Izvješće o provedenom savjetovanju - Nacrt prijedloga Zakona o kritičnoj infrastrukturi
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI | Usmjeriti Zakon na kritičnog subjekta koji objedinjuje: a) kritičnu infrastrukturu (dijelovi sustava, cerificirani objekti i postojenja) i b) operativno osoblje u Centrima vođenja i upravljanja (certificirani dispečeri). | Nije prihvaćen | Zakon je usmjeren na jačanje otpornosti kritičnih subjekata koji koriste kritičnu infrastrkturu za isporuku ključnih usluga. Operativno osoblje je sastavni dio svakog subjekta. |
| 2 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI | Navodi se "izvanredni događaj" - nije definiran u pojmovniku, da li "izvanredni događaj" je isto što i "incident" (definiran u pojmovniku). odnosno oba događaja su "premećaj" u odnosu na redovno stanje sustava. | Prihvaćen | Prihvaćen. |
| 3 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI | Sam naslov, tako i cijeli tekst, u potpunosti ne odražavaju ideju direktive koja se transponira. CER direktiva je fokusirana na jačanje otpornosti kritičnih subjekata, a ne na zaštitu kritične infrastrukture jer koncept otpornosti kritičnih subjekata je širi od zaštite kritične infrastrukture te ujedno uključuje i navedeno. Stoga bi kvalitetniji naslov bio Zakon o otpornosti kritičnih subjekata koji bi kao takav usmjerio sadržaj teksta Zakona u smjeru otpornosti. Kao primjer možemo uzeti donesen talijanski Zakon koji u naslovu i sadržaju se bavi primarno otpornošću kritičnih subjekata, a potom zaštitom kritičnih infrastruktura. | Nije prihvaćen | U naslovu je zadržan pojam "kritična infrastruktura" jer se u konačnici kritična infrastruktura kao objekt, mreža ili sustav štiti primjenom mjera otpornosti koje donose kritični subjekti. Dodatno, ta terminologija je već poznata i općeprihvaćena među nacionalnim dionicima i ekspertima. Naslovi zakona se mogu razlikovati od naslova direktiva jer države članice imaju slobodu u formulaciji naziva regulative koja transponira direktivu - jedino je obvezujuće trasponirati minimalne zahtjeve direktive i njene ciljeve. Dodatno, ovaj Zakon u velikoj mjeri regulira i određene nedostatke u postojećem Zakonu koje se odnose na segment zaštite i nije temeljni fokus isključivo na otpornosti. |
| 4 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 1. | Ovaj zakon treba obuhvatiti i mogući utjecaj kritičnih subjekata iz okruženja (nama susjedne zemlje izvan EU) na domicilne kritične subjekte (operatore) u RH, s obzirom na značajnu prekograničnu infrstruturnu umreženost (elektromreža, plinski sustavi, naftovodi itd). | Nije prihvaćen | Kroz EU direktivu utjecaj trećih zemalja samo se razrađuje u određenim segmentima. Kroz Nacionalnu procjenu rizika i procjene rizika kritičnih subjekata analizirati će se i procjenjivati prekogranični utjecaji a samim time i utjecaj trećih zemalja. |
| 5 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 1. | Ovdje bi trebalo dodati da se Zakonom definira sadržaj sigurnosnog plana, a kod utvrđivanja i potvrđivanja kritičnih subjekata da se navedeno odnosi na nacionalne i EU kritične subjekte. Dodatno, navedeno je kako se Zakonom uređuju "načela zaštite i mjere otpornosti". Načela zaštite su navedena u tekstu Zakona, no mjere otpornosti su izostale. | Prihvaćen | Prihvaća se. |
| 6 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | na kraju točke 23) iza teksta "neprekidno funkcioniranje kritične infrstrukture"dodati tekst "i isporuka ključnih usluga kritičnog subjekta" (vidjeti tekst članka 8.) | Prihvaćen | Prihvaća se. |
| 7 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | Proširiti pojmovnik dodavajući nove pojmove korištene u pojednim člancima, popis predložen kroz pojedine članke osobito vezano za klasifikaciju "događaja" i ključnih usluga". Dodati: izvanredni događaj, poremećaj, kontaktna točka, savjetodavna misija, Umjesto navedenog u točki 15. "daljinski pristup prostorima" pisati "sustav daljinskog vođenja (nadzora i upravljanja)" | Nije prihvaćen | Nije nužno navoditi svaki pojam, pogotovo jer su navedeni pojmovi elaborirani kroz članke Zakona. Navedena formulacija je doslovno prenesena iz Direktive. |
| 8 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | U članku 3., stavak (1), točka 16) značenje pojma „prijetnja“ nije korektno definirano i predlaže se zamjena postojećeg teksta sljedećim tekstom: 16) prijetnja je potencijalni uzrok neželjenog incidenta po kritičnu infrastrukturu, koji može rezultirati štetama za pojedince, imovinu, sustav ili organizaciju, okoliš ili zajednicu, a po značajkama može biti antropogena, tehničko-tehnološka i prirodna. Obrazloženje: Postojeća definicija temelji se na vjerojatnosti događaja (štetnog događaja ili incidenta) i negativnih (štetnih) posljedica po kritičnu infrastrukturu. To je definicija koja je vrlo slična definiciji značenja pojma rizik. Naime, prijetnja postoji ili ne postoji te ako postoji može s većom ili manjom vjerojatnošću uzrokovati incident, koji će štetno djelovati ili uzrokovati štetne posljedice. Definicija značenja pojma prijetnje koja se ovdje predlaže u skladu je s djelomično dopunjenom normom ISO 22300/2021 (Security and Resilience – Vocabulary) koja u izvornom tekstu na engleskom jeziku glasi : Threat is „potential cause o fan unwanted incident, which may result in harm to individuals, assets, a system or organization, the environment or the community“. | Nije prihvaćen | Pojam prijetnje je jasno definiran i usklađen s ISO normom te se sadržajno razlikuje od pojma rizika. |
| 9 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | Pod točkom 12) nadležna tijela pojam nadležna tijela treba doraditi, kako i korištenje pojma kroz cijeli tekst. Jer se sektorski nadležna tijela spominju u točki 2. Osnovna pitanja koja se trebaju urediti Zakonom i u Obrazloženju odredbi predloženog Zakona uz članak 5 i 12. Dok se u tekstu prijedloga Zakona nigdje ne spominju. Ovo treba dodatno povezati s točkom 27. gdje je navedeno da je zaštita KI skup aktivnosti koje provode kritični subjekti i nadležna tijela… Znači ako su nadležna tijela tijela koja su sektorski određena za utvrđivanje i potvrđivanje kritičnih subjekata onda ovdje nedostaju druga tijela koja su isto tako uključena u zaštitu kritične infrastrukture. Vidite i članak 8. gdje je meni očito da se pod nadležnim tijelima smatraju i tijela koja nisu samo sektorski nadležna za utvrđivanje i potvrđivanje već i druga tijela. | Nije prihvaćen | Napravljena je jasna distinkcija između točke 12. nadležna tijela i točke 13. nadležna tijela za provedbu posebnih propisa, a u svezi s člankom 13., ta distinkcija kroz cijeli tekst prati logiku implementacije Zakona, gdje pojedina tijela imaju zadaću primjene svih odrednica Zakona, a pojedina samo određenih zadaća upravo slijedom tih specifičnih nadležnosti. "Osnovna pitanja koja se trebaju urediti Zakonom" i "Obrazloženje odredbi predloženog Zakona" nisu elementi koji se objavljuju u Narodnim novinama tako da u tom dijelu nema potrebe za izmjenom jer se pojam, kako je i navedeno u komentaru, nigdje ne spominje u tekstu. |
