I. UST AVNA OSNOVA ZA DONOŠENJE ZAKONA

Ustavna osnova za donošenje Zakona o kibernetičkoj sigurnosti sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, broj 85/10. - pročišćeni tekst i 5/14. - Odluka Ustavnog suda Republike Hrvatske).

II. OCJENA STANJA I OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE DONOŠENJA ZAKONA

Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (u daljem tekstu: NIS2 direktiva), donesena je s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148).

NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.

NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive. Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi čitav niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 kriza ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor.

Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:

- višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovog Nacrta) te

- promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.

Usklađena primjena NIS2 zahtjeva na razini svih država članica i EU institucija osigurat će ključne ciljeve sigurnosti kritičnih kibernetičkih elemenata EU i država članica, učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima, suradnju svih nadležnih tijela i subjekata obveznika NIS2 direktive, kao i uspostavu reguliranog pristupa kibernetičkoj sigurnosti na razini cijele EU, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.

NIS2 direktivom želi se postići učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te u nacionalnim kibernetičkim prostorima država članica. Vrijeme uvođenja NIS2 direktive je kritično jer EU već kasni u regulaciji kibernetičke sigurnosti u odnosu na brzi razvoj tehnologije. NIS2 direktiva je središnji akt kibernetičke sigurnosti EU, ali istovremeno i samo jedan akt u paketu EU kibernetičko i sigurnosno povezanih akata donesenih 2022. godine, kao što su DORA ¹ uredba (financijski sektor) ili CER ² direktiva (kritična infrastruktura). Dodatno je NIS2 povezan i s CSA ³ aktom (kibernetička sigurnosna certifikacija) iz 2019. godine, a u tijeku je usuglašavanje CRA ⁴ akta (zahtjevi kibernetičke sigurnosti za proizvode s digitalnim elementima). Na sve ovo nadovezuje se potpuno novi paket akata kibernetičke sigurnosti, koji je Europska komisija (EK) objavila ⁵ 18. travnja 2023. i koji sadrži dopune spomenutog CSA akta iz 2019. godine, koje su sada usklađene s NIS2 direktivom, kao i novi prijedlog Cyber Solidarity Acta ⁶ (poboljšane mogućnosti odgovora na incidente kroz infrastrukturu i osposobljene institucije) i Cyber Skills Academy ⁷ (virtualna platforma za razvoj znanja i vještina iz područja kibernetičke sigurnosti). Razvidno je da kibernetička sigurnost danas nužno traži uspostavu reguliranog pristupa kakav je u tradicionalnim resorima državne uprave prisutan već desetljećima (npr. promet, financije, poljoprivreda ili gospodarstvo).

Organizacijski se NIS2 transpozicija provodi na isti način kao i NIS1 transpozicija 2018. godine, kroz međuresornu radnu skupinu Nacionalnog vijeća za kibernetičku sigurnost (NVKS). NVKS je međuresorno tijelo za koordinaciju horizontalnih nacionalnih inicijativa u području kibernetičke sigurnosti, ustrojeno na temelju Nacionalne strategije kibernetičke sigurnosti Republike Hrvatske iz 2015. godine („Narodne novine“, broj: 108/15), a čine ga predstavnici 16 tijela. Dogovorom NVKS-a, NIS1 transpoziciju 2018. godine koordinirao je Ured Vijeća za nacionalnu sigurnost (UVNS), a NIS2 transpoziciju koordinira Sigurnosno-obavještajna agencija (SOA).

Jedan od ključnih ciljeva EU-a kroz NIS2 direktivu jest uvođenje reguliranog pristupa području kibernetičke sigurnosti. Razlog tome je visoka ovisnost suvremenog društva o tehnologiji koja se razvija velikom brzinom. Pri tome se ne misli samo na državni sektor ili na kritičnu infrastrukturu, već na sve segmente suvremenog društva, koji u velikom broju slučajeva mogu uzrokovati kaskadno širenje kibernetičkih incidenata i onemogućavanje ključnih društvenih i gospodarskih procesa.

Stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata - obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika. Ovakav pristup provodi se prvi put na razini EU na cjelovit način i u svrhu sustavne regulacije kibernetičke sigurnosti. Takav pristup uvodi odgovarajuće obveze kibernetičke sigurnosti za sve subjekte obveznike, ali istovremeno otvara gospodarski potencijal na razini EU-a za sve hrvatske tvrtke koje imaju sposobnosti u području kibernetičke sigurnosti.

Regulirani pristup kibernetičkoj sigurnosti nužno traži određenu razinu organizacijske centralizacije, kako na EU razini (npr. EK je kroz Cyber Security Act 2019. godine reorganizirala ENISA-u u Agenciju za kibernetičku sigurnost EU, a EU-CERT postavila za središnje tehničko tijelo za odgovor na kibernetičke incidente), tako i na razini država članica. Na razini država članica nema jednoobraznog rješenja. Različit pristup država članica u centralizaciji kibernetičke sigurnosti ponajviše je rezultat različitosti nacionalnog razvoja kibernetičkih resursa koji su se u prethodnim godinama razvili u pojedinim državama članicama. Sigurnosno-obavještajni sustavi velikog broja EU država članica korišteni su za proces centralizacije, budući da je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti. To je vidljivo i iz aspekta kibernetičkih ugroza, gdje su najvažniji nacionalni resursi oni koji služe suzbijanju najvećih opasnosti za kibernetičku sigurnost, a to su prije svega državno-sponzorirani kibernetički APT ⁸ napadi, ali i napadi zlonamjernim ucjenjivačkim programskim kôdovima ( Ransomware ), koje sustavno provode organizirane kriminalne skupine i koji čine značajnu štetu državama i poslovnom sektoru na globalnoj razini.

Sukladno navedenome, ovim Zakonom se predlaže organizacijski pristup kojim bi se nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti, a s ciljem uvođenja centralizacije upravljanja kibernetičkom sigurnošću i stvaranja novog Nacionalnog centra za kibernetičku sigurnost. Pri tome se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti. Neke od do sada izgrađenih kibernetičkih sposobnosti i resursa su:

- Centar za kibernetičku sigurnost SOA-e uspostavljen 2019. godine.

- Temeljem Odluke Vlade Republike Hrvatske iz 2021. godine, sustav SK@UT je utvrđen kao nacionalni sustav za otkrivanje naprednih kibernetičkih prijetnji i zaštitu kibernetičkog prostora ⁹ . U SK@UT su uključena sva ministarstva i ključna državna tijela, operatori ključne infrastrukture, primarno iz sektora energetike i transporta, kao i niz drugih tvrtki značajnih za Republiku Hrvatsku u cjelini. Sustav SK@UT omogućuje nacionalnu i globalnu ¹⁰ razmjenu informacija o kibernetičkim incidentima i koordiniranje odgovora na kibernetičke napade u stvarnom ili gotovo stvarnom vremenu.

- Na temelju odluke Nacionalnog vijeća za kibernetičku sigurnost i Koordinacije za sustav domovinske sigurnosti, SOA od 2020. godine provodi operativnu razinu koordinacije ¹¹ u upravljanju kibernetičkim napadima velikih razmjera i kibernetičkim krizama u Republici Hrvatskoj.

- SOA sudjeluje kao hrvatski predstavnik u EU-CyCLONe ¹² mreži za upravljanje EU kibernetičkim krizama od 2020. godine, a pristup upravljanju kibernetičkim krizama EU-a razvijen u EU-CyCLONe mreži propisuje se kroz NIS2 zahtjeve i u Republici Hrvatskoj je u potpunosti usklađen u proteklim godinama.

- Krajem 2022. godine SOA je započela nacionalnu koordinaciju provedbe Pilot projekta EK i ENISA-e za podizanje kibernetičke otpornosti na razini EU te je ukupno osigurala povlačenje od najmanje 1,7 milijuna eura EU financijskih sredstava, za razdoblje od 2023. do 2025. godine, u kojem će 100% europskim sredstvima financirane usluge kibernetičke sigurnosti provoditi hrvatske tvrtke u privatnim i državnim entitetima iz sustava SK@UT.

- Zaključkom o zaduženjima tijela državne uprave i drugih tijela za sudjelovanje u radu radnih skupina i odbora Vijeća Europske unije, Vlada Republike Hrvatske odredila je u rujnu 2022. godine SOA-u za nacionalnog koordinatora i praćenje EU kibernetičkih pitanja kroz Horizontalnu radnu skupinu za kibernetička pitanja (HWPCI) Vijeća EU, kroz koju se usklađuju svi uvodno spomenuti kibernetički akti EU-a (NIS2, CER, CRA, CSA, …).

Problem brzog razvoja tehnologije neumitno generira nedostatak stručnjaka i to je problem cijelog svijeta pa i Republika Hrvatske u području kibernetičke sigurnosti. Najbolji način kojim se EU i niz razvijenih zemalja pokušava nositi s ovim problemom upravo je učinkovita organizacija i odgovarajuća organizacijska centralizacija, podizanje razine regulacije područja kibernetičke sigurnosti te paralelni razvoj i poticanje obrazovnih programa. Svi ti elementi u određenoj mjeri su započeti u Republici Hrvatskoj kroz Nacionalnu strategiju kibernetičke sigurnosti iz 2015. godine, nastavljeni su NIS1 transpozicijom iz 2018. godine te se dalje planiraju nastaviti izgrađivati NIS2 transpozicijom i njenom provedbom u narednim godinama.

Povećanje broja sektora i podsektora te vrsta usluga koje zahvaća NIS2 direktiva, odnosno povećanje broja obveznika NIS direktive, predstavlja nužnost suvremenog društva. Danas sve vrste tvrtki, od najvećih tvrtki do mikro poduzetnika, koriste informacijsku i komunikacijsku tehnologiju (IKT) te se može reći da svaka tvrtka i državno tijelo dio svojih poslovnih procesa zasniva na IKT-u. Na taj način sve te tvrtke ulažu u IKT, uključujući i ulaganja u sustave kibernetičke zaštite, u sklopu svojih redovitih troškova i neovisno o NIS2 direktivi. Subjekti obveznici NIS2 direktive i one pravne osobe koje će dobrovoljno primjenjivati pojedine NIS2 mjere kibernetičke sigurnosti, dobivaju mogućnost da svoja postojeća IKT ulaganja sustavno i postupno usmjeravaju s ciljem povećanja učinkovitosti i međusobne sukladnosti subjekata obveznika i drugih pravnih osoba u svim državama članicama EU. Dakle, cilj NIS2 direktive nije trenutno uvesti dodatan trošak za IKT unutar javnog sektora i poslovne zajednice, već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti, kako bi se u konačnici smanjili rizici i troškovi prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima.

Kroz Zakon se stoga predviđa proces kategorizacije subjekata, u okviru kojeg se primjenjuju utvrđeni kriteriji za razvrstavanje subjekata u kategorije ključnih i važnih subjekata, što će se provesti u roku od godine dana od stupanja na snagu Zakona te će se nakon toga periodično, svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirati. Tek po obavijesti o kategorizaciji započinje rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene, ovisno o tome u koju kategoriju je subjekt razvrstan, kroz razdoblje od najduže dodatne dvije godine. Na taj način postupni proces tranzicije traje punih četiri godine nakon stupanja na snagu Zakona.

