NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI
I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje Zakona o kibernetičkoj sigurnosti sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, broj 85/10. - pročišćeni tekst i 5/14. - Odluka Ustavnog suda Republike Hrvatske).
II. OCJENA STANJA I OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE DONOŠENJA ZAKONA
Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (u daljem tekstu: NIS2 direktiva), donesena je s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148).
NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.
NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive. Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi čitav niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 kriza ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor.
Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:
-višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovog Nacrta) te
-promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.
Usklađena primjena NIS2 zahtjeva na razini svih država članica i EU institucija osigurat će ključne ciljeve sigurnosti kritičnih kibernetičkih elemenata EU i država članica, učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima, suradnju svih nadležnih tijela i subjekata obveznika NIS2 direktive, kao i uspostavu reguliranog pristupa kibernetičkoj sigurnosti na razini cijele EU, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.
NIS2 direktivom želi se postići učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te u nacionalnim kibernetičkim prostorima država članica. Vrijeme uvođenja NIS2 direktive je kritično jer EU već kasni u regulaciji kibernetičke sigurnosti u odnosu na brzi razvoj tehnologije. NIS2 direktiva je središnji akt kibernetičke sigurnosti EU, ali istovremeno i samo jedan akt u paketu EU kibernetičko i sigurnosno povezanih akata donesenih 2022. godine, kao što su DORA1 uredba (financijski sektor) ili CER2 direktiva (kritična infrastruktura). Dodatno je NIS2 povezan i s CSA3 aktom (kibernetička sigurnosna certifikacija) iz 2019. godine, a u tijeku je usuglašavanje CRA4 akta (zahtjevi kibernetičke sigurnosti za proizvode s digitalnim elementima). Na sve ovo nadovezuje se potpuno novi paket akata kibernetičke sigurnosti, koji je Europska komisija (EK) objavila 518. travnja 2023. i koji sadrži dopune spomenutog CSA akta iz 2019. godine, koje su sada usklađene s NIS2 direktivom, kao i novi prijedlog Cyber Solidarity Acta6 (poboljšane mogućnosti odgovora na incidente kroz infrastrukturu i osposobljene institucije) i Cyber Skills Academy7 (virtualna platforma za razvoj znanja i vještina iz područja kibernetičke sigurnosti). Razvidno je da kibernetička sigurnost danas nužno traži uspostavu reguliranog pristupa kakav je u tradicionalnim resorima državne uprave prisutan već desetljećima (npr. promet, financije, poljoprivreda ili gospodarstvo).
Organizacijski se NIS2 transpozicija provodi na isti način kao i NIS1 transpozicija 2018. godine, kroz međuresornu radnu skupinu Nacionalnog vijeća za kibernetičku sigurnost (NVKS). NVKS je međuresorno tijelo za koordinaciju horizontalnih nacionalnih inicijativa u području kibernetičke sigurnosti, ustrojeno na temelju Nacionalne strategije kibernetičke sigurnosti Republike Hrvatske iz 2015. godine („Narodne novine“, broj: 108/15), a čine ga predstavnici 16 tijela. Dogovorom NVKS-a, NIS1 transpoziciju 2018. godine koordinirao je Ured Vijeća za nacionalnu sigurnost (UVNS), a NIS2 transpoziciju koordinira Sigurnosno-obavještajna agencija (SOA).
Jedan od ključnih ciljeva EU-a kroz NIS2 direktivu jest uvođenje reguliranog pristupa području kibernetičke sigurnosti. Razlog tome je visoka ovisnost suvremenog društva o tehnologiji koja se razvija velikom brzinom. Pri tome se ne misli samo na državni sektor ili na kritičnu infrastrukturu, već na sve segmente suvremenog društva, koji u velikom broju slučajeva mogu uzrokovati kaskadno širenje kibernetičkih incidenata i onemogućavanje ključnih društvenih i gospodarskih procesa.
Stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata - obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika. Ovakav pristup provodi se prvi put na razini EU na cjelovit način i u svrhu sustavne regulacije kibernetičke sigurnosti. Takav pristup uvodi odgovarajuće obveze kibernetičke sigurnosti za sve subjekte obveznike, ali istovremeno otvara gospodarski potencijal na razini EU-a za sve hrvatske tvrtke koje imaju sposobnosti u području kibernetičke sigurnosti.
Regulirani pristup kibernetičkoj sigurnosti nužno traži određenu razinu organizacijske centralizacije, kako na EU razini (npr. EK je kroz Cyber Security Act 2019. godine reorganizirala ENISA-u u Agenciju za kibernetičku sigurnost EU, a EU-CERT postavila za središnje tehničko tijelo za odgovor na kibernetičke incidente), tako i na razini država članica. Na razini država članica nema jednoobraznog rješenja. Različit pristup država članica u centralizaciji kibernetičke sigurnosti ponajviše je rezultat različitosti nacionalnog razvoja kibernetičkih resursa koji su se u prethodnim godinama razvili u pojedinim državama članicama. Sigurnosno-obavještajni sustavi velikog broja EU država članica korišteni su za proces centralizacije, budući da je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti. To je vidljivo i iz aspekta kibernetičkih ugroza, gdje su najvažniji nacionalni resursi oni koji služe suzbijanju najvećih opasnosti za kibernetičku sigurnost, a to su prije svega državno-sponzorirani kibernetički APT8 napadi, ali i napadi zlonamjernim ucjenjivačkim programskim kôdovima (Ransomware), koje sustavno provode organizirane kriminalne skupine i koji čine značajnu štetu državama i poslovnom sektoru na globalnoj razini.
Sukladno navedenome, ovim Zakonom se predlaže organizacijski pristup kojim bi se nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti, a s ciljem uvođenja centralizacije upravljanja kibernetičkom sigurnošću i stvaranja novog Nacionalnog centra za kibernetičku sigurnost. Pri tome se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti. Neke od do sada izgrađenih kibernetičkih sposobnosti i resursa su:
-Centar za kibernetičku sigurnost SOA-e uspostavljen 2019. godine.
-Temeljem Odluke Vlade Republike Hrvatske iz 2021. godine, sustav SK@UT je utvrđen kao nacionalni sustav za otkrivanje naprednih kibernetičkih prijetnji i zaštitu kibernetičkog prostora9. U SK@UT su uključena sva ministarstva i ključna državna tijela, operatori ključne infrastrukture, primarno iz sektora energetike i transporta, kao i niz drugih tvrtki značajnih za Republiku Hrvatsku u cjelini. Sustav SK@UT omogućuje nacionalnu i globalnu10 razmjenu informacija o kibernetičkim incidentima i koordiniranje odgovora na kibernetičke napade u stvarnom ili gotovo stvarnom vremenu.