| 10 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | Kod točke 9) kritični subjekt je potrebno skrenuti pozornost na tri detalja. Prvi, kritični i subjekt je javni i privatni subjekt… u ovom članku je definiran javni subjekt, no fali određivanje pojma privatni subjekt. Navedeno je važno jer u zapadnom dijelu svijeta kojem i mi pripadamo privatni subjekti su vlasnici više od 80 posto nacionalnih kritičnih infrastruktura. Tako je je potrebno definirati pojam privatni subjekt. Isto tako, uglavnom privatni subjekti štite kritičnu infrastrukturu tako da ih je potrebno definirati i zbog toga. Drugi, kako bi ova točka i sljedeća točka "kritični subjekt od posebnog europskog značaja" bile usklađene predlažem da se pojam kritični subjekt prošiti i da glasi: "kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona" Treći, mnoge stvari u prijedlogu Zakona su preuzete izravno iz CER direktive. Neke od njih je potrebno doraditi ili prilagoditi jer direktiva kao pravni akt govori što je potrebno transponirati no ne i kako. | Nije prihvaćen | Kroz EU direktivu jasno je određen pojam subjekta javne uprave koji se odnosi na tijela državne uprave. Razlikovanje javnog i privatnog subjekta, u skladu s postavljenim upitom, nije potrebno posebno obrazlagati jer se obveze jednako odnose i na privatne i na javne vlasnike KI, odnosno na kritične subjekte. Dodatno je pojašnjeno kroz članak 3. točke 9. Zakona koja određuje da je kritični subjekt javni ili privatni subjekt koji pruža jednu ili više ključnih usluga. |
| 11 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | Formulacija točke 6) ključna usluga čudno zvuči. Kvalitetnije rješenje jest ono iz CER direktive koje glasi: "ključna usluga znači usluga koja je ključna…" Međutim i ovdje se radi o tome da sam termin objašnjavamo njime samim. Bolje bi pronaći bolje rješenje, poput: Ključna usluga predstavlja uslugu od vitalnog značaja…. ili Ključna usluga označava uslugu koja je neophodna za…. | Nije prihvaćen | Pojam je smisaono prenesen iz EU direktive. Riječ vitalna se već koristi u nastavku pojašnjenja pojma “vitalnih društvenih funkcija”. S obzirom na to da se radi o komentaru vezanim uz izričaj a ne sadržaj, a koji je usklađen sa svim tijelima državne uprave, ne prihvaćamo predmetno mišljenje. |
| 12 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 3. | U pojmovima bi bilo potrebno definirati pojam ranjivost. | Prihvaćen | Prihvaća se. |
| 13 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 7. | Umjesto izraza u članku 7. "kategorije subjekata", pisati klasifikacija subjekata", jer se radi o podjeli po djelatnostima unutar pojedinonog podsektora. Također u naslvu tablice Priloga I. predlažem pisati "klasifikacija subjekta". | Nije prihvaćen | Kategorija subjekata je pojam koji se primjenjuje u CER direktivi i kao takvog ga prenosimo. |
| 14 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 8. | - načelo utvrđivanja kritičnih razdoblja (prijedlog za dodati), za funkcioniranje pojedinih sustava postoje/poznata su vremenski kritična razdoblja ovisna o ekstremnim potrebama tijekom vremenskih neprilikama, prijetnjama (utjecaj požara, poplave ), utjecaj turističke sezone.....eskalacije sukoba itd | Nije prihvaćen | Kako je navedeno u komentaru to vrijedi za samo pojedine sustave, a Zakon o KI treba biti primjenjiv za sve u dijelu zajedničkih načela zaštite kritične infrastrukture. |
| 15 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 8. | Ovaj dio )načela zaštite KI) ovdje je nepotreban, nije vezan uz prenošenje odredbi CER direktive, izravno ne utječe na primjenu Zakona, tako da ga ako baš mora biti naveden prikladnije mjesto je u Aktu strateškog planiranja iz članka 11. Dodatno, u raspisivanju načela potrebno ih je doraditi u spominjanju uključenih aktera. | Nije prihvaćen | Kako je navedeno u "Ocjeni stanja i osnovna pitanja koja se trebaju urediti zakonom te posljedice koje će proisteći donošenjem zakona", ovim Zakonom se ne prenosi isključivo CER direktiva, već se želi postići i poboljšanje nacionalnog sustava zaštite kritične infrastrukture i jačanja njene otpornosti. Načela ZKI dio je Osnovnih odredbi kako bi se dionicima približio opseg njihovih zadaća i dalo temeljno (zajedničko) razumijevanje zahtjeva zaštite. Stoga ne mogu biti dio Akta strateškog planiranja u kojem su jasno propisani elementi, a vežu se na zahtjeve CER direktive. |
| 16 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | U pojmovnik dodati pojmove "certifikat", "kritična točka" . | Nije prihvaćen | Pojmovi su dovoljno općeniti da ih nije nužno definirati ovim Zakonom. |
| 17 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Proširiti područje suradnje, odnosno pružanje ključni usluga i na "treće zemlje", tj. ne samo na zemlje članice EU. | Nije prihvaćen | Alineja 13. istog članka propisuje upravo navedeno iz komentara. |
| 18 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Kos stavka 'surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata' opći lomentar jest da bi Kooridnativno tijelo no i svi akteri trebali surađivati sa znanstveno-istraživačkim institucijama i u izradi prijedloga Zakona, podazakonskih rješenja i svega što obuhvaća ovaj Zakon. | Nije prihvaćen | Ovo je općeniti komentar. Suradnja je propisana ovim Zakonom. |
| 19 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Kod stavke 'vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj' kvalitetnije rješenje bi bilo da se vodi i ažurira Registar kritičnih subjekata u RH kao što je navedeno u članku 29. kako Koordinativno tijelo vodi registar o izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture. Pored navedenog fali i navođenje Registra o sigurnosnim koordinatorima u nadležnim tijelima i kritičnim subjektima. | Djelomično prihvaćen | Djelomično se prihvaća. |
| 20 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Kod stavke 'izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture' nedostaje na kraju "i jačanja otpornosti kritičnih subjekata" | Prihvaćen | Prihvaća se. |