Upravo ta sukladnost sa zahtjevima NIS2 direktive, koja će svima osigurati manje troškove i gubitke u slučaju kibernetičkih incidenata, ima i dodatni cilj - omogućiti gospodarskim subjektima koji se bave kibernetičkom sigurnošću povećanu konkurentnost, ne samo na hrvatskom već i na širem EU tržištu. Regulacija područja kibernetičke sigurnosti i zahtjevi sukladnosti nužni su za današnji stupanj razvoja IKT-a te ih treba promatrati kao i u slučaju tradicionalnih sektora poput prometa, koji su danas visoko regulirani i usklađeni te primjerice pojava „nesukladnih entiteta“ u prometu nikome nije prihvatljiva.

NIS2 zahtjevi kroz ovaj Zakon primjenjuju se na sektore, podsektore i vrste subjekata, popisanih u Prilozima I. i II. Zakona odnosno na isti način kako je područje primjene NIS2 zahtjeva regulirano NIS2 direktivom. Prilog I. ovog Zakona obuhvaća visoko kritične sektore, podsektore i vrste subjekata te se sastoji od 11 sektora primarno namijenjenih razvrstavanju ključnih subjekata, prema općim kriterijima za provedbu kategorizacije subjekata. Ključni subjekti su oni subjekti na koje se mjere kibernetičke sigurnosti ovog Zakona primjenjuju u cijelosti, od zahtjeva za primjenom mjera, preko izvještavanja o incidentima, provedbe nezavisne ocjene sukladnosti, do nadzora ( ex-ante pristup). Prilog II. ovog Zakona obuhvaća sektore, podsektore i vrste subjekata koji predstavljaju druge kritične sektore,  a sastoji se od osam sektora, pri čemu je prvih sedam sektora preuzeto iz Priloga II. NIS2 direktive, dok je osmi sektor, sustav obrazovanja, nacionalno dodan temeljem NIS2 preporuke državama članicama i dogovora nadležnih tijela na nacionalnoj razini. Prilog II. je primarno namijenjen razvrstavanju važnih subjekata prema općim kriterijima za provedbu kategorizacije subjekata, odnosno subjekata koji primjenjuju mjere kibernetičke sigurnosti iz ovog Zakona, ali to provode samostalno i potvrđuju kroz postupak samoocjene ( ex-post pristup) te se za takve subjekte ne provodi redovita nezavisna ocjena sukladnosti niti redoviti nadzor. Važni subjekti dužni su izvještavati o incidentima nadležno CSIRT tijelo, ali nadzor važnog subjekta provodi se samo u slučaju kada nadležno nadzorno tijelo zaprimi informacije koje ukazuju da važni subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama, ili ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima, ili ne postupa po drugim zahtjevima nadležnih tijela iz ovog Zakona. Pored kategorizacije subjekata temeljem općih kriterija, provodi se i kategorizacija subjekata temeljem posebnih kriterija, pri čemu se razvrstavanje pojedinog subjekta kao ključnog ili kao važnog može provoditi neovisno o pripadnosti subjekta sektorima iz Priloga I. ili II. ovog Zakona.  

NIS2 mjere kibernetičke sigurnosti dio su procesa upravljanja kibernetičkim sigurnosnim rizicima koji je obvezujući za sve subjekte NIS2 direktive. Pri tome se primjenjuju EU ili međunarodne norme za upravljanje rizicima i provedbu sigurnosnih mjera. Razina sigurnosti i primijenjene sigurnosne mjere trebaju biti proporcionalne procijenjenom riziku kibernetičke sigurnosti svakog subjekta. Pri tome su kriteriji rizika primjerice: izloženost subjekta rizicima, veličina subjekta, vjerojatnost pojave kibernetičkih napada i njihova ozbiljnost, uključujući društveni i gospodarski utjecaj kibernetičkih napada, izloženost mrežnih i informacijskih sustava koje subjekt koristi, kao i korištena IKT. Provodi se tzv. „All Hazards Approach” – Failure, Accident, Attack – otkaz, nesreća, napad, odnosno uzimaju se u obzir sve vrste uzroka koji mogu dovesti do incidenata na mrežnim i informacijskim sustavima i posljedično do utjecaja na funkcioniranje usluga koje subjekt pruža, odnosno djelatnosti koju obavlja, kao i utjecaja na druge fizičke ili pravne osobe.

Mjere upravljanja kibernetičkim sigurnosnim rizicima obuhvaćaju:

- tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te

- mjere za sprječavanje ili smanjivanje na najmanju moguću mjeru utjecaja kibernetičkih  incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.

Obvezujuća područja za procjenu kibernetičkih sigurnosnih rizika obuhvaćaju niz područja kao što su primjerice: postupanje s incidentima, kontinuitet poslovanja, sigurnost lanaca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga, kao i mnoga druga područja.

Uloga NIS2 nadležnih tijela pri tome je kategorizirati, odnosno razvrstati subjekte obveznike NIS2 sukladno sektorskoj pripadnosti i utvrđenim kriterijima, davati smjernice subjektima, pomagati u prevenciji i odgovoru na kibernetičke incidente, pratiti periodički proces ocjene NIS2 sukladnosti ključnih subjekata te provoditi njihov periodički nadzor, kao i pratiti periodički proces samoocjene NIS2 sukladnosti važnih subjekata te prema potrebi provoditi njihov izvanredni nadzor. Sva nadležna tijela u području kibernetičke sigurnosti iz ovog Zakona povezana su sa sektorima, podsektorima i vrstama subjekata za koje su nadležni u Prilogu III. ovog Zakona.

U ovom Zakonu razlikujemo tri grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu se trenutno radi o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Nadležna tijela za provedbu posebnih zakona stoga provode svoje sektorske propise koji sadrže veću ili jednaku razinu zahtjeva kibernetičke sigurnosti kao NIS2 direktiva, pri čemu se ovim Zakonom utvrđuje obveza nadležnih tijela za provedbu posebnih zakona za uključenje svojih sektorskih subjekata u razmjenu informacija i izvještavanje o incidentima na nacionalnoj razini.

Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo. Specifičnost polu-autonomnih sektora jest da je kibernetička sigurnost u određenoj mjeri propisana sektorskim propisima na EU razini i/ili nacionalnoj razini, ali je to nedovoljno u odnosu na zahtjeve NIS2 direktive. Stoga je već NIS2 direktiva stavila izvan snage pojedine članke vezane za kibernetičku sigurnost u mjerodavnim EU aktima za sektor elektroničkih komunikacija ¹³ i sektor pružatelja usluga povjerenja ¹⁴ . Na sličan način je za potrebe javnog sektora potrebno primijeniti NIS2 zahtjeve kibernetičke sigurnosti, koji su značajno prošireni u odnosu na postojeće zahtjeve koji proizlaze iz propisa koji uređuju područje informacijske sigurnosti. Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata iz Priloga I. i II. ovog Zakona, ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora: sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT ¹⁵ tijela, Zakonom se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta prema Prilogu III. ovog Zakona. Nadležna CSIRT tijela za Republiku Hrvatsku su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CERT, ustrojen u CARNET-u.

Zakon utvrđuje i način usklađivanja sadržaja nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, čiji se sadržaji detaljno razrađuju u Prilogu IV. ovog Zakona te su usklađeni s NIS2 zahtjevima za sve države članice.

Također, ovim Zakonom uvode se okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela iz ovog Zakona, a napose od strane nadležnih CSIRT-ova.

Provedba NIS2 transpozicije otvara mogućnosti usklađenog i optimalnog usmjeravanja proračunskih sredstava, ali i korištenja EU fondova za javni i za privatni sektor, kao i izbjegavanja neracionalnog multipliciranja nacionalnih kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. U tom smislu Zakon obvezuje nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti na suradnju i međusobnu razmjenu relevantnih informacija s nacionalnim koordinacijskim centrom imenovanim temeljem Uredbe (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021. o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti i mreže nacionalnih koordinacijskih centara (SL L 202/1, 8.6.2021.). Na taj način će se bolje koordinirati EU sredstva za potporu kibernetičke sigurnosti. Spomenuti Pilot projekt EK i ENISA-e, koji u razdoblju od 2023. do 2025. godine SOA koordinira na razini Republike Hrvatske, također je primjer povlačenja EU sredstava u razdoblju do uspostave i pune funkcionalnosti nacionalnog koordinacijskog centra, a poslužio je kao primjer i za pripremu novog EU prijedloga Cyber Solidarity Acta .

¹ DORA – Digital Operating Resilency Act, ključni akt EU financijskog sektora koji se direktno primjenjuje na sve države članice i donesen je na isti dan kada i NIS2 direktiva (u RH nositelji provedbe uz MF su HNB i HANFA)

² CER – Critical Entities Resiliency Directive, ključni akt za EU kritičnu infrastrukturu koji sve države članice moraju transponirati u istom roku u kojem i NIS2, pri čemu je pristup usko usklađen tako da CER direktiva pokriva fizičku sigurnost, a NIS2 kibernetičku sigurnost te se CER direktiva odnosi na ključne sektore iz Priloga I. NIS2 direktive, a svi kritični subjekti po CER direktivi (fizička sigurnost) obavezno postaju ključni subjekti po NIS2 direktivi (kibernetička sigurnost) – u RH je MUP nositelj transpozicije CER direktive

³ CSA – Cyber Security Act, donesen 2019. godine s direktnom primjenom na države članice EU-a, redefinirao je agenciju ENISA u EU agenciju za kibernetičku sigurnost, ali je uspostavio i zajednički EU okvir za kibernetičku sigurnosnu certifikaciju, kojim je osigurao isti okvir za uvođenje obvezujuće certifikacije pojedinih kibernetičkih proizvoda i usluga te definiranje ključnih EU i nacionalnih tijela za provedbu ovih poslova na isti način u cijeloj EU (u RH uspostavljeno Zakonom o kibernetičkoj sigurnosnoj certifikaciji, „Narodne novine“, broj: 63/2022, te kroz nadležnosti Hrvatske akreditacijske agencije – HAA i Zavoda za sigurnost informacijskih sustava - ZSIS)

⁴ CRA - Cyber Resiliency Act, direktno će se primjenjivati na sve države članice s ciljem da utvrdi EU obveze sigurnosne certifikacije pojedinih komercijalnih proizvoda, od kategorije Interneta stvari (tzv. Internet of Things – IoT), preko uređaja koji imaju ugrađeni softver ili vezu na Internet pa do softverske podrške u širem smislu.

