I. UST AVNA OSNOVA ZA DONOŠENJE ZAKONA

Ustavna osnova za donošenje Zakona o kibernetičkoj sigurnosti sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, broj 85/10. - pročišćeni tekst i 5/14. - Odluka Ustavnog suda Republike Hrvatske).

II. OCJENA STANJA I OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE DONOŠENJA ZAKONA

Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (u daljem tekstu: NIS2 direktiva), donesena je s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148).

NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.

NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive. Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi čitav niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 kriza ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor.

Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:

- višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovog Nacrta) te

- promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.

Usklađena primjena NIS2 zahtjeva na razini svih država članica i EU institucija osigurat će ključne ciljeve sigurnosti kritičnih kibernetičkih elemenata EU i država članica, učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima, suradnju svih nadležnih tijela i subjekata obveznika NIS2 direktive, kao i uspostavu reguliranog pristupa kibernetičkoj sigurnosti na razini cijele EU, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.

NIS2 direktivom želi se postići učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te u nacionalnim kibernetičkim prostorima država članica. Vrijeme uvođenja NIS2 direktive je kritično jer EU već kasni u regulaciji kibernetičke sigurnosti u odnosu na brzi razvoj tehnologije. NIS2 direktiva je središnji akt kibernetičke sigurnosti EU, ali istovremeno i samo jedan akt u paketu EU kibernetičko i sigurnosno povezanih akata donesenih 2022. godine, kao što su DORA ¹ uredba (financijski sektor) ili CER ² direktiva (kritična infrastruktura). Dodatno je NIS2 povezan i s CSA ³ aktom (kibernetička sigurnosna certifikacija) iz 2019. godine, a u tijeku je usuglašavanje CRA ⁴ akta (zahtjevi kibernetičke sigurnosti za proizvode s digitalnim elementima). Na sve ovo nadovezuje se potpuno novi paket akata kibernetičke sigurnosti, koji je Europska komisija (EK) objavila ⁵ 18. travnja 2023. i koji sadrži dopune spomenutog CSA akta iz 2019. godine, koje su sada usklađene s NIS2 direktivom, kao i novi prijedlog Cyber Solidarity Acta ⁶ (poboljšane mogućnosti odgovora na incidente kroz infrastrukturu i osposobljene institucije) i Cyber Skills Academy ⁷ (virtualna platforma za razvoj znanja i vještina iz područja kibernetičke sigurnosti). Razvidno je da kibernetička sigurnost danas nužno traži uspostavu reguliranog pristupa kakav je u tradicionalnim resorima državne uprave prisutan već desetljećima (npr. promet, financije, poljoprivreda ili gospodarstvo).

Organizacijski se NIS2 transpozicija provodi na isti način kao i NIS1 transpozicija 2018. godine, kroz međuresornu radnu skupinu Nacionalnog vijeća za kibernetičku sigurnost (NVKS). NVKS je međuresorno tijelo za koordinaciju horizontalnih nacionalnih inicijativa u području kibernetičke sigurnosti, ustrojeno na temelju Nacionalne strategije kibernetičke sigurnosti Republike Hrvatske iz 2015. godine („Narodne novine“, broj: 108/15), a čine ga predstavnici 16 tijela. Dogovorom NVKS-a, NIS1 transpoziciju 2018. godine koordinirao je Ured Vijeća za nacionalnu sigurnost (UVNS), a NIS2 transpoziciju koordinira Sigurnosno-obavještajna agencija (SOA).

Jedan od ključnih ciljeva EU-a kroz NIS2 direktivu jest uvođenje reguliranog pristupa području kibernetičke sigurnosti. Razlog tome je visoka ovisnost suvremenog društva o tehnologiji koja se razvija velikom brzinom. Pri tome se ne misli samo na državni sektor ili na kritičnu infrastrukturu, već na sve segmente suvremenog društva, koji u velikom broju slučajeva mogu uzrokovati kaskadno širenje kibernetičkih incidenata i onemogućavanje ključnih društvenih i gospodarskih procesa.

Stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata - obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika. Ovakav pristup provodi se prvi put na razini EU na cjelovit način i u svrhu sustavne regulacije kibernetičke sigurnosti. Takav pristup uvodi odgovarajuće obveze kibernetičke sigurnosti za sve subjekte obveznike, ali istovremeno otvara gospodarski potencijal na razini EU-a za sve hrvatske tvrtke koje imaju sposobnosti u području kibernetičke sigurnosti.

Regulirani pristup kibernetičkoj sigurnosti nužno traži određenu razinu organizacijske centralizacije, kako na EU razini (npr. EK je kroz Cyber Security Act 2019. godine reorganizirala ENISA-u u Agenciju za kibernetičku sigurnost EU, a EU-CERT postavila za središnje tehničko tijelo za odgovor na kibernetičke incidente), tako i na razini država članica. Na razini država članica nema jednoobraznog rješenja. Različit pristup država članica u centralizaciji kibernetičke sigurnosti ponajviše je rezultat različitosti nacionalnog razvoja kibernetičkih resursa koji su se u prethodnim godinama razvili u pojedinim državama članicama. Sigurnosno-obavještajni sustavi velikog broja EU država članica korišteni su za proces centralizacije, budući da je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti. To je vidljivo i iz aspekta kibernetičkih ugroza, gdje su najvažniji nacionalni resursi oni koji služe suzbijanju najvećih opasnosti za kibernetičku sigurnost, a to su prije svega državno-sponzorirani kibernetički APT ⁸ napadi, ali i napadi zlonamjernim ucjenjivačkim programskim kôdovima ( Ransomware ), koje sustavno provode organizirane kriminalne skupine i koji čine značajnu štetu državama i poslovnom sektoru na globalnoj razini.

Sukladno navedenome, ovim Zakonom se predlaže organizacijski pristup kojim bi se nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti, a s ciljem uvođenja centralizacije upravljanja kibernetičkom sigurnošću i stvaranja novog Nacionalnog centra za kibernetičku sigurnost. Pri tome se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti. Neke od do sada izgrađenih kibernetičkih sposobnosti i resursa su:

- Centar za kibernetičku sigurnost SOA-e uspostavljen 2019. godine.

- Temeljem Odluke Vlade Republike Hrvatske iz 2021. godine, sustav SK@UT je utvrđen kao nacionalni sustav za otkrivanje naprednih kibernetičkih prijetnji i zaštitu kibernetičkog prostora ⁹ . U SK@UT su uključena sva ministarstva i ključna državna tijela, operatori ključne infrastrukture, primarno iz sektora energetike i transporta, kao i niz drugih tvrtki značajnih za Republiku Hrvatsku u cjelini. Sustav SK@UT omogućuje nacionalnu i globalnu ¹⁰ razmjenu informacija o kibernetičkim incidentima i koordiniranje odgovora na kibernetičke napade u stvarnom ili gotovo stvarnom vremenu.

- Na temelju odluke Nacionalnog vijeća za kibernetičku sigurnost i Koordinacije za sustav domovinske sigurnosti, SOA od 2020. godine provodi operativnu razinu koordinacije ¹¹ u upravljanju kibernetičkim napadima velikih razmjera i kibernetičkim krizama u Republici Hrvatskoj.

- SOA sudjeluje kao hrvatski predstavnik u EU-CyCLONe ¹² mreži za upravljanje EU kibernetičkim krizama od 2020. godine, a pristup upravljanju kibernetičkim krizama EU-a razvijen u EU-CyCLONe mreži propisuje se kroz NIS2 zahtjeve i u Republici Hrvatskoj je u potpunosti usklađen u proteklim godinama.

