je NIS 2 direktiva u članku 2. st. 1. upućuje na javne ili privatne subjekte koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci 2003/361/EZ (a ne upućuje na sve subjekte malog gospodarstva tzv. SME) i onima koji prelaze tu granicu, a što znači da je NIS 2 kao kriterij veličine uzeo srednja poduzeća koja se, prema čl. 3. st. 4. Zakona o poticanju razvoja malog gospodarstva imaju smatrati poduzećima koja zapošljavaju između 51-250 ljudi i prema financijskim izvješćima za prethodnu godinu ostvaruju godišnji poslovni prihod u iznosu protuvrijednosti između 10.000.001,00 EUR i 50.000.000,00 EUR, ili imaju ukupnu aktivu ako su obveznici poreza na dobit, odnosno imaju dugotrajnu imovinu ako su obveznici poreza na dohodak, u iznosu protuvrijednosti od 10.000.001,00 EUR do 43.000.000,00 EUR. Ukoliko je namjera predlagatelja zakona bila da ipak odredi određene kriterije veličine u odnosu na navedene subjekte, predlažemo pozivanje na odredbe članka 3. Zakona o poticanju razvoja malog gospodarstva u kojem se određuju kriteriji za razlikovanje mikro, malih i srednjih subjekata malog gospodarstva prema veličini, kao pogodniju odredbu za segmentaciju prema veličini subjekta. Prihvaćen Prihvaća se.
24 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 12. Vezano za stavak 2, slažemo se s prethodnim komentarom i smatramo da je potrebno pojašnjenje o odgovornostima i načinu provođenja procjene, te definiranje roka. Primljeno na znanje Kriteriji za procjenu koja se provodi u procesu kategorizacije temeljem članaka 11. do 13. Prijedloga zakona, neovisno od općih kriterija za kategorizaciju (članci 9. i 10. Prijedloga zakona), dodatno će se razraditi za sve potrebne sektore Uredbom iz članka 24. Zakona. Rok za kategorizaciju subjekata propisan je čl. 110. Zakona i traje godinu dana od stupanja na snagu Zakona.
25 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 12. Tko i na koji način provodi procjenu važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti za jedinice lokalne i područne (regionalne) samouprave? Primljeno na znanje Procjenu važnosti provodi nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti prema podjeli nadležnosti iz Priloga III.
26 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 13. Fakulteti i visokoškolske ustanove su obrazovne ustanove, za razliku od osnovnih škola i srednjih škola koje su odgojno-obrazovne. Jesu li u ovom članku namjerno isključene visokoškolske ustanove? Prihvaćen Prihvaća se.
27 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 14. Da li se Zakon odnosi i na infrastrukturu subjekta koja se ne nalazi na prostoru RH? Ako da, na koji način nadležna tijela misle provoditi izravan nadzor na teritoriju druge države? Primljeno na znanje NIS2 direktiva uvodi alat uzajamne pomoći za slučajeve kada subjekt pruža usluge u više od jedne države članice ili pruža usluge u jednoj ili više država članica, a njegovi se mrežni i informacijski sustavi nalaze u drugoj državi članici ili u više njih. U pitanju je članak 37. NIS2 direktive i isti se odnosi upravo na provedbu nadzornih aktivnosti u gore opisanim slučajevima, a sve u cilju osiguranja provedbe obveza iz NIS2 direktive (recital 134. NIS2 direktive). Članak 37. NIS2 direktive preuzima se u nacionalno zakonodavstvo člancima 94. do 96. Nacrta (DIO OSMI, STRUČNI NADZOR NAD PROVEDBOM ZAHTJEVA KIBERNETIČKE SIGURNOSTI, POGLAVLJE V. UZAJAMNA POMOĆ U PROVEDBI STRUČNIH NADZORA S NADLEŽNIM TIJELIMA DRUGIH DRŽAVA ČLANICA).
28 Porobija & Špoljarić d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 15. Nastavno na prethodne komentare na čl. 9. i 10., smatramo da se predmetnim člankom uvodi dodatna nejasnoća i nesigurnost u odnosu na kriterij veličine koji će se koristiti za razvrstavanje subjekata. Stavak 2. predmetnog članka koji bi trebao pružiti dodatnu jasnoću vezano uz primjenu kriterija veličine, odnosno, na koje bi se vrste subjekata malog gospodarstva primjenjivala klasifikacija sukladno zakonu, u trenutačnoj formulaciji proizvodi dodatnu sumnju jer navodi da će se prilikom kategorizacije „voditi računa“ o smjernicama Europske komisije (konkretan dokument koji uređuje navedenu materiju naziva se Preporuka 2003/361/EZ i odredbe su, u bitnom, već prenesene u Zakon o poticanju razvoja malog gospodarstva). Budući da je razumno očekivati da će usklađivanje poslovanja subjekata koji su obveznici ovog zakona biti skup i kompliciran proces, smatramo da bi se morao propisati jasan kriterij veličine (osim u slučaju primjene posebnih kriterija iz članka 11. ovog zakona) temeljem kojih se provodi kategorizacija jer se potencijalno reguliranim subjektima mora omogućiti određena razina izvjesnosti da će prelaskom objektivno određenih pragova postati obveznici ovog zakona. Primljeno na znanje Člankom 15. Prijedloga zakona se potvrđuje odrednica Zakona kako se svi zahtjevi i kriteriji odnose na poslovanje subjekta u cijelosti. Pri tome se samo upućuje na to kako se kriteriji veličine promatraju kumulativno u odnosu na cjelokupno poslovanje subjekta, jednako kao što se i mjere kibernetičke sigurnosti primjenjuju na cjelokupno poslovanje. Stavak 2. ovog članka odnosi se primarno na smjernice koje bi Europska komisija, u suradnji sa Skupinom za suradnju i relevantnim dionicima, trebala izraditi nastavno na recital 20. NIS2 direktive. Provedba obveza ne bi trebala biti niti složen, a niti skup proces za tvrtke koje danas primjenjuju najbolje prakse kibernetičke sigurnosti u svom poslovanju. Postupnost uvođenja šire EU standardizacije donijet će u srednjoročnom razdoblju svim subjektima puno stabilnije upravljanje informacijskim i komunikacijskim sustavima i veću sigurnost njihovih poslovnih procesa, kao i ispomoć u rješavanju kibernetičkih incidenata i napada, a pri tome ne nužno veća financijska ulaganja.
29 NINO ŠETUŠIĆ IV. TEKST PRIJEDLOGA ZAKONA, Članak 19. S obzirom da klasifikacija i/ili reklasifikacija znatno utječu na obveze subjekta bitno je da subjekt potvrdi primitak obavijesti tj. u slučaju da potvrda nije primljena da ga se pokuša kontaktirati putem nekog drugog kanala. Primljeno na znanje Kategorizacija podrazumijeva početak suradnje i uspostavu obostrane komunikacije između nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i ključnog subjekta.
30 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 19. Budući da se radi o promjeni kategorizacije subjekta i samim time obveza subjekta, kako se i navodi u članku, svrsishodno bi bilo subjektima dati određeni rok za prilagodbu novim obvezama, umjesto da se njihove obveze mijenjaju odmah po primitku obavijesti. Rok bi trebalo odrediti od slučaja do slučaja i definirati ga u obavijesti subjektu, a minimalan rok bi trebao biti 60 dana. (komentar na stavak 2. ovog članka) Prihvaćen Prihvaća se.
31 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 20. Predlažemo definirati na što se odnosi "IP adresni prostor" te dodatno navedeno odvojiti u zasebnu natuknicu, odvojeno od kontakt podataka. Vezano za "druge podatke", razmotriti navođenje primjera ili obavezu nadležnim tijelima da definiraju ili upute subjekte koji bi im drugi podaci bili potrebni za potrebu kategorizacije. Primljeno na znanje Ovaj dio teksta prenesen je iz NIS2 direktive te će biti dalje razrađen, pojašnjen i strukturiran u okviru Uredbe iz članka 24. Zakona, vodeći računa i o članku 3. stavku 4. podstavku 3. NIS2 direktive kojim je utvrđeno da Europska komisija uz pomoć Europske agencije za kibernetičku sigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u svezi s obvezama dostave predmetnih podataka.
32 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 20. Čl.20.st.1. alineja 2 -pojasniti detaljnije na što se konkretno odnosi pojedina stavka posebno u dijelu IP adresnih raspona Primljeno na znanje Ovaj dio teksta prenesen je iz NIS2 direktive (članak 3. stavak 1. podstavak 1.) te će biti dalje razrađen, pojašnjen i strukturiran u okviru Uredbe iz članka 24. Zakona, vodeći računa i o članku 3. stavku 4. podstavku 3. NIS2 direktive kojim je utvrđeno da Europska komisija uz pomoć Europske agencije za kibernetičku sigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u svezi s obvezama dostave predmetnih podataka.
33 NINO ŠETUŠIĆ IV. TEKST PRIJEDLOGA ZAKONA, Članak 20. Potrebno je detaljnije definirati tražene podatke pogotovo u vidu multi-nacionalnih kompanija tj. da li se dostavljaju podaci samo koji se tiču lokalnih ureda ili za cijelu tvrtku. Također tražiti sve adrese e-pošte lokalnih ili globalnih zaposlenika nije najsigurnije rješenje zbog rizika gubitka tih podataka. Što se IP adresa trebalo bi definirati točno koje IP adrese – sve ili samo vezane za neke servise, ponovno pitanje vezano uz multinacionalne kompanije da li su potrebne i adrese koje nisu vezane za lokalnu ispostavu, što je s uporabom cloud rješenja gdje se te adrese znaju mijenjati. U velikim tvrtkama često se neke stranice, najčešće marketing, kupuju kao gotova rješenja od raznih agencija koje se odgovorne za njih te naručilac usluge nije upoznat s svim adresama koje se vežu uz takvu stranicu iz takvih i sličnih razloga kod multinacionalnih kompanije gotovo ako ne i praktički je nemoguće prikupiti sve IP adrese, stoga bi bilo potrebno u zahtjevu definirati koje sve IP adrese je potrebno priložiti. Primljeno na znanje Ovaj dio teksta prenesen je iz NIS2 direktive (članak 3. stavak 1. podstavak 1.) te će biti dalje razrađen, pojašnjen i strukturiran u okviru Uredbe iz članka 24. Zakona, vodeći računa i o članku 3. stavku 4. podstavku 3. NIS2 direktive kojim je utvrđeno da Europska komisija uz pomoć Europske agencije za kibernetičku sigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u svezi s obvezama dostave predmetnih podataka.
34 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 20. Pod "IP adresnim rasponima" se vjerojatno misli na javne IP adrese, ali s obzirom da to nije jasno rečeno, može označavati i privatne IP adrese. Također, nejasno je radi li se o dodijeljenim IP adresama, ili korištenim IP adresama. Primljeno na znanje Ovaj dio teksta prenesen je iz NIS2 direktive (članak 3. stavak 1. podstavak 1.) te će biti dalje razrađen, pojašnjen i strukturiran u okviru Uredbe iz članka 24. Zakona, vodeći računa i o članku 3. stavku 4. podstavku 3. NIS2 direktive kojim je utvrđeno da Europska komisija uz pomoć Europske agencije za kibernetičku sigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u svezi s obvezama dostave predmetnih podataka.
35 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 20. Ako je obveznik globalni provider s data centrima diljem svijeta, da li mora prijaviti sve globalno korištene IP raspone? Primljeno na znanje Potrebni su rasponi IP adresa koje davatelj koristi za potrebe davanja usluga u RH.