⁵ https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2243

⁶ Akt o kibernetičkoj sloidarnosti

⁷ Akademija kibernetičkih vještina

⁸ APT – Advanced Persistent Threat , napredna ustrajna prijetnja, je kratica koja se koristi za različite vrste kibernetičkih napada koje provode državno-sponzorirane APT grupe, pri čemu takve APT kibernetičke napade obilježava visoka razina stručnosti i prikrivenosti počinitelja napada, koji napad provodi redovito u dužem vremenskom razdoblju (mjesecima), s najčešćim ciljem krađe povjerljivih podataka. U novije vrijeme taktike, tehnike i procedure (TTP) državno-sponzoriranih APT napadača sve češće koriste organizirane kriminalne skupine za ucjenjivačke kibernetičke napade ( Ransomware ).

⁹ Centar za kibernetičku sigurnost i sustav SK@UT su nacionalni sigurnosno-operativni centar (SOC) s mrežom distribuiranih senzora koji prate promet prema Internetu u više od 60 državnih, javnih i privatnih entiteta, koji su kritični za nacionalnu razinu (npr. operatori u energetici i transportu), i koji su se uključili u SK@UT sustav na principima suradnje, međusobnog povjerenja i transparentnosti, a s ciljem zaštite od sofisticiranih kibernetičkih ugroza i pomoći u odgovoru na kibernetičke napade.

¹⁰ SOA osigurava stalno ažuriranje indikatora kompromitacije, kao i taktika, tehnika i procedura državno-sponzoriranih APT grupa, pri čemu se koristi visoko razvijena međunarodna sigurnosno-obavještajna suradnja SOA-e, niz otvorenih izvora, kao i komercijalni industrijski sigurnosni izvori te EU i NATO platforme za razmjenu podataka.

¹¹ Uska suradnja između SOA-e, MUP-a, MORH-a, VSOA-e, ZSIS-a, Nacionalnog CERT-a, HAKOM-a i HNB-a.

¹² EU-CyCLONe mreža – European Cyber Crises Liaisone Organisation Network (Europska mreža organizacija za vezu za kibernetičke krize

¹³ EECC – European Electronic Communications Code - DIREKTIVA (EU) 2018/1972 EUROPSKOG PARLAMENTA I VIJEĆA od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija

¹⁴ eIDAS - UREDBA (EU) br. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

¹⁵ CSIRT – Computer Security Incident Response Team , je tijelo nadležno za prevenciju i zaštitu od incidenata u okviru NIS2 sektora, a pojam je uveden NIS1 transpozicijskim Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga

III. OCJENA POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA

Za provedbu ovog Zakona u Državnom proračunu za 2023. i projekcijama za 2024. i 2025. godinu osiguran je dio sredstava, a ostatak će se osigurati u okviru dodijeljenih limita nadležnih tijela u narednim razdobljima ovisno o stanju postojećih kapaciteta nadležnih tijela,  broju subjekata obveznika provedbe zahtjeva iz ovog Zakona te mogućnostima korištenja sredstava iz EU fondova koji će biti raspoloživi u svrhu provedbe NIS2 direktive u državama članicama.

IV. TEKST PRIJEDLOGA ZAKONA

Tekst prijedloga zakona dan je u obliku Nacrta prijedloga zakona o kibernetičkoj sigurnosti.

PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI

DIO PRVI

OSNOVNE ODREDBE

Predmet Zakona

Članak 1.

(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe ovog Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.

(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.

(3) Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti, od nacionalnog su značaja za Republiku Hrvatsku.

Popis priloga koji su sastavni dio Zakona

Članak 2.

Sastavni dio ovoga Zakona su:

− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog I. ovog Zakona)

− Prilog II.   Drugi kritični sektori (u daljnjem tekstu: Prilog II. ovog Zakona)

− Prilog III. Popis nadležnosti u području kibernetičke sigurnosti (u daljnjem tekstu: Prilog III. ovog Zakona) i

− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti ( u daljnjem tekstu: Prilog IV. ovog Zakona) .

Usklađivanje propisa s pravnim aktima Europske unije

Članak 3.

Ovim Zakonom se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2) (SL L 333/80, 27.12.2022.).

Pojmovi

Članak 4.

(1) U smislu ovog Zakona pojedini pojmovi imaju sljedeće značenje:

1. „ aktivna kibernetička zaštita “  je zaštita koja uvodi napredni pristup koji umjesto reaktivnog odgovora na incidente, podrazumijeva njihovu prevenciju, odnosno aktivno sprječavanje, otkrivanje, praćenje, analizu i ublažavanje povreda sigurnosti mrežnih i informacijskih sustava, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unutar i izvan mrežnog i informacijskog sustava koji je cilj kibernetičkog napada, kao što je slučaj s Nacionalnim sustavom za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora iz ovog Zakona

2. „ CSIRT “ je kratica za Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata, za koju se koristi i kratica CERT (Computer Emergency Response Team)

3. „ CSIRT mreža “ je mreža nacionalnih CSIRT-ova osnovana s ciljem razvoja povjerenja i pouzdanja te promicanja brze i učinkovite operativne suradnje među državama članicama Europske unije (u daljnjem tekstu: države članice), koju uz predstavnike nacionalnih CSIRT-ova čine i predstavnici nadležnog tijela za prevenciju i zaštitu od kibernetičkih incidenata Europske unije (CERT-EU)

4. „ digitalna usluga “ je svaka usluga informacijskog društva, odnosno svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja usluge, gdje za potrebe ovog pojma:

- „na daljinu“ znači da se usluga pruža bez da su strane istodobno prisutne

- „elektroničkim sredstvima“ znači da se usluga od početka šalje i na odredištu prima putem elektroničke opreme za obradu, uključujući digitalno sažimanje i pohranjivanje podataka, te da se u cjelini šalje, prenosi i prima žičanim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom

- „na osobni zahtjev primatelja usluge“ znači da se usluga pruža prijenosom podataka na osobni zahtjev

5. „elektronička komunikacijska usluga” je usluga koja se uobičajeno pruža uz naknadu putem elektroničkih komunikacijskih mreža, a obuhvaća, uz izuzetak usluga pružanja sadržaja ili obavljanja uredničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih komunikacijskih mreža i usluga, sljedeće vrste usluga:

- „uslugu pristupa internetu“ odnosno javno dostupnu elektroničku komunikacijsku uslugu kojom se omogućuje pristup internetu te time povezivanje s gotovo svim krajnjim točkama interneta, bez obzira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava

- „interpersonalnu komunikacijsku uslugu” odnosno uslugu koja se, u pravilu, pruža uz naknadu, a omogućuje izravnu interpersonalnu i interaktivnu razmjenu obavijesti putem elektroničkih komunikacijskih mreža između ograničenog broja osoba, pri čemu osobe koje pokreću komunikaciju ili sudjeluju u njoj određuju njezina primatelja ili više njih. Ova usluga ne obuhvaća usluge koje omogućuju interpersonalnu i interaktivnu komunikaciju samo kao manje bitnu pomoćnu značajku koja je suštinski povezana s drugom uslugom i

- usluge koje se sastoje u cijelosti ili većim dijelom, od prijenosa signala kao što su usluge prijenosa koje se upotrebljavaju za pružanje usluga komunikacije između strojeva i za radiodifuziju

6. „ EU-CyCLONe mreža “ je Europska mreža organizacija za vezu za kibernetičke krize osnovana s ciljem djelovanja na operativnoj razini kao posrednik između tehničke razine (CSIRT mreže) i političke razine, a u svrhu stvaranja učinkovitog procesa operativnog procjenjivanja i upravljanja tijekom kibernetičkih incidenata velikih razmjera i kibernetičkih kriza, kao i podupiranja procesa donošenja odluka o složenim kibernetičkim pitanjima na političkoj razini

7. „ IKT “ je informacijsko-komunikacijska tehnologija

8. „ IKT proces ” je skup aktivnosti koje se provode radi oblikovanja, razvoja, ostvarivanja ili održavanja IKT proizvoda ili usluge

9. „ IKT proizvod ” je element ili skupina elemenata mrežnih i informacijskih sustava

10. „ IKT usluga ” je usluga koja se u cijelosti ili uglavnom sastoji od prijenosa, pohranjivanja, preuzimanja ili obrade informacija s pomoću mrežnih i informacijskih sustava

11. „ incident ” je događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup

12. „internetska tražilica“ je digitalna usluga koja korisnicima omogućuje da unose upite u svrhu pretraživanjasvih internetskih stranica ili internetskih stranica na određenom jeziku na temelju upita o bilo kojoj temi koji je u obliku ključne riječi, glasovnog zahtjeva, rečenice ili nekog drugog unosa, te daje odgovore na upite u bilo kojem formatu u kojima se mogu pronaći informacije koje su povezane sa zatraženim sadržajem

13. „internetsko tržište“ je digitalna usluga kojom se upotrebom softvera, uključujući mrežne stranice, dio mrežnih stranica ili aplikacija kojima upravlja trgovac ili kojima se upravlja u njegovo ime, potrošačima omogućuje sklapanje ugovora na daljinu s drugim trgovcima ili potrošačima

14. „istraživačka organizacija” je privatni i javni subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove

15. „ izbjegnuti incident ” je svaki događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen ili se nije ostvario

16. „javna elektronička komunikacijska mreža” je elektronička komunikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih komunikacijskih usluga, koje podržavaju prijenos informacija među završnim točkama mreže

17. “ javni subjekti ” su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se temeljem posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku

18. „ jedinstvena kontaktna točka “ je nacionalna kontaktna točka odgovorna za nacionalnu koordinaciju i suradnju s drugim državama članicama u pitanjima sigurnosti mrežnih i informacijskih sustava

19. „ kibernetička prijetnja ” je svaka moguća okolnost, događaj ili djelovanje koji bi mogli oštetiti, poremetiti ili na drugi način negativno utjecati na mrežne i informacijske sustave, korisnike tih sustava i druge osobe

20. „ kibernetički sigurnosni incident velikih razmjera“ je incident na razini Europske unije koji uzrokuje poremećaje koji premašuju sposobnost jedne države članice za odgovor na incident, ili koji ima znatan utjecaj na najmanje dvije države članice, kao i incident na nacionalnoj razini koji uzrokuje poremećaje koji premašuju sposobnost sektorskog CSIRT tijela za odgovor na incident ili koji ima znatan utjecaj na najmanje dva sektora, te se u takvim slučajevima pokreću procedure upravljanja kibernetičkim krizama, usklađene s postojećim nacionalnim općim okvirom upravljanja krizama i okvirom za upravljanje kibernetičkim krizama Europske unije

21. „ kibernetička sigurnost ” su sve aktivnosti koje su nužne za zaštitu od kibernetičkih prijetnji mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba na koje one utječu

22. „kvalificirani pružatelj usluga povjerenja” je pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status

23. „kvalificirana usluga povjerenja” je usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u Uredbi (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

24. „mreža za isporuku sadržaja” je mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružateljâ sadržaja i usluga

25. “mrežni i informacijski sustav” čine:

- “elektronička komunikacijska mreža” odnosno prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove mreže koji nisu aktivni, a koji omogućuju prijenos signala žičnim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obuhvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem kanala i prospajanjem paketa, uključujući internet), zemaljske mreže pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose

- svaki uređaj ili skupina povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka ili

- digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanima u podstavcima 1. i 2. ove točke, u svrhu njihova rada, uporabe, zaštite i održavanja

26. „nacionalni akt strateškog planiranja iz područja kibernetičke sigurnosti” je sveobuhvatan okvir kojim se predviđaju strateški ciljevi i prioriteti u području kibernetičke sigurnosti i upravljanje za njihovo postizanje

27. „ nadležna tijela za provedbu posebnih zakona “ su Hrvatska narodna banka, Hrvatska agencija za nadzor financijskih usluga i Hrvatska agencija za civilno zrakoplovstvo

28. „ nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti “ su središnje državno tijelo za kibernetičku sigurnost, središnje državno tijelo za informacijsku sigurnost, regulatorno tijelo za mrežne djelatnosti, tijelo državne uprave nadležno za razvoj digitalnog društva i tijelo državne uprave nadležno za znanost i obrazovanje

29. „nadležni CSIRT“ je CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost ili CSIRT pri Hrvatskoj akademskoj i istraživačkoj mreži  - CARNET, ovisno o podjeli nadležnosti utvrđenoj ovim Zakonom

30. „ norma ” je tehnička specifikacija koju je usvojilo nadležno normizacijsko tijelo za ponovljenu ili trajnu primjenu pravila, s kojom sukladnost nije obvezna ako nije propisana zakonom i koja pripada u jednu od sljedećih kategorija:

- „međunarodna norma” odnosno norma koju je usvojilo međunarodno tijelo za normizaciju

- „europska norma” odnosno norma koju je usvojila europska organizacija za normizaciju

- „usklađena norma” odnosno europska norma, usvojena na temelju zahtjeva Europske komisije za primjenu usklađivačkog zakonodavstva Europske unije

- „nacionalna norma” odnosno norma koju je usvojilo nacionalno tijelo za normizaciju

31. „ osobni podaci “ su svi podaci kako su definirani člankom 4. stavkom 1. točkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119/1, 4. svibnja 2016.) (u daljnjem tekstu: Uredba (EU) 2016/679), a osobito informacije potrebne za identifikaciju nositelja naziva domena i kontaktnih točaka koje upravljaju nazivima domena, kao i IP adrese (adresa Internet protokola koja se koristi na svakom uređaju spojenom na Internet), jedinstveni lokatori resursa (URL-ovi), nazivi domena, adrese e-pošte, vremenski žigovi i druge informacije, koje u određenim slučajevima, u okviru aktivnosti koje se provode temeljem ovog Zakona, mogu otkrivati osobne podatke

32. „ ozbiljna kibernetička prijetnja ” je kibernetička prijetnja za koju se na temelju njezinih tehničkih obilježja može pretpostaviti da može imati ozbiljan učinak na mrežne i informacijske sustave nekog subjekta ili korisnike usluga subjekta, uzrokovanjem znatne materijalne ili nematerijalne štete, odnosno prekida usluga korisnicima

33. „platforma za usluge društvenih mreža” je platforma koja krajnjim korisnicima omogućuje međusobno povezivanje, dijeljenje i otkrivanje sadržaja te komuniciranje na više uređaja, posebno preko razgovora, objava, videozapisa i preporuka

34. „ postupanje s incidentom ” su sve radnje i postupci čiji je cilj sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na njega te oporavak od incidenta

35. „ predstavnik ” je fizička ili pravna osoba koja ima poslovni nastan u Europskoj uniji koju su pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj internetske tražilice ili pružatelj platforme za usluge društvenih mreža koji nema poslovni nastan u Europskoj uniji izričito imenovali da djeluje u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umjesto samom subjektu u pogledu obveza tog subjekta na temelju ovog Zakona

36. „ privatni subjekti ” su fizičke ili pravne osobe osnovane i priznate kao takve na temelju nacionalnog prava mjesta svojeg poslovnog nastana, koje mogu, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze

37. „pružatelj upravljanih sigurnosnih usluga” je pružatelj upravljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem kibernetičkim sigurnosnim rizicima

38. „pružatelj upravljanih usluga” je subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje se provodi u prostorima klijenata ili na daljinu

39. „pružatelj usluga DNS-a” je subjekt koji pruža:

- javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta i/ili

- mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva

40. „pružatelj usluga povjerenja” je fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja

41. „ ranjivost ” je slabost, osjetljivost ili nedostatak IKT proizvoda ili IKT usluga koje kibernetička prijetnja može iskoristiti

42. „ registar naziva vršne nacionalne internetske domene ” je subjekt (u Republici Hrvatskoj to je Hrvatska akademska i istraživačka mreža – CARNET) kojem je delegirana određena vršna internetska domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili za njihovo obavljanje koriste vanjskog davatelja usluge , ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu

43. „ registrar“ je subjekt koji pruža usluge registracije naziva domena odnosno pravna ili fizička osoba koja obavlja samostalnu djelatnost ovlaštena za registraciju i administraciju .hr domena u ime registra naziva vršne nacionalne internetske domene

44. „regulatorno tijelo za mrežne djelatnosti“ je Hrvatska regulatorna agencija za mrežne djelatnosti

45. „ rizik ” je mogućnost gubitka ili poremećaja uzrokovana incidentom, koji se izražava kao kombinacija utjecaja takvog gubitka ili poremećaja i vjerojatnosti pojave tog incidenta

46. „ sigurnost mrežnih i informacijskih sustava ” je sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim događajima koji mogu ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup

47. “ sistemski rizik ” je rizik od poremećaja u funkcioniranju usluge, odnosno u obavljanju djelatnosti, koji bi mogao imati ozbiljne negativne posljedice za jedan ili više sektora, ili bi mogao imati prekogranični utjecaj

48. „ Skupina za suradnju “ je skupina osnovana u svrhu podupiranja i olakšavanja strateške suradnje i razmjene informacija među državama članicama te razvijanja povjerenja i sigurnosti na razini Europske unije u području kibernetičke sigurnosti

49. „središnje državno tijelo za informacijsku sigurnost“ je Ured Vijeća za nacionalnu sigurnost

50. „ središnje državno tijelo za kibernetičku sigurnost “ je Sigurnosno-obavještajna agencija

51. „ središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti“ je Zavod za sigurnost informacijskih sustava

52. „središte za razmjenu internetskog prometa” je mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način

53 . „subjekti javnog sektora“ su tijela državne uprave, druga državna tijela, pravne osobe s javnim ovlastima, tijela jedinice lokalne i područne (regionalne) samouprave, kao i privatni i javni subjekti za koje se provodi kategorizacija temeljem ovog Zakona zbog njihove uloge u upravljanju, razvijanju ili održavanju državne informacijske infrastrukture

54. „sustav naziva domena” ili „(DNS)” je hijerarhijsko raspoređeni sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i resursa, čime se krajnjim korisnicima uređaja omogućuje korištenje internetskim uslugama usmjeravanja i povezivosti za pristupanje tim uslugama i resursima

55. “sustav obrazovanja” obuhvaća rani i predškolski odgoj i obrazovanje, osnovno obrazovanje, srednje obrazovanje i visoko obrazovanje, praćenje, vrednovanje i razvoj sustava, te provedba programa

56. „tijelo državne uprave nadležno za razvoj digitalnog društva“ je Središnji državni ured za razvoj digitalnog društva

57. „tijelo državne uprave nadležno za znanost i obrazovanje“ je Ministarstvo znanosti i obrazovanja

58. „ tijelo nadležno za zaštitu osobnih podataka “ je Agencija za zaštitu osobnih podataka

59. „usluga podatkovnog centra” je usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša

60. „usluga povjerenja” je elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:

- izrade, verifikacije i validacije elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge ili

- izrade, verifikacije i validacije certifikata za autentifikaciju mrežnih stranica ili

- čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge

61. „usluga računalstva u oblaku” je digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija

62. „zaposlenik subjekta“ je fizička osoba koja u radnom odnosu obavlja određene poslove za subjekt, uključujući fizičku osobu koja je prema propisu o trgovačkim društvima, kao član uprave ili izvršni direktor ili fizička osoba koja je u drugom svojstvu prema posebnom zakonu, pojedinačno i samostalno ili zajedno i skupno, ovlaštena voditi poslove subjekta, ili fizičku osobu koja kao radnik u radnom odnosu obavlja određene poslove za subjekt

(2) Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.

Primjena posebnih propisa o zaštiti tajnosti i povjerljivosti podataka

Članak 5.

(1) Ako u provedbi ovog Zakona nastaju ili se koriste klasificirani podaci ili drugi podaci za koje su posebnim propisima utvrđena pravila postupanja radi zaštite njihove tajnosti ili povjerljivosti, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.

(2) Ovaj se Zakon ne primjenjuje na informacijske sustave sigurnosno akreditirane za postupanje s klasificiranim podacima.

Primjena pravila o zaštiti osobnih podataka

Članak 6.

(1) Primjena odredaba ovog Zakona ne utječe na obveze pružatelja javnih elektroničkih komunikacijskih mreža ili pružatelje javno dostupnih elektroničkih komunikacijskih usluga da obrađuju osobne podatke sukladno posebnim propisima o zaštiti osobnih podataka i zaštiti privatnosti.

(2) Primjena odredaba ovog Zakona ne utječe na obveze ključnih i važnih subjekata da u slučaju povrede osobnih podataka postupaju sukladno odredbama članaka 33. i 34. Uredbe (EU) 2016/679.

Odnos sa zakonom koji uređuje područje elektroničkih komunikacija

Članak 7.

(1) Primjena odredaba ovog Zakona ne utječe na obvezu provedbe temeljnih zahtjeva za elektroničku komunikacijsku infrastrukturu i drugu povezanu opremu propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.

(2) Primjena odredaba ovog Zakona ne utječe na pravila upravljanja vršnom nacionalnom internetskom domenom i prava i obveze korisnika domena propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.

Primjena posebnih zakona u pitanjima kibernetičke sigurnosti

Članak 8.

(1) Ako su za subjekte iz pojedinih sektora iz Priloga I. ovog Zakona i Priloga II. ovog Zakona posebnim zakonima propisani zahtjevi koji po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovog Zakona, ili predstavljaju strože zahtjeve, na te subjekte primjenjuju se odgovarajuće odredbe tog posebnog zakona u onim pitanjima koja su vezano uz te zahtjeve i njihovu provedbu tim propisima uređena, uključujući odredbe o nadzoru provedbe zahtjeva.

(2) Zahtjevi iz stavka 1. ovog članka po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovog Zakona ako:

- su po svom učinku barem jednakovrijedni mjerama upravljanja kibernetičkim sigurnosnim rizicima utvrđenim ovim Zakonom

- je posebnim zakonom utvrđen neposredan, po potrebi i automatski i izravan, pristup obavijestima o incidentima nadležnom CSIRT-u te ako su obveze obavještavanja o značajnim incidentima iz posebnog zakona po učinku barem jednakovrijedne obvezama obavještavanja o značajnim incidentima utvrđenim ovim Zakonom.