- Krajem 2022. godine SOA je započela nacionalnu koordinaciju provedbe Pilot projekta EK i ENISA-e za podizanje kibernetičke otpornosti na razini EU te je ukupno osigurala povlačenje od najmanje 1,7 milijuna eura EU financijskih sredstava, za razdoblje od 2023. do 2025. godine, u kojem će 100% europskim sredstvima financirane usluge kibernetičke sigurnosti provoditi hrvatske tvrtke u privatnim i državnim entitetima iz sustava SK@UT.

- Zaključkom o zaduženjima tijela državne uprave i drugih tijela za sudjelovanje u radu radnih skupina i odbora Vijeća Europske unije, Vlada Republike Hrvatske odredila je u rujnu 2022. godine SOA-u za nacionalnog koordinatora i praćenje EU kibernetičkih pitanja kroz Horizontalnu radnu skupinu za kibernetička pitanja (HWPCI) Vijeća EU, kroz koju se usklađuju svi uvodno spomenuti kibernetički akti EU-a (NIS2, CER, CRA, CSA, …).

Problem brzog razvoja tehnologije neumitno generira nedostatak stručnjaka i to je problem cijelog svijeta pa i Republika Hrvatske u području kibernetičke sigurnosti. Najbolji način kojim se EU i niz razvijenih zemalja pokušava nositi s ovim problemom upravo je učinkovita organizacija i odgovarajuća organizacijska centralizacija, podizanje razine regulacije područja kibernetičke sigurnosti te paralelni razvoj i poticanje obrazovnih programa. Svi ti elementi u određenoj mjeri su započeti u Republici Hrvatskoj kroz Nacionalnu strategiju kibernetičke sigurnosti iz 2015. godine, nastavljeni su NIS1 transpozicijom iz 2018. godine te se dalje planiraju nastaviti izgrađivati NIS2 transpozicijom i njenom provedbom u narednim godinama.

Povećanje broja sektora i podsektora te vrsta usluga koje zahvaća NIS2 direktiva, odnosno povećanje broja obveznika NIS direktive, predstavlja nužnost suvremenog društva. Danas sve vrste tvrtki, od najvećih tvrtki do mikro poduzetnika, koriste informacijsku i komunikacijsku tehnologiju (IKT) te se može reći da svaka tvrtka i državno tijelo dio svojih poslovnih procesa zasniva na IKT-u. Na taj način sve te tvrtke ulažu u IKT, uključujući i ulaganja u sustave kibernetičke zaštite, u sklopu svojih redovitih troškova i neovisno o NIS2 direktivi. Subjekti obveznici NIS2 direktive i one pravne osobe koje će dobrovoljno primjenjivati pojedine NIS2 mjere kibernetičke sigurnosti, dobivaju mogućnost da svoja postojeća IKT ulaganja sustavno i postupno usmjeravaju s ciljem povećanja učinkovitosti i međusobne sukladnosti subjekata obveznika i drugih pravnih osoba u svim državama članicama EU. Dakle, cilj NIS2 direktive nije trenutno uvesti dodatan trošak za IKT unutar javnog sektora i poslovne zajednice, već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti, kako bi se u konačnici smanjili rizici i troškovi prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima.

Kroz Zakon se stoga predviđa proces kategorizacije subjekata, u okviru kojeg se primjenjuju utvrđeni kriteriji za razvrstavanje subjekata u kategorije ključnih i važnih subjekata, što će se provesti u roku od godine dana od stupanja na snagu Zakona te će se nakon toga periodično, svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirati. Tek po obavijesti o kategorizaciji započinje rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene, ovisno o tome u koju kategoriju je subjekt razvrstan, kroz razdoblje od najduže dodatne dvije godine. Na taj način postupni proces tranzicije traje punih četiri godine nakon stupanja na snagu Zakona.

Upravo ta sukladnost sa zahtjevima NIS2 direktive, koja će svima osigurati manje troškove i gubitke u slučaju kibernetičkih incidenata, ima i dodatni cilj - omogućiti gospodarskim subjektima koji se bave kibernetičkom sigurnošću povećanu konkurentnost, ne samo na hrvatskom već i na širem EU tržištu. Regulacija područja kibernetičke sigurnosti i zahtjevi sukladnosti nužni su za današnji stupanj razvoja IKT-a te ih treba promatrati kao i u slučaju tradicionalnih sektora poput prometa, koji su danas visoko regulirani i usklađeni te primjerice pojava „nesukladnih entiteta“ u prometu nikome nije prihvatljiva.

NIS2 zahtjevi kroz ovaj Zakon primjenjuju se na sektore, podsektore i vrste subjekata, popisanih u Prilozima I. i II. Zakona odnosno na isti način kako je područje primjene NIS2 zahtjeva regulirano NIS2 direktivom. Prilog I. ovog Zakona obuhvaća visoko kritične sektore, podsektore i vrste subjekata te se sastoji od 11 sektora primarno namijenjenih razvrstavanju ključnih subjekata, prema općim kriterijima za provedbu kategorizacije subjekata. Ključni subjekti su oni subjekti na koje se mjere kibernetičke sigurnosti ovog Zakona primjenjuju u cijelosti, od zahtjeva za primjenom mjera, preko izvještavanja o incidentima, provedbe nezavisne ocjene sukladnosti, do nadzora ( ex-ante pristup). Prilog II. ovog Zakona obuhvaća sektore, podsektore i vrste subjekata koji predstavljaju druge kritične sektore,  a sastoji se od osam sektora, pri čemu je prvih sedam sektora preuzeto iz Priloga II. NIS2 direktive, dok je osmi sektor, sustav obrazovanja, nacionalno dodan temeljem NIS2 preporuke državama članicama i dogovora nadležnih tijela na nacionalnoj razini. Prilog II. je primarno namijenjen razvrstavanju važnih subjekata prema općim kriterijima za provedbu kategorizacije subjekata, odnosno subjekata koji primjenjuju mjere kibernetičke sigurnosti iz ovog Zakona, ali to provode samostalno i potvrđuju kroz postupak samoocjene ( ex-post pristup) te se za takve subjekte ne provodi redovita nezavisna ocjena sukladnosti niti redoviti nadzor. Važni subjekti dužni su izvještavati o incidentima nadležno CSIRT tijelo, ali nadzor važnog subjekta provodi se samo u slučaju kada nadležno nadzorno tijelo zaprimi informacije koje ukazuju da važni subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama, ili ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima, ili ne postupa po drugim zahtjevima nadležnih tijela iz ovog Zakona. Pored kategorizacije subjekata temeljem općih kriterija, provodi se i kategorizacija subjekata temeljem posebnih kriterija, pri čemu se razvrstavanje pojedinog subjekta kao ključnog ili kao važnog može provoditi neovisno o pripadnosti subjekta sektorima iz Priloga I. ili II. ovog Zakona.  

NIS2 mjere kibernetičke sigurnosti dio su procesa upravljanja kibernetičkim sigurnosnim rizicima koji je obvezujući za sve subjekte NIS2 direktive. Pri tome se primjenjuju EU ili međunarodne norme za upravljanje rizicima i provedbu sigurnosnih mjera. Razina sigurnosti i primijenjene sigurnosne mjere trebaju biti proporcionalne procijenjenom riziku kibernetičke sigurnosti svakog subjekta. Pri tome su kriteriji rizika primjerice: izloženost subjekta rizicima, veličina subjekta, vjerojatnost pojave kibernetičkih napada i njihova ozbiljnost, uključujući društveni i gospodarski utjecaj kibernetičkih napada, izloženost mrežnih i informacijskih sustava koje subjekt koristi, kao i korištena IKT. Provodi se tzv. „All Hazards Approach” – Failure, Accident, Attack – otkaz, nesreća, napad, odnosno uzimaju se u obzir sve vrste uzroka koji mogu dovesti do incidenata na mrežnim i informacijskim sustavima i posljedično do utjecaja na funkcioniranje usluga koje subjekt pruža, odnosno djelatnosti koju obavlja, kao i utjecaja na druge fizičke ili pravne osobe.