| 21 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | U članku 9. spominje se 'sustav', međutim ovdje nije jasno na koji sustav se misli i koji su akteri navedenog sustava. Općenito prijedlogu Zakona nedostaje dio koji bi opisao sustav jačanja otpornosti kritičnih subjekata i zaštite kritične infrastrukture, njegove ključne aktere i način rada unutar sustava. Postoji u članku 11. dio koji se odnosi na "upravljački okvir" no puno kvalitetnije rješenje bi bilo u samom Zakonu navesti i opisati sustav jačanja otpornosti kritičnih subjekata. | Nije prihvaćen | Sustav je pojam koji se razumije iz konteksta u kojem se koristi, odnosno predstavlja organiziranu cjelinu koja ima određenu svrhu - provedbu mjera zaštite i otpornosti KI. Koristi se kao općeniti pojam kojeg nije nužno definirati. S druge strane, koji su akteri sustava bit će navedeno i dodatno će se razraditi njihove uloge u Aktu strateškog planiranja za otpornost kritičnih subjekata, gdje se otvara prostor da se to puno detaljnije propiše nego u samom Zakonu. S obzirom da je to jedan od elemenata Akta (alineja 2.), kako propisuje i CER direktiva, nije nužno da se navedni okvir nalazi u dva regulatorna dokumenta. |
| 22 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Vezano uz naslov članka 9. praktičnije bi bilo Koordinativno tijelo za jačanje otpornosti kritičnih subjekata jer je to onda suradnja tijela s tijelom, dok kritični subjekti imaju ulogu zaštite KI kojom upravljaju. To bi bilo u liniji s izričajem iz članka 22. stavka 6. koji glasi: "Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima." | Nije prihvaćen | Sukladno nazivu Zakona, trenutna formulacija Koordinativno tijelo za zaštitu kritične infrastrukture je više u korelaciji sa zadaćama koje provodi, a koje u konačnici imaju svrhu zaštite KI. |
| 23 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 9. | Vezano uz naslov poglavlja zar ovo ne bi bilo bolje da je Koordinacija otpornosti kritičnih subjekata? CER direktiva se u svojim poglavljima bavi otpornošću kritičnih subjekata, a ne zaštitom kritične infrastrukture. Na tom tragu je i treće poglavlje koje govori o Nacionalnom okviru za otpornost KI. | Nije prihvaćen | U skladu s naslovom Zakona - identično obrazloženje kao na komentar iznad. |
| 24 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | Vezano uz stavak 7., a u vezi sa stavkom 3. kvalitetnije rješenje jest da Koordinatativno tijelo izrađuje a Vlada donosi izmjene i dopune Akta. | Prihvaćen | Prihvaća se. |
| 25 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | U stavku 4. potrebno je odrediti rok izrade Akcijskog plana. | Nije prihvaćen | Akcijski plan prati provedbu Strategije za koju je definiran rok izrade. Akcijski plan, u skladu s ovim odredbama, ne predstavlja zaseban, nego provedbeni dokument Strategije. |
| 26 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | Kod opisa već uspostavljenih mjera potrebno je doraditi izričaj jer ako su mjere uspostavljene zašto ih je potrebno opisivati? Zar nije jednostavnije uputiti obveznike mjera na navedene mjere. | Nije prihvaćen | Izričaj "opis već uspostavljenih mjera" je prenesen direktno iz CER direktive. Mjere će biti navedene u Aktu upravo kako bi obveznicima na jednom mjestu bile prikazane mjere koje moraju primjenjivati, kao i one koje su postojeće, a moraju ih primjenjivati sukladno drugim propisima. Opis već uspostavljenih mjera bitni su zbog malih i srednjih poduzeća kako bi im se olakšala provedba procjene rizika i provedba mjera jačanja otpornosti. |
| 27 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | Dio gdje se spominje opća otpornost je potrebno doraditi. Jer ako postoji opća otpornost onda postoji i neka druga vrst otpornosti. | Nije prihvaćen | Isto je u potpunosti preneseno iz CER direktive. |
| 28 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | U razradi drugog stavka je potrebno dodati: Razmatranje koncepta kritičnosti pri utvrđivanju kritičnih subjekata koji se odnosi na važnost i značaj određenih elemenata unutar šireg konteksta. Princip alternativnosti koji nam govori ako postoji alternativa za kritične funkcije i kritične usluge onda kritična infrastruktura koja služi za izvršavanje kritičnih usluga nije kritična u duhu ovog Zakona i pitanja nacionalne sigurnosti. Model prioritizacije - način utvrđivanja kako napraviti selekciju od utvrđenih / potvrđenih kritičnih usluga koje od njih su od vitalnog državnog značaja (pogotovo u izvanrednim okolnostima) jer sve usluge nisu jednako značajne. | Nije prihvaćen | Minimalni elementi su propisani CER direktivom kako su ovdje i preneseni, dok će elementi poput kriitčnosti, prioritizacije i dr. biti propisani u okviru opisa postupka kojim se utvrđuju kritični subjekti (alineja 4.), a dodatno i u Pravilniku iz članka 14 jer navedeno predstavlja dio metodologije za analizu i procjenu rizika. |
| 29 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | Drugi stavak nije dovoljno precizan u dijelu 'svim relevantnim dionicima'. Jer tko odlučuje o tome tko su svi relevantni dionici? | Nije prihvaćen | Izričaj prenesen iz CER direktive. |
| 30 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 11. | U prvom stavku ovog članka postoji trostruki problem. 1. Nezgrapno napisano. 2. Kao da nešto nedostaje. U najmanju ruku nedostaje zarez iza politike pa bi onda donekle bolje izgledalo. 3. Samo korištenje termina politika je ovdje višestruko izazovno. U CER direktivi se koristi termin politika u engleskoj (policy) i hrvatskoj verziji (politika). Međutim engleski jezik razlikuje tri osnovna pojma za politiku koji predstavljaju njezine dimenzije - politics, policy, polity. Dok u hrvatskom imamo samo politiku. Izazov jest u tome što se engleski izvorni termini koriste u kontekstu političke borbe i odlučivanja no sve više se koriste i u druge svrhe. Dok kod hrvatskog jezika pojam politika je još uvijek primarno vezan za političko djelovanje. Stoga bi bilo poželjno u tekstu Zakona koristiti neki neutralniji izraz ili uopće isključiti spominjanje ovog termina. U tekstu se termin politika spominje samo dvaput i na oba mjesta kad se obriše uopće ništa ne nedostaje u rečenici i smislu - samim time se vidi da je ovaj termin višak. | Djelomično prihvaćen | Djelomično se prihvaća. |