(3) Tijela koja su prema posebnim zakonima iz stavka 1. ovog članka nadležna za sektor odnosno podsektor i/ili subjekt iz Priloga I. i Priloga II. ovog Zakona i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su prilikom primjene stavaka 1. i 2. ovog članka međusobno surađivati i razmjenjivati relevantne informacije te voditi računa o smjernicama Europske komisije kojima se pojašnjava primjena povezanog mjerodavnog prava Europske unije.

DIO DRUGI

KATEGORIZACIJA SUBJEKATA

POGLAVLJE I.

KRITERIJI ZA PROVEDBU KATEGORIZACIJE SUBJEKATA

Opći kriteriji za provedbu kategorizacije ključnih subjekata

Članak 9.

U kategoriju ključnih subjekata razvrstavaju se:

- privatni i javni subjekti iz Priloga I. ovog Zakona koji prelaze gornje granice za subjekte malog gospodarstva iz članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva („Narodne novine“, broj: 29/02, 63/07, 53/12, 56/13 i 121/16)

- kvalificirani pružatelji usluga povjerenja, registar naziva vršne nacionalne internetske domene te pružatelji usluga DNS-a, neovisno o njihovoj veličini

- pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji predstavlja subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva i

- subjekti koji su utvrđeni kao kritični subjekti na temelju zakona kojim se uređuje područje kritičnih infrastruktura, neovisno o njihovoj veličini.

Opći kriteriji za provedbu kategorizacije važnih subjekata

Članak 10.

U kategoriju važnih subjekata razvrstavaju se:

- privatni i javni subjekti iz Priloga II. ovog Zakona koji predstavljaju subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva

- privatni i javni subjekti iz Priloga I. ovog Zakona koji nisu utvrđeni kao ključni subjekti temeljem članka 9. ovog Zakona, a predstavljaju subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva ili koji prelaze gornje granice za subjekte malog gospodarstva - pružatelji usluga povjerenja koji nisu kategorizirani kao ključni subjekti, neovisno o njihovoj veličini i

- pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu kategorizirani kao ključni subjekti, neovisno o njihovoj veličini.

Posebni kriteriji za provedbu kategorizacije ključnih i važnih subjekata

Članak 11.

Iznimno od članka 9. podstavka 1. i članka 10. podstavaka 1. i 2. ovog Zakona, subjekti iz Priloga I. i Priloga II. ovog Zakona mogu se razvrstati u kategoriju ključnih ili važnih subjekata neovisno o njihovoj veličini, ako:

- je subjekt jedini pružatelj usluge koja je ključna za održavanje ključnih društvenih ili gospodarskih djelatnosti

- bi poremećaj u funkcioniranju usluge koju pruža subjekt, odnosno poremećaj u obavljanju djelatnosti subjekta, mogao imati znatan utjecaj na javnu sigurnost, javnu zaštitu ili javno zdravlje

- bi poremećaj u funkcioniranju usluge koju pruža subjekt, odnosno poremećaj u obavljanju djelatnosti subjekta, mogao uzrokovati znatne sistemske rizike u sektorima iz Priloga I. i Priloga II. ovog Zakona, posebno u sektorima u kojima bi takav poremećaj mogao imati prekogranični učinak ili

- je subjekt značajan zbog svoje posebne važnosti na nacionalnoj, regionalnoj ili lokalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u Republici Hrvatskoj.

Kategorizacija subjekata javnog sektora

Članak 12.

(1) U kategoriju ključnih subjekata razvrstavaju se, neovisno o njihovoj veličini:

- tijela državne uprave

- druga državna tijela i pravne osobe s javnim ovlastima, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti i

-  privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu koji uređuje državnu informacijsku infrastrukturu.

(2)  U kategoriju važnih subjekata razvrstavaju se:

- jedinice lokalne i područne (regionalne) samouprave, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.

Kategorizacija subjekata sustava obrazovanja

Članak 13.

Privatni i javni subjekti iz sustava obrazovanja razvrstavaju se u kategoriju važnih subjekata, ovisno o rezultatima provedene procjene njihove posebne važnosti na nacionalnoj ili regionalnoj razini za obavljanje odgojno-obrazovnog rada.

Određivanje nadležnosti temeljem teritorijalnosti

Članak 14.

(1) Subjekti iz Priloga I. i Priloga II. ovog Zakona podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako pružaju usluge odnosno obavljaju djelatnosti na području Europske unije, a imaju poslovni nastan na teritoriju Republike Hrvatske.

(2) Iznimno od stavka 1. ovog članka, pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako svoje usluge pružaju na teritoriju Republike Hrvatske, neovisno o državi poslovnog nastana.

(3) Iznimno od stavka 1. ovog članka, pružatelji usluga DNS-a, registar naziva vršne nacionalne internetske domene i registrari, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica ili pružatelji platformi za usluge društvenih mreža, podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako na teritoriju Republike Hrvatske imaju glavni poslovni nastan ili njihov predstavnik ima poslovni nastan na teritoriju Republike Hrvatske.

(4) Subjekt ima glavni poslovni nastan u smislu stavka 3. ovog članka, ako na teritoriju Republike Hrvatske:

- pretežno donosi odluke povezane s mjerama upravljanja kibernetičkim sigurnosnim rizicima ili

- provodi mjere upravljanja kibernetičkim sigurnosnim rizicima, kada se država članica u kojoj donosi odluke iz podstavka 1. ovog stavka ne može utvrditi ili takve odluke subjekt ne donosi u Europskoj uniji ili

- ima poslovnu jedinicu s najvećim brojem zaposlenika u Europskoj uniji, kada se država članica u kojoj provodi aktivnosti iz podstavka 2. ovog stavka ne može utvrditi.

Primjena kriterija veličine subjekta

Članak 15.

(1) Prilikom utvrđivanja predstavlja li subjekt subjekt malog gospodarstva na temelju članka 2. stavka 1. točaka 1. i 3. Zakona o poticanju malog gospodarstva, uzima se u obzir:

- godišnji prosjek ukupnog broja zaposlenika subjekta i

- ukupan godišnji poslovni prihod subjekta prema financijskim izvještajima za prethodnu godinu ili ukupna aktiva subjekta ako je obveznik poreza na dobit, odnosno ukupna dugotrajna imovina subjekta ako je obveznik poreza na dohodak,

neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovog Zakona.

(2) Prilikom kategorizacije subjekata vodi se računa o smjernicama Europske komisije o provedbi kriterija veličine koji se primjenjuju na mikropoduzeća i mala poduzeća.

Primjena Zakona u slučaju dvostruke kategorizacije subjekta

Članak 16.

Ako je subjekt razvrstan u kategoriju i ključnih i važnih subjekata, na takvog subjekta primjenjuju se odredbe ovog Zakona koje se odnose na ključne subjekte.

POGLAVLJE II.

POPISI KLJUČNIH I VAŽNIH SUBJEKATA

Vođenje popisa

Članak 17.

(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona provode kategorizaciju subjekata sukladno ovom Zakonu te utvrđuju i vode popise ključnih i važnih subjekata.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su redovito, a najmanje jednom u dvije godine, provjeravati popise ključnih i važnih subjekata te ih, po potrebi, ažurirati.

Dostava podataka Europskoj komisiji i Skupini za suradnju

Članak 18 .

(1) Jedinstvena kontaktna točka svake dvije godine dostavlja:

- Europskoj komisiji i Skupini za suradnju podatke o broju ključnih i važnih subjekata razvrstanih temeljem kriterija iz članaka 9., 10. i 12. stavka 1. podstavka 1. i stavka 2. ovog Zakona, za svaki sektor i podsektor iz Priloga I. I Priloga II. ovog Zakona, osim za sektor iz Priloga II. točke 8. ovog Zakona

- Europskoj komisiji podatke o broju ključnih i važnih subjekata razvrstanih temeljem kriterija iz članka 11. ovog Zakona, sektoru i podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbama članka 11. ovog Zakona na temelju kojih je provedena kategorizacija, a dodatno, na njezin zahtjev, može Europskoj komisiji dostaviti i podatke o nazivima tih subjekata.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su jedinstvenoj kontaktnoj točki dostavljati podatke potrebne za dostavu podataka sukladno stavku 1. ovog članka.

Obavijesti o provedenoj kategorizaciji subjekata

Članak 19.

(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su sve subjekte s popisa iz članka 17. stavka 1. ovog Zakona iz njihove nadležnosti obavijestiti o provedenoj kategorizaciji subjekta i obvezama kojima podliježu temeljem ovog Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti.

(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte u odnosu na koje je nakon ažuriranja popisa ključnih i važnih subjekata došlo do promjene u kategorizaciji subjekta, obavijestiti o promjeni kategorije te činjenici da se od datuma primitka te obavijesti mijenjaju i obveze kojima podliježu temeljem ovog Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti, s naznakom bitnih promjena o kojima moraju voditi računa ovisno o promjeni kategorije o kojoj se obavještava.

(3) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte koji se nakon ažuriranja popisa ključnih i važnih subjekata više ne smatraju ni ključnim subjektima niti važnim subjektima, obavijestiti o toj činjenici te činjenici da od datuma primitka te obavijesti više ne podliježu obvezama provedbe zahtjeva kibernetičke sigurnosti iz ovog Zakona.

(4) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su o provedenoj kategorizaciji subjekta, kao i promjenama iz stavaka 2. i 3. ovog članka, obavijestiti subjekte u roku od 30 dana od provedene kategorizacije subjekta ili ažuriranja popisa ključnih i važnih subjekata.

Obveze subjekata iz Priloga I. i Priloga II. Zakona u prikupljanju podataka

Članak 20.

(1) Za potrebe kategorizacije subjekata sukladno ovom Zakonu, te vođenja popisa ključnih i važnih subjekata, subjekti iz Priloga I. i Priloga II. ovog Zakona dužni su nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti i nadležnim tijelima za provedbu posebnih zakona , na njihov zahtjev , dostaviti sljedeće podatke:

- naziv subjekta

- adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP adresne raspone i telefonske brojeve

- relevantni sektor i podsektor iz Priloga I. i Priloga II. ovog Zakona

- popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ovog Zakona

- druge podatke o pružanju svojih usluga ili obavljanju svojih djelatnosti bitne za provedbu kategorizacije subjekta ili utvrđivanje nadležnosti nad subjektom .

(2) Rokovi za dostavu podataka temeljem stavka 1. ovog članka određuju se ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana, niti duži od 45 dana od primitka zahtjeva za dostavom podataka.

(3) Subjekti iz stavka 1. ovog članka dužni su bez odgode, u roku od 15 dana od datuma promjene, obavijestiti nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti odnosno nadležno tijelo za provedbu posebnih zakona o svim promjenama podataka koje su tom tijelu dostavili u skladu sa stavkom 1. ovog članka.

Obveze javnih subjekata koji u okviru svog djelokruga rada prikupljaju podatke odnosno vode registre, evidencije i zbirke podataka o subjektima iz Priloga I. i Priloga II. Zakona

Članak 21.