-Na temelju odluke Nacionalnog vijeća za kibernetičku sigurnost i Koordinacije za sustav domovinske sigurnosti, SOA od 2020. godine provodi operativnu razinu koordinacije 11 u upravljanju kibernetičkim napadima velikih razmjera i kibernetičkim krizama u Republici Hrvatskoj.
-SOA sudjeluje kao hrvatski predstavnik u EU-CyCLONe12 mreži za upravljanje EU kibernetičkim krizama od 2020. godine, a pristup upravljanju kibernetičkim krizama EU-a razvijen u EU-CyCLONe mreži propisuje se kroz NIS2 zahtjeve i u Republici Hrvatskoj je u potpunosti usklađen u proteklim godinama.
-Krajem 2022. godine SOA je započela nacionalnu koordinaciju provedbe Pilot projekta EK i ENISA-e za podizanje kibernetičke otpornosti na razini EU te je ukupno osigurala povlačenje od najmanje 1,7 milijuna eura EU financijskih sredstava, za razdoblje od 2023. do 2025. godine, u kojem će 100% europskim sredstvima financirane usluge kibernetičke sigurnosti provoditi hrvatske tvrtke u privatnim i državnim entitetima iz sustava SK@UT.
-Zaključkom o zaduženjima tijela državne uprave i drugih tijela za sudjelovanje u radu radnih skupina i odbora Vijeća Europske unije, Vlada Republike Hrvatske odredila je u rujnu 2022. godine SOA-u za nacionalnog koordinatora i praćenje EU kibernetičkih pitanja kroz Horizontalnu radnu skupinu za kibernetička pitanja (HWPCI) Vijeća EU, kroz koju se usklađuju svi uvodno spomenuti kibernetički akti EU-a (NIS2, CER, CRA, CSA, …).
Problem brzog razvoja tehnologije neumitno generira nedostatak stručnjaka i to je problem cijelog svijeta pa i Republika Hrvatske u području kibernetičke sigurnosti. Najbolji način kojim se EU i niz razvijenih zemalja pokušava nositi s ovim problemom upravo je učinkovita organizacija i odgovarajuća organizacijska centralizacija, podizanje razine regulacije područja kibernetičke sigurnosti te paralelni razvoj i poticanje obrazovnih programa. Svi ti elementi u određenoj mjeri su započeti u Republici Hrvatskoj kroz Nacionalnu strategiju kibernetičke sigurnosti iz 2015. godine, nastavljeni su NIS1 transpozicijom iz 2018. godine te se dalje planiraju nastaviti izgrađivati NIS2 transpozicijom i njenom provedbom u narednim godinama.
Povećanje broja sektora i podsektora te vrsta usluga koje zahvaća NIS2 direktiva, odnosno povećanje broja obveznika NIS direktive, predstavlja nužnost suvremenog društva. Danas sve vrste tvrtki, od najvećih tvrtki do mikro poduzetnika, koriste informacijsku i komunikacijsku tehnologiju (IKT) te se može reći da svaka tvrtka i državno tijelo dio svojih poslovnih procesa zasniva na IKT-u. Na taj način sve te tvrtke ulažu u IKT, uključujući i ulaganja u sustave kibernetičke zaštite, u sklopu svojih redovitih troškova i neovisno o NIS2 direktivi. Subjekti obveznici NIS2 direktive i one pravne osobe koje će dobrovoljno primjenjivati pojedine NIS2 mjere kibernetičke sigurnosti, dobivaju mogućnost da svoja postojeća IKT ulaganja sustavno i postupno usmjeravaju s ciljem povećanja učinkovitosti i međusobne sukladnosti subjekata obveznika i drugih pravnih osoba u svim državama članicama EU. Dakle, cilj NIS2 direktive nije trenutno uvesti dodatan trošak za IKT unutar javnog sektora i poslovne zajednice, već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti, kako bi se u konačnici smanjili rizici i troškovi prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima.
Kroz Zakon se stoga predviđa proces kategorizacije subjekata, u okviru kojeg se primjenjuju utvrđeni kriteriji za razvrstavanje subjekata u kategorije ključnih i važnih subjekata, što će se provesti u roku od godine dana od stupanja na snagu Zakona te će se nakon toga periodično, svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirati. Tek po obavijesti o kategorizaciji započinje rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene, ovisno o tome u koju kategoriju je subjekt razvrstan, kroz razdoblje od najduže dodatne dvije godine. Na taj način postupni proces tranzicije traje punih četiri godine nakon stupanja na snagu Zakona.
Upravo ta sukladnost sa zahtjevima NIS2 direktive, koja će svima osigurati manje troškove i gubitke u slučaju kibernetičkih incidenata, ima i dodatni cilj - omogućiti gospodarskim subjektima koji se bave kibernetičkom sigurnošću povećanu konkurentnost, ne samo na hrvatskom već i na širem EU tržištu. Regulacija područja kibernetičke sigurnosti i zahtjevi sukladnosti nužni su za današnji stupanj razvoja IKT-a te ih treba promatrati kao i u slučaju tradicionalnih sektora poput prometa, koji su danas visoko regulirani i usklađeni te primjerice pojava „nesukladnih entiteta“ u prometu nikome nije prihvatljiva.
NIS2 zahtjevi kroz ovaj Zakon primjenjuju se na sektore, podsektore i vrste subjekata, popisanih u Prilozima I. i II. Zakona odnosno na isti način kako je područje primjene NIS2 zahtjeva regulirano NIS2 direktivom. Prilog I. ovog Zakona obuhvaća visoko kritične sektore, podsektore i vrste subjekata te se sastoji od 11 sektora primarno namijenjenih razvrstavanju ključnih subjekata, prema općim kriterijima za provedbu kategorizacije subjekata. Ključni subjekti su oni subjekti na koje se mjere kibernetičke sigurnosti ovog Zakona primjenjuju u cijelosti, od zahtjeva za primjenom mjera, preko izvještavanja o incidentima, provedbe nezavisne ocjene sukladnosti, do nadzora (ex-ante pristup). Prilog II. ovog Zakona obuhvaća sektore, podsektore i vrste subjekata koji predstavljaju druge kritične sektore, a sastoji se od osam sektora, pri čemu je prvih sedam sektora preuzeto iz Priloga II. NIS2 direktive, dok je osmi sektor, sustav obrazovanja, nacionalno dodan temeljem NIS2 preporuke državama članicama i dogovora nadležnih tijela na nacionalnoj razini. Prilog II. je primarno namijenjen razvrstavanju važnih subjekata prema općim kriterijima za provedbu kategorizacije subjekata, odnosno subjekata koji primjenjuju mjere kibernetičke sigurnosti iz ovog Zakona, ali to provode samostalno i potvrđuju kroz postupak samoocjene (ex-post pristup) te se za takve subjekte ne provodi redovita nezavisna ocjena sukladnosti niti redoviti nadzor. Važni subjekti dužni su izvještavati o incidentima nadležno CSIRT tijelo, ali nadzor važnog subjekta provodi se samo u slučaju kada nadležno nadzorno tijelo zaprimi informacije koje ukazuju da važni subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama, ili ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima, ili ne postupa po drugim zahtjevima nadležnih tijela iz ovog Zakona. Pored kategorizacije subjekata temeljem općih kriterija, provodi se i kategorizacija subjekata temeljem posebnih kriterija, pri čemu se razvrstavanje pojedinog subjekta kao ključnog ili kao važnog može provoditi neovisno o pripadnosti subjekta sektorima iz Priloga I. ili II. ovog Zakona.