Mjere upravljanja kibernetičkim sigurnosnim rizicima obuhvaćaju:

- tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te

- mjere za sprječavanje ili smanjivanje na najmanju moguću mjeru utjecaja kibernetičkih  incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.

Obvezujuća područja za procjenu kibernetičkih sigurnosnih rizika obuhvaćaju niz područja kao što su primjerice: postupanje s incidentima, kontinuitet poslovanja, sigurnost lanaca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga, kao i mnoga druga područja.

Uloga NIS2 nadležnih tijela pri tome je kategorizirati, odnosno razvrstati subjekte obveznike NIS2 sukladno sektorskoj pripadnosti i utvrđenim kriterijima, davati smjernice subjektima, pomagati u prevenciji i odgovoru na kibernetičke incidente, pratiti periodički proces ocjene NIS2 sukladnosti ključnih subjekata te provoditi njihov periodički nadzor, kao i pratiti periodički proces samoocjene NIS2 sukladnosti važnih subjekata te prema potrebi provoditi njihov izvanredni nadzor. Sva nadležna tijela u području kibernetičke sigurnosti iz ovog Zakona povezana su sa sektorima, podsektorima i vrstama subjekata za koje su nadležni u Prilogu III. ovog Zakona.

U ovom Zakonu razlikujemo tri grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu se trenutno radi o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Nadležna tijela za provedbu posebnih zakona stoga provode svoje sektorske propise koji sadrže veću ili jednaku razinu zahtjeva kibernetičke sigurnosti kao NIS2 direktiva, pri čemu se ovim Zakonom utvrđuje obveza nadležnih tijela za provedbu posebnih zakona za uključenje svojih sektorskih subjekata u razmjenu informacija i izvještavanje o incidentima na nacionalnoj razini.

Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo. Specifičnost polu-autonomnih sektora jest da je kibernetička sigurnost u određenoj mjeri propisana sektorskim propisima na EU razini i/ili nacionalnoj razini, ali je to nedovoljno u odnosu na zahtjeve NIS2 direktive. Stoga je već NIS2 direktiva stavila izvan snage pojedine članke vezane za kibernetičku sigurnost u mjerodavnim EU aktima za sektor elektroničkih komunikacija ¹³ i sektor pružatelja usluga povjerenja ¹⁴ . Na sličan način je za potrebe javnog sektora potrebno primijeniti NIS2 zahtjeve kibernetičke sigurnosti, koji su značajno prošireni u odnosu na postojeće zahtjeve koji proizlaze iz propisa koji uređuju područje informacijske sigurnosti. Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata iz Priloga I. i II. ovog Zakona, ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora: sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT ¹⁵ tijela, Zakonom se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta prema Prilogu III. ovog Zakona. Nadležna CSIRT tijela za Republiku Hrvatsku su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CERT, ustrojen u CARNET-u.

Zakon utvrđuje i način usklađivanja sadržaja nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, čiji se sadržaji detaljno razrađuju u Prilogu IV. ovog Zakona te su usklađeni s NIS2 zahtjevima za sve države članice.

Također, ovim Zakonom uvode se okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela iz ovog Zakona, a napose od strane nadležnih CSIRT-ova.

Provedba NIS2 transpozicije otvara mogućnosti usklađenog i optimalnog usmjeravanja proračunskih sredstava, ali i korištenja EU fondova za javni i za privatni sektor, kao i izbjegavanja neracionalnog multipliciranja nacionalnih kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. U tom smislu Zakon obvezuje nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti na suradnju i međusobnu razmjenu relevantnih informacija s nacionalnim koordinacijskim centrom imenovanim temeljem Uredbe (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021. o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti i mreže nacionalnih koordinacijskih centara (SL L 202/1, 8.6.2021.). Na taj način će se bolje koordinirati EU sredstva za potporu kibernetičke sigurnosti. Spomenuti Pilot projekt EK i ENISA-e, koji u razdoblju od 2023. do 2025. godine SOA koordinira na razini Republike Hrvatske, također je primjer povlačenja EU sredstava u razdoblju do uspostave i pune funkcionalnosti nacionalnog koordinacijskog centra, a poslužio je kao primjer i za pripremu novog EU prijedloga Cyber Solidarity Acta .

¹ DORA – Digital Operating Resilency Act, ključni akt EU financijskog sektora koji se direktno primjenjuje na sve države članice i donesen je na isti dan kada i NIS2 direktiva (u RH nositelji provedbe uz MF su HNB i HANFA)

² CER – Critical Entities Resiliency Directive, ključni akt za EU kritičnu infrastrukturu koji sve države članice moraju transponirati u istom roku u kojem i NIS2, pri čemu je pristup usko usklađen tako da CER direktiva pokriva fizičku sigurnost, a NIS2 kibernetičku sigurnost te se CER direktiva odnosi na ključne sektore iz Priloga I. NIS2 direktive, a svi kritični subjekti po CER direktivi (fizička sigurnost) obavezno postaju ključni subjekti po NIS2 direktivi (kibernetička sigurnost) – u RH je MUP nositelj transpozicije CER direktive

³ CSA – Cyber Security Act, donesen 2019. godine s direktnom primjenom na države članice EU-a, redefinirao je agenciju ENISA u EU agenciju za kibernetičku sigurnost, ali je uspostavio i zajednički EU okvir za kibernetičku sigurnosnu certifikaciju, kojim je osigurao isti okvir za uvođenje obvezujuće certifikacije pojedinih kibernetičkih proizvoda i usluga te definiranje ključnih EU i nacionalnih tijela za provedbu ovih poslova na isti način u cijeloj EU (u RH uspostavljeno Zakonom o kibernetičkoj sigurnosnoj certifikaciji, „Narodne novine“, broj: 63/2022, te kroz nadležnosti Hrvatske akreditacijske agencije – HAA i Zavoda za sigurnost informacijskih sustava - ZSIS)

⁴ CRA - Cyber Resiliency Act, direktno će se primjenjivati na sve države članice s ciljem da utvrdi EU obveze sigurnosne certifikacije pojedinih komercijalnih proizvoda, od kategorije Interneta stvari (tzv. Internet of Things – IoT), preko uređaja koji imaju ugrađeni softver ili vezu na Internet pa do softverske podrške u širem smislu.

⁵ https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2243

⁶ Akt o kibernetičkoj sloidarnosti

⁷ Akademija kibernetičkih vještina

⁸ APT – Advanced Persistent Threat , napredna ustrajna prijetnja, je kratica koja se koristi za različite vrste kibernetičkih napada koje provode državno-sponzorirane APT grupe, pri čemu takve APT kibernetičke napade obilježava visoka razina stručnosti i prikrivenosti počinitelja napada, koji napad provodi redovito u dužem vremenskom razdoblju (mjesecima), s najčešćim ciljem krađe povjerljivih podataka. U novije vrijeme taktike, tehnike i procedure (TTP) državno-sponzoriranih APT napadača sve češće koriste organizirane kriminalne skupine za ucjenjivačke kibernetičke napade ( Ransomware ).

⁹ Centar za kibernetičku sigurnost i sustav SK@UT su nacionalni sigurnosno-operativni centar (SOC) s mrežom distribuiranih senzora koji prate promet prema Internetu u više od 60 državnih, javnih i privatnih entiteta, koji su kritični za nacionalnu razinu (npr. operatori u energetici i transportu), i koji su se uključili u SK@UT sustav na principima suradnje, međusobnog povjerenja i transparentnosti, a s ciljem zaštite od sofisticiranih kibernetičkih ugroza i pomoći u odgovoru na kibernetičke napade.