(1) Javni subjekti koji u okviru svog djelokruga rada prikupljaju podatke odnosno vode registre, evidencije i zbirke podataka o subjektima iz Priloga I. i Priloga II. ovog Zakona, dužni su, bez naknade, nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti :

- redovito dostavljati popise subjekata iz Priloga I. i Priloga II. ovog Zakona odnosno omogućiti pristup odgovarajućim podacima u registrima, evidencijama i zbirkama podataka elektroničkim putem

-  na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti , za subjekte s popisa iz podstavka 1. ovog stavka, dostavljati:

a) podatke o njihovoj veličini i/ili

b) druge podatke o subjektima, uključujući podatke o pružanju njihovih usluga ili obavljanju njihovih djelatnosti , ako su takvi podaci potrebni za provođenje kategorizacije subjekata sukladno ovom Zakonu ili

c) ih uputiti na druge javne subjekte koji takve podatke posjeduju .

(2) Ako se podaci temeljem ovog članka dostavljaju na zahtjev nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti , rokovi za dostavu podataka se određuju ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana, niti duži od 45 dana od primitka zahtjeva za dostavom podataka.

POGLAVLJE III.

POSEBAN REGISTAR SUBJEKATA

Vođenje posebnog registra subjekata

Članak 22.

(1) Središnje državno tijelo za kibernetičku sigurnost uspostavlja i vodi poseban registar sljedećih subjekata:

- pružatelja usluga DNS-a

- registra naziva vršne nacionalne internetske domene

- registrara

- pružatelja usluga računalstva u oblaku

- pružatelja usluga podatkovnog centra

- pružatelja mreža za isporuku sadržaja

- pružatelja upravljanih usluga

- pružatelja upravljanih sigurnosnih usluga

- pružatelja internetskih tržišta

- pružatelja internetskih tražilica i

- pružatelja platformi za usluge društvenih mreža.

(2) Registar iz stavka 1. ovog članka vodi se neovisno o obvezi vođenja popisa ključnih i važnih subjekata.

Prikupljanje podataka

Članak 23.

(1) Subjekti iz članka 22. ovog Zakona dužni su središnjem državnom tijelu za kibernetičku sigurnost dostaviti sljedeće podatke:

- naziv subjekta

- popis usluga iz članka 22. ovog Zakona koje pružaju

- adresu glavnog poslovnog nastana subjekta i njegovih drugih poslovnih jedinica ili adresu njegovog predstavnika

- ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i  njegovog predstavnika

- popis država članica u kojima pružaju usluge iz članka 22. ovog Zakona

- IP adresne raspone subjekta.

(2) Rok za dostavu podataka temeljem stavka 1. ovog članka je 15 dana od primitka zahtjeva za dostavom podataka.

(3) Subjekti iz članka 22. ovog Zakona dužni su bez odgode, u roku od tri mjeseca od datuma promjene, obavijestiti središnje državno tijelo za kibernetičku sigurnost o svim promjenama podataka koje su dostavili u skladu sa stavkom 1. ovog članka.

(4) Po zaprimanju, podaci iz stavaka 1. i 3. ovog članka, osim podataka iz stavka 1. podstavka 6. ovog članka, dostavljaju se bez odgode, putem jedinstvene kontaktne točke, Europskoj agenciji za kibernetičku sigurnost (u daljnjem tekstu: ENISA) .

Provedbeni propis o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata

Članak 24.

Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata temeljem posebnih kriterija iz članka 11. ovog Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 2. i članka 13. ovog Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovog Zakona propisuje Vlada Republike Hrvatske (u daljnjem tekstu: Vlada) uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.

DIO TREĆI

ZAHTJEVI KIBERNETIČKE SIGURNOSTI

Opseg zahtjeva kibernetičke sigurnosti

Članak 25.

(1) Zahtjevi kibernetičke sigurnosti obuhvaćaju postupke i mjere koje su ključni i važni subjekti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga odnosno obavljanju svojih djelatnosti, a sastoje se od:

- mjera upravljanja kibernetičkim sigurnosnim rizicima i

- obveza obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama.

(2) Zahtjevi kibernetičke sigurnosti odnose se na sve mrežne i informacijske sustave kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga i sve usluge koje ključni i važni subjekti pružaju odnosno djelatnosti koje obavljaju, neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovog Zakona.

POGLAVLJE I.

MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA

Primjena mjera

Članak 26.

(1) Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima .

(2) Cilj primjene mjera upravljanja kibernetičkim sigurnosnim rizicima je zaštita mrežnih i informacijskih sustava i fizičkog okruženja tih sustava od incidenata uzimajući pri tome u obzir sve opasnosti kojima su ti sustavi izloženi.

(3) Mjere upravljanja kibernetičkim rizicima obuhvaćaju:

- tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te

- mjere za sprečavanje ili smanjivanje na najmanju moguću mjeru utjecaja incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.

(4) Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima bez obzira na to upravljaju li i/ili održavaju svoje mrežne i informacijske sustave sami ili za to koriste vanjskog davatelja usluge.

Obveza osiguranja razine sigurnosti mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku

Članak 27.

(1) Ključni i važni subjekti dužni su primjenom mjera upravljanja kibernetičkim sigurnosnim rizicima osigurati razinu sigurnosti mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku.

(2) Pri procjeni proporcionalnosti primijenjenih mjera upravljanja kibernetičkim sigurnosnim rizicima u obzir se uzimaju:

- stupanj izloženosti subjekta rizicima

- veličina subjekta

- vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov mogući društveni i gospodarski utjecaj.

Način provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima

Članak 28.

(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima provode se na način da se koriste najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti i, kada je to primjenjivo, relevantne europske i međunarodne norme te trošak provedbe.

(2) Ključni i važni subjekti dužni su prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima koristiti se određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana:

- mjerodavnim propisima Europske unije

- posebnim propisima kojima se uređuje područje pružanja određenih usluga odnosno obavljanja određenih djelatnosti

- uredbom iz članka 24. ovog Zakona.

Odgovornost za provedbu mjera

Članak 29.

(1) Za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima sukladno ovom Zakonu odgovorni su članovi upravljačkih tijela ključnih i važnih subjekata odnosno čelnici tijela državne uprave, drugih državnih tijela i tijela jedinica lokalne i područne (regionalne) samouprave (u daljnjem tekstu: osobe odgovorne za upravljanje mjerama).  

(2) Osobe odgovorne za upravljanje mjerama dužne su odobravati mjere upravljanja kibernetičkim sigurnosnim rizicima koje će subjekt primjenjivati radi usklađivanja s obvezama utvrđenim ovim Zakonom te kontrolirati njihovu provedbu.

(3) U svrhu stjecanja znanja i vještina u pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja, osobe odgovorne za upravljanje mjerama dužne su:

- pohađati odgovarajuća osposobljavanja

- zaposlenicima subjekta omogućiti pohađanje odgovarajućih osposobljavanja.

(4) Odredbe ovog članka odnose se i na pravne predstavnike koji na temelju ovlasti za zastupanje ili donošenje odluka u ime subjekta, sudjeluje u donošenju odluka o mjerama upravljanja kibernetičkim sigurnosnim rizicima i/ili njihovoj provedbi.

Mjere upravljanja kibernetičkim sigurnosnim rizicima

Članak 30.

(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima uključuju najmanje sljedeće sigurnosne politike:

- analize rizika i sigurnosti informacijskih sustava

- postupanja s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje

- osiguranja kontinuiteta poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i kibernetičkih napada, te upravljanje kibernetičkim krizama

- sigurnosti lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između subjekta i njegovih izravnih dobavljača ili pružatelja usluga

- sigurnosti u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje

- provođenja procjene djelotvornosti mjera upravljanja kibernetičkim sigurnosnim rizicima

- osnovne prakse kibernetičke higijene i osposobljavanja o kibernetičkoj sigurnosti

- u pogledu kriptografije i, prema potrebi, kriptiranja

- sigurnosti ljudskih resursa, kontrole pristupa i upravljanja programskom i sklopovskom imovinom, uključujući i redovito ažuriranje popisa ove imovine

- korištenja višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta.

(2) Pri procjeni proporcionalnosti primijenjenih mjera iz stavka 1. podstavka 4. ovog članka, ključni i važni subjekti dužni su uzeti u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluge te opću kvalitetu proizvoda i kibernetičku sigurnosnu praksu svojih dobavljača i pružatelja usluga, kao i rezultate koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe IKT uslugama, IKT sustavima ili IKT proizvodima, koje provodi Skupina za suradnju zajedno s Europskom komisijom i ENISA-om.

POGLAVLJE II.

 OBVEZE OBAVJEŠTAVANJA  

Obavještavanje o značajnim incidentima

Članak 31.

(1) Ključni i važni subjekti dužni su nadležni CSIRT obavijestiti o svakom incidentu koji ima znatan učinak na dostupnost, cjelovitost, povjerljivost i autentičnost podataka od značaja za poslovanje subjekta i/ili kontinuitet usluga koje pružaju ili djelatnost koju obavljaju (značajan incident).

(2) Incident se smatra značajnim:

- ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga koje subjekt pruža odnosno djelatnosti koju obavlja ili financijske gubitke za subjekt

- ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete.

(3) Ključni i važni subjekti dužni su obavijesti iz stavka 1. ovog članka dostaviti tijelima kaznenog progona u slučajevima u kojima postoje osnove sumnje da su značajni incidenti nastali počinjenjem kaznenog djela, temeljem odredbi zakona kojim se uređuje kazneni postupak.

Obavještavanje primatelja usluga

Članak 32.

(1) Ključni i važni subjekti dužni su obavijestiti primatelje svojih usluga o značajnim incidentima na koje bi takav incident mogao utjecati.

(2) U slučaju pojave ozbiljne kibernetičke prijetnje, ključni i važni subjekti dužni su primatelje svojih usluga na koje bi takva prijetnja mogla utjecati obavijestiti o svim mogućim mjerama zaštite ili pravnim sredstvima koje mogu uporabiti u svrhu sprečavanja ili naknade uzrokovane štete te, po potrebi, obavijestiti primatelje usluga i o samoj ozbiljnoj kibernetičkoj prijetnji.

Obavještavanje na dobrovoljnoj osnovi

Članak 33.

Ključni i važni subjekti mogu nadležni CSIRT dobrovoljno obavijestiti o svakom incidentu, kibernetičkoj prijetnji i izbjegnutom incidentu.

Obavještavanje o značajnom incidentu s prekograničnim i međusektorskim učinkom

Članak 34.

(1) Jedinstvena kontaktna točka, na zahtjev nadležnog CSIRT-a i prema vlastitoj procjeni, o značajnom incidentu s prekograničnim učinkom obavještava jedinstvene kontaktne točke pogođene države članice i ENISA-u , osobito ako se incident odnosi na dvije države članice ili više njih.

(2) Jedinstvena kontaktna točka, na zahtjev nadležnog CSIRT-a i prema vlastitoj procjeni, o značajnom incidentu s međusektorskim učinkom obavještava tijela državne uprave nadležna za pogođene sektore.

Obavještavanje javnosti o značajnom incidentu

Članak 35.