36 HGK IV. TEKST PRIJEDLOGA ZAKONA, Članak 21. U skladu s čl. 21. st. 1. Nacrta, javni subjekti dužni su bez naknade dostavljati popise subjekata i omogućiti pristup registrima te dostavljati i druge podatke. Skrećemo pozornost kako je za omogućavanje pristupa registrima, odnosno evidenciji potrebno izvršiti dodatne zahvate tehničke prirode te je nužno da trošak u vezi s navedenim snosi podnositelj zahtjeva. Primljeno na znanje Članak 21. ostavlja mogućnost dostave traženih podataka ili odgovarajućeg pristupa registrima, a s obzirom da se radi o periodičkom procesu kategorizacije, a ne operativnom pristupu na dnevnoj bazi, mišljenja smo kako je članak jasan i lako primjenjiv u praksi.
37 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 24. Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata temeljem posebnih kriterija iz članka 11. ovog Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 2. i članka 13. ovog Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovog Zakona propisuje Vlada Republike Hrvatske (u daljnjem tekstu: Vlada) uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost, a uz prethodno mišljenje nadležnih tijela za provedbu posebnih zakona dužna su redovito. Nije prihvaćen Prilikom donošenja uredbi Vlade, pa tako i Uredbe iz članka 24. Prijedloga zakona primjenjuje se poslovnička procedura utvrđena Poslovnikom Vlade RH („Narodne novine“, broj: 154/11, 121/12, 7/13, 61/15, 99/16, 57/17, 87/19 i 88/20), sukladno kojoj nacrtu prijedloga Uredbe iz članka 24. Prijedloga zakona moraju biti priložena mišljenja širokog kruga relevantnih dionika, a kako je to slučaj i s Nacrtom prijedloga predmetnog zakona.
38 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 24. Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost. Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno. Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi). Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta. Nije prihvaćen Uredbu donosi Vlada na prijedlog središnjeg državnog tijela za kibernetičku sigurnost, priprema ju međuresorna stručna radna skupina, mišljenje na uredbu će davati niz tijela kao i na Zakon, a proces kategorizacije provodi više nadležnih tijela za zahtjeve kibernetičke sigurnosti iz priloga III. Zakona, svako od tih tijela za sektore iz svoje nadležnosti prema ovome prilogu. Napominjemo kako SOA ne bi bila jedino tijelo koje prijedlogom zakonom dobiva nadležnosti u području kibernetičke sigurnosti već su to i druga tijela: Hrvatska narodna banka (HNB) za sektor bankarstva; Hrvatska agencija za nadzor financijskih usluga (HANFA) za infrastrukture financijskog sektora; Hrvatska agencija za civilno zrakoplovstvo (HACZ) za sektor zračnog prometa; Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) za telekomunikacijski sektor; Ured Vijeća za nacionalnu sigurnost (UVNS) za javni sektor; Središnji državni ured za razvoj digitalnog društva (SDURDD) za pružatelje usluga povjerenja; Ministarstvo znanosti i obrazovanja (MZO) za sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare; Nacionalni CERT ustrojen u CARNET-u kao drugi nadležni CSIRT, uz NCSC. Slijedom ovog opisa i niza drugih dijelova Zakona, jasno je da su kriteriji definirani i usklađeni te da više nadležnih tijela postupa po tim kriterijima u sektorima definiranim Prilogom III. Zakona. Nacionalno vijeće za kibernetičku sigurnost (https://www.uvns.hr/hr/informacijska-sigurnost/kiberneticka-sigurnost) već godinama se sastaje na mjesečnoj razini i trenutno obuhvaća predstavnike 16 institucija, a od 2021. godine postoji i međuresorna radna skupina za upravljanje kibernetičkim krizama koja se sastaje na kvartalnoj razini i obuhvaća više državnih tijela, sigurnosno-obavještajnih tijela i sektorskih regulatora. Donošenjem ovog Zakona ta će se suradnja nadležnih tijela dodatno razviti i strukturirati u skladu s EU zahtjevima iz NIS2 direktive odnosno iz ovog Zakona.
39 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 26. Čl. 26, st.1: "Ključni i važni subjekti dužni su provoditi ODGOVARAJUĆE I RAZMJERNE mjere upravljanja kibernetičkim sigurnosnim rizicima." Navedeni prijedlog je u skladu s preambulom 93. te člankom 21. st1. Direktive. Prihvaćen Prihvaća se.
40 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 27. S obzirom na to da države članice osiguravaju da subjekti poduzimaju mjere za upravljanje rizicima, predlažemo da radi očuvanja pravne sigurnosti država pobliže definira na koji način se provodi procjena rizika i mjera, bilo na način da propiše obavezu korišenja neke od javno dostupnih i besplatnih metodologija, bilo na način da dodatno definira neke od obaveznih elemenata, a kako bi se ujednačio pristup među subjektima. Primljeno na znanje Uredbom iz članka 24. Zakona planira se dodatno razraditi niz elemenata Zakona pa tako i metode za upravljanje rizikom.
41 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 27. Čl. 27. točka 2: "Pri procjeni proporcionalnosti primijenjenih mjera upravljanja kibernetičkim sigurnosnim rizicima u obzir se uzimaju: - stupanj izloženosti subjekta rizicima - veličina subjekta - vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni i gospodarski UČINAK." Navedeni prijedlog je u skladu s Direktivom i značenju riječi učinak koji nije istoznačica riječi utjecaj. Prihvaćen Prihvaća se.
42 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 27. Ako subjekt radi procjenu rizika, tada mora uzeti u obzir točku jedan stavka 2 te dijelom i točku 3 istog stavka. S druge strane, veličina subjekta i njegov mogući društveni i gospodarski utjecaj nisu nešto s čim se subjekt treba "zamarati" već nadzorno tijelo koje temeljem tih parametara odlučuje tko je ključan, a tko važan subjekt. Obveza upravljanja rizicima podrazumijeva i njihovo ovladavanje - ako su rizici neprihvatljlivi. Potpuno drugo pitanje je kako će pojedini subjekt definirati razinu prihvatljivog rizika te da se može doći u situaciju u kojoj subjekt ima preveliki apetit za rizik. Tu bi na nacionalnoj razini trebalo imati procjenu rizika za društvo koje svaki subjekt donosi. Primljeno na znanje Procjenu rizika provodi subjekt obveznik Zakona, ali se ta procjena provjerava u sklopu ocjene sukladnosti (revizije), kao i pri stručnom nadzoru tijela nadležnog za zahtjeve kibernetičke sigurnosti. U tom smislu subjekt mora biti svjestan svoje uloge u gospodarstvu i društvu kako bi pravilno procijenio rizike. Upravo ta uloga subjekta razlog je za njegovu kategorizaciju kao ključni ili važni subjekt.
43 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 27. Kako bi se izbjeglo manipuliranje u procesu procjene rizika, predlažemo da se propiše obveza korištenja okvira za procjenu rizika koji je donijela ENISA (ENISA Risk Management/Risk Assessment (RM/RA) Framework). Primljeno na znanje Uredbom iz članka 24. Zakona planira se dodatno razraditi niz elemenata Zakona pa tako i metode za upravljanje rizikom.
44 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 27. Što je utvrđeni rizik, tko i na koji način ga procjenjuje i vrednuje? Ako je to zadaća samog obveznika, da li isti može utvrditi niske ili nepostojeće rizike i prihvatiti ih? Primljeno na znanje Procjenu rizika provodi subjekt obveznik Zakona, ali se ta procjena provjerava u sklopu ocjene sukladnosti (revizije), kao i pri stručnom nadzoru tijela nadležnog za zahtjeve kibernetičke sigurnosti. U tom smislu subjekt mora biti svjestan svoje uloge u gospodarstvu i društvu kako bi pravilno procijenio rizike. Upravo ta uloga subjekta razlog je za njegovu kategorizaciju kao ključni ili važni subjekt.
45 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. Direktiva, kao i neke druge regulative EU (primjerice, Opća uredba o zaštiti podataka), ne navodi obavezu korištenja najnovijih dostignuća što se može zaključiti iz stavka 1. članka 28., već naglašava da se najnovija dostignuća trebaju uzeti u obzir. Predlažemo stavak preformulirati u skladu s time. Prihvaćen Prihvaća se.
46 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. Čl.28.st1. - potrebno pojasniti kroz Uredbu iz čl.24. ovog Zakona kako bi se izbjegla mogućnost širokog tumačenja obveza, njihovog ispunjenja te potencijalnog kažnjavanja adresata Zakona. Prihvaćen Prihvaća se.
47 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. (1) Mjere upravljanja kibernetičkim sigurnosnim rizicima provode se na način da se koriste najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti i, kada je to primjenjivo, relevantne europske i međunarodne norme te trošak provedbe. (2) Ključni i važni subjekti dužni su prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima koristiti se određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije, ako je takva obveza propisana: - mjerodavnim propisima Europske unije - posebnim propisima kojima se uređuje područje pružanja određenih usluga odnosno obavljanja određenih djelatnosti - uredbom iz članka 24. ovog Zakona. (3) Ključni i važni subjekti dužni su zamijeniti IKT proizvode, IKT usluge i IKT procese te upravljane sigurnosne usluge, a koji nisu sukladni sa stavkom (2) ovog članka, u roku koji ne može biti duži od 5 godina. (4) U slučaju da nadležno tijelo izda nalog za hitnu zamjenu IKT proizvoda, IKT usluga i IKT procesa te upravljanih sigurnosnih usluga, a koji nisu sukladni sa stavkom (2) ovog članka, troškove zamjene snosi državni proračun. Nije prihvaćen Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako, odnosno kada, takva obveza bude utvrđena drugim relevantnim propisima.
48 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv. Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive. Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“. Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta. Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti. Nije prihvaćen Stavak 1. je odgovarajuće preformuliran slijedom prijedloga HUMS-a iz točke 30. i A1 iz točke 46. te je jasniji i u skladu je s NIS2 zahtjevima. Nacionalne certifikacijske sheme su omogućene u svim slučajevima u kojima ne postoji EU certifikacijska shema. S tim u svezi, skreće se pozornost na Uredbu (EU) 2019/881 (Akt o kibernetičkoj sigurnosti) i Zakon o provedbi Uredbe (EU) 2019/881 („Narodne novine“, broj: 63/22). Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako, odnosno kada, takva obveza bude utvrđena drugim relevantnim propisima.
49 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. Ako netko provodi upravljanje rizicima prema nekoj od međunarodno prihvaćenih normi, ne bi li trebao već raditi prema onome što definira stavak 1 ovog članka? Isto tako, umanjenje rizika nije samo korištenje tehničkih dostignuća već i drugih, primjerice organizacijskih. Nadalje, ako se umanjuje rizik, je li potrebno definirati kako se to treba napraviti? Ako je rizik smanjen, je li bitno kako je to učinjeno - pod uvijetom da je doista rizik manji? Ovaj članak kao da ide u definiranje metoda procjene i upravljanja rizicima. Primljeno na znanje Svi budući subjekti koji danas koriste najbolje prakse kibernetičke sigurnosti, imat će vrlo malo promjena u provođenju zahtjeva iz ovog Zakona, koje će se svoditi na izvještavanje određenog CSIRT-a o kibernetičkim incidentima te na korištenje nezavisne revizije i periodičkog stručnog nadzora nadležnog tijela.
50 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. S obzirom da nam još nije poznata količina i vrsta IKT proizvoda i usluga koji će biti certificirani i čija će primjena biti obvezna ključnim i važnim subjektima, predlažemo da se razmotri opcionalno korištenje certificiranih IKT proizvoda i usluga (a ne obvezno). Tako bi subjekti koji se odluče na korištenje certificiranih IKT proizvoda i usluga puno lakše dokazali usklađenost, a istovremeno bi se izbjegle komplikacije koje za sobom povlači obvezno korištenje certificiranih IKT proizvoda i usluga (monopol, gubitak certifikacije, prelazak na drugi proizvod ili uslugu). Time bi se ostvario namjeravani cilj jer će se većina subjekata na tržištu sigurno opredijeliti za certificirane IKT proizvode i usluge ukoliko oni budu dostupni na tržištu uz slične/jednake uvjete kao i proizvodi i usluge bez certifikata. (komentar na stavak 2. ovog članka) Nije prihvaćen Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako, odnosno kada, takva obveza bude utvrđena drugim relevantnim propisima.