NIS2 mjere kibernetičke sigurnosti dio su procesa upravljanja kibernetičkim sigurnosnim rizicima koji je obvezujući za sve subjekte NIS2 direktive. Pri tome se primjenjuju EU ili međunarodne norme za upravljanje rizicima i provedbu sigurnosnih mjera. Razina sigurnosti i primijenjene sigurnosne mjere trebaju biti proporcionalne procijenjenom riziku kibernetičke sigurnosti svakog subjekta. Pri tome su kriteriji rizika primjerice: izloženost subjekta rizicima, veličina subjekta, vjerojatnost pojave kibernetičkih napada i njihova ozbiljnost, uključujući društveni i gospodarski utjecaj kibernetičkih napada, izloženost mrežnih i informacijskih sustava koje subjekt koristi, kao i korištena IKT. Provodi se tzv. „All Hazards Approach” – Failure, Accident, Attack – otkaz, nesreća, napad, odnosno uzimaju se u obzir sve vrste uzroka koji mogu dovesti do incidenata na mrežnim i informacijskim sustavima i posljedično do utjecaja na funkcioniranje usluga koje subjekt pruža, odnosno djelatnosti koju obavlja, kao i utjecaja na druge fizičke ili pravne osobe.
-tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te
-mjere za sprječavanje ili smanjivanje na najmanju moguću mjeru utjecaja kibernetičkih incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.
Obvezujuća područja za procjenu kibernetičkih sigurnosnih rizika obuhvaćaju niz područja kao što su primjerice: postupanje s incidentima, kontinuitet poslovanja, sigurnost lanaca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga, kao i mnoga druga područja.
Uloga NIS2 nadležnih tijela pri tome je kategorizirati, odnosno razvrstati subjekte obveznike NIS2 sukladno sektorskoj pripadnosti i utvrđenim kriterijima, davati smjernice subjektima, pomagati u prevenciji i odgovoru na kibernetičke incidente, pratiti periodički proces ocjene NIS2 sukladnosti ključnih subjekata te provoditi njihov periodički nadzor, kao i pratiti periodički proces samoocjene NIS2 sukladnosti važnih subjekata te prema potrebi provoditi njihov izvanredni nadzor. Sva nadležna tijela u području kibernetičke sigurnosti iz ovog Zakona povezana su sa sektorima, podsektorima i vrstama subjekata za koje su nadležni u Prilogu III. ovog Zakona.
U ovom Zakonu razlikujemo tri grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu se trenutno radi o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Nadležna tijela za provedbu posebnih zakona stoga provode svoje sektorske propise koji sadrže veću ili jednaku razinu zahtjeva kibernetičke sigurnosti kao NIS2 direktiva, pri čemu se ovim Zakonom utvrđuje obveza nadležnih tijela za provedbu posebnih zakona za uključenje svojih sektorskih subjekata u razmjenu informacija i izvještavanje o incidentima na nacionalnoj razini.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo. Specifičnost polu-autonomnih sektora jest da je kibernetička sigurnost u određenoj mjeri propisana sektorskim propisima na EU razini i/ili nacionalnoj razini, ali je to nedovoljno u odnosu na zahtjeve NIS2 direktive. Stoga je već NIS2 direktiva stavila izvan snage pojedine članke vezane za kibernetičku sigurnost u mjerodavnim EU aktima za sektor elektroničkih komunikacija 13 i sektor pružatelja usluga povjerenja14. Na sličan način je za potrebe javnog sektora potrebno primijeniti NIS2 zahtjeve kibernetičke sigurnosti, koji su značajno prošireni u odnosu na postojeće zahtjeve koji proizlaze iz propisa koji uređuju područje informacijske sigurnosti. Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata iz Priloga I. i II. ovog Zakona, ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora: sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT15 tijela, Zakonom se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta prema Prilogu III. ovog Zakona. Nadležna CSIRT tijela za Republiku Hrvatsku su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CERT, ustrojen u CARNET-u.
Zakon utvrđuje i način usklađivanja sadržaja nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, čiji se sadržaji detaljno razrađuju u Prilogu IV. ovog Zakona te su usklađeni s NIS2 zahtjevima za sve države članice.
Također, ovim Zakonom uvode se okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela iz ovog Zakona, a napose od strane nadležnih CSIRT-ova.
Provedba NIS2 transpozicije otvara mogućnosti usklađenog i optimalnog usmjeravanja proračunskih sredstava, ali i korištenja EU fondova za javni i za privatni sektor, kao i izbjegavanja neracionalnog multipliciranja nacionalnih kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. U tom smislu Zakon obvezuje nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti na suradnju i međusobnu razmjenu relevantnih informacija s nacionalnim koordinacijskim centrom imenovanim temeljem Uredbe (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021. o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti i mreže nacionalnih koordinacijskih centara (SL L 202/1, 8.6.2021.). Na taj način će se bolje koordinirati EU sredstva za potporu kibernetičke sigurnosti. Spomenuti Pilot projekt EK i ENISA-e, koji u razdoblju od 2023. do 2025. godine SOA koordinira na razini Republike Hrvatske, također je primjer povlačenja EU sredstava u razdoblju do uspostave i pune funkcionalnosti nacionalnog koordinacijskog centra, a poslužio je kao primjer i za pripremu novog EU prijedloga Cyber Solidarity Acta.
Zakonom je, radi potpunog prijenosa NIS2 direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskih akata, uredbe Vlade Republike Hrvatske, kojom se detaljnije uređuju područja iz ovog Zakona, te nacionalnog plana za upravljanje kibernetičkim krizama, kao i nacionalnog plana razvoja kibernetičke sigurnosti, s akcijskim planom za njegovu provedbu. Dodatno je, u svrhu pune funkcionalnosti transpozicije, potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj. Rok za potpuni prijenos NIS2 direktive u opisanom smislu je 17. listopada 2024. godine.