¹⁰ SOA osigurava stalno ažuriranje indikatora kompromitacije, kao i taktika, tehnika i procedura državno-sponzoriranih APT grupa, pri čemu se koristi visoko razvijena međunarodna sigurnosno-obavještajna suradnja SOA-e, niz otvorenih izvora, kao i komercijalni industrijski sigurnosni izvori te EU i NATO platforme za razmjenu podataka.

¹¹ Uska suradnja između SOA-e, MUP-a, MORH-a, VSOA-e, ZSIS-a, Nacionalnog CERT-a, HAKOM-a i HNB-a.

¹² EU-CyCLONe mreža – European Cyber Crises Liaisone Organisation Network (Europska mreža organizacija za vezu za kibernetičke krize

¹³ EECC – European Electronic Communications Code - DIREKTIVA (EU) 2018/1972 EUROPSKOG PARLAMENTA I VIJEĆA od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija

¹⁴ eIDAS - UREDBA (EU) br. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

¹⁵ CSIRT – Computer Security Incident Response Team , je tijelo nadležno za prevenciju i zaštitu od incidenata u okviru NIS2 sektora, a pojam je uveden NIS1 transpozicijskim Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga

III. OCJENA POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA

Za provedbu ovog Zakona u Državnom proračunu za 2023. i projekcijama za 2024. i 2025. godinu osiguran je dio sredstava, a ostatak će se osigurati u okviru dodijeljenih limita nadležnih tijela u narednim razdobljima ovisno o stanju postojećih kapaciteta nadležnih tijela,  broju subjekata obveznika provedbe zahtjeva iz ovog Zakona te mogućnostima korištenja sredstava iz EU fondova koji će biti raspoloživi u svrhu provedbe NIS2 direktive u državama članicama.

IV. TEKST PRIJEDLOGA ZAKONA

Tekst prijedloga zakona dan je u obliku Nacrta prijedloga zakona o kibernetičkoj sigurnosti.

PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI

DIO PRVI

OSNOVNE ODREDBE

Predmet Zakona

Članak 1.

(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe ovog Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.

(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.

(3) Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti, od nacionalnog su značaja za Republiku Hrvatsku.

Popis priloga koji su sastavni dio Zakona

Članak 2.

Sastavni dio ovoga Zakona su:

− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog I. ovog Zakona)

− Prilog II.   Drugi kritični sektori (u daljnjem tekstu: Prilog II. ovog Zakona)

− Prilog III. Popis nadležnosti u području kibernetičke sigurnosti (u daljnjem tekstu: Prilog III. ovog Zakona) i

− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti ( u daljnjem tekstu: Prilog IV. ovog Zakona) .

Usklađivanje propisa s pravnim aktima Europske unije

Članak 3.

Ovim Zakonom se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2) (SL L 333/80, 27.12.2022.).

Pojmovi

Članak 4.

(1) U smislu ovog Zakona pojedini pojmovi imaju sljedeće značenje:

1. „ aktivna kibernetička zaštita “  je zaštita koja uvodi napredni pristup koji umjesto reaktivnog odgovora na incidente, podrazumijeva njihovu prevenciju, odnosno aktivno sprječavanje, otkrivanje, praćenje, analizu i ublažavanje povreda sigurnosti mrežnih i informacijskih sustava, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unutar i izvan mrežnog i informacijskog sustava koji je cilj kibernetičkog napada, kao što je slučaj s Nacionalnim sustavom za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora iz ovog Zakona

2. „ CSIRT “ je kratica za Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata, za koju se koristi i kratica CERT (Computer Emergency Response Team)

3. „ CSIRT mreža “ je mreža nacionalnih CSIRT-ova osnovana s ciljem razvoja povjerenja i pouzdanja te promicanja brze i učinkovite operativne suradnje među državama članicama Europske unije (u daljnjem tekstu: države članice), koju uz predstavnike nacionalnih CSIRT-ova čine i predstavnici nadležnog tijela za prevenciju i zaštitu od kibernetičkih incidenata Europske unije (CERT-EU)

4. „ digitalna usluga “ je svaka usluga informacijskog društva, odnosno svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja usluge, gdje za potrebe ovog pojma:

- „na daljinu“ znači da se usluga pruža bez da su strane istodobno prisutne

- „elektroničkim sredstvima“ znači da se usluga od početka šalje i na odredištu prima putem elektroničke opreme za obradu, uključujući digitalno sažimanje i pohranjivanje podataka, te da se u cjelini šalje, prenosi i prima žičanim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom

- „na osobni zahtjev primatelja usluge“ znači da se usluga pruža prijenosom podataka na osobni zahtjev

5. „elektronička komunikacijska usluga” je usluga koja se uobičajeno pruža uz naknadu putem elektroničkih komunikacijskih mreža, a obuhvaća, uz izuzetak usluga pružanja sadržaja ili obavljanja uredničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih komunikacijskih mreža i usluga, sljedeće vrste usluga:

- „uslugu pristupa internetu“ odnosno javno dostupnu elektroničku komunikacijsku uslugu kojom se omogućuje pristup internetu te time povezivanje s gotovo svim krajnjim točkama interneta, bez obzira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava

- „interpersonalnu komunikacijsku uslugu” odnosno uslugu koja se, u pravilu, pruža uz naknadu, a omogućuje izravnu interpersonalnu i interaktivnu razmjenu obavijesti putem elektroničkih komunikacijskih mreža između ograničenog broja osoba, pri čemu osobe koje pokreću komunikaciju ili sudjeluju u njoj određuju njezina primatelja ili više njih. Ova usluga ne obuhvaća usluge koje omogućuju interpersonalnu i interaktivnu komunikaciju samo kao manje bitnu pomoćnu značajku koja je suštinski povezana s drugom uslugom i

- usluge koje se sastoje u cijelosti ili većim dijelom, od prijenosa signala kao što su usluge prijenosa koje se upotrebljavaju za pružanje usluga komunikacije između strojeva i za radiodifuziju

6. „ EU-CyCLONe mreža “ je Europska mreža organizacija za vezu za kibernetičke krize osnovana s ciljem djelovanja na operativnoj razini kao posrednik između tehničke razine (CSIRT mreže) i političke razine, a u svrhu stvaranja učinkovitog procesa operativnog procjenjivanja i upravljanja tijekom kibernetičkih incidenata velikih razmjera i kibernetičkih kriza, kao i podupiranja procesa donošenja odluka o složenim kibernetičkim pitanjima na političkoj razini

7. „ IKT “ je informacijsko-komunikacijska tehnologija

8. „ IKT proces ” je skup aktivnosti koje se provode radi oblikovanja, razvoja, ostvarivanja ili održavanja IKT proizvoda ili usluge

9. „ IKT proizvod ” je element ili skupina elemenata mrežnih i informacijskih sustava

10. „ IKT usluga ” je usluga koja se u cijelosti ili uglavnom sastoji od prijenosa, pohranjivanja, preuzimanja ili obrade informacija s pomoću mrežnih i informacijskih sustava

11. „ incident ” je događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup

12. „internetska tražilica“ je digitalna usluga koja korisnicima omogućuje da unose upite u svrhu pretraživanjasvih internetskih stranica ili internetskih stranica na određenom jeziku na temelju upita o bilo kojoj temi koji je u obliku ključne riječi, glasovnog zahtjeva, rečenice ili nekog drugog unosa, te daje odgovore na upite u bilo kojem formatu u kojima se mogu pronaći informacije koje su povezane sa zatraženim sadržajem