51 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 28. U skladu s ovim člankom, moguć je scenarij u kojem će obveznicima Zakona obveznim propisati korištenje „određenih IKT proizvoda, IKT usluga i IKT procesa te upravljanih sigurnosnih usluga, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije“. Da li postoje podaci o tome koji proizvodi, usluge i procesi su certificirani i što se događa u situaciji ako obveznik već koristi određene proizvode, usluge i procese koji nisu certificirani? Što ako određeni proizvodi, usluge i procesi izgube certifikat, a obveznici Zakona ih koriste? Primljeno na znanje Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako, odnosno kada, takva obveza bude utvrđena drugim relevantnim propisima.
52 Porobija & Špoljarić d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 29. U odnosu na stavak 1. Izraz „članovi upravljačkih tijela“ nije pravno-tehnički izraz koji se koristi u pravnom sustavu RH budući da se time neadekvatno označavaju odgovorne osobe u trgovačkim društvima u određenim oblicima uređenja trgovačkog društva. Naime, problematično je u slučaju kada se radi o tzv. monističkom uređenju društva gdje društvo umjesto nadzornog odbora kao nadzornog tijela koje imenuje upravu i uprave kao upravljačkog tijela postoji tek jedno tijelo - upravni odbor koji imenuje određene članove upravnog odbora izvršnim direktorima - osobama koje neposredno upravljaju društvom. S druge strane postoje i članovi upravnog odbora - neizvršni direktori koji nemaju izravnu mogućnost donositi odluke i upravljati poslovanjem društva. Trenutačna formulacija bi obuhvatila i neizvršne direktore u društvima sa monističkim uređenjem, a što smatramo pogrešnim i protivnim smislu NIS 2 direktive. Predlažemo zamijeniti izraz „članovi upravljačkih tijela“ sa „osobe ovlaštene za zastupanje subjekata“ ili „zakonski zastupnici subjekata“. U odnosu na stavak 4. Odredba je nejasna te se može tumačiti vrlo široko. Izraz „pravni predstavnik“ je nejasan i nije moguće utvrditi odnosi li se na pravnu ili fizičku osobu. S obzirom na ozbiljne posljedice koje zakon propisuje za odgovorne osobe, smatramo da je potrebno dodatno razraditi navedenu odredbu na način da se jasnije odredi tko sve i na temelju čega može biti pravni predstavnik subjekta. Djelomično prihvaćen Zbog velikog broja vrlo različitih sektora i subjekata koje Zakon pokriva teško je iznaći zajednički prihvatljivu formulaciju. U Prijedloga zakona je u pojmovnik uveden pojam „upravljačkog tijela ključnog i važnog subjekta“ (tijelo ili tijela imenovana u skladu sa zakonom kojim se uređuje osnivanje i poslovanje subjekta, a koja raspolažu ovlastima za upravljanje i vođenje subjekta). Također, radi jasnoće i dodatnog usklađivanja sa člankom 32. stavkom 6. i člankom 33. stavkom 5. NIS2 direktive, izmijenjen je i stavak 4. članka 29. Prijedloga zakona na način da iz njega sada izrijekom proizlazi kako se članak 29. odnosi na fizičke osobe koje, između ostalog, u svojstvu pravnog predstavnika na temelju punomoći ili ovlasti za zastupanje ili punomoći ili druge ovlasti za donošenje odluka u ime subjekta, sudjeluju u donošenju odluka o mjerama upravljanja kibernetičkim sigurnosnim rizicima i/ili njihovoj provedbi.
53 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 29. Vezano uz stavak 1., članovi upravljačkih tijela u hrvatskom jeziku predstavljaju širok pojam. Predlažemo da se izraz "članovi upravljačkih tijela" zamijeni s "članovi upravljačkih tijela u upravljačkoj funkciji" kako bi bilo jasno da se misli na članove uprava/direktore najviših razina odgovornosti. Dodatno, predlažemo da se u ovaj članak, nakon stavka 3. dodaju dodatna dva stavka važna za odgovornost za provedbu mjera: 1. Osobe odgovorne za upravljanje mjerama obvezne su imenovati voditelja informacijske sigurnosti koji će direktno njima odgovarati po pitanjima vezanim uz sigurnost IKT sustava i povezanih organizacijskih i operativnih postupaka. Obrazloženje: Zbog važnosti ovog Zakona, nužno je imenovati osobu koja će obnašati funkciju voditelja informacijske sigurnosti i jasno definirati odgovornosti te funkcije. S obzirom na posljedice koje mogu nastati u slučaju ne poštivanja odredbi ovog Zakona, ključno je da voditelj informacijske sigurnosti o stanju sigurnosti odgovara direktno osobi odgovornoj za upravljanje mjerama unutar subjekta. Na primjer, Opća uredba o zaštiti podataka definira imenovanje službenika za zaštitu podataka i njegove odgovornosti u sklopu. 2. Osobe odgovorne za upravljanje mjerama obvezne su za uspostavu, odobrenje i praćenje provedbe strategije informacijske sigurnosti. Obrazloženje: Strategija informacijske sigurnosti je dokument kojim se na najvišim razinama definira način razvoja informacijske sigurnosti te ciljevi sigurnosti vezani uz IKT i povezane organizacijske i operativne postupke. Strategijom se na najvišoj razini osigurava usklađenost s poslovnim ciljevima. S obzirom na navedeno, smatramo da strategija mora postojati kako bi subjektima osigurala smisleno i plansko usklađivanje sa Zakonom koje će osigurati željenu razinu otpornosti. Djelomično prihvaćen Zbog velikog broja vrlo različitih sektora i subjekata koje Zakon pokriva teško je iznaći zajednički prihvatljivu formulaciju. U Prijedloga zakona je u pojmovnik uveden pojam „upravljačkog tijela ključnog i važnog subjekta“ (tijelo ili tijela imenovana u skladu sa zakonom kojim se uređuje osnivanje i poslovanje subjekta, a koja raspolažu ovlastima za upravljanje i vođenje subjekta). Sličan problem je i s propisivanjem imenovanja „voditelja informacijske sigurnosti“ jer se u različitim sektorima koriste vrlo različite prakse i nazivi ovakvih radnih mjesta, tako da je prihvatljivo rješenje opisno i obvezuje na određivanje odgovornih osoba, ali nazivi radnih mjesta ostaju u ingerenciji svakog pojedinog sektora/subjekta.
54 ZLATAN MORIĆ IV. TEKST PRIJEDLOGA ZAKONA, Članak 29. Predpostavljam da će biti potrebno osmisliti osposobljavanja koje polaznicima daje znanja i vještine da mogu napraviti sve iz članka 30. Primljeno na znanje Članak 29. stavak 3. Prijedloga zakona uvodi obvezu osposobljavanja u svrhu stjecanja znanja i vještina u pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja, a kako to određuje članak 20.stavak 2. NIS2 direktive. Vezano uz pitanje osposobljavanja napominje se kako je odredbom članka 30. stavkom 1. podstavkom 7. Prijedloga zakona propisano da mjere upravljanja kibernetičkim sigurnosnim rizicima moraju uključivati i osposobljavanje o kibernetičkoj sigurnosti, a kako to određuje i članak 21. stavak 2. točka g) NIS2 direktive. Prema članku 38. Prijedloga zakona, mjere upravljanja kibernetičkim sigurnosnim rizicima i način njihove provedbe, propisuju se uredbom iz članka 24. ovog Zakona. Također, napominje se kako se, sukladno obvezama država članica iz članka 7. NIS2 direktive, člankom 55. stavkom 2. i Prilogom IV. Nacrta, utvrđuje obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, a koji, između ostalog, obuhvaća obvezu razraditi tim aktom politiku za promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti, vještina u području kibernetičke sigurnosti, informiranja te istraživačkih i razvojnih inicijativa u području kibernetičke sigurnosti, kao i smjernica o dobroj praksi i kontrolama kibernetičke higijene namijenjenih građanima, kao i javnim i privatnim subjektima.
55 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 29. Što se smatra odgovarajućim osposobljavanjem? Primljeno na znanje Članak 29. stavak 3. Prijedloga zakona uvodi obvezu osposobljavanja u svrhu stjecanja znanja i vještina u pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja, a kako to određuje članak 20.stavak 2. NIS2 direktive. Vezano uz pitanje osposobljavanja napominje se kako je odredbom članka 30. stavkom 1. podstavkom 7. Prijedloga zakona propisano da mjere upravljanja kibernetičkim sigurnosnim rizicima moraju uključivati i osposobljavanje o kibernetičkoj sigurnosti, a kako to određuje i članak 21. stavak 2. točka g) NIS2 direktive. Prema članku 38. Prijedloga zakona, mjere upravljanja kibernetičkim sigurnosnim rizicima i način njihove provedbe, propisuju se uredbom iz članka 24. ovog Zakona. Također, napominje se kako se, sukladno obvezama država članica iz članka 7. NIS2 direktive, člankom 55. stavkom 2. i Prilogom IV. Nacrta, utvrđuje obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, a koji, između ostalog, obuhvaća obvezu razraditi tim aktom politiku za promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti, vještina u području kibernetičke sigurnosti, informiranja te istraživačkih i razvojnih inicijativa u području kibernetičke sigurnosti, kao i smjernica o dobroj praksi i kontrolama kibernetičke higijene namijenjenih građanima, kao i javnim i privatnim subjektima.
56 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 30. (1) Mjere upravljanja kibernetičkim sigurnosnim rizicima uključuju najmanje sljedeće: - politike analize rizika i sigurnosti informacijskih sustava - postupanje s incidentima - kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od katastrofe, te upravljanje krizama - sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga - sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući rješavanje ranjivosti i njihovo otkrivanje - politike i postupke za procjenu djelotvornosti mjera upravljanja kibernetičkim sigurnosnim rizicima - osnovne prakse kibernetičke higijene i osposobljavanje o kibernetičkoj sigurnosti - politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja - sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom - korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi Prijedlog je u skladu s čl. 21 Direktive jer transpozicija u trenutnom prijedlogu ne bi bila pravilna radi greške u prvoj rečenici iz čega se može protumačiti kako su taksativno nabrojene politike, a ne mjere. Također, Direktiva naglašava da se neke od mjera provode prema potrebi što u trenutnom prijedlogu teksta nije uzeto u obzir. Prihvaćen Prihvaća se.
57 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 30. Čl.30.st.1. alineja 5- potrebno pojasniti da li se radi o nabavi svih sustava ili samo kritičnih sustava? Primljeno na znanje Odnosi se na sve mrežne i informacijske sustave u cijelosti poslovanja kategoriziranog subjekta.
58 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 30. Članak se odnosi na odredbe NIS2 Direktive čl.21.st.2. koji je u prijedlogu Zakona bespotrebno modificiran dodavanjem termina"sigurnosne politike" prije dvotočke, čime su neke odredbe izgubile smisao, kao npr. sigurnosne politike u pogledu kriptografije i, prema potrebi, kriptiranja Zadnja crtica u st.1:- korištenja višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta. Dodati na kraj rečenice "prema potrebi" kako je i definirano u NIS2 (čl.21.st.2. točka (j)) Prijedlog: Uskladiti sa NIS2 (čl.21.st2.) Prihvaćen Prihvaća se.