Ako je za sprečavanje ili rješavanje značajnog incidenta koji je u tijeku nužno obavijestiti javnost ili ako je objava informacija o značajnom incidentu u javnom interesu iz nekog drugog razloga, nadležni CSIRT te, prema potrebi, CSIRT-ovi ili nadležna tijela drugih pogođenih država članica mogu, nakon savjetovanja s jedinstvenom kontaktnom točkom, nadležnim tijelom za provedbu zahtjeva kibernetičke sigurnosti odnosno nadležnim tijelom za provedbu posebnih zakona, ovisno o podijeli nadležnosti iz Priloga III. ovog Zakona, te pogođenim subjektom , obavijestiti javnost o značajnom incidentu ili zatražiti od ključnog i važnog subjekta da to učini.

Obavještavanje jedinstvene kontaktne točke i ENISA-e

Članak 36.

(1) Nadležni CSIRT-ovi dužni su jedinstvenu kontaktnu točku obavijestiti o značajnim incidentima, ostalim incidentima, ozbiljnim kibernetičkim prijetnjama i izbjegnutim incidentima o kojima su ih ključni i važni subjekti obavijestili temeljem članaka 31. i 33. ovog Zakona, sukladno njezinim smjernicama.

(2) Jedinstvena kontaktna točka podnosi ENISA-i svaka tri mjeseca sažeto izvješće koje uključuje anonimizirane i agregirane podatke o značajnim incidentima, ostalim incidentima, ozbiljnim kibernetičkim prijetnjama i izbjegnutim incidentima o kojima su ključni i važni subjekti obavijestili nadležni CSIRT temeljem članaka 31. i 33. ovog Zakona.

Nacionalna platforma za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima

Članak 37.

(1) Obavještavanje temeljem članaka 31. i 33. ovog Zakona i razmjena podataka o kibernetičkim prijetnjama i incidentima između nadležnih tijela iz Priloga III. ovog Zakona obavlja se putem nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima, kao jedinstvene ulazne točke za obavještavanje o kibernetičkim prijetnjama i incidentima.

(2) Razvoj i upravljanje nacionalnom platformom iz stavka 1. ovog članka u nadležnosti je Hrvatske akademske i istraživačke mreže  - CARNET (u daljnjem tekstu: CARNET).

Provedbeni propis o zahtjevima kibernetičke sigurnosti

Članak 38.

Mjere upravljanja kibernetičkim sigurnosnim rizicima, način njihove provedbe , utvrđivanje značajnih incidenata, vrste i sadržaj obavijesti iz članaka 31. do 34. ovog Zakona, rokovi za njihovu dostavu, prava pristupa i druga pitanja bitna za korištenje nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima, mogućnosti korištenja drugih načina dostave obavijesti iz članaka 31. do 34. ovog Zakona, postupanja s tim obavijestima, uključujući postupanja nadležnog CSIRT-a u povodu zaprimljenih obavijesti, propisuju se uredbom iz članka 24. ovog Zakona.

POGLAVLJE III.

PROVJERE USKLAĐENOSTI KLJUČNIH I VAŽNIH SUBJEKATA SA ZAHTJEVIMA KIBERNETIČKE SIGURNOSTI

Provjere usklađenosti sa zahtjevima kibernetičke sigurnosti

Članak 39.

(1) Ključni i važni subjekti dužni su provoditi provjeru usklađenosti sa zahtjevima kibernetičke sigurnosti propisanih ovim Zakonom.

(2) Provjera usklađenosti iz stavka 1. ovog članka obavlja se u postupku ocjene sukladnosti ključnih i važnih subjekata te postupku samoocjene sukladnosti važnih subjekta .

Tijela za ocjenu sukladnosti

Članak 40.

(1) Ocjenu sukladnosti ključnih i važnih subjekata provode tijela za ocjenu sukladnosti.

(2) Tijela za ocjenu sukladnosti su privatni subjekti koji ispunjavaju organizacijske i stručne zahtjeve za autorizaciju propisane uredbom iz članka 24. ovog Zakona .

(3) Iznimno od stavka 2. ovog članka, tijelo za ocjenu sukladnosti za tijela državne uprave i druga državna tijela je središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti .

(4) Autorizaciju tijela za ocjenu sukladnosti iz stavka 2. ovog članka provodi središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti, a izdaje se na rok od pet godina.

(5) Središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti, tijekom važenja autorizacije provodi periodične provjere organizacijskih i stručnih zahtjeva iz stavka 2. ovog članka.

Provedba ocjene sukladnosti

Članak 41.

(1) Ocjenu sukladnosti ključni subjekti dužni su provoditi najmanje jednom u dvije godine.

(2) Ocjenu sukladnosti ključni subjekti dužni su provesti i prije proteka roka iz stavka 1. ovog članka, kad to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti temeljem članka 79. stavka 1. podstavka 7. ili članka 81. stavka 1. podstavka 2. ovog Zakona.

(3) Ocjena sukladnosti iz stavka 1. ovog članka provodi se samostalno ili u okviru revizije poslovanja, odnosno druge provjere sukladnosti subjekata koja se provodi temeljem posebnih propisa kojima se uređuje područje pružanja određenih usluga, odnosno obavljanja određenih djelatnosti.

(4) Ocjenu sukladnosti važni subjekti dužni su provesti kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti temeljem članka 79. stavka 1. podstavka 7. ovog Zakona.

(5) O provedenoj ocjeni sukladnosti tijelo za ocjenu sukladnosti sastavlja izvješće.

(6) Izvješće iz stavka 5. ovog članka ključni i važni subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti bez odgode, u roku od osam dana od njegova primitka.

(7) Iznimno od stavka 6. ovog članka, kada je ocjena sukladnosti provedena na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti temeljem članka 79. stavka 1. podstavka 7. ili članka 81. stavka 1. podstavka 2. ovog Zakona, subjekt za koji je ocjena provedena dužan je izvješće iz stavka 5. ovog članka dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti odmah po njegovu primitku.

( 8) Troškove provedbe ocjene sukladnosti snose ključni i važni subjekti, ako nije drugačije propisano ovim Zakonom.

Samoocjena sukladnosti važnih subjekata

Članak 42.

(1) Samoocjenu sukladnosti važni subjekti dužni su provoditi najmanje jednom u dvije godine.

(2) Ako rezultati provedene samoocjene sukladnosti pokazuju da je subjekt usklađen sa zahtjevima kibernetičke sigurnosti propisanim ovim Zakonom, važni subjekti sastavljaju izjavu o sukladnosti koja sadrži elemente obuhvaćene samoocjenom sukladnosti.

(3) Izjavu iz stavka 2. ovog članka važni subjekti  dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti bez odgode, u roku od osam dana od njezina sastavljanja.

(4) Troškove provedbe samoocjene sukladnosti snose važni subjekti.

Registar autoriziranih tijela za ocjenu sukladnosti

Članak 43.

Središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti vodi javno dostupan registar autoriziranih tijela za ocjenu sukladnosti.

Provedbeni propis za ocjene i samoocjene sukladnosti

Članak 44.

Pravila, tehnički zahtjevi, norme, obrasci i postupci koji se primjenjuju prilikom provođenja ocjena i samoocjena sukladnosti te organizacijski i stručni zahtjevi za autorizaciju tijela za ocjenu sukladnosti uredit će se uredbom iz članka 24. ovog Zakona.

POGLAVLJE IV.

POSEBNI ZAHTJEVI ZA UPRAVLJANJE PODACIMA O REGISTRACIJI NAZIVA DOMENA

Svrha provođenja posebnih zahtjeva za upravljanje podacima o registraciji naziva domena

Članak 45.

U svrhu osiguranja pouzdanog, otpornog i sigurnog sustava naziva domena, registar naziva vršne nacionalne internetske domene i registrari, dužni su provoditi posebne zahtjeve za upravljanje podacima o registraciji naziva domena.  

Sadržaj informacija u bazama podataka o registraciji naziva domena i utvrđivanje identiteta korisnika domene

Članak 46.

(1) Registar naziva vršne nacionalne internetske domene i registrari dužni su osiguravati da baza podataka o registraciji naziva domena sadržava informacije potrebne za identifikaciju nositelja naziva domena i registrara koji upravljaju nazivima domena te za kontakt s njima, a osobito:

- naziv domene

- datum registracije

- ime korisnika domene te adresu njegove e-pošte i telefonski broj za kontakt

- adresu e-pošte i telefonski broj za kontakt registrara koji upravlja nazivom domene.

(2) Registar naziva vršne nacionalne internetske domene i registrari dužni su utvrditi identitet korisnika domene i provjeriti njegov identitet na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, pouzdanoga i neovisnoga izvora, uključujući, ako ga korisnik domene ima, kvalificirani certifikat za elektronički potpis ili elektronički pečat ili bilo koji drugi siguran, daljinski ili elektronički, postupak identifikacije koji su regulirala, priznala, odobrila ili prihvatila relevantna nacionalna tijela.

(3) Nepostupanje podnositelja zahtjeva za registracijom domene i korisnika domene sukladno obvezama propisanim ovim Zakonom predstavlja temelj za uskratu registracije domene odnosno deaktivaciju domene.

Obveze registra naziva vršne nacionalne internetske domene i registrara

Članak 47.

(1) Ako zahtjev za registraciju domene ne sadrži sve podatke iz članka 46. stavka 1. podstavaka 1. do 3. ovog Zakona, registar naziva vršne nacionalne internetske domene i registrari dužni su odbiti takav zahtjev, a podnositelja zahtjeva obavijestiti o uskraćivanju registracije domene odnosno deaktivaciji domene i nemogućnosti njezinog korištenja sve dok zahtjev ne bude uredno podnesen i to u roku od osam dana od primitka takve obavijesti.  

(2) Registar naziva vršne nacionalne internetske domene i registrari dužni su periodički, a najmanje jednom godišnje, za sve svoje korisnike domena provoditi provjere postojanja korisnika domene, kao i usklađenost postupanja korisnika domene s obvezama iz propisa kojim je uređeno ustrojstvo i upravljanje vršnom nacionalnom internetskom domenom.

(3) U slučaju nedostupnosti korisnika domene u okviru višekratnih provjera iz stavka 2. ovog članka na različite registrirane kontakt podatke korisnika domene odnosno utvrđene zlouporabe prava ili drugog nepropisnog postupanja korisnika domene, registar naziva vršne nacionalne internetske domene i registrari dužni su takvu domenu deaktivirati.

(4) Registar naziva vršne nacionalne internetske domene i registrari dužni su uspostaviti i javno objaviti politike upravljanja bazom podataka iz članka 46. ovog Zakona, koje obvezno sadržavaju i postupke provjere podataka iz zahtjeva za registraciju domene.

(5) Registar naziva vršne nacionalne internetske domene i registrari, nakon registracije naziva domene bez odgode javno objavljuju podatke o registraciji naziva domena koji nisu osobni podaci.

Obveza omogućavanja pristupa podacima o korisniku domene

Članak 48.