13. „internetsko tržište“ je digitalna usluga kojom se upotrebom softvera, uključujući mrežne stranice, dio mrežnih stranica ili aplikacija kojima upravlja trgovac ili kojima se upravlja u njegovo ime, potrošačima omogućuje sklapanje ugovora na daljinu s drugim trgovcima ili potrošačima

14. „istraživačka organizacija” je privatni i javni subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove

15. „ izbjegnuti incident ” je svaki događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen ili se nije ostvario

16. „javna elektronička komunikacijska mreža” je elektronička komunikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih komunikacijskih usluga, koje podržavaju prijenos informacija među završnim točkama mreže

17. “ javni subjekti ” su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se temeljem posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku

18. „ jedinstvena kontaktna točka “ je nacionalna kontaktna točka odgovorna za nacionalnu koordinaciju i suradnju s drugim državama članicama u pitanjima sigurnosti mrežnih i informacijskih sustava

19. „ kibernetička prijetnja ” je svaka moguća okolnost, događaj ili djelovanje koji bi mogli oštetiti, poremetiti ili na drugi način negativno utjecati na mrežne i informacijske sustave, korisnike tih sustava i druge osobe

20. „ kibernetički sigurnosni incident velikih razmjera“ je incident na razini Europske unije koji uzrokuje poremećaje koji premašuju sposobnost jedne države članice za odgovor na incident, ili koji ima znatan utjecaj na najmanje dvije države članice, kao i incident na nacionalnoj razini koji uzrokuje poremećaje koji premašuju sposobnost sektorskog CSIRT tijela za odgovor na incident ili koji ima znatan utjecaj na najmanje dva sektora, te se u takvim slučajevima pokreću procedure upravljanja kibernetičkim krizama, usklađene s postojećim nacionalnim općim okvirom upravljanja krizama i okvirom za upravljanje kibernetičkim krizama Europske unije

21. „ kibernetička sigurnost ” su sve aktivnosti koje su nužne za zaštitu od kibernetičkih prijetnji mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba na koje one utječu

22. „kvalificirani pružatelj usluga povjerenja” je pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status

23. „kvalificirana usluga povjerenja” je usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u Uredbi (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

24. „mreža za isporuku sadržaja” je mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružateljâ sadržaja i usluga

25. “mrežni i informacijski sustav” čine:

- “elektronička komunikacijska mreža” odnosno prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove mreže koji nisu aktivni, a koji omogućuju prijenos signala žičnim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obuhvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem kanala i prospajanjem paketa, uključujući internet), zemaljske mreže pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose

- svaki uređaj ili skupina povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka ili

- digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanima u podstavcima 1. i 2. ove točke, u svrhu njihova rada, uporabe, zaštite i održavanja

26. „nacionalni akt strateškog planiranja iz područja kibernetičke sigurnosti” je sveobuhvatan okvir kojim se predviđaju strateški ciljevi i prioriteti u području kibernetičke sigurnosti i upravljanje za njihovo postizanje

27. „ nadležna tijela za provedbu posebnih zakona “ su Hrvatska narodna banka, Hrvatska agencija za nadzor financijskih usluga i Hrvatska agencija za civilno zrakoplovstvo

28. „ nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti “ su središnje državno tijelo za kibernetičku sigurnost, središnje državno tijelo za informacijsku sigurnost, regulatorno tijelo za mrežne djelatnosti, tijelo državne uprave nadležno za razvoj digitalnog društva i tijelo državne uprave nadležno za znanost i obrazovanje

29. „nadležni CSIRT“ je CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost ili CSIRT pri Hrvatskoj akademskoj i istraživačkoj mreži  - CARNET, ovisno o podjeli nadležnosti utvrđenoj ovim Zakonom

30. „ norma ” je tehnička specifikacija koju je usvojilo nadležno normizacijsko tijelo za ponovljenu ili trajnu primjenu pravila, s kojom sukladnost nije obvezna ako nije propisana zakonom i koja pripada u jednu od sljedećih kategorija:

- „međunarodna norma” odnosno norma koju je usvojilo međunarodno tijelo za normizaciju

- „europska norma” odnosno norma koju je usvojila europska organizacija za normizaciju

- „usklađena norma” odnosno europska norma, usvojena na temelju zahtjeva Europske komisije za primjenu usklađivačkog zakonodavstva Europske unije

- „nacionalna norma” odnosno norma koju je usvojilo nacionalno tijelo za normizaciju

31. „ osobni podaci “ su svi podaci kako su definirani člankom 4. stavkom 1. točkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119/1, 4. svibnja 2016.) (u daljnjem tekstu: Uredba (EU) 2016/679), a osobito informacije potrebne za identifikaciju nositelja naziva domena i kontaktnih točaka koje upravljaju nazivima domena, kao i IP adrese (adresa Internet protokola koja se koristi na svakom uređaju spojenom na Internet), jedinstveni lokatori resursa (URL-ovi), nazivi domena, adrese e-pošte, vremenski žigovi i druge informacije, koje u određenim slučajevima, u okviru aktivnosti koje se provode temeljem ovog Zakona, mogu otkrivati osobne podatke

32. „ ozbiljna kibernetička prijetnja ” je kibernetička prijetnja za koju se na temelju njezinih tehničkih obilježja može pretpostaviti da može imati ozbiljan učinak na mrežne i informacijske sustave nekog subjekta ili korisnike usluga subjekta, uzrokovanjem znatne materijalne ili nematerijalne štete, odnosno prekida usluga korisnicima

33. „platforma za usluge društvenih mreža” je platforma koja krajnjim korisnicima omogućuje međusobno povezivanje, dijeljenje i otkrivanje sadržaja te komuniciranje na više uređaja, posebno preko razgovora, objava, videozapisa i preporuka

34. „ postupanje s incidentom ” su sve radnje i postupci čiji je cilj sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na njega te oporavak od incidenta

35. „ predstavnik ” je fizička ili pravna osoba koja ima poslovni nastan u Europskoj uniji koju su pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj internetske tražilice ili pružatelj platforme za usluge društvenih mreža koji nema poslovni nastan u Europskoj uniji izričito imenovali da djeluje u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umjesto samom subjektu u pogledu obveza tog subjekta na temelju ovog Zakona

36. „ privatni subjekti ” su fizičke ili pravne osobe osnovane i priznate kao takve na temelju nacionalnog prava mjesta svojeg poslovnog nastana, koje mogu, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze

37. „pružatelj upravljanih sigurnosnih usluga” je pružatelj upravljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem kibernetičkim sigurnosnim rizicima

38. „pružatelj upravljanih usluga” je subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje se provodi u prostorima klijenata ili na daljinu

39. „pružatelj usluga DNS-a” je subjekt koji pruža:

- javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta i/ili

- mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva

40. „pružatelj usluga povjerenja” je fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja

41. „ ranjivost ” je slabost, osjetljivost ili nedostatak IKT proizvoda ili IKT usluga koje kibernetička prijetnja može iskoristiti

42. „ registar naziva vršne nacionalne internetske domene ” je subjekt (u Republici Hrvatskoj to je Hrvatska akademska i istraživačka mreža – CARNET) kojem je delegirana određena vršna internetska domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili za njihovo obavljanje koriste vanjskog davatelja usluge , ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu

43. „ registrar“ je subjekt koji pruža usluge registracije naziva domena odnosno pravna ili fizička osoba koja obavlja samostalnu djelatnost ovlaštena za registraciju i administraciju .hr domena u ime registra naziva vršne nacionalne internetske domene