1DORA – Digital Operating Resilency Act, ključni akt EU financijskog sektora koji se direktno primjenjuje na sve države članice i donesen je na isti dan kada i NIS2 direktiva (u RH nositelji provedbe uz MF su HNB i HANFA)
2CER – Critical Entities Resiliency Directive, ključni akt za EU kritičnu infrastrukturu koji sve države članice moraju transponirati u istom roku u kojem i NIS2, pri čemu je pristup usko usklađen tako da CER direktiva pokriva fizičku sigurnost, a NIS2 kibernetičku sigurnost te se CER direktiva odnosi na ključne sektore iz Priloga I. NIS2 direktive, a svi kritični subjekti po CER direktivi (fizička sigurnost) obavezno postaju ključni subjekti po NIS2 direktivi (kibernetička sigurnost) – u RH je MUP nositelj transpozicije CER direktive
3CSA – Cyber Security Act, donesen 2019. godine s direktnom primjenom na države članice EU-a, redefinirao je agenciju ENISA u EU agenciju za kibernetičku sigurnost, ali je uspostavio i zajednički EU okvir za kibernetičku sigurnosnu certifikaciju, kojim je osigurao isti okvir za uvođenje obvezujuće certifikacije pojedinih kibernetičkih proizvoda i usluga te definiranje ključnih EU i nacionalnih tijela za provedbu ovih poslova na isti način u cijeloj EU (u RH uspostavljeno Zakonom o kibernetičkoj sigurnosnoj certifikaciji, „Narodne novine“, broj: 63/2022, te kroz nadležnosti Hrvatske akreditacijske agencije – HAA i Zavoda za sigurnost informacijskih sustava - ZSIS)
4CRA - Cyber Resiliency Act, direktno će se primjenjivati na sve države članice s ciljem da utvrdi EU obveze sigurnosne certifikacije pojedinih komercijalnih proizvoda, od kategorije Interneta stvari (tzv. Internet of Things – IoT), preko uređaja koji imaju ugrađeni softver ili vezu na Internet pa do softverske podrške u širem smislu.
8APT – Advanced Persistent Threat, napredna ustrajna prijetnja, je kratica koja se koristi za različite vrste kibernetičkih napada koje provode državno-sponzorirane APT grupe, pri čemu takve APT kibernetičke napade obilježava visoka razina stručnosti i prikrivenosti počinitelja napada, koji napad provodi redovito u dužem vremenskom razdoblju (mjesecima), s najčešćim ciljem krađe povjerljivih podataka. U novije vrijeme taktike, tehnike i procedure (TTP) državno-sponzoriranih APT napadača sve češće koriste organizirane kriminalne skupine za ucjenjivačke kibernetičke napade (Ransomware).
9 Centar za kibernetičku sigurnost i sustav SK@UT su nacionalni sigurnosno-operativni centar (SOC) s mrežom distribuiranih senzora koji prate promet prema Internetu u više od 60 državnih, javnih i privatnih entiteta, koji su kritični za nacionalnu razinu (npr. operatori u energetici i transportu), i koji su se uključili u SK@UT sustav na principima suradnje, međusobnog povjerenja i transparentnosti, a s ciljem zaštite od sofisticiranih kibernetičkih ugroza i pomoći u odgovoru na kibernetičke napade.
10SOA osigurava stalno ažuriranje indikatora kompromitacije, kao i taktika, tehnika i procedura državno-sponzoriranih APT grupa, pri čemu se koristi visoko razvijena međunarodna sigurnosno-obavještajna suradnja SOA-e, niz otvorenih izvora, kao i komercijalni industrijski sigurnosni izvori te EU i NATO platforme za razmjenu podataka.
11Uska suradnja između SOA-e, MUP-a, MORH-a, VSOA-e, ZSIS-a, Nacionalnog CERT-a, HAKOM-a i HNB-a.
12EU-CyCLONe mreža – European Cyber Crises Liaisone Organisation Network (Europska mreža organizacija za vezu za kibernetičke krize
13 EECC – European Electronic Communications Code - DIREKTIVA (EU) 2018/1972 EUROPSKOG PARLAMENTA I VIJEĆA od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija
14 eIDAS - UREDBA (EU) br. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ
15 CSIRT – Computer Security Incident Response Team, je tijelo nadležno za prevenciju i zaštitu od incidenata u okviru NIS2 sektora, a pojam je uveden NIS1 transpozicijskim Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
III. OCJENA POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovog Zakona u Državnom proračunu za 2023. i projekcijama za 2024. i 2025. godinu osiguran je dio sredstava, a ostatak će se osigurati u okviru dodijeljenih limita nadležnih tijela u narednim razdobljima ovisno o stanju postojećih kapaciteta nadležnih tijela, broju subjekata obveznika provedbe zahtjeva iz ovog Zakona te mogućnostima korištenja sredstava iz EU fondova koji će biti raspoloživi u svrhu provedbe NIS2 direktive u državama članicama.
IV. TEKST PRIJEDLOGA ZAKONA
Tekst prijedloga zakona dan je u obliku Nacrta prijedloga zakona o kibernetičkoj sigurnosti.
PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI
DIO PRVI
OSNOVNE ODREDBE
Predmet Zakona
Članak 1.
(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe ovog Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.
(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
(3) Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti, od nacionalnog su značaja za Republiku Hrvatsku.
Popis priloga koji su sastavni dio Zakona
Članak 2.
Sastavni dio ovoga Zakona su:
− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog I. ovog Zakona)
− Prilog II. Drugi kritični sektori (u daljnjem tekstu: Prilog II. ovog Zakona)
− Prilog III. Popis nadležnosti u području kibernetičke sigurnosti (u daljnjem tekstu: Prilog III. ovog Zakona) i
− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti (u daljnjem tekstu: Prilog IV. ovog Zakona).
Usklađivanje propisa s pravnim aktima Europske unije
Članak 3.
Ovim Zakonom se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2) (SL L 333/80, 27.12.2022.).
NACRT PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI
Komentirate u ime: Ministarstvo hrvatskih branitelja
I. UST AVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje Zakona o kibernetičkoj sigurnosti sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, broj 85/10. - pročišćeni tekst i 5/14. - Odluka Ustavnog suda Republike Hrvatske).
Komentirate u ime: Ministarstvo hrvatskih branitelja
II. OCJENA STANJA I OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE DONOŠENJA ZAKONA
Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (u daljem tekstu: NIS2 direktiva), donesena je s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148).
NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.
NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive. Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi čitav niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 kriza ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor.
Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:
- višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovog Nacrta) te
- promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.
Usklađena primjena NIS2 zahtjeva na razini svih država članica i EU institucija osigurat će ključne ciljeve sigurnosti kritičnih kibernetičkih elemenata EU i država članica, učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima, suradnju svih nadležnih tijela i subjekata obveznika NIS2 direktive, kao i uspostavu reguliranog pristupa kibernetičkoj sigurnosti na razini cijele EU, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.
NIS2 direktivom želi se postići učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te u nacionalnim kibernetičkim prostorima država članica. Vrijeme uvođenja NIS2 direktive je kritično jer EU već kasni u regulaciji kibernetičke sigurnosti u odnosu na brzi razvoj tehnologije. NIS2 direktiva je središnji akt kibernetičke sigurnosti EU, ali istovremeno i samo jedan akt u paketu EU kibernetičko i sigurnosno povezanih akata donesenih 2022. godine, kao što su DORA 1 uredba (financijski sektor) ili CER 2 direktiva (kritična infrastruktura). Dodatno je NIS2 povezan i s CSA 3 aktom (kibernetička sigurnosna certifikacija) iz 2019. godine, a u tijeku je usuglašavanje CRA 4 akta (zahtjevi kibernetičke sigurnosti za proizvode s digitalnim elementima). Na sve ovo nadovezuje se potpuno novi paket akata kibernetičke sigurnosti, koji je Europska komisija (EK) objavila 5 18. travnja 2023. i koji sadrži dopune spomenutog CSA akta iz 2019. godine, koje su sada usklađene s NIS2 direktivom, kao i novi prijedlog Cyber Solidarity Acta 6 (poboljšane mogućnosti odgovora na incidente kroz infrastrukturu i osposobljene institucije) i Cyber Skills Academy 7 (virtualna platforma za razvoj znanja i vještina iz područja kibernetičke sigurnosti). Razvidno je da kibernetička sigurnost danas nužno traži uspostavu reguliranog pristupa kakav je u tradicionalnim resorima državne uprave prisutan već desetljećima (npr. promet, financije, poljoprivreda ili gospodarstvo).
Organizacijski se NIS2 transpozicija provodi na isti način kao i NIS1 transpozicija 2018. godine, kroz međuresornu radnu skupinu Nacionalnog vijeća za kibernetičku sigurnost (NVKS). NVKS je međuresorno tijelo za koordinaciju horizontalnih nacionalnih inicijativa u području kibernetičke sigurnosti, ustrojeno na temelju Nacionalne strategije kibernetičke sigurnosti Republike Hrvatske iz 2015. godine („Narodne novine“, broj: 108/15), a čine ga predstavnici 16 tijela. Dogovorom NVKS-a, NIS1 transpoziciju 2018. godine koordinirao je Ured Vijeća za nacionalnu sigurnost (UVNS), a NIS2 transpoziciju koordinira Sigurnosno-obavještajna agencija (SOA).
Jedan od ključnih ciljeva EU-a kroz NIS2 direktivu jest uvođenje reguliranog pristupa području kibernetičke sigurnosti. Razlog tome je visoka ovisnost suvremenog društva o tehnologiji koja se razvija velikom brzinom. Pri tome se ne misli samo na državni sektor ili na kritičnu infrastrukturu, već na sve segmente suvremenog društva, koji u velikom broju slučajeva mogu uzrokovati kaskadno širenje kibernetičkih incidenata i onemogućavanje ključnih društvenih i gospodarskih procesa.
Stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata - obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika. Ovakav pristup provodi se prvi put na razini EU na cjelovit način i u svrhu sustavne regulacije kibernetičke sigurnosti. Takav pristup uvodi odgovarajuće obveze kibernetičke sigurnosti za sve subjekte obveznike, ali istovremeno otvara gospodarski potencijal na razini EU-a za sve hrvatske tvrtke koje imaju sposobnosti u području kibernetičke sigurnosti.
Regulirani pristup kibernetičkoj sigurnosti nužno traži određenu razinu organizacijske centralizacije, kako na EU razini (npr. EK je kroz Cyber Security Act 2019. godine reorganizirala ENISA-u u Agenciju za kibernetičku sigurnost EU, a EU-CERT postavila za središnje tehničko tijelo za odgovor na kibernetičke incidente), tako i na razini država članica. Na razini država članica nema jednoobraznog rješenja. Različit pristup država članica u centralizaciji kibernetičke sigurnosti ponajviše je rezultat različitosti nacionalnog razvoja kibernetičkih resursa koji su se u prethodnim godinama razvili u pojedinim državama članicama. Sigurnosno-obavještajni sustavi velikog broja EU država članica korišteni su za proces centralizacije, budući da je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti. To je vidljivo i iz aspekta kibernetičkih ugroza, gdje su najvažniji nacionalni resursi oni koji služe suzbijanju najvećih opasnosti za kibernetičku sigurnost, a to su prije svega državno-sponzorirani kibernetički APT 8 napadi, ali i napadi zlonamjernim ucjenjivačkim programskim kôdovima ( Ransomware ), koje sustavno provode organizirane kriminalne skupine i koji čine značajnu štetu državama i poslovnom sektoru na globalnoj razini.
Sukladno navedenome, ovim Zakonom se predlaže organizacijski pristup kojim bi se nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti, a s ciljem uvođenja centralizacije upravljanja kibernetičkom sigurnošću i stvaranja novog Nacionalnog centra za kibernetičku sigurnost. Pri tome se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti. Neke od do sada izgrađenih kibernetičkih sposobnosti i resursa su:
- Centar za kibernetičku sigurnost SOA-e uspostavljen 2019. godine.
- Temeljem Odluke Vlade Republike Hrvatske iz 2021. godine, sustav SK@UT je utvrđen kao nacionalni sustav za otkrivanje naprednih kibernetičkih prijetnji i zaštitu kibernetičkog prostora 9 . U SK@UT su uključena sva ministarstva i ključna državna tijela, operatori ključne infrastrukture, primarno iz sektora energetike i transporta, kao i niz drugih tvrtki značajnih za Republiku Hrvatsku u cjelini. Sustav SK@UT omogućuje nacionalnu i globalnu 10 razmjenu informacija o kibernetičkim incidentima i koordiniranje odgovora na kibernetičke napade u stvarnom ili gotovo stvarnom vremenu.
- Na temelju odluke Nacionalnog vijeća za kibernetičku sigurnost i Koordinacije za sustav domovinske sigurnosti, SOA od 2020. godine provodi operativnu razinu koordinacije 11 u upravljanju kibernetičkim napadima velikih razmjera i kibernetičkim krizama u Republici Hrvatskoj.