59 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 30. Predlažemo da se unutar stavka 1. podstavak 5. "- sigurnosti u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje" podijeli na dva dijela na slijedeći način: - sigurnosti u nabavi, razvoju i održavanju mrežnih i informacijskih sustava - upravljanje ranjivostima uključujući otklanjanje ranjivosti i njihovo otkrivanje Obrazloženje: Umjesto otklanjanja i otkrivanja ranjivosti predlažemo da se propiše obveza upravljanja ranjivostima koja je nešto širi pojam i podrazumijeva proaktivan i kontinuiran proces prepoznavanja, procjenjivanja i otklanjanja potencijalnih sigurnosnih slabosti vezanih uz IKT, te organizacijske i operativne postupke pri upravljanju IKT-om. Također, s obzirom da ranjivosti ne moraju biti nužno vezane samo za mrežne i informacijske sustave već i za organizacijske i operativne postupke, predlažemo da se upravljanje ranjivostima izdvoji kao zasebni podstavak. Dodatno, predlažemo da se u stavak 1. dodaju i sljedeće mjere: - sigurnost u upravljanju, izgradnji i pružanju aplikativnih rješenja Obrazloženje: Sigurnost aplikativnih rješenja važna je jer aplikacije često sadrže osjetljive podatke i podržavaju rad poslovnih procesa zbog čega je važno osigurati njihov nesmetan rad. Uvođenjem sigurnosti u upravljanje aplikacijama osigurava se minimiziranje ranjivosti koje mogu proizaći iz ne upravljanja aplikacijskom sigurnošću, neprovedenog testiranja promjene i sl. Iako ostale točke indirektno govore o sigurnosti na svim razinama što uključuje i aplikacije, mislimo da je važno istaknuti ovu točku kako bi nedvojbeno istaknulo važnost aplikacijske sigurnosti i sve važniji element u osiguravanju informacijskih sustava. - osvješćivanje i izgradnja sigurnosnih kompetencija ljudskih resursa Obrazloženje: Jačanje svijesti o kibernetičkoj sigurnosti jedan je od ciljeva NIS 2 direktive i ovog Zakona. Također, nedovoljna razina osviještenosti ljudskih resursa jedna je od najčešći ranjivosti organizacija. - jačanje IKT sustava Obrazloženje: Jačanje IKT sustava je potrebno navesti jer predstavlja proces podizanja razine sigurnosti sustava smanjenjem njegove površine ranjivosti, a uključuje kontinuirano popravljanje sigurnosnih propusta, uključujući zakrpe na sustavima, konfiguracije, identifikaciju zlonamjernog koda, nadzor nad kontrolama pristupa, itd. Primljeno na znanje Članak je prikladno i dodatno usklađen isključivo prema sadržaju članka 21. stavka 2. NIS2 direktive koji se člankom 30. stavkom 1. prenosi u nacionalno zakonodavstvo.
60 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 31. Čl.31.st.2. alineja 2- arbitrarno određeni kriteriji – mogućnost širokog tumačenja što će rezultirati pravnom nesigurnošću za obveznika ovog Zakona Nije prihvaćen Radi se odgovornosti subjekta za korisnike njegovih usluga koja je na EU razini usklađena NIS2 zahtjevima. Člankom 31. Prijedloga zakona prenosi se u nacionalno zakonodavstvo članak 23. stavci 1. i 3. NIS2 direktive. Ovim odredbama opisno se određuje koji incident se smatra značajnim incidentom. Sukladno članku 38. Prijedloga zakona, kriteriji za utvrđivanje značajnih incidenata, uključujući kriterijske pragove ako su potrebni zbog specifičnosti pojedinog sektora, propisat će se uredbom iz članka 24. Zakona.
61 NINO ŠETUŠIĆ IV. TEKST PRIJEDLOGA ZAKONA, Članak 31. U prijedlogu stoji: „- ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga koje subjekt pruža odnosno djelatnosti koju obavlja ili financijske gubitke za subjekt“ Potrebno bi bilo izmijeniti „financijske gubitke“ za subjekt u „značajne financijske gubitke“ ili nešto slično. Npr. financijski gubitak od 100€ zbog ne dostupnosti web shopa ne bih okarakterizirao kao značajni incident ali bih se iz ovog uvjeta tako mogao shvatiti. Nije prihvaćen Poslovni subjekti gubitke stavljaju u relaciju sa svojim ukupnim prometom i dobiti te su oni u tom smislu vrlo različiti po iznosu u različitim sektorima i subjektima, ali svi subjekti imaju u tom smislu dobro razrađenu financijsku praksu. Člankom 31. Prijedloga zakona prenosi se u nacionalno zakonodavstvo članak 23. stavci 1. i 3. NIS2 direktive. Ovim odredbama opisno se određuje koji incident se smatra značajnim incidentom. Sukladno članku 38. Prijedloga zakona, kriteriji za utvrđivanje značajnih incidenata, uključujući kriterijske pragove ako su potrebni zbog specifičnosti pojedinog sektora, propisat će se uredbom iz članka 24. Zakona.
62 Karlo Paljug IV. TEKST PRIJEDLOGA ZAKONA, Članak 31. Direktiva kao sekundarni izvor prava EU je tu da pruži određeni cilj državama članicama, koje onda u implementacijskom roku trebaju nači način kako taj cilj zadovoljiti. S obzirom da se radi o prepisanom tekstu u pogledu kada se incident smatra značajnim iz NIS2, nužno je dodati jasnije kriterije. Npr. termin znatna materijalna šteta bi koja bila za pojedinca - 1000EUR? Također, znatna nematerijalna šteta kod povrede podataka fizičkih osoba teško da bi prelazila 500 EUR sukladno sudskoj praksi njemačkih sudova. Teško da bi se iznos mogao smatrati znatnim pa bi samim time, termin značajnog invidenta postao incident koji se često i ne prijavljuje. Takvo bi postupanje imalo bi negativan daljnji utjecaj na prava i slobode pojedinaca. Nije prihvaćen NIS2 direktiva ide za tim da osigura opći okvir za prepoznavanje incidenata koji se smatraju značajnim, što će se u određenoj mjeri dodatno razraditi u Uredbi iz članka 24. Zakona, kao i kroz praksu rada nadležnih CSIRT tijela i najbolje prakse u drugim državama članicama. Člankom 31. Prijedloga zakona prenosi se u nacionalno zakonodavstvo članak 23. stavci 1. i 3. NIS2 direktive. Ovim odredbama opisno se određuje koji incident se smatra značajnim incidentom. Sukladno članku 38. Prijedloga zakona, kriteriji za utvrđivanje značajnih incidenata, uključujući kriterijske pragove ako su potrebni zbog specifičnosti pojedinog sektora, propisat će se uredbom iz članka 24. Zakona. Sukladno članku 66. Prijedloga zakona, nadležni CSIRT donosi smjernice za ujednačavanje i unaprjeđenje stanja obveze obavještavanja iz članka 31. Zakona.
63 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 31. Tko i sukladno kojim mjerilima procjenjuje da je incident značajan, odnosno da „je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga“. Ako je to sam obveznik Zakona, ostavlja se sloboda da svatko „procjeni“ da nešto ipak nije ozbiljan poremećaj. U prvotnoj verziji Zakona postojali su jasni pragovi narušavanja usluge koji ukazuju da se radi o značajnom incidentu. Ovaj komentar se odnosi i na sve naredne članke kojima se propisuju obveze vezano za prijavu značajnih incidenata – ako subjekt sam procjenjuje značaj, da li je slobodan sve proglasiti „bez značajnim“ i da li zbog toga može biti kažnjen? Nije prihvaćen Člankom 31. Prijedloga zakona prenosi se u nacionalno zakonodavstvo članak 23. stavci 1. i 3. NIS2 direktive. Ovim odredbama opisno se određuje koji incident se smatra značajnim incidentom. Sukladno članku 38. Prijedloga zakona, kriteriji za utvrđivanje značajnih incidenata, uključujući kriterijske pragove ako su potrebni zbog specifičnosti pojedinog sektora, propisat će se uredbom iz članka 24. Zakona. Sukladno članku 66. Prijedloga zakona, nadležni CSIRT donosi smjernice za ujednačavanje i unaprjeđenje stanja obveze obavještavanja iz članka 31. Zakona.
64 Karlo Paljug IV. TEKST PRIJEDLOGA ZAKONA, Članak 33. Predlažem doradu ćlanka na način da se u istome doda: (2) Nadležni CSIRT će o incidentima i prijetnjama iz stavka 1. ovog članka uspostaviti registar kako bi se kotinuirano pratilo stanje kibernetičke sigurnosti na nacionalnoj razini. (3) Nadležni CSIRT će obavještavati o kibernetičkim prijetnjama ostale ključne i važne subjekte u najkraćem mogućem roku, a najkasnije u roku od 3 dana od dana zaprimanja obavjesti iz stavka 1. ovog članka. Nije prihvaćen CSIRT tijela imaju odgovornost za praćenje i rješavanje značajnih kibernetičkih incidenata i prijetnji, kao i za evidentiranje prijavljenih incidenata, njihovo rješavanje, odnosno pružanje pomoći subjektu u rješavanju incidenta. Člankom 33. otvorena je dodatna mogućnost subjektima za prijavu svih incidenata pa i onih izbjegnutih, a kako se to zahtjeva člankom 30. stavkom 1. točkom a) NIS2 direktive. Vrste i sadržaj obavijesti iz članka 33., kao i rokovi za njihovu dostavu propisat će se uredbom iz članka 24. Zakona (utvrđeno člankom 38. Prijedloga zakona).
65 Karlo Paljug IV. TEKST PRIJEDLOGA ZAKONA, Članak 35. Razmisliti o načinu obavještavanja javnosti. Možda u slučaju značajnog incidenta obavijestiti javnost i putem javne televizije kako bi se samim time podigla razina svjesti i kod građana o važnosti kibernetičke sigurnosti. Primljeno na znanje Pored članka 35., obavještavanje javnosti redovna je procedura u programima razvoja sigurnosne svijesti koji postoje u nizu Zakonom obuhvaćenih sektora. Također, to je dio područja upravljanja kibernetičkim krizama, a i redovitih izvješća koje nadležna CSIRT i druga tijela redovito komuniciraju s javnosti.
66 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 37. Naše razumijevanje ovog članka je da će se informacije o incidentima ključnih i važnih subjekata, uključujući i tajne podatke koje takve informacije mogu sadržavati prikupljati unutar CARNET-a, bez obzira je li CARNET nadležno tijelo subjekta ili nije. Ako je navedena tvrdnja točna, potrebno je uzeti u obzir potencijalne probleme koji mogu nastati vezano uz klasifikaciju informacija. Primljeno na znanje CARNET je upravitelj nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima, kao jedinstvene ulazne točke za obavještavanje o kibernetičkim prijetnjama i incidentima. Sva nadležna tijela i ključni subjekti iz Zakona su korisnici ove platforme, pri čemu svatko ima pravo pristupa podacima na platformi u skladu s nadležnostima iz Zakona i to se odnosi i na CARNET. Ova platforma (PiXi) je realizirana i danas radi na ovaj način, ali prema zahtjevima NIS1 transpozicije.
67 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 38. Čl.38. -u izradu Uredbe potrebno uključiti sve bitne dionike radi transparentnosti i preciznosti obveza i njihovog ispunjenja s obzirom na bitnost teme i mogućnosti kažnjavanja Primljeno na znanje Prilikom izrade Uredbe planira se primijeniti međuresorni pristup te uključiti sve relevantne dionike.
68 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 38. S obzirom da se članak 38. kao i članak 24. odnose na istu Uredbu, prijedlog da se članci objedine u jedan u kojem će jasnije biti definirano što će sve biti dodatno propisano predmetnom Uredbom, tko će ju donijeti i u kojem roku. Nije prihvaćen Opis i obuhvat Uredbe iz čl. 24. napravljen je u skladu s nomotehničkim pravilima. Zainteresirani se mogu uputiti na aktualni Zakon i Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64 i 68 /2018) u kojima je primijenjen isti pristup u nešto užem opsegu NIS1 transpozicije.