| 31 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 12. | Koda navođenja relevantnih procjena rizika treba navesti najmanje i nacionalne procjene koje izrađuje MUP i SOA. | Nije prihvaćen | Navedene procjene nisu formalno objavljeni dokumenti koji imaju elemente procjene rizika na način kako to imaju procjene navedene u stavku 4., gdje primjerice SOA pojedine rizike navodi u svojim godišnjim Javnim izvješćima. Prema tome nije nužno navoditi i takve dokumente. U izradi Nacionalne procjene rizika KI direktno će biti uključeni svi dionici koji analiziraju prijetnje koje navodi stavak 3., uključujući SOA i MUP. |
| 32 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 12. | Vezano za naslov članka 12. i sadržaj članka kvalitetnije rješenje bi bilo da se radi o Procjeni rizika ključnih usluga ili otpornosti kritičnih subjekata ili samo o Nacionalnoj procjeni rizika kao u CER direktivi. | Nije prihvaćen | Naslov "Nacionalna procjena rizika KI" je odabran s obzirom na to da bi "Nacionalna procjena rizika" bila preopćeniti pojam. S obzirom na to da je naziv zakona, "Zakon o kritičnoj infrastrukturi", a ne "Zakon o otpornosti kritičnih subjekata", sukladno tome treba biti nazvana i procjena. |
| 33 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 14. | Naslov članka 14. kvalitetnije rješenje bi bilo Procjena rizika jer navedena uključuje utvrđivanje konteksta, utvrđivanje rizika, analizu rizika, vrednovanje rizika i obradu rizika. Procjena rizika uključuje donošenje odluka na temelju rezultata analize rizika. To se odnosi na odabir odgovarajućih mjera za upravljanje identificiranim rizicima. | Nije prihvaćen | Procjenu rizika i Analizu rizika provode različiti dionici. Analiza rizika se provodi u postupku utvrđivanja kritičnih subjekata od strane nadležnih tijela kao sektorska analiza rizika i zato je i opisana u članku 14. koji spada pod poglavlje IV. Utvrđivanje i potvrđivanje KS. S druge strane, procjenu rizika provode kritični subjekti kako bi procijenili sve relevantne rizike koji bi mogli poremetiti pružanje njihovih ključnih usluga i to je dio obaveza koje imaju KS (poglavlje V. Obaveze KS). |
| 34 | MARKO KELAVA | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 17. | Iz načina utvrđivanja kritičnih subjekata propisanog u poglavlju IV. („UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA“) slijedi zaključak da neće nužni svi subjekti koji pružaju ključne usluge navedene u Prilogu I. zakona (npr. svi proizvođači električne energije u Republici Hrvatskoj) biti utvrđeni kritičnim subjektima od strane nadležnog tijela, već samo oni koji (a) pružaju ključne usluge i ujedno (b) ispunjavaju propisane uvjete i kriterije iz članaka 14. - 17. zakona. Pritom se postavlja pitanje na koji način će utvrditi kritični subjekti za ključne usluge iz Priloga I. zakona koje u Republici Hrvatskoj obavlja samo jedan subjekt – kao što je to npr. operator prijenosnog sustava ili burza električne energije. Smatramo da bi se i u pogledu takvih subjekata, odnosno ključnih usluga, trebao primjenjivati isti postupak utvrđivanja ispunjavaju li uvjete za kritičnog subjekta kao što je prethodno opisano. Drugim riječima, nije dovoljno da postoji samo jedan subjekt koji pruža ključnu uslugu, već je potrebno da takav subjekt ujedno i ispunjava sve propisane uvjete i kriterije iz članaka 14. – 17. zakona da bi bio određen za kritičnog subjekta. Opreza radi, kako bi iz teksta propisa nedvojbeno proizlazilo gore izneseno tumačenje, predlažemo u članku 17. dodati stavak 5. koji glasi: „(5) Ako nadležno tijelo utvrdi da za pojedinu kategoriju subjekata iz Priloga I. ovog Zakona niti jedan subjekt koji pruža ključne usluge ne ispunjava uvjete i kriterije iz ovog poglavlja IV. Zakona da bi bio utvrđen kao kritični subjekt, tada se za odnosni podsektor, kategoriju subjekata odnosno ključne usluge neće utvrditi niti jedan kritični subjekt.“ | Primljeno na znanje | Primljeno na znanje. |
| 35 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 17. | U stavku trećem 'dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka' ovakav izričaj nije nedovoljno precizan i potrebno je razraditi koje podatke se treba ali i može tražiti. | Nije prihvaćen | Navedeni podaci, zajedno s pragovima za utvrđivanje značaja negativnog učinka propisati će se pravilnikom iz članka 14. stavka 2. ovoga Zakona. U Zakonu se samo navodi da je takve podatke nužno dostaviti, što je preneseno iz CER direktive. Dio oko podataka se ne može raspisati dok se ne odredi koji su pragovi. |
| 36 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 17. | Kod utvrđivanju značaja negativnog učinka postotak korisnika u odnosu na ukupan broj bi bilo bolje rješenje. | Nije prihvaćen | Navedna sugestija ne čini nikakvu razliku. Autor komentara nije elaborirao zašto bi navedeno bilo bolje rješenje. Dodatno, u CER direktivi je navedeno "broj korisnika", a ne postotak. |
| 37 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 18. | U stavku 4. fali rok. Primjeren rok bi bio mjesec dana. | Prihvaćen | Prihvaća se. |
| 38 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 22. | U članku 22., stavak (3) treba preformulirati postojeći dio teksta „…osobito međusektorske ili prekogranične prirode, nesreće,…“. Obrazloženje Zarez između riječi „prirode“ i „nesreće“ čini tekst nejasnim. Naime, nije jasno radi li se o incidentima koji su „međusektorske ili prekogranične prirode“, ili se tekst odnosi na „međusektorske ili prekogranične prirodne nesreće, prirodne katastrofe, ….“. | Prihvaćen | Prihvaća se. |
| 39 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 22. | U stavku trećem koristi se termin 'neprijateljski' koji ne nepotreban. Preuzet je iz CER direktive, što pokazuje da doslovno preuzimanje nije uvijek i najbolje rješenje. | Nije prihvaćen | Pojam nije stran u hrvatskom zakonodavstvu, primjerice "neprijateljsko djelovanje" je pojam iz Kaznenog zakona, dodatno formulacija postoji i u nekoliko drugih dokumenata EK i EV tako da smatramo da ga je nužno prenijeti kao takvoga. |
| 40 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 25. | U stavku trećem treba nadopuniti da nadležno tijelo donosi odluku o jednakovrijednosti dokumenata. | Prihvaćen | Prihvaća se. |
| 41 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 26. | U članku 26. umjesto Uredbe (EU) br. 1025/2102 treba pisati Uredbe (EU) br. 1025/2012. Ista primjedba odnosi se i na obrazloženje za članak 26. u „Obrazloženju odredbi predloženog zakona“. | Prihvaćen | Prihvaća se. |