- SOA sudjeluje kao hrvatski predstavnik u EU-CyCLONe 12 mreži za upravljanje EU kibernetičkim krizama od 2020. godine, a pristup upravljanju kibernetičkim krizama EU-a razvijen u EU-CyCLONe mreži propisuje se kroz NIS2 zahtjeve i u Republici Hrvatskoj je u potpunosti usklađen u proteklim godinama.
- Krajem 2022. godine SOA je započela nacionalnu koordinaciju provedbe Pilot projekta EK i ENISA-e za podizanje kibernetičke otpornosti na razini EU te je ukupno osigurala povlačenje od najmanje 1,7 milijuna eura EU financijskih sredstava, za razdoblje od 2023. do 2025. godine, u kojem će 100% europskim sredstvima financirane usluge kibernetičke sigurnosti provoditi hrvatske tvrtke u privatnim i državnim entitetima iz sustava SK@UT.
- Zaključkom o zaduženjima tijela državne uprave i drugih tijela za sudjelovanje u radu radnih skupina i odbora Vijeća Europske unije, Vlada Republike Hrvatske odredila je u rujnu 2022. godine SOA-u za nacionalnog koordinatora i praćenje EU kibernetičkih pitanja kroz Horizontalnu radnu skupinu za kibernetička pitanja (HWPCI) Vijeća EU, kroz koju se usklađuju svi uvodno spomenuti kibernetički akti EU-a (NIS2, CER, CRA, CSA, …).
Problem brzog razvoja tehnologije neumitno generira nedostatak stručnjaka i to je problem cijelog svijeta pa i Republika Hrvatske u području kibernetičke sigurnosti. Najbolji način kojim se EU i niz razvijenih zemalja pokušava nositi s ovim problemom upravo je učinkovita organizacija i odgovarajuća organizacijska centralizacija, podizanje razine regulacije područja kibernetičke sigurnosti te paralelni razvoj i poticanje obrazovnih programa. Svi ti elementi u određenoj mjeri su započeti u Republici Hrvatskoj kroz Nacionalnu strategiju kibernetičke sigurnosti iz 2015. godine, nastavljeni su NIS1 transpozicijom iz 2018. godine te se dalje planiraju nastaviti izgrađivati NIS2 transpozicijom i njenom provedbom u narednim godinama.
Povećanje broja sektora i podsektora te vrsta usluga koje zahvaća NIS2 direktiva, odnosno povećanje broja obveznika NIS direktive, predstavlja nužnost suvremenog društva. Danas sve vrste tvrtki, od najvećih tvrtki do mikro poduzetnika, koriste informacijsku i komunikacijsku tehnologiju (IKT) te se može reći da svaka tvrtka i državno tijelo dio svojih poslovnih procesa zasniva na IKT-u. Na taj način sve te tvrtke ulažu u IKT, uključujući i ulaganja u sustave kibernetičke zaštite, u sklopu svojih redovitih troškova i neovisno o NIS2 direktivi. Subjekti obveznici NIS2 direktive i one pravne osobe koje će dobrovoljno primjenjivati pojedine NIS2 mjere kibernetičke sigurnosti, dobivaju mogućnost da svoja postojeća IKT ulaganja sustavno i postupno usmjeravaju s ciljem povećanja učinkovitosti i međusobne sukladnosti subjekata obveznika i drugih pravnih osoba u svim državama članicama EU. Dakle, cilj NIS2 direktive nije trenutno uvesti dodatan trošak za IKT unutar javnog sektora i poslovne zajednice, već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti, kako bi se u konačnici smanjili rizici i troškovi prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima.
Kroz Zakon se stoga predviđa proces kategorizacije subjekata, u okviru kojeg se primjenjuju utvrđeni kriteriji za razvrstavanje subjekata u kategorije ključnih i važnih subjekata, što će se provesti u roku od godine dana od stupanja na snagu Zakona te će se nakon toga periodično, svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirati. Tek po obavijesti o kategorizaciji započinje rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene, ovisno o tome u koju kategoriju je subjekt razvrstan, kroz razdoblje od najduže dodatne dvije godine. Na taj način postupni proces tranzicije traje punih četiri godine nakon stupanja na snagu Zakona.
Upravo ta sukladnost sa zahtjevima NIS2 direktive, koja će svima osigurati manje troškove i gubitke u slučaju kibernetičkih incidenata, ima i dodatni cilj - omogućiti gospodarskim subjektima koji se bave kibernetičkom sigurnošću povećanu konkurentnost, ne samo na hrvatskom već i na širem EU tržištu. Regulacija područja kibernetičke sigurnosti i zahtjevi sukladnosti nužni su za današnji stupanj razvoja IKT-a te ih treba promatrati kao i u slučaju tradicionalnih sektora poput prometa, koji su danas visoko regulirani i usklađeni te primjerice pojava „nesukladnih entiteta“ u prometu nikome nije prihvatljiva.
NIS2 zahtjevi kroz ovaj Zakon primjenjuju se na sektore, podsektore i vrste subjekata, popisanih u Prilozima I. i II. Zakona odnosno na isti način kako je područje primjene NIS2 zahtjeva regulirano NIS2 direktivom. Prilog I. ovog Zakona obuhvaća visoko kritične sektore, podsektore i vrste subjekata te se sastoji od 11 sektora primarno namijenjenih razvrstavanju ključnih subjekata, prema općim kriterijima za provedbu kategorizacije subjekata. Ključni subjekti su oni subjekti na koje se mjere kibernetičke sigurnosti ovog Zakona primjenjuju u cijelosti, od zahtjeva za primjenom mjera, preko izvještavanja o incidentima, provedbe nezavisne ocjene sukladnosti, do nadzora ( ex-ante pristup). Prilog II. ovog Zakona obuhvaća sektore, podsektore i vrste subjekata koji predstavljaju druge kritične sektore, a sastoji se od osam sektora, pri čemu je prvih sedam sektora preuzeto iz Priloga II. NIS2 direktive, dok je osmi sektor, sustav obrazovanja, nacionalno dodan temeljem NIS2 preporuke državama članicama i dogovora nadležnih tijela na nacionalnoj razini. Prilog II. je primarno namijenjen razvrstavanju važnih subjekata prema općim kriterijima za provedbu kategorizacije subjekata, odnosno subjekata koji primjenjuju mjere kibernetičke sigurnosti iz ovog Zakona, ali to provode samostalno i potvrđuju kroz postupak samoocjene ( ex-post pristup) te se za takve subjekte ne provodi redovita nezavisna ocjena sukladnosti niti redoviti nadzor. Važni subjekti dužni su izvještavati o incidentima nadležno CSIRT tijelo, ali nadzor važnog subjekta provodi se samo u slučaju kada nadležno nadzorno tijelo zaprimi informacije koje ukazuju da važni subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama, ili ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima, ili ne postupa po drugim zahtjevima nadležnih tijela iz ovog Zakona. Pored kategorizacije subjekata temeljem općih kriterija, provodi se i kategorizacija subjekata temeljem posebnih kriterija, pri čemu se razvrstavanje pojedinog subjekta kao ključnog ili kao važnog može provoditi neovisno o pripadnosti subjekta sektorima iz Priloga I. ili II. ovog Zakona.