69 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 39. Čl.39.st.2. Potrebno pojasniti kako će provoditi postupci ocjene sukladnosti ili samoocjena s obzirom na dosadašnju praksu u sektoru elektroničkih komunikacija koja je bila propisana Pravilnikom o načinu i rokovima provedbe mjera zaštite sigurnosti mreža i usluga i koji se sada, prema našem razumijevanju, kao dio članka 41. ZEK-a stavlja van snage? Primljeno na znanje Uredbom iz članka 24. će se dodatno razraditi niz aspekata iz Zakona pa i zahtjevi za provedbu postupka ocjene sukladnosti i mogućnost autorizacije pravnih osoba za obavljanje ovih poslova. Za ključne subjekte provodit će se ocjena sukladnosti, a za važne samoocjena sukladnosti. Ove odredbe obvezuju i sektor elektroničkih komunikacija, s obzirom da se te odredbe u ZEK-u stavljaju izvan snage. Sukladno članku 41. stavku 2. Prijedloga zakona, ocjene sukladnosti u sektoru elektroničkih komunikaciji provodit će privatni subjekti koji ispunjavaju organizacijske i stručne zahtjeve za autorizaciju propisane Uredbom iz članka 24. Zakona.
70 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 41. Čl.41.st.6. Potrebno je pojasniti proces nakon što ključni subjekti izrade ocjenu sukladnosti – kojem se tijelu dostavlja ocjena sukladnosti, koje tijelo sastavlja izvješće, kojem tijelu se dostavlja izvješće u roku od 8 dana koji možda neće biti moguće ispuniti ukoliko zatraženi izvješće neko drugo nadležno tijelo nije sastavilo? Primljeno na znanje U slučaju ključnih subjekata ocjenu sukladnosti izrađuje tijelo za ocjenu sukladnosti, odnosno autorizirana pravna osoba. Izvješće se dostavlja ključnom subjektu koji je dužan jedan primjerak izvješća dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti (u slučaju A1 to je HAKOM).
71 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 41. Čl.41.st.3. Koja je razlika između samostalnog provođenja ocjene sukladnosti i samoocjene sukladnosti iz članka 42. Zakona ? Djelomično prihvaćen Radi jasnoće, stavak 3. na koji se odnosi upit izmijenjen na način da je riječ „samostalno“ zamijenjena riječima „kao zaseban postupak“.
72 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 41. Stavak 8. nejasno definiran: "Troškove provedbe ocjene sukladnosti snose ključni i važni subjekti, ako nije drugačije propisano ovim Zakonom.", Primljeno na znanje Troškove snose ključni i važni subjekti osim u slučaju iz članka 80. stavka 3. ovog Zakona.
73 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 41. Predlažemo da se definira predložak (format i sadržaj) izvješća o ocjeni sukladnosti kako bi izvješća bila unificirana za sve subjekte. Predlošci bi omogućili bržu provedbu ocjene sukladnosti te bi kasnije olakšali analizu rezultata i olakšali praćenje trendova kroz vremenski period. Primljeno na znanje Razrada i unificiranje procesa ocjene sukladnosti predviđena je člankom 44. Prijedloga zakona.
74 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 42. Na koji način i tko može provoditi samoocjenu sukladnosti? Iako se radi o samoocjeni, ipak je riječ o svojevrsnoj reviziji provođenja mjera sigurnosti koje se provodi, a za što su potrebna određena stručna znanja. Da li se očekuje da u svim subjektima koji provode samoocjenu postoje ti resursi? Jer ne postoje. A u skladu s time postupak samoocjene će se svesti na jednostavno potpisivanje checkliste od strane odgovorne osobe. Time će se i ti subjekti i javnost i država u cjelini zapravo samozavaravati da su usklađeni. Primljeno na znanje Kako je Zakonom definirano, samoocjenu provode važni subjekti i snose troškove te procjene bilo da ju rade samostalno ili da angažiraju treću stranu. Za proces samoocjene odgovorni su subjekti koji su ju dužni provoditi te u slučaju incidenta za koji se nadzorom utvrdi da je nastao uslijed loše provedbe mjera koja nije utvrđena samoocjenom, važni subjekt podliježe prekršajnoj odgovornosti.
75 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 44. Predlažemo da se popravi konzistentnost u člancima 24. i 44. U članku 24. navodi se da će se uredbom donijeti mjerila za procjenu, a u članku 44. navodi se da će se uredbom iz članka 24. urediti pravila, tehnički zahtjevi, norme, obrasci i postupci koji se primjenjuju prilikom provođenja ocjena i samoocjena sukladnosti te organizacijski i stručni zahtjevi za autorizaciju tijela za ocjenu sukladnosti. Nije prihvaćen Takav pristup je rezultat nomotehničkih pravila i sve članke koji se povezuju s člankom 24. potrebno je promatrati kumulativno, vodeći računa o tome da svaki za sebe predstavljaju poseban sadržaj koji će se razraditi Uredbom iz članka 24.
76 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 51. (1) S ciljem podizanja ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti, središnje državno tijelo za kibernetičku sigurnost kontinuirano razvija nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora (u daljnjem tekstu: nacionalni sustav). (2) Nacionalnom sustavu mogu pristupiti ključni i važni subjekti, kao i privatni i javni subjekti koji nisu kategorizirani kao ključni i važni subjekti sukladno ovom Zakonu, ovisno o procjeni kritičnosti subjekta koju provodi središnje državno tijelo za kibernetičku sigurnost. (3) Pristupanje nacionalnom sustavu može se provoditi kao obvezujuća mjera kibernetičke zaštite za pojedine kategorije ključnih subjekata, ako je takva obveza propisana uredbom iz članka 24. ovog Zakona. (4) Pristupanje nacionalnom sustavu provodi se temeljem sporazuma koji sklapaju središnje državno tijelo za kibernetičku sigurnost i subjekt koji pristupa sustavu. (5) Pristupanje nacionalnom sustavu ne utječe na obveze ključnih i važnih subjekata iz članka 25. ovog Zakona, već predstavlja dodatnu mjeru kibernetičke zaštite. (6) Nacionalnim sustavom prati se isključivo imovina subjekta koja je izložena internetu (imovina subjekta s internetskim sučeljem), te nacionalni sustav nema pravo pristupa lokalnim resursima subjekta, osim ako to nije određeno drugim zakonom. Nije prihvaćen Članak 51. dio je dobrovoljnih mehanizama Zakona, a izričaj o obvezivanju određenih tijela javnog sektora na pristupanje sustavu iz članka 52. dodatno je prilagođen i pojašnjen.
77 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 51. Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“. Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze. NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni. Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava. Nije prihvaćen Izuzev određenih tijela javnog sektora, svi ostali ključni i važni subjekti nisu obavezni na pristupanje sustavu iz članka 51. Prijedloga zakona. Svi subjekti koji dobrovoljno odluče pristupiti sustavu iz članka 51. potpisuju sporazum o utvrđenim međusobnim pravima i odgovornostima te načinu uvida u podatke na sustavu i njihovom korištenju. Ovaj pristup se primjenjuje na potpuno isti način već nekoliko godina temeljem odluke Vlade iz 2021. godine te sustav pod imenom SK@UT danas štiti više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH, pri čemu su svi operatori ključnih usluga i druge pravne osobe uključeni dobrovoljno, na njihov zahtjev i na temelju sigurnosne procjene SOA-e.
78 JAGOR ČAKMAK IV. TEKST PRIJEDLOGA ZAKONA, Članak 51. Zastrašujuće je da SOA kao dio obavještajnog aparata ima pravo nadgledati privatni promet kompanija i pristup njihovim podatcima (i podatcima svih zaposlenika) bez ikakvog sudskog naloga. Dodatno jedan takav alat (SK@UT) bi sam po sebi stvarao ogromnu ugrozu cijele IT infrastrukture u RH ako se taj sustav kompromitira, pogotovo s obzirom na to da je to sustav dijelom rađen na bazi projekta otvorenog koda. Također vrlo praktično pitanje se postavlja i tko podnosi troškove toga ako je predmet nadzora u cloudu i ne posjeduje vlastitu fizičku infrastrukturu? Nije prihvaćen Sustav iz članka 51. Prijedloga zakona predstavlja nacionalnu SOC (Security Operations Centre) mrežu, koja se sastoji od distribuiranih senzora i centralnog SOC-a. Takvi sustavi su raspoloživi u najmanje polovini EU država članica, a Europska komisija kroz prijedlog Cyber Solidarity Acta iz travnja 2023. godine potiče njihovo daljnje širenje i međusobno povezivanje. Aktualno španjolsko EU predsjedništvo stavilo je prioritet kibernetičkih aktivnosti upravo na nacionalne SOC mreže država članica te je SOA ispred RH dala doprinos u traženju daljnjeg EU puta razvoja ovakvih nacionalnih rješenja. Sustav SK@UT je izgrađen u okviru Centra za kibernetičku sigurnost SOA-e te služi za otkrivanje i zaštitu od državno-sponzoriranih kibernetičkih napada, APT kampanja (Advanced Persistent Threat) te drugih kibernetičkih ugroza. SK@UT tako predstavlja kibernetički kišobran RH koji trenutno pokriva više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH. Centar za kibernetičku sigurnost SOA-e putem sustava SK@UT štiti, a ne nadzire, ministarstva i ključna državna tijela, niz operatora ključne infrastrukture, uključujući i privatne tvrtke koje su se dobrovoljno uključile u sustav SK@UT.
79 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 51. Vezano uz moj komentar na članak 64., proizlazi da SOA-a (kao nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti) može obveznicima naložiti pristupanje sustavu i postavljanje senzora sustava SK@UT (koji razvija SOA, kao središnje državno tijelo za kibernetičku sigurnost) u informacijski sustav privatnih gospodarskih subjekata koji su definirani kao ključni ili važni. Primjeri takvih pružatelja su pružatelji usluga podatkovnog centra, pružatelji usluga računalstva u oblaku, pružatelji platformi za usluge društvenih mreža, subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova, itd. Obzirom na ovlasti SOA-e za provođenjem tajnih postupaka i mjera prikupljanja podataka sukladno Zakonu o sigurnosno-obavještajnom sustavu Republike Hrvatske, smatram da ovakve ovlasti dodijeljene SOA-i nisu razmjerne potrebama te mogu dovesti do zloupotreba i nepovjerenja obveznika ovog Zakona te javnosti u SOA-u kao Nadležno tijelo za provedbu zahtjeva Nije prihvaćen Izuzev određenih tijela javnog sektora svi ostali ključni i važni subjekti nisu obavezni na pristupanje ovom sustavu iz članka 51. Prijedloga zakona. Svi subjekti koji dobrovoljno odluče pristupiti sustavu iz članka 51. potpisuju sporazum o utvrđenim međusobnim pravima i odgovornostima te načinu uvida u podatke na sustavu i njihovog korištenja,. Ovaj način se primjenjuje na potpuno isti način već nekoliko godina te sustav danas štiti više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH., pri čemu su svi operatori ključnih usluga i druge privatne pravne osobe uključene dobrovoljno, na njihov zahtjev i na temelju sigurnosne procjene SOA-e.
80 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 51. Da li Zakon predviđa i pristupanje nacionalnom sustava dijelova infrastrukture subjekta koja se nalazi izvan RH? Ako da, ovo bi moglo biti vrlo problematično iz aspekta sukoba nadležnosti zakonodavnih sustava različitih zemalja. Primljeno na znanje Ne.