| 42 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 27. | Stavak prvi je potrebno doraditi kako bi bilo propisano kako su kritični subjekti dužni osigurati zaštitu ključnih usluga i kritične infrastrukture koju mogu povjeriti privatnoj zaštiti ili su ju dužni provoditi službom unutarnje sigurnosti. | Nije prihvaćen | U stavku stoji "mogu", što znači da, kako je u drugim stavkama Zakona propisano da su KS izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja (Članak 22, stavak 6.), isto tako mogu i povjeriti zaštitu pravnim osobama i obrtima. Ne potrebno dodatno isticati. |
| 43 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 27. | U ovom članku je potrebno propisati kako na ugovaranje poslova privatne zaštite nije nužna primjena pravila nužnosti prihvaćanja najniže ponude. | Nije prihvaćen | Isto ne može biti propisano zbog pravila provedbe javne nabave. |
| 44 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 27. | Ovaj dio je kvalitetan i predstavlja iskorak. Na tragu ovog dijela postavlja se pitanje o mogućnosti ugovaranja poslova izrade procjene i sigurnosnog plana kritičnog subjekta te tko i na kojim osnovama može izrađivati navedene dokumente. Tako da taj dio je potrebno razraditi u ovom ili nekom od drugih članaka. | Nije prihvaćen | Poglavlje i pripadajući članci se odnose isključivo na privatnu zaštitu, a ne angažman privatnih tvrtki/obrta ili osoba koje bi izrađivale dokumente propisane Zakonom. To su dodatni oblici suradnje u okviru javno-privatnog partnerstva koje se trenutno ne reguliraju ovim Zakonom. KS imaju mogućnost angažmana takvih vanjskih eksperata koji i po osnovi drugih regulativa izrađuju njihove planske dokumente. |
| 45 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 28. | Neujednačeno korištenje pojmova zaštite kritične infrastrukture, zaštite kritičnih subjekata, zaštite u objektima, sustavima i mrežama kritičnih subjekata. Potrebno je ujednačiti ovdje i u cijelom tekstu. | Nije prihvaćen | U članku je jasno elaborirano da se zaštita provodi nad objektima, sustavima i mrežama (koje su u vlasništvu) kritičnih subjekata, a to je provedba privatne zaštite kritične infrastrukture (objekata, sustava i mreža). Pojam "privatna zaštita KI" je ujednačen kroz sve članke koje se odnose na ovo poglavlje. |
| 46 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | predlažemo tekst izmjene i dopune članka 29. stavak 3. i 4. - (3) Uz zahtjev za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture prilažu se dokazi o ispunjavanju uvjeta iz stavka 1. podstavaka 3. do 6. ovoga članka. - (4) Tijelo iz stavka 2. ovoga članka pribavit će po službenoj dužnosti dokaze o ispunjavanju uvjeta iz stavka 1. podstavaka 1., 2. i 7. ovoga članka. | Prihvaćen | Prihvaća se. |
| 47 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Članka 29. stavak 3. i 4. Prijedlogom za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture je određen uvjet da pravna osoba ili obrt posjeduje potvrdu da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja. Predmetnu potvrdu može izdati sud ukoliko je do zabrane rada došlo sudskom odlukom ili nadležno tijelo koje je izdalo odobrenje za djelatnost privatne zaštite. U svakom slučaju bi evidenciju o zabrani rada zbog nezakonitosti poslovanja pravne osobe ili obrta trebalo posjedovati i koordinativno tijelo koje izdaje certifikat, pa smo mišljenja da bi provjeru trebalo izvršiti po službenoj dužnosti bez obveze ishođenja predmetne potvrde od strane pravne osobe ili obrta. Sukladno prethodnim izmjenama i dopunama i navedenom obrazloženju predlažemo tekst izmjene i dopune članka 29. stavak 3. i 4. - (3) Uz zahtjev za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture prilažu se dokazi o ispunjavanju uvjeta iz stavka 1. podstavaka 3. do 6. ovoga članka. - (4) Tijelo iz stavka 2. ovoga članka pribavit će po službenoj dužnosti dokaze o ispunjavanju uvjeta iz stavka 1. podstavaka 1., 2. i 7. ovoga članka. | Prihvaćen | Prihvaća se. |
| 48 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Tekst izmjene i dopune članka 29. stavak 1. podstavak 5. - zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika, odnosno istovjetnih objekata sukladno drugim propisima, te su za njih provedene provjere iz kaznene i prekršajne evidencije temeljem potvrde mjesno nadležnog suda | Prihvaćen | Prihvaća se. |
| 49 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Članka 29. stavak 1. podstavak 5. Prijedlogom za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture uvjetuje se pravnoj osobi ili obrtu da njegovi zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika, te su za njih provedene provjere iz kaznene i prekršajne evidencije. Obrazloženje za izmjenu i dopunu članka 29. stavka 1. podstavka 3. u dijelu radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika, odnosi se analogno i na podstavak 5. Odredba koja se odnosi na provedene provjere iz kaznene i prekršajne evidencije nije nedvosmisleno definirana. Ukoliko se traži sigurnosna provjera zaposlenika po posebnom propisu od strane nadležnog tijela (SOA), to bi na taj način trebalo i propisati. Međutim tijelo koje obavlja provjeru ne izdaje o tome nikakve potvrde koje se traže u ostalim uvjetima iz članka 29. po stavku 3. i 4. Isto tako ukoliko se traži certifikat UVNS-a za pristup klasificiranim podacima, to treba nedvosmisleno odrediti. Mišljenja smo da bi se za izdavanje certifikata za provjeru iz kaznene i prekršajne evidencije zaposlenika trebalo koristiti potvrdama koje izdaje privatnim osobama mjesno nadležni sud i u drugim postupcima (zapošljavanje, javni natječaji i sl.). S tim u vezi predlažemo: Tekst izmjene i dopune članka 29. stavak 1. podstavak 5. - zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika, odnosno istovjetnih objekata sukladno drugim propisima, te su za njih provedene provjere iz kaznene i prekršajne evidencije temeljem potvrde mjesno nadležnog suda | Djelomično prihvaćen | U podstavak 3. dodaje se tekst "odnosno istovjetnih objekata sukladno drugim propisima". Ne prihvaća se komentar na provjeru iz kaznene i prekršajne evidencije jer se takva provjera obavlja preko tijela državne uprave nadležnog za pravosuđe. |
| 50 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Tekst izmjene i dopune članka 29. stavak 1. podstavak 4. - posjeduje najmanje certifikate za upravljanje kvalitetom, zaštitom okoliša i sustav upravljanja informacijskom sigurnošću | Nije prihvaćen | Kroz prijedlog Zakona određuje se da je dovoljno posjedovanje barem jednog ISO certifikata vezanog uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti. |