NIS2 mjere kibernetičke sigurnosti dio su procesa upravljanja kibernetičkim sigurnosnim rizicima koji je obvezujući za sve subjekte NIS2 direktive. Pri tome se primjenjuju EU ili međunarodne norme za upravljanje rizicima i provedbu sigurnosnih mjera. Razina sigurnosti i primijenjene sigurnosne mjere trebaju biti proporcionalne procijenjenom riziku kibernetičke sigurnosti svakog subjekta. Pri tome su kriteriji rizika primjerice: izloženost subjekta rizicima, veličina subjekta, vjerojatnost pojave kibernetičkih napada i njihova ozbiljnost, uključujući društveni i gospodarski utjecaj kibernetičkih napada, izloženost mrežnih i informacijskih sustava koje subjekt koristi, kao i korištena IKT. Provodi se tzv. „All Hazards Approach” – Failure, Accident, Attack – otkaz, nesreća, napad, odnosno uzimaju se u obzir sve vrste uzroka koji mogu dovesti do incidenata na mrežnim i informacijskim sustavima i posljedično do utjecaja na funkcioniranje usluga koje subjekt pruža, odnosno djelatnosti koju obavlja, kao i utjecaja na druge fizičke ili pravne osobe.
Mjere upravljanja kibernetičkim sigurnosnim rizicima obuhvaćaju:
- tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te
- mjere za sprječavanje ili smanjivanje na najmanju moguću mjeru utjecaja kibernetičkih incidenata na mrežne i informacijske sustave ključnih i važnih subjekta, primatelje njihovih usluga ili na druge sektore, subjekte i usluge u kibernetičkom prostoru.
Obvezujuća područja za procjenu kibernetičkih sigurnosnih rizika obuhvaćaju niz područja kao što su primjerice: postupanje s incidentima, kontinuitet poslovanja, sigurnost lanaca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga, kao i mnoga druga područja.
Uloga NIS2 nadležnih tijela pri tome je kategorizirati, odnosno razvrstati subjekte obveznike NIS2 sukladno sektorskoj pripadnosti i utvrđenim kriterijima, davati smjernice subjektima, pomagati u prevenciji i odgovoru na kibernetičke incidente, pratiti periodički proces ocjene NIS2 sukladnosti ključnih subjekata te provoditi njihov periodički nadzor, kao i pratiti periodički proces samoocjene NIS2 sukladnosti važnih subjekata te prema potrebi provoditi njihov izvanredni nadzor. Sva nadležna tijela u području kibernetičke sigurnosti iz ovog Zakona povezana su sa sektorima, podsektorima i vrstama subjekata za koje su nadležni u Prilogu III. ovog Zakona.
U ovom Zakonu razlikujemo tri grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu se trenutno radi o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Nadležna tijela za provedbu posebnih zakona stoga provode svoje sektorske propise koji sadrže veću ili jednaku razinu zahtjeva kibernetičke sigurnosti kao NIS2 direktiva, pri čemu se ovim Zakonom utvrđuje obveza nadležnih tijela za provedbu posebnih zakona za uključenje svojih sektorskih subjekata u razmjenu informacija i izvještavanje o incidentima na nacionalnoj razini.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo. Specifičnost polu-autonomnih sektora jest da je kibernetička sigurnost u određenoj mjeri propisana sektorskim propisima na EU razini i/ili nacionalnoj razini, ali je to nedovoljno u odnosu na zahtjeve NIS2 direktive. Stoga je već NIS2 direktiva stavila izvan snage pojedine članke vezane za kibernetičku sigurnost u mjerodavnim EU aktima za sektor elektroničkih komunikacija 13 i sektor pružatelja usluga povjerenja 14 . Na sličan način je za potrebe javnog sektora potrebno primijeniti NIS2 zahtjeve kibernetičke sigurnosti, koji su značajno prošireni u odnosu na postojeće zahtjeve koji proizlaze iz propisa koji uređuju područje informacijske sigurnosti. Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata iz Priloga I. i II. ovog Zakona, ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora: sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT 15 tijela, Zakonom se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta prema Prilogu III. ovog Zakona. Nadležna CSIRT tijela za Republiku Hrvatsku su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CERT, ustrojen u CARNET-u.
Zakon utvrđuje i način usklađivanja sadržaja nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, čiji se sadržaji detaljno razrađuju u Prilogu IV. ovog Zakona te su usklađeni s NIS2 zahtjevima za sve države članice.
Također, ovim Zakonom uvode se okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela iz ovog Zakona, a napose od strane nadležnih CSIRT-ova.
Provedba NIS2 transpozicije otvara mogućnosti usklađenog i optimalnog usmjeravanja proračunskih sredstava, ali i korištenja EU fondova za javni i za privatni sektor, kao i izbjegavanja neracionalnog multipliciranja nacionalnih kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. U tom smislu Zakon obvezuje nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti na suradnju i međusobnu razmjenu relevantnih informacija s nacionalnim koordinacijskim centrom imenovanim temeljem Uredbe (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021. o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti i mreže nacionalnih koordinacijskih centara (SL L 202/1, 8.6.2021.). Na taj način će se bolje koordinirati EU sredstva za potporu kibernetičke sigurnosti. Spomenuti Pilot projekt EK i ENISA-e, koji u razdoblju od 2023. do 2025. godine SOA koordinira na razini Republike Hrvatske, također je primjer povlačenja EU sredstava u razdoblju do uspostave i pune funkcionalnosti nacionalnog koordinacijskog centra, a poslužio je kao primjer i za pripremu novog EU prijedloga Cyber Solidarity Acta .
Zakonom je, radi potpunog prijenosa NIS2 direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskih akata, uredbe Vlade Republike Hrvatske, kojom se detaljnije uređuju područja iz ovog Zakona, te nacionalnog plana za upravljanje kibernetičkim krizama, kao i nacionalnog plana razvoja kibernetičke sigurnosti, s akcijskim planom za njegovu provedbu. Dodatno je, u svrhu pune funkcionalnosti transpozicije, potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj. Rok za potpuni prijenos NIS2 direktive u opisanom smislu je 17. listopada 2024. godine.