81 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 53. Koji je smisao ovog članka? Bez obzira pisalo u zakonu da bilo tko može razmjenjivati podatke, to je uvijek moguće. Dakle, ovo se čini redundantnim? Tim više što se članak odnosi i na one koji nisu obveznici ovog zakona. Primljeno na znanje Svaka razmjena sigurnosno osjetljivih podataka mora imati pravila, čak i kada je dobrovoljna. Upravo ta pravila su definirana ovim člankom, a dobrovoljni način razmjene se kao takav potiče, ali uz svijest o potrebi korištenja međusobnih pravila u razmjeni podataka. Člankom 53. prenosi se u nacionalno zakonodavstvo članak 59. NIS2 direktive.
82 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 58. čl.58. Da li su operatori elektroničkih komunikacija adresati vježbe i ako da u kojem opsegu jer je potrebno znati unaprijed scenarije vježbe? Primljeno na znanje Zakonom se propisuje samo opći okvir za održavanje nacionalnih i međunarodnih vježbi. Scenariji se u svakom pojedinom slučaju planiranih vježbi utvrđuju i organiziraju više mjeseci ili po godinu dana unaprijed i pravovremeno se koordiniraju sa svim planiranim sudionicima.
83 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 58. Tijekom pripreme vježbe Kibernetički štit 2020 (koja zbog pandemije nije održana), a i tijekom provođenja drugih vježbi, stečena su iskustva temeljem kojih bi bilo dobro doraditi ovaj članak. Prije svega, kriza nastaja kao posljedica nemogućnosti odgovora na incident unutar jednog ili više kritičnih subjekata što se onda prelijeva na nacionalnu razinu.Prema tome, da bi se složila dobra vježba NUŽNO je imati u ekipi i eksperte koji dolaze iz kritičnih ili važnih subjekata koji pomažu tijekom izrade vježbe. To je bio problem jer nije postojala nikakva obaveza sudjelovanja kritičnih subjekata u vježbi ili u pripremi vježbe. Alternativno, kriza nije posljedica incidenta u kibernetičkom prostoru, ali kroz kibernetički prostor se takva kriza dodatno amplificira. Međutim, priprema za takve slučajeve vjerojatno ne spada u okvire ovog zakona. Nadalje, bilo bi dobro da kritični i važni subjekti provode vježbe koje bi se koristile kao ulazi u planiranje nacionalne vježbe - barem na razini uprava. Nigdje nije propisano da bi oni to trebali raditi, ali tijekom vježbi koje su obavljene ispostavlja se da vježbe nisu samo korisne za pripremu odgovornih osoba za incident, VEĆ SU I JAKO DOBAR ALAT ZA OSVJEŠTAVANJE, POSEBNO UPRAVA. Primljeno na znanje Zakonom se po prvi puta na nacionalnoj zakonskoj razini propisuje instrument vježbi kibernetičke sigurnosti, a provedba samih vježbi razrađivat će se kroz planove i scenarije budućih vježbi. Što plan provedbe vježbi treba sadržavati propisano je člankom 58. stavkom 4. Prijedloga zakona.
84 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 59. Prva točka prvog stavka - popis ključnih i važnih subjekata bi morao biti PRIORITIZIRAN. Nisu svi jednaki, niti svi zahtjevaju istu pažnju, niti svi imaju jednaku slobodu. Kritični subjekt čiji incident može napraviti incident na nacionalnoj razini sigurno nije jednako vrijedan kao i kritični subjekt na regionalnoj razini. O tome je već bilo riječi kod članka koji se bavi procjenama rizika. Dodatno, resursa da se država bavi sa svima na isti način gotovo sigurno nema. Sve se to može riješiti prioritetnom listom (koja može biti različitih oblika - što bi se vjerojatno definiralo kroz uredbu iz članka 24). U članku 75, stavku 4 se govori da se to može napraviti i to prema "kategoriji rizičnosti". Nije prihvaćen Prioriteti se postavljaju kod procjene rizika u svrhu kraćeg ili dužeg razdoblja za provedbu redovitog nadzora (3 do 5 godina), čime se postiže mogućnost boljeg nadzora rizičnijih ključnih subjekata.
85 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 61. Zamijeniti stavak 1. i stavak 2. Nije prihvaćen Korišten pristup u raspoređivanju odredbi kakav je korišten i u članku 59. Prijedloga zakona odnosno prvim stavkom se utvrđuju poslovi, a stavkom 2. koje tijelo ih obavlja.
86 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 61. Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e. Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna. Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost. Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi. Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva. I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna. Nije prihvaćen Kibernetička sigurnost je integralni dio nacionalne sigurnosti u svim članicama EU. Odabir središnjeg tijela, odnosno izgradnja nacionalnog centra za kibernetičku sigurnost, u svim državama provodi se na temelju tradicije razvoja i raspoloživih sposobnosti i resursa. U RH je sigurnosno-obavještajni sustav bio nositelj izrade Nacionalne strategije kibernetičke sigurnosti 2014. godine, NIS1 transpozicije 2018. godine, pa je kroz Nacionalno vijeće za kibernetičku sigurnost nastavljen isti pristup i sa NIS2 transpozicijom. Odabir SOA-e je rezultat procjene da će se interni Centar za kibernetičku sigurnost SOA-e moći najbrže i najučinkovitije transformirati u nužno potrebni Nacionalni centar za kibernetičku sigurnost (NCSC). Ne postoji jednoobrazno rješenje oko osnivanja NCSC-a na razini EU i svaka članica osnivanje NCSC-a regulira temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a veći broj članica EU je za osnivanje NCSC-a koristila sigurnosno-obavještajne sustave. Primjerice, u Danskoj, Španjolskoj, Grčkoj (članice EU), kao i Velikoj Britaniji, Kanadi, Južnoj Koreji i drugim razvijenim državama, NCSC je dio sigurnosnih i obavještajnih sustava, dok su neke zemlje poput Njemačke i Italije proces osnivanja NCSC-a započele u okvirima sigurnosno-obavještajnog sustava (navedene dvije članice EU su naknadno provodile daljnju organizacijsku transformaciju NCSC tijela u samostalne agencije, ali su godinama njihova NCSC tijela funkcionirala unutar sigurnosno-obavještajnih sustava tih država). U Francuskoj se središnje tijelo za kibernetičku sigurnost (ANSSI) nalazi unutar sustava obrane i nacionalne sigurnosti te odgovara državnom tajniku za obranu i nacionalnu sigurnost.
87 Jurica Čular IV. TEKST PRIJEDLOGA ZAKONA, Članak 64. Ne dovodeći u pitanje kompetencije koje postoje u SOA-i za obavljanje ovih zadaća, smatram da, sa stajališta mogućih zloupotreba i narušavanja povjerenja javnosti, nije prihvatljivo SOA-i dodijeliti sve 3 uloge: (1) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti (2) Središnje državno tijelo za kibernetičku sigurnost i (3) Jedinstvena kontaktna točka. Naime, ovlasti primjene tajnih postupaka i mjera prikupljanja podataka kakve su Zakonom o sigurnosno-obavještajnom sustavu Republike Hrvatske dodijeljene SOA-i te temeljne zadaće SOA-e definirane istim zakonom nisu u skladu s karakteristikama koje su nužne za obavljanje navedene 3 uloge. Dodjela ovih uloga SOA-i može spriječiti učinkovitu suradnju i razmjenu informacija, a potreba za učinkovitijom suradnjom nadležnih tijela posebno je naglašena kao razlog donošenja NIS2 direktive. Ovlasti SOA-e za provođenjem tajnih postupaka i mjera prikupljanja podataka također mogu dovesti do zloupotreba i nepovjerenja obveznika ovog Zakona u SOA-u kao Nadležno tijelo za provedbu zahtjeva. Vidite i komentar na članak 51. Sukladno Zakonu o sigurnosno-obavještajnom sustavu Republike Hrvatske, dio zadaća iz ovog Zakona dodijeljenih SOA-i bolje bi ispunjavao Zavod za sigurnost informacijskih sustava (ZSIS), obzirom na svoje temeljne zadaće i kompetencije. Nije prihvaćen Kibernetička sigurnost je integralni dio nacionalne sigurnosti u svim članicama EU. Odabir središnjeg tijela, odnosno izgradnja nacionalnog centra za kibernetičku sigurnost, u svim državama provodi se na temelju tradicije razvoja i raspoloživih sposobnosti i resursa. U RH je sigurnosno-obavještajni sustav bio nositelj izrade Nacionalne strategije kibernetičke sigurnosti 2014. godine, NIS1 transpozicije 2018. godine, pa je kroz Nacionalno vijeće za kibernetičku sigurnost nastavljen isti pristup i sa NIS2 transpozicijom. Odabir SOA-e je rezultat procjene da će se interni Centar za kibernetičku sigurnost SOA-e moći najbrže i najučinkovitije transformirati u nužno potrebni Nacionalni centar za kibernetičku sigurnost (NCSC). Ne postoji jednoobrazno rješenje oko osnivanja NCSC-a na razini EU i svaka članica osnivanje NCSC-a regulira temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a veći broj članica EU je za osnivanje NCSC-a koristila sigurnosno-obavještajne sustave. Primjerice, u Danskoj, Španjolskoj, Grčkoj (članice EU), kao i Velikoj Britaniji, Kanadi, Južnoj Koreji i drugim razvijenim državama, NCSC je dio sigurnosnih i obavještajnih sustava, dok su neke zemlje poput Njemačke i Italije proces osnivanja NCSC-a započele u okvirima sigurnosno-obavještajnog sustava (navedene dvije članice EU su naknadno provodile daljnju organizacijsku transformaciju NCSC tijela u samostalne agencije, ali su godinama njihova NCSC tijela funkcionirala unutar sigurnosno-obavještajnih sustava tih država). U Francuskoj se središnje tijelo za kibernetičku sigurnost (ANSSI) nalazi unutar sustava obrane i nacionalne sigurnosti te odgovara državnom tajniku za obranu i nacionalnu sigurnost.
88 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 67. Predlažemo uvesti obavezu informiranja subjekata kako bi se na strani subjekta mogli eliminirati lažno pozitivni pokazatelji kao indikatori aktivnosti neprepoznatih trećih strana/lažno pozitivne prijetnje. Primljeno na znanje Zakonom se otvaraju velike mogućnosti međusobne suradnje i razmjene informacija između niza nadležnih tijela i ključnih i važnih subjekata. Informacije o kibernetičkim ugrozama i indikatorima kompromitacije, kao i o taktikama, tehnikama i procedurama državno-sponzoriranih APT grupa i drugih sofisticiranih i organiziranih kibernetičkih napadača, SOA je do sada u određenoj mjeri razmjenjivala samo s pravnim osobama uključenima u nacionalni sustav iz članka 51. (sustav SK@UT), dok će kroz ovlasti iz Zakona takvo informiranje nadležnih tijela i subjekata biti puno šire.
89 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 67. Čl.67. Svrha ovakve aktivnosti trebala bi biti detekcija ranjivosti i ostavljanje prostora za poboljšanje razine sigurnosti obveznika. Ona ne bi trebala inicirati provođenje inspekcija već bi trebala biti usmjerena na davanje informacija isključivo obvezniku nad kojim je aktivnost provedena o detektiranoj ranjivosti.Navedeno je sukladno i Direktivi 2022/2555. Primljeno na znanje Da, smisao ove odredbe je da omogući CSIRT tijelima u NIS2 direktivi iste mogućnosti kakve koristi i niz globalnih komercijalnih tvrtki, kao i niz malicioznih aktera u svijetu. Aktivnosti ove vrste imaju za cilj preventivno i kontinuirano upozoravanje subjekata na potencijalne ranjivosti vidljive u javnom kibernetičkom prostoru i njihovo brzo uklanjanje.