| 51 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Članak 29. stavak 1. podstavak 4. Kako je ovim člankom definirano da pravna osoba ili obrt posjeduje jedan ili više ISO certifikata vezanih uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti, smatramo da ovi certifikati nisu komplementarni te da je potrebno da pravna osoba ili obrt trebaju posjedovati sva tri certifikata za upravljanje kvalitetom, zaštitom okoliša i sustav upravljanja informacijskom sigurnošću. Tekst izmjene i dopune članka 29. stavak 1. podstavak 4. - posjeduje najmanje certifikate za upravljanje kvalitetom, zaštitom okoliša i sustav upravljanja informacijskom sigurnošću. | Nije prihvaćen | Kroz prijedlog Zakona određuje se da je dovoljno posjedovanje barem jednog ISO certifikata vezanog uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti. |
| 52 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Tekst izmjene i dopune članka 29. stavak 1. podstavak 3. - posjeduje najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika, odnosno istovjetnih objekata sukladno drugim propisima. | Prihvaćen | Prihvaća se. |
| 53 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Članak 29. stavak 1. podstavak 3. Prijedlogom za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture uvjetuje se pravnoj osobi ili obrtu najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika. Stupanj razine rizika prema sadašnjim propisima utvrđuje se za objekte kritične infrastrukture temeljem analize rizika, a za druge objekte utvrđuje se prosudbom ugroženosti pri kategorizaciji objekata i stupnjevanju zaštite objekata, te pri procjeni stupnja ugroženosti kvantifikacijom čimbenika rizika (čimbenika ugroženosti i sigurnosti). Budući da je teško za očekivati da će do dana podnošenja zahtjeva za certificiranje pravne osobe i obrti imati radno iskustvo u zaštiti objekata kritične infrastrukture najvišeg i visokog stupnja razine rizika, a realnije je da će imati radno iskustvo na drugim objektima najvišeg i visokog stupnja zaštite, odnosno stupnja ugroženosti vrlo visokog i visokog rizika, ili objekata posebno važnih za obranu. S tim u vezi predlažemo: Tekst izmjene i dopune članka 29. stavak 1. podstavak 3. - posjeduje najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika, odnosno istovjetnih objekata sukladno drugim propisima. | Primljeno na znanje | Prijedlog izmjene ranije prihvaćen. |
| 54 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Tekst izmjene i dopune članka 29. stavak 1. podstavak 1. - posjeduje odobrenje nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti privatne zaštite – tjelesne ili tehničke zaštite ili za izradu prosudbe ugroženosti. | Prihvaćen | Prihvaća se. |
| 55 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Članka 29. stavak 1. podstavak 1. Prijedlogom za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture uvjetuje se pravnoj osobi ili obrtu posjedovanje odobrenja nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti tjelesne i tehničke te za izradu prosudbe ugroženosti. Odredbom je uvjetovano posjedovanje odobrenja kumulativno za obavljanje sve tri djelatnosti privatne zaštite što ispunjava samo ograničeni broj pravnih osoba i obrta koji po Zakonu o privatnoj zaštiti obavljaju poslove privatne zaštite. Takvim uvjetom isključene su sve pravne osobe i obrti koje imaju odobrenje za obavljanje poslova privatne zaštite-tehničke zaštite ili privatne zaštite-tjelesne zaštite ili za izradu prosudbe ugroženosti. Predlažemo da se ovaj uvjet izmjeni na način da piše izdavanje certifikata omogući svim pravim osobama koje imaju odobrenje za obavljanje privatne zaštite-tehničke zaštite ili privatne zaštite- tjelesne zaštite ili za izradu prosudbe ugroženosti. Time će se nadalje omogućiti da svaka pravna osoba u svojoj domeni sukladno odobrenju koje posjeduje može obavljati poslove privatne zaštite na kritičnoj infrastrukturi, primjerice u djelatnosti tehničke zaštite: izrada procjene-analize rizika i sigurnosnog plana, projektiranje sustava tehničke zaštite, te konzalting i nadzor nad izvedbom sustava tehničke zaštite kritične infrastrukture. Pravne osobe i obrti koje primjerice imaju odobrenje za poslove tjelesne zaštite imati će certifikat za obavljanje poslova tjelesne zaštite na kritičnoj infrastrukturi. Tekst izmjene i dopune članka 29. stavak 1. podstavak 1. - posjeduje odobrenje nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti privatne zaštite – tjelesne ili tehničke zaštite ili za izradu prosudbe ugroženosti | Prihvaćen | Prihvaća se. |
| 56 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Kod dijela 'zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika te su za njih provedene provjere iz kaznene i prekršajne evidencije' postavlja se pitanje o kojem broju zaposlenika se radi? Jednom, dovoljnom broju, polovici ukupno zaposlenih, minimalnom broju koji je potreban za provedbu zaštite kritičnog subjekta? | Prihvaćen | Prihvaća se. |
| 57 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Kod navođenja ISO certifikata navedeno je dovoljno precizno napisano jer se pistavlja pitanje o kojim certifikatima se radi te zašto samo ograničavanje na ISO standarde. | Nije prihvaćen | Nisu propisani koji su to točno ISO standardi jer ovisi o specifičnosti obrta - imaju različit opseg usluga, različite pristupe upravljanju i organizacijske strukture. Isto tako organizacije/obrti biraju standarde na temelju specifičnih potreba i procijenjenih rizika. Stoga je točno propisivanje pojedinačnih standarda previše isključivo. Odabrani su ISO standardi koji su u globalu najčešći standardi. |
| 58 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Kod dijela gdje se navode objekti najvišeg ili visokog stupnja razine rizika postavlja se pitanje temeljem čega se zna koji su objekti kako rangirani? U najmanju ruku trebalo bi uputiti na određeni propis kao što se u nekoliko navratu u tekstu upućivalo na druge propise. | Prihvaćen | Prihvaća se. |
| 59 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 29. | Kod navoda 'posjeduje potvrdu da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja' potrebno je doraditi kako bi se navelo da se navedeno odnosi od dana izdavanja odobrenja iz prethodnog podstavka. | Prihvaćen | Prihvaća se. |
| 60 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 31. | Članak 31. stavak 3. Korisno bi bilo u članku 31., stavak (3) kao jednu od tematskih cjelina predvidjeti upoznavanje s normom ISO 31000/2018 (Upravljanje rizicima), s posebnim osvrtom na primjenu te norme kada se radi o upravljanju sigurnosnim rizicima, kao i upoznavanje s drugim normama koje se odnose na sigurnosne rizike. | Primljeno na znanje | Primljeno na znanje. |