44. „regulatorno tijelo za mrežne djelatnosti“ je Hrvatska regulatorna agencija za mrežne djelatnosti

45. „ rizik ” je mogućnost gubitka ili poremećaja uzrokovana incidentom, koji se izražava kao kombinacija utjecaja takvog gubitka ili poremećaja i vjerojatnosti pojave tog incidenta

46. „ sigurnost mrežnih i informacijskih sustava ” je sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim događajima koji mogu ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup

47. “ sistemski rizik ” je rizik od poremećaja u funkcioniranju usluge, odnosno u obavljanju djelatnosti, koji bi mogao imati ozbiljne negativne posljedice za jedan ili više sektora, ili bi mogao imati prekogranični utjecaj

48. „ Skupina za suradnju “ je skupina osnovana u svrhu podupiranja i olakšavanja strateške suradnje i razmjene informacija među državama članicama te razvijanja povjerenja i sigurnosti na razini Europske unije u području kibernetičke sigurnosti

49. „središnje državno tijelo za informacijsku sigurnost“ je Ured Vijeća za nacionalnu sigurnost

50. „ središnje državno tijelo za kibernetičku sigurnost “ je Sigurnosno-obavještajna agencija

51. „ središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti“ je Zavod za sigurnost informacijskih sustava

52. „središte za razmjenu internetskog prometa” je mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način

53 . „subjekti javnog sektora“ su tijela državne uprave, druga državna tijela, pravne osobe s javnim ovlastima, tijela jedinice lokalne i područne (regionalne) samouprave, kao i privatni i javni subjekti za koje se provodi kategorizacija temeljem ovog Zakona zbog njihove uloge u upravljanju, razvijanju ili održavanju državne informacijske infrastrukture

54. „sustav naziva domena” ili „(DNS)” je hijerarhijsko raspoređeni sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i resursa, čime se krajnjim korisnicima uređaja omogućuje korištenje internetskim uslugama usmjeravanja i povezivosti za pristupanje tim uslugama i resursima

55. “sustav obrazovanja” obuhvaća rani i predškolski odgoj i obrazovanje, osnovno obrazovanje, srednje obrazovanje i visoko obrazovanje, praćenje, vrednovanje i razvoj sustava, te provedba programa

56. „tijelo državne uprave nadležno za razvoj digitalnog društva“ je Središnji državni ured za razvoj digitalnog društva

57. „tijelo državne uprave nadležno za znanost i obrazovanje“ je Ministarstvo znanosti i obrazovanja

58. „ tijelo nadležno za zaštitu osobnih podataka “ je Agencija za zaštitu osobnih podataka

59. „usluga podatkovnog centra” je usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša

60. „usluga povjerenja” je elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:

- izrade, verifikacije i validacije elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge ili

- izrade, verifikacije i validacije certifikata za autentifikaciju mrežnih stranica ili

- čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge

61. „usluga računalstva u oblaku” je digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija

62. „zaposlenik subjekta“ je fizička osoba koja u radnom odnosu obavlja određene poslove za subjekt, uključujući fizičku osobu koja je prema propisu o trgovačkim društvima, kao član uprave ili izvršni direktor ili fizička osoba koja je u drugom svojstvu prema posebnom zakonu, pojedinačno i samostalno ili zajedno i skupno, ovlaštena voditi poslove subjekta, ili fizičku osobu koja kao radnik u radnom odnosu obavlja određene poslove za subjekt

(2) Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.

Primjena posebnih propisa o zaštiti tajnosti i povjerljivosti podataka

Članak 5.

(1) Ako u provedbi ovog Zakona nastaju ili se koriste klasificirani podaci ili drugi podaci za koje su posebnim propisima utvrđena pravila postupanja radi zaštite njihove tajnosti ili povjerljivosti, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.

(2) Ovaj se Zakon ne primjenjuje na informacijske sustave sigurnosno akreditirane za postupanje s klasificiranim podacima.

Primjena pravila o zaštiti osobnih podataka

Članak 6.

(1) Primjena odredaba ovog Zakona ne utječe na obveze pružatelja javnih elektroničkih komunikacijskih mreža ili pružatelje javno dostupnih elektroničkih komunikacijskih usluga da obrađuju osobne podatke sukladno posebnim propisima o zaštiti osobnih podataka i zaštiti privatnosti.

(2) Primjena odredaba ovog Zakona ne utječe na obveze ključnih i važnih subjekata da u slučaju povrede osobnih podataka postupaju sukladno odredbama članaka 33. i 34. Uredbe (EU) 2016/679.

Odnos sa zakonom koji uređuje područje elektroničkih komunikacija

Članak 7.

(1) Primjena odredaba ovog Zakona ne utječe na obvezu provedbe temeljnih zahtjeva za elektroničku komunikacijsku infrastrukturu i drugu povezanu opremu propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.

(2) Primjena odredaba ovog Zakona ne utječe na pravila upravljanja vršnom nacionalnom internetskom domenom i prava i obveze korisnika domena propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.

Primjena posebnih zakona u pitanjima kibernetičke sigurnosti

Članak 8.

(1) Ako su za subjekte iz pojedinih sektora iz Priloga I. ovog Zakona i Priloga II. ovog Zakona posebnim zakonima propisani zahtjevi koji po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovog Zakona, ili predstavljaju strože zahtjeve, na te subjekte primjenjuju se odgovarajuće odredbe tog posebnog zakona u onim pitanjima koja su vezano uz te zahtjeve i njihovu provedbu tim propisima uređena, uključujući odredbe o nadzoru provedbe zahtjeva.

(2) Zahtjevi iz stavka 1. ovog članka po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovog Zakona ako:

- su po svom učinku barem jednakovrijedni mjerama upravljanja kibernetičkim sigurnosnim rizicima utvrđenim ovim Zakonom

- je posebnim zakonom utvrđen neposredan, po potrebi i automatski i izravan, pristup obavijestima o incidentima nadležnom CSIRT-u te ako su obveze obavještavanja o značajnim incidentima iz posebnog zakona po učinku barem jednakovrijedne obvezama obavještavanja o značajnim incidentima utvrđenim ovim Zakonom.

(3) Tijela koja su prema posebnim zakonima iz stavka 1. ovog članka nadležna za sektor odnosno podsektor i/ili subjekt iz Priloga I. i Priloga II. ovog Zakona i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su prilikom primjene stavaka 1. i 2. ovog članka međusobno surađivati i razmjenjivati relevantne informacije te voditi računa o smjernicama Europske komisije kojima se pojašnjava primjena povezanog mjerodavnog prava Europske unije.

DIO DRUGI

KATEGORIZACIJA SUBJEKATA

POGLAVLJE I.

KRITERIJI ZA PROVEDBU KATEGORIZACIJE SUBJEKATA

Opći kriteriji za provedbu kategorizacije ključnih subjekata

Članak 9.

U kategoriju ključnih subjekata razvrstavaju se:

- privatni i javni subjekti iz Priloga I. ovog Zakona koji prelaze gornje granice za subjekte malog gospodarstva iz članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva („Narodne novine“, broj: 29/02, 63/07, 53/12, 56/13 i 121/16)

- kvalificirani pružatelji usluga povjerenja, registar naziva vršne nacionalne internetske domene te pružatelji usluga DNS-a, neovisno o njihovoj veličini

- pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji predstavlja subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva i

- subjekti koji su utvrđeni kao kritični subjekti na temelju zakona kojim se uređuje područje kritičnih infrastruktura, neovisno o njihovoj veličini.

Opći kriteriji za provedbu kategorizacije važnih subjekata

Članak 10.