90 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 68. Stavak 2. u raskoraku s odredbom NIS2 Direktive (čl.11., st.2.) gdje je navedeno da CSIRT-ovi mogu provoditi proaktivno neintruzivno skeniranje javno dostupnih mrežnih i informacijskih sustava ključnih i važnih subjekata, te da takvo skeniranje ne smije imati negativan učinak na funkcioniranje usluga subjekata. Dali je u redu da se CSIRT zakonski ograđuje od snošenja odgovornosti za štetu uzrokovanu incidentom na mrežnim i informacijskim sustavima ključnih i važnih subjekata uslijed obavljanja svojih zadaća? Nije prihvaćen Članak 68. odnosi se na rješavanje kibernetičkih incidenata i u tom dijelu postoji odgovornost subjekta za suradnju s CSIRT tijelom, ovisno o razini pomoći koja mu je potrebna, ili minimalno za izvještavanje kada se radi o značajnom kibernetičkom incidentu. U slučaju prijavljenog kibernetičkog incidenta i traženja pomoći od CSIRT-a, CSIRT ne može biti odgovoran za incident već jedino može pomoći u odgovoru na incident. Članak 67. odnosi se na proaktivno neintruzivno skeniranje javno dostupnih mrežnih i informacijskih sustava ključnih i važnih subjekata s ciljem brzog uklanjanja ranjivosti vidljivih u javnom kibernetičkom prostoru.
91 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 68. S obzirom da je riječ o dužnosti/obvezi ključnih i važnih subjekata da sa nadležnim CSIRT-om razmjenjuju potrebne informacije u postupku rješavanja incidenta, predlažemo da se umjesto „incidenta“ napiše „značajnog incidenta“. Naime, jasno je iz teksta prijedloga zakona da obveze za subjekte proizlaze kada je riječ o značajnom incidentu, dok se kod (običnog) incidenta može ali i ne mora komunicirati sa CSIRT-om. Nije prihvaćen Članak 68. odnosi se na odgovor na incident koji je na obaveznoj ili dobrovoljnoj osnovi prijavljen CSIRT-u, jer i za dobrovoljnu osnovu prijave incidenta iz nekog subjekta CSIRT pruža pomoć i sudjeluje u njegovom otklanjanju, osim u iznimnim okolnostima kada mora vlastite resurse uskladiti s prioritetima rješavanja većeg broja značajnih incidenata koji su se dogodili u isto vrijeme.
92 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 69. Nisu li CSIRT-ovi kritični subjekti? I ako jesu, ne bi li onda trebali primjenjivati sve što se definira zakonom i uredbom i na taj način postići sve - a i više - nego što piše u ovom članku? Nije prihvaćen CSIRT-ovi su nadležna tijela iz Priloga III. te imaju posebno određene zahtjeve s obzirom na specifičnost posla kojim se bave.
93 Elizabeta Montan IV. TEKST PRIJEDLOGA ZAKONA, Članak 73. Nepotreban članak s ovakvim tekstom, svi su obavezni na obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka. Nigdje nije navedena obaveza prijenosa osobnih podataka sudionika u incidentima kod prijave incidenata (napadač ili napadnut). Prijava detalja o incidentima bez da je u zakonu navedeno koje/čije osobne podatke je obavezno prikupiti i prijaviti predstavlja time kršenje Uredbe za prijavitelje incidenta. Nije navedeno koliko je potrebno čuvati i koje podatke u svrhe koje obuhvaća ovaj zakon, razuman rok bi bio 2 godine. Nije prihvaćen Osobni podaci u ovom Zakonu predstavljaju izuzetak koji se u nekim slučajevima može pojaviti te su odredbe povezane s osobnim podacima u Prijedlogu zakona dodatno dorađene i dopunjene u suradnji s Agencijom za zaštitu osobnih podataka.
94 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 75. Možda je umjesto "kategoriji rizičnosti" bolje napisati "prema značenju za sustav/državu", "mogućem (štetnom) utjecaju na društvo/državu/regiju" ili tako nešto? Nije prihvaćen Radi se o korištenju kriterija za procjenu rizika i metode kojom se na temelju te procjene razvrstavaju tijela u različite kategorije, odnosno o formaliziranom procesu upravljanja rizikom koji se dinamički prati i procjenjuje.
95 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 77. Predlažemo da se rok najave definira kao tri radna dana. Djelomično prihvaćen Promijenjeno na „najkasnije u roku od pet dana prije početka nadzora“.
96 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 77. Čl.77.st.2. Pozdravljamo uvođenje roka najave, međutim predlažemo da umjesto tri dana budu tri radna dana kako bi se nadzirani subjekti pravovremeno pripremili za najavljeni nadzor. Djelomično prihvaćen Promijenjeno na „najkasnije u roku od pet dana prije početka nadzora“.
97 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 77. Vezano za stavak 2., predlažemo da se jasnije navede misli li se na tri radna ili tri kalendarska dana. S obzirom da nije jasno definirano koja će se dokumentacija tražiti na uvid, predlažemo da se obavijest o nadzoru pošalje minimalno 3 (ili više) radna dana prije kako bi se subjekti mogli bolje pripremiti za nadzor. Djelomično prihvaćen Promijenjeno na „najkasnije u roku od pet dana prije početka nadzora“.
98 Span d.d. IV. TEKST PRIJEDLOGA ZAKONA, Članak 77. Molimo da se razmotri produljenje roka za najavljeni stručni nadzor. Predlažemo da rok bude minimalno 5 radnih dana. Naime, nadležnim tijelima uvijek ostaje mogućnost provedbe nenajavljenog nadzora iz članka 77. stavka 3. kada se za to pokaže potreba. S druge strane najavljeni nadzor trebao bi subjektu nadzora dati dovoljno vremena za pripremu, za što su 3 dana premalo (pogotovo ako se u obzir uzme da bi tu mogli ući vikendi i drugi neradni dani). Djelomično prihvaćen Promijenjeno na „najkasnije u roku od pet dana prije početka nadzora“.
99 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 78. Treća točka - što ako je određen dio sustava pod kontrolom treće strane? U tom slučaju do njih se ne može jer oni nisu "nadležne i odgovorne osobe nadziranog subjekta". Nije prihvaćen Ključni i važni subjekti su odgovorni za korištenje usluga trećih strana u sklopu svojih mrežnih i informacijskih sustava te se nadzire samo način i uvjeti pod kojima ta treća strana obavlja svoj posao unutar opsega nadležnosti nadziranog subjekta.
100 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, Članak 83. Ukoliko se radi o transpoziciji iz čl. 32. Direktive, službenik je na strani nadležnog tijela, a ne na strani subjekta. Ukoliko je pak ideja imenovanja unutar samog subjekta, predlažemo dodatno definirati mehanizme zaštite zaposlenika, njegove kompetencije te pozicije koje su u potencijalnom sukobu interesa unutar subjekta. Prihvaćen Prihvaća se.
101 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 83. Nije li ovo poprilično nedorečeno? Nigdje se ne kaže koje su kompetencije, ovlasti i odgovornosti službenika za praćenje usklađenosti. Primljeno na znanje Izmijenjeno temeljem prijedloga iz točke 100.
102 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 85. Molimo pojašnjenje nadležnih tijela koja se spominju u članku. Iz načina kako je opisano, nije jasno radi li se o istom ili više različitih nadležnih tijela. Primljeno na znanje Nadležna tijela za provedbu zahtijeva kibernetičke sigurnosti pobrojana su u Prilogu III. Zakona, zajedno sa sektorima svojih nadležnosti.
103 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 86. Predlažemo da se prilikom donošenja odluka o izricanju korektivnih mjera u obzir uzme potencijalno nesavjesna procjena rizika. Nesavjesno i preblago procjenjivanje rizika koje ne odražava stvarno stanje bi se uz navedene u stavku 2. ovog članka trebalo smatrati ozbiljnom povredom. Nije prihvaćen Pobrojane su opće kategorije korektivnih mjera koje su primjenjive i na proces upravljanja rizikom, odnosno na njegove rezultate i stanje mjera kibernetičke sigurnosti u nekom subjektu, a kako to zahtijevaju članci 32. stavak 7. i članak 33. stavak 5. NIS2 direktive.
104 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 90. Laičko pitanje. Nije li po definiciji pravo nadziranog subjekta zatražiti sudsku zaštitu? Primljeno na znanje Članak 90. regulira stvarnu nadležnost sudova u ovim predmetima i vrstu pravnog lijeka koji se može koristiti.
105 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 92. Laičko pitanje. Ako nema obaveze pokazivanja očevidnika van nadležnog tijela nije li to nešto što se uređuje internim pravilnicima, i prema tome ne spominje u zakonu? Primljeno na znanje Zakonom se uređuje provedba stručnog nadzora koji prema Prijedlogu zakona provodi više različitih tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti prema podjeli nadležnosti iz Priloga III. Zakona. Intencija članka 92. Prijedloga zakona uskladiti postupanja svih nadležnih tijela u vođenju očevidnika o obavljenim stručnim nadzorima.
106 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 101. Članak 101. Zakona potrebno je u cijelosti uskladiti sa čl.34. Direktive (EU) 2022/2555 uključivo i čl. 32.s.t.7. Direktive koji se navodi u čl.34. st.3. Direktive. Dodatno , čl.32. Direktive nije u cijelosti i valjano transponiran u čl.85 i 86. Zakona te je stoga potrebno uskladiti te odredbe te ih povezati sa čl.101 i 102 Zakona na način kako je to definirano uz čl.34. Direktive. Poveznica prema čl. 101 Zakona je čl.34. Direktive koji se primjenjuje u slučaju kršenja čl.21. i 23. Direktive. Čl .101.st.1. puno šire definira mogućnost kažnjavanja najvećim kaznama te na taj način ne slijedi pravila transponiranja Direktive u nacionalno zakonodavstvo. Ovaj članaka dodatno je upitan s obzirom da je čl.21.st.5. Direktive propisano da EU komisija do 17. listopada 2024. donosi provedbene akte kojima se utvrđuju tehnički i metodološki zahtjevi za mjere iz stavka 2. čl.21. u pogledu pružatelja usluga DNS-a, registara naziva vršnih domena, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra, pružatelja mreža za isporuku sadržaja, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, pružatelja internetskih tržišta, pružatelja internetskih tražilica i pružatelja platformi za usluge društvenih mreža i pružatelja usluga povjerenja. Drugim riječima, čl.101. Zakona netransparentno transponira čl.34. Direktive te s obzirom na očekivane nove provedben akte stvara pravnu nesigurnost za obveznike Zakona. Djelomično prihvaćen Članci 101. i 102. dopunjeni su odgovarajućim stavcima prema zahtjevima članka 34. stavka 3. NIS2 direktive.
107 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 101. Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Nije prihvaćen Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako odnosno kada takva obveza bude utvrđena drugim relevantnim propisima.
108 Stjepan Groš IV. TEKST PRIJEDLOGA ZAKONA, Članak 101. Stavak 2, ovog članka. Nije li to smiješan iznos za predsjednike uprava velikih subjekata, posebno privatnih koji zarađuju daleko veće iznose? Posebno kada se uzme u obzir inflacija? Ne bi li bilo bolje to definirati kroz prosječne dohodke, dohodke odgovorne osobe, ukupna primanja u godini, ili tako nekako? Nije prihvaćen Usklađeno s okvirima definiranim Prekršajnim zakonom („Narodne novine“, broj: 107/07, 39/13, 157/13, 110/15, 70/17, 118/18 i 114/22) koji predstavlja opći propis kojim se propisuju odredbe koje se odnose na sve prekršaje propisane u drugim zakonima.