| 61 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 31. | Vezano za stavak treći prema navedenim tematskim cjelinama ovo izgleda kao pohađanje tečaja civilne zaštite, a ne edukacija o jačanju otpornosti kritičnih subjekata i zaštiti kritične infrastrukture. Ovaj dio zahtjeva ozbiljniju doradu. | Prihvaćen | Prihvaća se. |
| 62 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 31. | Vezano za stavak drugi potrebno je propisati i da trebaju položiti ispit jer samo pohađanje ne znači da će i usvojiti potrebna znanja. | Nije prihvaćen | Navedeno traži i propisivanje polaganja ispita što potencijalno uključuje i troškove polaganja ispita. Dodatno, ispit nije nužan jer se certifikat ne izdaje osobama na temelju položenog ispita u vidu ovlaštenja, nego obrtu, čiji zaposlenici moraju biti educirani. |
| 63 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | Vezano za sadržaj stavka šestog potrebno je propisati i obveze u relaciji prema Zakonu o kibernetičkoj sigurnosti. Ono što se spominje u članku 10. ne pokriva obavještavanje o incidentima i načine rješavanja navedenih. | Nije prihvaćen | Navedeno će biti propisano u sporazumu iz članka 10. stavka 3. kako je i istaknuto - da se razmjenjuju informacije o incidentima i mjerama koje se podnose (tj. "rješavanje" incidenata). |
| 64 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | U stavku petom potrebno je propisati koji su to 'svi dostupni podaci'. Isto tako je potrebno propisati i pripremiti obrazac za dostavu. | Djelomično prihvaćen | Kroz isti članak piše kakva je vrsta podataka: "….Svi dostupni podaci….za utvrđivanje prirode, uzroka i posljedica incidenata.., kako ih procjenjuje KS. Kad dođe do incidenta ujedno se i procjenjuje negativan učinak na pružanje usluga, a navedeno će se tek naknadno propisivati pripadajućim pravilnikom. |
| 65 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | Vezano uz stavak treći ovaj dio treba biti postavljan za period nakon rješavanja incidenta, a ne ga vezati uz prvu obavijest. Jer je moguće da će incident trajati nekad i više od mjesec dana. Gdje se otvara pitanje da to onda više nije incident nego kriza, a postupanje s krizom nije razrađeno. | Nije prihvaćen | U Zakonu je praćena dinamika obavještavanja i koraci procedure kako ju je propisala CER direktiva. |
| 66 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | Vezano za stavak drugi nedostaje kada su obvezni dostaviti drugu obavijest i svaku sljedeću do okončanja incidenta. | Nije prihvaćen | U Zakonu je praćena dinamika obavještavanja i koraci procedure kako ju je propisala CER direktiva. |
| 67 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | U stavku prvom potrebno je dodati i ključnih usluga. | Prihvaćen | Prihvaća se. |
| 68 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 32. | Ovaj dio nije dovoljno precizno raspisan. Međutim nedostaje najmanje jedan sasvim novi članak koji će se odnositi na način rješavanja incidenta, stupnjevanje razine incidenta, sadržaj obrasca za dostavu obavijesti, kojim putem se dostavlja obavijest, kako se rješava potencijalna kriza do koje može doći, i druga pitanja. | Nije prihvaćen | Odredba ovog članka usklađena je s odredbama CER direktive. Komentar na ovaj članak ishodište pronalazi u Zakonu o kibernetičkoj sigurnosti kojim je puno detaljnije raspisano postupanje nakon incidenta jer proizlazi iz zahtjeva NIS 2 direktive kojom se obuhvaćaju puno kompleksniji kibernetički incidenti. |
| 69 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 37. | U stavku prvom fali da će popis određenih sigurnosnih koordinatora dostaviti Koordinativnom tijelu. | Prihvaćen | Prihvaća se. |
| 70 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 38. | U stavku prvom potrebno je odrediti rok kako bi se mogla primjenjivati odredba iz članka 48. stavak 1., podstavak 3. | Nije prihvaćen | Rok nije moguće ni realno propisati jer ovisi o tome kad će nadležno tijelo dostaviti Odluku. Rok je mjesec dana (na temelju članka 19, stavka 1.) |
| 71 | GORAN PULIG | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 38. | Članak 38. st. 2 navodi poslove koje Sigurnosni koordinator kritičnog subjekta obavlja te tako između ostalog navodi da Sigurnosni koordinator osigurava i nadzire uspostavu, funkcionalnost, ispravnost i pravodobno servisiranje sustava tehničke zaštite, te ostalih sustava zaštite. Ističemo da organizacije koje imaju uspostavljene navedene sustave zaštite već imaju odgovorne osobe koje upravljaju svakim pojedinim sustavom (odgovorna osoba zaštite na radu, odgovorna osoba protupožarne zaštite, odgovorna osoba tehničke zaštite, odgovorna osoba zaštite civilnog zrakoplovstva od nezakonitog djelovanja,..), te smatramo da je nespojivo da bi sigurnosni koordinator mogao bio odgovoran za sve gore navedene sustave zaštite na način da iste osigurava i nadzire . Osiguravanje navedenog sustava što podrazumijeva uspostavu,odnosno upravljanje te nadzor tog sustava u istoj osobi je u suprotnosti sa osnovnim upravljačkim načelima i načelima nepristranosti. Nadalje postavlja se pitanje kompetentnosti te osobe za sva gore navedena područja u vidu osiguravanja i nadzora. | Nije prihvaćen | U članku je definirana uloga sigurnosnog koordinatora koji osigurava i nadzire uspostavu, funkcionalnost, ispravnost i pravodobno servisiranje sustava tehničke zaštite. Na temelju navedene odredbe ne narušavamo uspostavljene sustave zaštite, nego ih sigurnosni koordinator dodatno nadzire i po potrebi osigurava njihovo provođenje. |
| 72 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 39. | Ovaj članak treba spojiti s prethodnim člankom po modelu kako je u članku 37. sve u jednom članku propisano za sigurnosnog koordinatora u nadležnom tijelu, ovdje imamo situaciju da je za sigurnosnog koordinatora kritičnog subjekta materija raspisana u dva članka. Ili članku treba dodati naziv pa da stoji samostalno. | Djelomično prihvaćen | Ne može se spojiti jer propisuje različite stvari. Prihvaćamo članku 39. dodati naslov: Sigurnosna provjera za sigurnosnog koordinatora. |
| 73 | PROSPECTUS, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA PROJEKTIRANJE I SAVJETOVANJE | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 40. | Članak 40. stavak 4 U članku 40., stavak (4) potrebno je korigirati tekst kojim se poziva na „članak 4. ovoga članka“, što nije logično, a nije jasno na što se želi pozvati. | Prihvaćen | Prihvaća se. |