U kategoriju važnih subjekata razvrstavaju se:

- privatni i javni subjekti iz Priloga II. ovog Zakona koji predstavljaju subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva

- privatni i javni subjekti iz Priloga I. ovog Zakona koji nisu utvrđeni kao ključni subjekti temeljem članka 9. ovog Zakona, a predstavljaju subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva - pružatelji usluga povjerenja koji nisu kategorizirani kao ključni subjekti, neovisno o njihovoj veličini i

- pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu kategorizirani kao ključni subjekti, neovisno o njihovoj veličini.

Posebni kriteriji za provedbu kategorizacije ključnih i važnih subjekata

Članak 11.

Iznimno od članka 9. podstavka 1. i članka 10. podstavaka 1. i 2. ovog Zakona, subjekti iz Priloga I. i Priloga II. ovog Zakona mogu se razvrstati u kategoriju ključnih ili važnih subjekata neovisno o njihovoj veličini, ako:

- je subjekt jedini pružatelj usluge koja je ključna za održavanje ključnih društvenih ili gospodarskih djelatnosti

- bi poremećaj u funkcioniranju usluge koju pruža subjekt, odnosno poremećaj u obavljanju djelatnosti subjekta, mogao imati znatan utjecaj na javnu sigurnost, javnu zaštitu ili javno zdravlje

- bi poremećaj u funkcioniranju usluge koju pruža subjekt, odnosno poremećaj u obavljanju djelatnosti subjekta, mogao uzrokovati znatne sistemske rizike u sektorima iz Priloga I. i Priloga II. ovog Zakona, posebno u sektorima u kojima bi takav poremećaj mogao imati prekogranični učinak ili

- je subjekt značajan zbog svoje posebne važnosti na nacionalnoj, regionalnoj ili lokalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u Republici Hrvatskoj.

Kategorizacija subjekata javnog sektora

Članak 12.

(1) U kategoriju ključnih subjekata razvrstavaju se, neovisno o njihovoj veličini:

- tijela državne uprave

- druga državna tijela i pravne osobe s javnim ovlastima, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti i

-  privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu koji uređuje državnu informacijsku infrastrukturu.

(2)  U kategoriju važnih subjekata razvrstavaju se:

- jedinice lokalne i područne (regionalne) samouprave, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.

Kategorizacija subjekata sustava obrazovanja

Članak 13.

Privatni i javni subjekti iz sustava obrazovanja razvrstavaju se u kategoriju važnih subjekata, ovisno o rezultatima provedene procjene njihove posebne važnosti na nacionalnoj ili regionalnoj razini za obavljanje odgojno-obrazovnog rada.

Određivanje nadležnosti temeljem teritorijalnosti

Članak 14.

(1) Subjekti iz Priloga I. i Priloga II. ovog Zakona podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako pružaju usluge odnosno obavljaju djelatnosti na području Europske unije, a imaju poslovni nastan na teritoriju Republike Hrvatske.

(2) Iznimno od stavka 1. ovog članka, pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako svoje usluge pružaju na teritoriju Republike Hrvatske, neovisno o državi poslovnog nastana.

(3) Iznimno od stavka 1. ovog članka, pružatelji usluga DNS-a, registar naziva vršne nacionalne internetske domene i registrari, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica ili pružatelji platformi za usluge društvenih mreža, podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako na teritoriju Republike Hrvatske imaju glavni poslovni nastan ili njihov predstavnik ima poslovni nastan na teritoriju Republike Hrvatske.

(4) Subjekt ima glavni poslovni nastan u smislu stavka 3. ovog članka, ako na teritoriju Republike Hrvatske:

- pretežno donosi odluke povezane s mjerama upravljanja kibernetičkim sigurnosnim rizicima ili

- provodi mjere upravljanja kibernetičkim sigurnosnim rizicima, kada se država članica u kojoj donosi odluke iz podstavka 1. ovog stavka ne može utvrditi ili takve odluke subjekt ne donosi u Europskoj uniji ili

- ima poslovnu jedinicu s najvećim brojem zaposlenika u Europskoj uniji, kada se država članica u kojoj provodi aktivnosti iz podstavka 2. ovog stavka ne može utvrditi.

Primjena kriterija veličine subjekta

Članak 15.

(1) Prilikom utvrđivanja predstavlja li subjekt subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva, uzima se u obzir:

- godišnji prosjek ukupnog broja zaposlenika subjekta i

- ukupan godišnji poslovni prihod subjekta prema financijskim izvještajima za prethodnu godinu ili ukupna aktiva subjekta ako je obveznik poreza na dobit, odnosno ukupna dugotrajna imovina subjekta ako je obveznik poreza na dohodak,

neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovog Zakona.

(2) Prilikom kategorizacije subjekata vodi se računa o smjernicama Europske komisije o provedbi kriterija veličine koji se primjenjuju na mikropoduzeća i mala poduzeća.

Primjena Zakona u slučaju dvostruke kategorizacije subjekta

Članak 16.

Ako je subjekt razvrstan u kategoriju i ključnih i važnih subjekata, na takvog subjekta primjenjuju se odredbe ovog Zakona koje se odnose na ključne subjekte.

POGLAVLJE II.

POPISI KLJUČNIH I VAŽNIH SUBJEKATA

Vođenje popisa

Članak 17.

(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona provode kategorizaciju subjekata sukladno ovom Zakonu te utvrđuju i vode popise ključnih i važnih subjekata.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su redovito, a najmanje jednom u dvije godine, provjeravati popise ključnih i važnih subjekata te ih, po potrebi, ažurirati.

Dostava podataka Europskoj komisiji i Skupini za suradnju

Članak 18 .

(1) Jedinstvena kontaktna točka svake dvije godine dostavlja:

- Europskoj komisiji i Skupini za suradnju podatke o broju ključnih i važnih subjekata razvrstanih temeljem kriterija iz članaka 9., 10. i 12. stavka 1. podstavka 1. i stavka 2. ovog Zakona, za svaki sektor i podsektor iz Priloga I. I Priloga II. ovog Zakona, osim za sektor iz Priloga II. točke 8. ovog Zakona

- Europskoj komisiji podatke o broju ključnih i važnih subjekata razvrstanih temeljem kriterija iz članka 11. ovog Zakona, sektoru i podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbama članka 11. ovog Zakona na temelju kojih je provedena kategorizacija, a dodatno, na njezin zahtjev, može Europskoj komisiji dostaviti i podatke o nazivima tih subjekata.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su jedinstvenoj kontaktnoj točki dostavljati podatke potrebne za dostavu podataka sukladno stavku 1. ovog članka.

Obavijesti o provedenoj kategorizaciji subjekata

Članak 19.

(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su sve subjekte s popisa iz članka 17. stavka 1. ovog Zakona iz njihove nadležnosti obavijestiti o provedenoj kategorizaciji subjekta i obvezama kojima podliježu temeljem ovog Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte u odnosu na koje je nakon ažuriranja popisa ključnih i važnih subjekata došlo do promjene u kategorizaciji subjekta, obavijestiti o promjeni kategorije te činjenici da se od datuma primitka te obavijesti mijenjaju i obveze kojima podliježu temeljem ovog Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti, s naznakom bitnih promjena o kojima moraju voditi računa ovisno o promjeni kategorije o kojoj se obavještava.

(3) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte koji se nakon ažuriranja popisa ključnih i važnih subjekata više ne smatraju ni ključnim subjektima niti važnim subjektima, obavijestiti o toj činjenici te činjenici da od datuma primitka te obavijesti više ne podliježu obvezama provedbe zahtjeva kibernetičke sigurnosti iz ovog Zakona.

(4) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su o provedenoj kategorizaciji subjekta, kao i promjenama iz stavaka 2. i 3. ovog članka, obavijestiti subjekte u roku od 30 dana od provedene kategorizacije subjekta ili ažuriranja popisa ključnih i važnih subjekata.