109 MARKO RAKAR IV. TEKST PRIJEDLOGA ZAKONA, Članak 102. Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Nije prihvaćen Procesi certifikacije su tek u pripremi na EU razini, a mjerodavna postupanja po možebitnim obvezama zamjene moraju u svakom slučaju biti praćena uvjetima i rokovima koji se propisuju mjerodavnim aktima EU (predviđen rok od 5 godina) odnosno relevantnim nacionalnim propisima, odnosno onim propisima koji će za subjekte uvesti obvezu korištenja točno određenih certificiranih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Prijedlogom zakona se takva obveza za ključne i važne subjekte ne uvodi, već se njime uvodi pravni temelj za slučaj ako odnosno kada takva obveza bude utvrđena drugim relevantnim propisima.
110 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 103. NIS2 Direktivom nije predviđena kazna za navedeno. Primljeno na znanje Budući da je provedba kategorizacije subjekata elementarni postupak o kojem ovise brojni drugi važni aspekti provedbe zahtjeva NIS2 direktive odnosno slijedno i nacionalnog transpozicijskog zakona, člankom 103. Prijedloga zakona utvrđuju se pravila o sankcijama kako bi se osigurala pravovremena i potpuna provedba postupaka kategorizacije odnosno utvrđivanja i ažuriranja popisa ključnih i važnih subjekata.
111 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, Članak 106. Pružatelji javnih elektroničkih komunikacijskih usluga ne samo da bi trebali nastaviti s provedbe zahtjeva do trenutka dostave popisa već i do trenutka donošenja Uredbe iz čl.24. ovog Zakona jer čl.41. ZEK-a detaljno opisuje proces provođenja sigurnosti elektroničkih komunikacijskih mreža i usluga što uključuje ne samo proces obavještavanja HAKOM-a o sigurnosnim incidentima već i proces obavještavanja krajnjih korisnika te primjenu Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga kojim su detaljno propisani način i rokovi u kojima operatori javnih elektroničkih komunikacijskih mreža i usluga te mreža koje se upotrebljavaju kao potpora sustavima kritičnih infrastruktura moraju poduzeti odgovarajuće tehničke i ustrojstvene mjere kako bi se zaštitila sigurnost njihovih mreža i usluga, način i rokovi izvješćivanja Hrvatske regulatorne agencije za mrežne djelatnosti o sigurnosnim incidentima od značajnog utjecaja na rad mreža operatora ili obavljanje njihovih usluga, obveza provedbe godišnje revizije mjera sigurnosti mreža i usluga operatora te mjerila i način certificiranja pravnih osoba koje je za provedbu te revizije ovlastio HAKOM. Operatori su sukladno navedenom Pravilniku i kriterijima iz Pravilnika implementirali procese i interne sustave upozorenja temeljem kojih obavještavaju HAKOM o incidentima te implementirali sigurnosne mjere uz provođenje propisanih revizija. Uredba iz čl.24. ovog Zakona trebala bi voditi računa o obvezama i kriterijima propisanim Pravilnikom u svrhu osiguranja kontinuiteta već uspostavljenih sigurnosnih i incidentnih procesa kod operatora Primljeno na znanje Svi podzakonski akti ovog Zakona bit će doneseni prije provedbe kategorizacije subjekata iz ovog sektora, koji će do te kategorizacije provoditi pravila koja su sada na snazi prema ZEK-u.
112 Ana Balaško IV. TEKST PRIJEDLOGA ZAKONA, Članak 115. Nedostaje broj zakona u NN kod Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga pod prvom točkom, kao i kod Zakona o elektroničkim komunikacijama pod točkom 3. Prihvaćen Prihvaća se.
113 Vodovod d.o.o. Makarska IV. TEKST PRIJEDLOGA ZAKONA, PRILOG I. Ovim prijedlogom su svi javni isporučitelji vodnih usluga (toč 6 . – Voda za ljudsku potrošnju i toč.7 Otpadne vode) su u Prilogu I svrstani u sektor visoke rizičnosti. Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) Prilogom I - Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta, kao obveznici su određeni Isporučitelji vodnih usluga koji isporučuju više od 10.000.000 m3/godišnje. Predlaže se po uzoru na Zakon iz 2018.godine odrediti pragove zavisno o veličini Javnog isporučitelja vodnih usluga prema kojima se isti svrstavaju u kategoriju rizičnosti. Također različiti Isporučitelji vodnih usluga koriste različite vrste obrade pitke vode. Tako primjerice dok je na određenom području dovoljno samo kloriranje ili filtracija i kloriranje , određeni isporučitelji provode i dodatnu obradu pitke vode u vidu izdvajanja metala i sl. Stoga različite tehnologije obrade nose i različite rizike koji se mogu dogoditi, a što predloženom kategorizacijom nije vrednovano, već su svi stavljeni u sektor visoke rizičnosti. Vodovod d.o.o. Makarska Direktor Ivica Nuić Nije prihvaćen NIS2 direktiva napustila je pristup kategorizacije subjekata preko popisa ključnih usluga i definiranja kriterija i pragova za donošenje ocjene o važnosti negativnog učinka incidenta, prvenstveno zato što se kategorizacija subjekata provodi u puno širem opsegu subjekata i za cjelokupno poslovanje tih subjekata, a ne više samo za ključne usluge, kao što je bio slučaj u NIS1 direktivi.
114 IZVOR PLOČE d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, PRILOG I. Ovim prijedlogom Zakona o kibernetičkoj sigurnosti su svi javni isporučitelji vodnih usluga (točke 6 i 7 u Prilogu I. ) svrstani u sektor visoke rizičnosti. Zakonom o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga (NN64/18) Prilogom I - Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta, kao obveznici su određeni isporučitelji vodnih usluga koji isporučuju više od 10.000.000 m3/godišnje. Isto tako, člankom 4, točka 10., Uredbe o posebnim uvjetima za obavljanje djelatnosti vodnih usluga, propisani su uvjeti vezani za kibernetičku sigurnost samo za isporučitelje koji isporučuju najmanje 10.000.000 m3/godišnje. Predlaže se po uzoru na Zakon iz 2018. godine odrediti pragove ovisno o veličini Javnog isporučitelja vodnih usluga prema kojima se isti svrstavaju u kategoriju rizičnosti. Također, različiti isporučitelji vodnih usluga koriste različite obrade pitke i otpadne vode. Dok je na određenom području dovoljno samo kloriranje na nekom drugom je potrebna dodatna predobrada. Isto tako, pojedini isporučitelji provode pročišćavanje otpadne vode različitim stupnjevima pročišćavanja. Različiti tehnološki procesi nose i različite rizike koji se mogu dogoditi, a što predloženom kategorizacijom nije vrednovano, već su svi stavljeni u sektor visoke rizičnosti. Nije prihvaćen NIS2 direktiva napustila je pristup kategorizacije subjekata preko popisa ključnih usluga i definiranja kriterija i pragova za donošenje ocjene o važnosti negativnog učinka incidenta, prvenstveno zato što se kategorizacija subjekata provodi u puno širem opsegu subjekata i za cjelokupno poslovanje tih subjekata, a ne više samo za ključne usluge, kao što je bio slučaj u NIS1 direktivi.
115 NINO ŠETUŠIĆ IV. TEKST PRIJEDLOGA ZAKONA, PRILOG I. Pod pružatelje zdravstvene zaštite bi pripali i obiteljski liječnici u RH koji se sastoje od najčešće od timova od dvoje ljudi. Ministarstvo zdravstva bi se trebalo obvezati da pruži podršku, savjetovanje i praktičnu realizaciju tih zahtjeva jer bi to moglo predstavljati veliki izazov za brojne ordinacije. Primljeno na znanje Vrste subjekata iz sektora zdravstva kategoriziraju se primarno temeljem kriterija veličine subjekta (članak 9. stavak 1. i članak 10. stavak 2. Prijedloga zakona), a neovisno o veličini mogu se kategorizirati temeljem posebnih kriterija iz članka 11. Prijedloga zakona. Pitanja vezana uz podršku kategoriziranim subjektima iz sektora zdravstva su u ingerenciji nadležnog ministarstva te će se razmatrati prilikom provedbe procesa kategorizacije subjekata.
116 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, PRILOG I. Predlažemo unifikaciju pojmova u Zakonu. Kroz Zakon se koriste izrazi „ključni subjekti“, a u nazivu priloga I. su SEKTORI VISOKE KRITIČNOSTI. Dodatno: - unutar sektora 9. Upravljanje uslugama IKT-a (B2B), uz subjekte pružatelje upravljanih usluga nedostaju subjekti koji su pružatelji sigurnosno upravljanih usluga - unutar sektora 5. Zdravstvo, pod vrstom sektora u opsegu navode se subjekti koji obavljaju gospodarske djelatnosti iz Nacionalne klasifikacije djelatnosti 2007. – NKD 2007., a poznato je da sudski registar ne funkcionira prema NKD-u 2007. Djelomično prihvaćen Terminologija je prenesena iz NIS2 direktive, gdje su ključni subjekti oni koji pripadaju sektorima visoke kritičnosti. Prilog I. dopunjen u točki 9. Budući da se NIS2 direktiva referira na NACE Rev 2., u Prijedlogu zakona obvezno je pozivanje na nacionalni akt kojim je preuzeta klasifikacija iz NACE Rev 2., a to je NKD 2007.
117 Hrvatska udruga menadžera sigurnosti (HUMS) IV. TEKST PRIJEDLOGA ZAKONA, PRILOG II. Umjesto pozivanja na NKD 2007., predlažemo taksativno navesti trenutne djelatnosti, a s obzirom na nedavno savjetovanje o novoj klasifikaciji NKD 2025. Nije prihvaćen Budući da se NIS2 direktiva referira na NACE Rev 2., u Prijedlogu zakona obvezno je pozivanje na nacionalni akt kojim je preuzeta klasifikacija iz NACE Rev 2., a to je NKD 2007.
118 Diverto d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, PRILOG II. Predlažemo unifikaciju pojmova u Zakonu. Kroz Zakon se koristi izraz važni subjekti, a u nazivu priloga II su DRUGI KRITIČNI SEKTORI. Dodatno: - unutar sektora 5. Proizvodnja, pod vrstom sektora u opsegu navode se subjekti koji obavljaju gospodarske djelatnosti iz Nacionalne klasifikacije djelatnosti 2007. – NKD 2007., a poznato je da sudski registar ne funkcionira prema NKD-u 2007. Nije prihvaćen Terminologija je prenesena iz NIS2 direktive, gdje su važni subjekti oni koji pripadaju drugim kritičnim sektorima. Budući da se NIS2 direktiva referira na NACE Rev 2., u Prijedlogu zakona obvezno je pozivanje na nacionalni akt kojim je preuzeta klasifikacija iz NACE Rev 2., a to je NKD 2007.
119 A1 Hrvatska d.o.o. IV. TEKST PRIJEDLOGA ZAKONA, PRILOG III. Potrebno precizirati koje tijelo/tijela provode nadzor nad operatorima elektroničkih komunikacija s obzirom da se isti bave ne samo djelatnostima koje su navedene pod nadležnosti HAKOM-a već i drugim djelatnostima poput usluga računalstva u oblaku i usluga podatkovnog centra, upravljanje uslugama IKT-a (B2B). Prema tablici iz Priloga III proizlazi da bi nadležno tijelo za navedene usluge bila SOA. A1 predlaže da se centralizira regulatorna funkcija u jedno tijelo koje bi u slučaju operatora elektroničkih komunikacija bilo HAKOM, a koje je u cijelosti upoznato sa djelatnostima koje pružaju operatori, te koje već danas provodi nadzor nad operatorima u području kibernetičke sigurnosti. Primljeno na znanje Primarne nadležnosti određene u Prilogu III. vezane su na glavnu djelatnost subjekata prema definicijama svake pojedine vrste subjekta, a u slučaju da subjekt obavlja više vrsta djelatnosti iz različitih sektora obuhvaćenih Zakonom, u suradnji svih nadležnih tijela provest će se koordinacija i dogovor prema članku 59. stavcima 3. i 4. Prijedloga zakona.