| 74 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 41. | Umjesto " u šest ili više država članica" pisati "u šest ili više država", s obziorm na snažan utjecaj (povezanost) susjednih zemalja (nečlanica) na sigurnost pogona u RH. | Nije prihvaćen | Definicija prenesena iz CER directive. Stoga se traži dosljednost u transpoziciji jer su to minimalni zahtjevi CER-a. |
| 75 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 41. | U stavku trećem i četvrtom krivo je napisano nadležno tijelo radi se o Koordinativnom tijelu. | Prihvaćen | Prihvaća se. |
| 76 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 41. | U stavku trećem spominju se kritične usluge, treba preimenovati u ključne usluge. | Prihvaćen | Prihvaća se. |
| 77 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 41. | U stavku prvom potrebno je dodati kako Ako kritični subjekt pruža ključne usluge sukladno popisu iz priloga I. | Prihvaćen | Prihvaća se. |
| 78 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 42. | Definirati u pojmovniku ovdje korišten izraz "savjetodavna misija". | Nije prihvaćen | Niti u CER direktivi iz koje je ovaj članak direktno prenesen se u pojmovniku ne navodi izraz "savjetodavna misija", tako da nema potrebe navoditi i u pojmovniku u ovom Zakonu. |
| 79 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 45. | Fali razrada stručnog nadzora kojeg provode sigurnosni koordinatori u nadležnim tijelima. Poveznica s člankom 37. stavak 2. | Nije prihvaćen | U članku 25., stavak 24. navedeno je što nadležna tijela rade u kontekstu stručnog nadzora: Pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga, nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti u skladu s obvezama iz članka 24. stavka 2. ovoga Zakona. (i to se dovodi u vezu s člankom 37. stavak 2. iz komentara). |
| 80 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 49. | Fali procedura oko reidentifikacije i određivanja KI koja je određena temeljem Zakona o kritičnim infrastrukturama iz 2013. godine u periodu do utvrđivanja i potvrđivanja kritičnih subjekata temeljem ovog Zakona. | Nije prihvaćen | U članku 23. Zakona o KI iz 2013. stoji: "STDU dužna su u roku od 6 mjeseci nakon stupanja na snagu Zakona predložiti Vladi KI iz sektora djelokruga i razinu njihove kritičnosti." Na tragu toga novi Zakon u članku 49., stavak 3. propisuje: "Nadležna tijela dužna su Koordinativnom tijelu dostaviti prijedlog popisa kritičnih subjekata za sektore iz svoje nadležnosti u roku od tri mjeseca nakon donošenja Nacionalne procjene rizika kritične infrastrukture." U tom djelu je istovjetno. Nadalje, Zakon iz 2013. nigdje precizno ne propisuje ažuriranje, tj. "reidentifikaciju", stoga je nejasno na što se ovaj komentar referira. S druge strane, ovaj Zakon jasno definira ažuriranje popisa KI odnosno (ponovno) utvrđivanje KS i to u članku 21. |
| 81 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Članak 51. | Vezano za stavak drugi fali propisivanje roka za donošenje sektorske analize. Dodatno, potrebno je propisati rok za dostavu sektorskih mjerila (i sektorske analize) Koordinativnom tijelu. | Djelomično prihvaćen | Djelomično se prihvaća. |
| 82 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, PRILOG I. | Načelno: Proizvođač je onaj energetski subjekt koji ima ishođenu dozvolu (od HERA-e) za djelatnost: proizvodnje električne energije. | Primljeno na znanje | Primljeno na znanje. |
| 83 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, PRILOG I. | Podsektor: električna energija Kod ključne usluge (I) Opskrba električnom energijom umjesto "elektroenergetski subgjekti" treba pisati "opsrbljivači". Umjesto "rad, održavanje i razvoj sustava" pisati "pogon, vođenje i uravljanje" sustava. Operator prijenosnog sustava i operator distribucijskog sustava koristiti jedninu, u EES-u RH je po jedan operator za prijenosnu i za distribucijsku mrežu. Umjesto "dano područje" pisati tertorij RH, kod posektora električna energija. Umjesto Proizvođa pisati proizvođači, kao što piše i opsrbljivači, množina en. subjekata. Umjesto. Podsektor b) "centralizirano grijanje i hlađenje" pisati toplinska energija | Nije prihvaćen | Formulacija pojmova iz komentara je u potpunosti prenesena iz CER Direktive i Delegirane uredbe Komisije o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga, osim ako našim nacionalnim sektorskim regulativama nije prenesena EU regulativa na način da mijenja nazive pojmova. |
| 84 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, PRILOG I. | Tablica ima puno praznih prostora koji onemogućavaju njezino jednostavno sagledavanje. | Primljeno na znanje | Prazni prostori služe kako bi tekst u stupcima bio u liniji s onim što je opisano u paralelnim stupcima. Stvar je forme, ovaj komentar se ne tiče sadržaja. |
| 85 | NIKOLA JAMAN | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, PRILOG I. | Pojam „proizvođač električne energije” istovjetan je pojmu iz članka 3. stavka 1. točke 90. Zakona o tržištu električne energije. Znači li to da bi se obaveze po novom zakonu odnosile na sve "pravne i fizičke osobe koje proizvode elekričnu energiju"? Za male proizvođače to je nezvedivo. Predlaže se da se u ovom slučaju proizvođač električne energije smatra proizvođač priključen na prijenosnu mrežu, odnosno elektrane priključne snage 10 MVA i veće. | Nije prihvaćen | Nadležno sektorsko tijelo, poštujući sektorska i međusektorska mjerila, identificira kritične subjekte u skladu s nadležnostima. Mali proizvođači sigurno neće prijeći sektorski postavljene pragove. |
| 86 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, OBRAZLOŽENJE ODREDBI PREDLOŽENOG ZAKONA | U većini slučajeva obrazloženja nisu obrazloženja već prepisan tekst članka. | Primljeno na znanje | Taj dio teksta ne objavljuje se u Narodnim novinama. Stoga ne smatramo nužnim navedeno mijenjati. |
| 87 | ROBERT MIKAC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Uz članak 5. | Ne poklapaju se navedeni članci koji se navode u članku 5. i ovdje. | Primljeno na znanje | Može se prilagoditi, ali taj dio teksta ne objavljuje se u Narodnim novinama. |
| 88 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Uz članak 24. | Pisati "ključnih dijelova sustava" umjesto "ključnih dijelova", "sustava". | Prihvaćen | Prihvaća se. |
| 89 | NENAD ŠVARC | PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI, Uz članak 52. | u pojmovniku definirati pojam "privatna zaštita" - navodi se u ovom članku. | Primljeno na znanje | Pojmovnik već sadrži definiciju pojma “privatna zaštita”. |