Obveze subjekata iz Priloga I. i Priloga II. Zakona u prikupljanju podataka

Članak 20.

(1) Za potrebe kategorizacije subjekata sukladno ovom Zakonu, te vođenja popisa ključnih i važnih subjekata, subjekti iz Priloga I. i Priloga II. ovog Zakona dužni su nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti i nadležnim tijelima za provedbu posebnih zakona , na njihov zahtjev , dostaviti sljedeće podatke:

- naziv subjekta

- adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP adresne raspone i telefonske brojeve

- relevantni sektor i podsektor iz Priloga I. i Priloga II. ovog Zakona

- popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ovog Zakona

- druge podatke o pružanju svojih usluga ili obavljanju svojih djelatnosti bitne za provedbu kategorizacije subjekta ili utvrđivanje nadležnosti nad subjektom .

(2) Rokovi za dostavu podataka temeljem stavka 1. ovog članka određuju se ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana, niti duži od 45 dana od primitka zahtjeva za dostavom podataka.

(3) Subjekti iz stavka 1. ovog članka dužni su bez odgode, u roku od 15 dana od datuma promjene, obavijestiti nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti odnosno nadležno tijelo za provedbu posebnih zakona o svim promjenama podataka koje su tom tijelu dostavili u skladu sa stavkom 1. ovog članka.

Obveze javnih subjekata koji u okviru svog djelokruga rada prikupljaju podatke odnosno vode registre, evidencije i zbirke podataka o subjektima iz Priloga I. i Priloga II. Zakona

Članak 21.

(1) Javni subjekti koji u okviru svog djelokruga rada prikupljaju podatke odnosno vode registre, evidencije i zbirke podataka o subjektima iz Priloga I. i Priloga II. ovog Zakona, dužni su, bez naknade, nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti :

- redovito dostavljati popise subjekata iz Priloga I. i Priloga II. ovog Zakona odnosno omogućiti pristup odgovarajućim podacima u registrima, evidencijama i zbirkama podataka elektroničkim putem

-  na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti , za subjekte s popisa iz podstavka 1. ovog stavka, dostavljati:

a) podatke o njihovoj veličini i/ili

b) druge podatke o subjektima, uključujući podatke o pružanju njihovih usluga ili obavljanju njihovih djelatnosti , ako su takvi podaci potrebni za provođenje kategorizacije subjekata sukladno ovom Zakonu ili

c) ih uputiti na druge javne subjekte koji takve podatke posjeduju .

(2) Ako se podaci temeljem ovog članka dostavljaju na zahtjev nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti , rokovi za dostavu podataka se određuju ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana, niti duži od 45 dana od primitka zahtjeva za dostavom podataka.

POGLAVLJE III.

POSEBAN REGISTAR SUBJEKATA

Vođenje posebnog registra subjekata

Članak 22.

(1) Središnje državno tijelo za kibernetičku sigurnost uspostavlja i vodi poseban registar sljedećih subjekata:

- pružatelja usluga DNS-a

- registra naziva vršne nacionalne internetske domene

- registrara

- pružatelja usluga računalstva u oblaku

- pružatelja usluga podatkovnog centra

- pružatelja mreža za isporuku sadržaja

- pružatelja upravljanih usluga

- pružatelja upravljanih sigurnosnih usluga

- pružatelja internetskih tržišta

- pružatelja internetskih tražilica i

- pružatelja platformi za usluge društvenih mreža.

(2) Registar iz stavka 1. ovog članka vodi se neovisno o obvezi vođenja popisa ključnih i važnih subjekata.

Prikupljanje podataka

Članak 23.

(1) Subjekti iz članka 22. ovog Zakona dužni su središnjem državnom tijelu za kibernetičku sigurnost dostaviti sljedeće podatke:

- naziv subjekta

- popis usluga iz članka 22. ovog Zakona koje pružaju

- adresu glavnog poslovnog nastana subjekta i njegovih drugih poslovnih jedinica ili adresu njegovog predstavnika

- ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i  njegovog predstavnika

- popis država članica u kojima pružaju usluge iz članka 22. ovog Zakona

- IP adresne raspone subjekta.

(2) Rok za dostavu podataka temeljem stavka 1. ovog članka je 15 dana od primitka zahtjeva za dostavom podataka.

(3) Subjekti iz članka 22. ovog Zakona dužni su bez odgode, u roku od tri mjeseca od datuma promjene, obavijestiti središnje državno tijelo za kibernetičku sigurnost o svim promjenama podataka koje su dostavili u skladu sa stavkom 1. ovog članka.

(4) Po zaprimanju, podaci iz stavaka 1. i 3. ovog članka, osim podataka iz stavka 1. podstavka 6. ovog članka, dostavljaju se bez odgode, putem jedinstvene kontaktne točke, Europskoj agenciji za kibernetičku sigurnost (u daljnjem tekstu: ENISA) .

Provedbeni propis o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata

Članak 24.

Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata temeljem posebnih kriterija iz članka 11. ovog Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 2. i članka 13. ovog Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovog Zakona propisuje Vlada Republike Hrvatske (u daljnjem tekstu: Vlada) uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.

DIO TREĆI

ZAHTJEVI KIBERNETIČKE SIGURNOSTI

Opseg zahtjeva kibernetičke sigurnosti

Članak 25.

(1) Zahtjevi kibernetičke sigurnosti obuhvaćaju postupke i mjere koje su ključni i važni subjekti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga odnosno obavljanju svojih djelatnosti, a sastoje se od:

- mjera upravljanja kibernetičkim sigurnosnim rizicima i

- obveza obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama.

(2) Zahtjevi kibernetičke sigurnosti odnose se na sve mrežne i informacijske sustave kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga i sve usluge koje ključni i važni subjekti pružaju odnosno djelatnosti koje obavljaju, neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovog Zakona.

POGLAVLJE I.

MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA

Primjena mjera

Članak 26.

(1) Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima .

(2) Cilj primjene mjera upravljanja kibernetičkim sigurnosnim rizicima je zaštita mrežnih i informacijskih sustava i fizičkog okruženja tih sustava od incidenata uzimajući pri tome u obzir sve opasnosti kojima su ti sustavi izloženi.

(3) Mjere upravljanja kibernetičkim rizicima obuhvaćaju:

- tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te

- mjere za sprečavanje ili smanjivanje na najmanju moguću mjeru utjecaja incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.

(4) Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima bez obzira na to upravljaju li i/ili održavaju svoje mrežne i informacijske sustave sami ili za to koriste vanjskog davatelja usluge.

Obveza osiguranja razine sigurnosti mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku

Članak 27.

(1) Ključni i važni subjekti dužni su primjenom mjera upravljanja kibernetičkim sigurnosnim rizicima osigurati razinu sigurnosti mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku.

(2) Pri procjeni proporcionalnosti primijenjenih mjera upravljanja kibernetičkim sigurnosnim rizicima u obzir se uzimaju:

- stupanj izloženosti subjekta rizicima

- veličina subjekta

- vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov mogući društveni i gospodarski utjecaj.

Način provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima

Članak 28.

(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima provode se na način da se koriste najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti i, kada je to primjenjivo, relevantne europske i međunarodne norme te trošak provedbe.

(2) Ključni i važni subjekti dužni su prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima koristiti se određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana:

- mjerodavnim propisima Europske unije

- posebnim propisima kojima se uređuje područje pružanja određenih usluga odnosno obavljanja određenih djelatnosti

- uredbom iz članka 24. ovog Zakona.

Odgovornost za provedbu mjera