1 DORA – Digital Operating Resilency Act, ključni akt EU financijskog sektora koji se direktno primjenjuje na sve države članice i donesen je na isti dan kada i NIS2 direktiva (u RH nositelji provedbe uz MF su HNB i HANFA)
2 CER – Critical Entities Resiliency Directive, ključni akt za EU kritičnu infrastrukturu koji sve države članice moraju transponirati u istom roku u kojem i NIS2, pri čemu je pristup usko usklađen tako da CER direktiva pokriva fizičku sigurnost, a NIS2 kibernetičku sigurnost te se CER direktiva odnosi na ključne sektore iz Priloga I. NIS2 direktive, a svi kritični subjekti po CER direktivi (fizička sigurnost) obavezno postaju ključni subjekti po NIS2 direktivi (kibernetička sigurnost) – u RH je MUP nositelj transpozicije CER direktive
3 CSA – Cyber Security Act, donesen 2019. godine s direktnom primjenom na države članice EU-a, redefinirao je agenciju ENISA u EU agenciju za kibernetičku sigurnost, ali je uspostavio i zajednički EU okvir za kibernetičku sigurnosnu certifikaciju, kojim je osigurao isti okvir za uvođenje obvezujuće certifikacije pojedinih kibernetičkih proizvoda i usluga te definiranje ključnih EU i nacionalnih tijela za provedbu ovih poslova na isti način u cijeloj EU (u RH uspostavljeno Zakonom o kibernetičkoj sigurnosnoj certifikaciji, „Narodne novine“, broj: 63/2022, te kroz nadležnosti Hrvatske akreditacijske agencije – HAA i Zavoda za sigurnost informacijskih sustava - ZSIS)
4 CRA - Cyber Resiliency Act, direktno će se primjenjivati na sve države članice s ciljem da utvrdi EU obveze sigurnosne certifikacije pojedinih komercijalnih proizvoda, od kategorije Interneta stvari (tzv. Internet of Things – IoT), preko uređaja koji imaju ugrađeni softver ili vezu na Internet pa do softverske podrške u širem smislu.
5 https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2243
6 Akt o kibernetičkoj sloidarnosti
7 Akademija kibernetičkih vještina
8 APT – Advanced Persistent Threat , napredna ustrajna prijetnja, je kratica koja se koristi za različite vrste kibernetičkih napada koje provode državno-sponzorirane APT grupe, pri čemu takve APT kibernetičke napade obilježava visoka razina stručnosti i prikrivenosti počinitelja napada, koji napad provodi redovito u dužem vremenskom razdoblju (mjesecima), s najčešćim ciljem krađe povjerljivih podataka. U novije vrijeme taktike, tehnike i procedure (TTP) državno-sponzoriranih APT napadača sve češće koriste organizirane kriminalne skupine za ucjenjivačke kibernetičke napade ( Ransomware ).
9 Centar za kibernetičku sigurnost i sustav SK@UT su nacionalni sigurnosno-operativni centar (SOC) s mrežom distribuiranih senzora koji prate promet prema Internetu u više od 60 državnih, javnih i privatnih entiteta, koji su kritični za nacionalnu razinu (npr. operatori u energetici i transportu), i koji su se uključili u SK@UT sustav na principima suradnje, međusobnog povjerenja i transparentnosti, a s ciljem zaštite od sofisticiranih kibernetičkih ugroza i pomoći u odgovoru na kibernetičke napade.
10 SOA osigurava stalno ažuriranje indikatora kompromitacije, kao i taktika, tehnika i procedura državno-sponzoriranih APT grupa, pri čemu se koristi visoko razvijena međunarodna sigurnosno-obavještajna suradnja SOA-e, niz otvorenih izvora, kao i komercijalni industrijski sigurnosni izvori te EU i NATO platforme za razmjenu podataka.
11 Uska suradnja između SOA-e, MUP-a, MORH-a, VSOA-e, ZSIS-a, Nacionalnog CERT-a, HAKOM-a i HNB-a.
12 EU-CyCLONe mreža – European Cyber Crises Liaisone Organisation Network (Europska mreža organizacija za vezu za kibernetičke krize
13 EECC – European Electronic Communications Code - DIREKTIVA (EU) 2018/1972 EUROPSKOG PARLAMENTA I VIJEĆA od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija
14 eIDAS - UREDBA (EU) br. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ
15 CSIRT – Computer Security Incident Response Team , je tijelo nadležno za prevenciju i zaštitu od incidenata u okviru NIS2 sektora, a pojam je uveden NIS1 transpozicijskim Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
Komentirate u ime: Ministarstvo hrvatskih branitelja
III. OCJENA POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovog Zakona u Državnom proračunu za 2023. i projekcijama za 2024. i 2025. godinu osiguran je dio sredstava, a ostatak će se osigurati u okviru dodijeljenih limita nadležnih tijela u narednim razdobljima ovisno o stanju postojećih kapaciteta nadležnih tijela, broju subjekata obveznika provedbe zahtjeva iz ovog Zakona te mogućnostima korištenja sredstava iz EU fondova koji će biti raspoloživi u svrhu provedbe NIS2 direktive u državama članicama.
Komentirate u ime: Ministarstvo hrvatskih branitelja
IV. TEKST PRIJEDLOGA ZAKONA
Tekst prijedloga zakona dan je u obliku Nacrta prijedloga zakona o kibernetičkoj sigurnosti.
PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI
DIO PRVI
OSNOVNE ODREDBE
Predmet Zakona
Komentirate u ime: Ministarstvo hrvatskih branitelja
Članak 1.
(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe ovog Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.
(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
(3) Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti, od nacionalnog su značaja za Republiku Hrvatsku.
Popis priloga koji su sastavni dio Zakona
Komentirate u ime: Ministarstvo hrvatskih branitelja
Članak 2.
Sastavni dio ovoga Zakona su:
− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog I. ovog Zakona)
− Prilog II. Drugi kritični sektori (u daljnjem tekstu: Prilog II. ovog Zakona)
− Prilog III. Popis nadležnosti u području kibernetičke sigurnosti (u daljnjem tekstu: Prilog III. ovog Zakona) i
− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti ( u daljnjem tekstu: Prilog IV. ovog Zakona) .
Usklađivanje propisa s pravnim aktima Europske unije
Komentirate u ime: Ministarstvo hrvatskih branitelja
Članak 3.
Ovim Zakonom se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2) (SL L 333/80, 27.12.2022.).
Pojmovi
Komentirate u ime: Ministarstvo hrvatskih branitelja