(1) Registar naziva vršne nacionalne internetske domene i registrari dužni su tijelima kaznenog progona i nadležnom CSIRT-u, tijelu nadležnom za zaštitu osobnih podataka i drugim pravnim osobama s javnim ovlastima, kao i državnim tijelima u okviru izvršavanja javnih ovlasti, na njihov obrazloženi zahtjev, bez odgode, u roku od 72 sata od primitka zahtjeva, dostaviti ili na drugi odgovarajući način omogućiti pristup podacima o korisniku domene.

(2) Registar naziva vršne nacionalne internetske domene i registrari obvezni su u svojim politikama upravljanja iz članka 47. stavka 4. ovog Zakona naznačiti svoju obvezu postupanja u skladu sa stavkom 1. ovog članka.

Provedba kontrole usklađenosti s posebnim zahtjevima za upravljanje podacima o registraciji naziva

Članak 49.

Kontrolu usklađenosti postupanja registra naziva vršne nacionalne internetske domene i registrara s posebnim zahtjevima za upravljanje podacima o registraciji naziva iz članaka 45. do 48. ovog Zakona provodi tijelo državne uprave nadležno za znanost i obrazovanje.

DIO ČETVRTI

DOBROVOLJNI MEHANIZMI KIBERNETIČKE ZAŠTITE

Samoocjene sukladnosti s mjerama upravljanja kibernetičkim sigurnosnim rizicima i dobrovoljno obavještavanje o incidentima i kibernetičkim prijetnjama

Članak 50.

(1) Svaki privatni ili javni subjekt koji nije kategori z iran kao ključni i važni subjekt sukladno ovom Zakonu može:

- provoditi samoocjene sukladnosti mrežnih i informacijskih sustava, kojima se služi u svom poslovanju ili u pružanju svojih usluga, s mjerama upravljanja kibernetičkim sigurnosnim rizicima iz članka 30. ovog Zakona

- nadležni CSIRT dobrovoljno obavijestiti o svakom značajnom incidentu, ostalim incidentima, kibernetičkim prijetnjama ili izbjegnutim incidentima, pod uvjetom da periodično provodi samoocjene sukladnosti iz podstavka 1. ovog članka.

(2) Mogućnost provedbe samoocjena sukladnosti i dobrovoljnog obavještavanja iz stavka 1. ovog članka uredit će se uredbom iz članka 24. ovog Zakona.

Nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora

Članak 51.

(1) S ciljem podizanja ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti, središnje državno tijelo za kibernetičku sigurnost kontinuirano razvija nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora (u daljnjem tekstu: nacionalni sustav).

(2) Nacionalnom sustavu mogu pristupiti ključni i važni subjekti, kao i privatni i javni subjekti koji nisu kategorizirani kao ključni i važni subjekti sukladno ovom Zakonu, ovisno o procjeni kritičnosti subjekta koju provodi središnje državno tijelo za kibernetičku sigurnost.

(3) Pristupanje nacionalnom sustavu može se provoditi kao obvezujuća mjera kibernetičke zaštite za pojedine kategorije ključnih subjekata, ako je takva obveza propisana uredbom iz članka 24. ovog Zakona.

(4) Pristupanje nacionalnom sustavu provodi se temeljem sporazuma koji sklapaju središnje državno tijelo za kibernetičku sigurnost i subjekt koji pristupa sustavu.

(5) Pristupanje nacionalnom sustavu ne utječe na obveze ključnih i važnih subjekata iz članka 25. ovog Zakona, već predstavlja dodatnu mjeru kibernetičke zaštite.

Kriteriji za provedbu procjene kritičnosti subjekta

Članak 52.

(1) Procjena kritičnosti subjekata iz članka 51. stavka 2. ovog Zakona provodi se temeljem sljedećih kriterija:

- važnosti i značaja usluga koje subjekt pruža ili djelatnosti koje subjekt obavlja u odnosu na druge pružatelje istih ili istovrsnih usluga i djelatnosti u Republici Hrvatskoj

- važnosti mrežnih i informacijskih sustava kojima se subjekt koristi u pružanju usluga ili obavljanju djelatnosti te njihovoj izloženosti rizicima, opasnostima i prijetnjama u kibernetičkom prostoru i

- stanju mrežnih i informacijskih sustava kojima se subjekt koristi u pružanju usluga ili obavljanju djelatnosti i to vezano za način projektiranja, upravljanja i održavanja mrežnih i informacijskih sustava subjekta, kao i primijenjene relevantne europske i međunarodne norme  i sigurnosne prakse.

(2) Procjena kritičnosti subjekata iz članka 51. stavka 2. ovog Zakona provodi se temeljem:

- zahtjeva subjekta za pristupanje nacionalnom sustavu ili

- prijedloga za pristupanje nacionalnom sustavu koje je podnijelo tijelo državne uprave ili regulatorno tijelo nadležno za sektor kojem subjekt pripada.

(3) Zahtjevi i prijedlozi iz stavka 2. ovog članka podnose se središnjem državnom tijelu za kibernetičku sigurnost.

(4) Podnošenje zahtjeva i prijedloga za pristupanje nacionalnom sustavu, prikupljanje podataka potrebnih za provođenje procjene kritičnosti subjekata u svrhu pristupanja sustavu i provedba pristupanja subjekata nacionalnom sustavu uredit će se uredbom iz članka 24. ovog Zakona.

Razmjena informacija o kibernetičkoj sigurnosti

Članak 53.

(1) Ključni i važni subjekti, kao i privatni i javni subjekti koji nisu kategorizirani kao ključni i važni subjekti sukladno ovom Zakonu, mogu međusobno dobrovoljno razmjenjivati informacije o kibernetičkoj sigurnosti u svrhu povećanja razine kibernetičke sigurnosti ili postupanja s incidentima.  

(2) Razmjena informacija iz stavka 1. ovog članka može uključivati informacije koje se odnose na kibernetičke prijetnje, uključujući informacije o izvoru prijetnje, izbjegnute incidente, ranjivosti, tehnike i postupke, pokazatelje ugroženosti, taktike, tehnike i procedure kibernetičkih napadača, indikatore kompromitacije, kibernetička sigurnosna upozorenja i preporuke o konfiguraciji kibernetičkih sigurnosnih alata za otkrivanje kibernetičkih napada.

(3) Razmjena informacija iz stavka 2. ovog članka odvija se između subjekata iz stavka 1. ovog članka te, prema potrebi, njihovih dobavljača ili pružatelja usluga, putem mehanizama za razmjenu informaciju uspostavljenih posebno u te svrhe.

(4) Mehanizmi iz stavka 3. ovog članka uspostavljaju se na temelju sporazuma o dobrovoljnoj razmjeni informacija o kibernetičkoj sigurnosti.

(5) Sporazumom iz stavka 4. ovog članka utvrđuju se uvjeti za pristupanje mehanizmu koji se sporazumom uspostavlja, sadržaj informacija koje se razmjenjuju, mogućnost upotrebe namjenskih platformi i drugih alata za automatiziranu razmjenu informaciju, kao i svi drugi operativni elementi bitni za učinkovitu i sigurnu razmjenu informacija.

(6) Ključni i važni subjekti o svom sudjelovanju u mehanizmima za dobrovoljnu razmjenu informacija o kibernetičkoj sigurnosti iz stavka 3. ovog članka dužni su obavije stiti nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti, a subjekti javnog sektora koji su kategorizirani kao ključni subjekti dužni su dodatno o takvom sudjelovanju i opsegu informacija koje mogu razmjenjivati s ostalim uključenim dionicima zatražiti mišljenje središnjeg državnog tijela za kibernetičku sigurnost.

Koordinirano otkrivanje ranjivosti

Članak 54.

(1) Svaka fizička i pravna osoba može anonimno prijaviti ranjivost.

(2) Prijave ranjivosti podnose se CSIRT koordinatoru za otkrivanje ranjivosti.

(3) CSIRT koordinator za otkrivanje ranjivosti djeluje kao pouzdani posrednik koji, prema potrebi, olakšava interakciju između fizičke ili pravne osobe koja prijavljuje ranjivost i proizvođača ili pružatelja potencijalno ranjivih IKT proizvoda ili IKT usluga, na zahtjev bilo koje strane.

(4) Zadaće CSIRT koordinatora za otkrivanje ranjivosti su utvrđivanje predmetnih subjekata i kontaktiranje s njima, pružanje pomoći fizičkim ili pravnim osobama koje prijavljuju ranjivost i pregovaranje o vremenskom okviru za usklađeno otkrivanje i upravljanje ranjivostima koje utječu na više subjekata.

(5) CSIRT koordinator za otkrivanje ranjivosti osigurava provedbu daljnjih mjera u pogledu prijavljene ranjivosti i osigurava anonimnost fizičke ili pravne osobe koja prijavljuje ranjivost.

(6) CSIRT koordinator za otkrivanje ranjivosti dostavlja informacije o novootkrivenim ranjivostima nadležnim CSIRT-ovima iz ovog Zakona, zajedno s uputom o načinu daljnjeg obavještavanja o ranjivostima subjekata u njihovoj nadležnosti.

(7) Nadležni CSIRT-ovi izrađuju smjernice namijenjene korisnicima ranjivih IKT proizvoda ili IKT usluga o načinu na koji se mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti te dostavljaju obavijesti s najboljim praksama subjektima za koje su zaduženi temeljem ovog Zakona.  

(8)  Ako bi prijavljena ranjivost mogla imati znatan učinak na subjekte u više od jedne države članice, CSIRT koordinator za otkrivanje ranjivosti, prema potrebi, surađuje s CSIRT-ovima drugih država članica koji su imenovani koordinatorima za otkrivanje ranjivosti u okviru CSIRT mreže.

(9) Zadaće CSIRT koordinatora za otkrivanje ranjivosti obavlja CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost.

DIO PETI

STRATEŠKO PLANIRANJE I UPRAVLJANJE KIBERNETIČKOM SIGURNOSTI

Nacionalni akt strateškog planiranja iz područja kibernetičke sigurnosti

Članak 55.

(1) Vlada, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost, donosi srednjoročni akt strateškog planiranja iz područja kibernetičke sigurnosti.

(2) Aktom strateškog planiranja iz stavka 1. ovog članka obvezno se utvrđuju:

- posebni ciljevi i prioriteti u području razvoja kibernetičke sigurnosti koji najmanje obuhvaćaju javne politike iz Priloga IV. ovog Zakona te

- okvir za praćenje i vrednovanje provedbe ciljeva i prioriteta iz podstavka 1. ovog stavka.

(3) U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja iz stavka 1. ovog članka, izrađuje se akcijski plan za njegovu provedbu.

(4) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja iz stavka 1. ovog članka provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.

(5) Središnje državno tijelo za kibernetičku sigurnost obavještava Europsku komisiju o donošenju akta strateškog planiranja iz stavka 1. ovog članka u roku od 90 dana od dana njegovog donošenja, odnosno u roku od 90 dana od dana donošenja njegovih izmjena i/ili dopuna.

Upravljanje kibernetičkim incidentima velikih razmjera i kibernetičkim krizama