PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE
I. OPĆE ODREDBE
Predmet Pravilnika
Članak 1.
(1)Ovim se Pravilnikom propisuju mjerila za procjenu sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže koje se upotrebljavaju ili namjeravaju upotrebljavati u Republici Hrvatskoj za pružanje javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura, kao i uvjeti i rokovi zamjene takve opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, te postupci, obveze i ograničenja za pravne i fizičke osobe koje imaju izgrađenu elektroničku komunikacijsku mrežu ili je namjeravaju izgraditi u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potporu sustavima kritičnih infrastruktura.
(2)Upitnik o procjeni sigurnosnog rizika proizvođača i dobavljača opreme naveden je u Prilogu koji je tiskan uz ovaj Pravilnik i čini njegov sastavni dio.
Značenje pojmova
Članak 2.
U smislu ovoga Pravilnika pojedini pojmovi imaju sljedeće značenje:
1.Agencija: Hrvatska regulatorna agencija za mrežne djelatnosti
2.dobavljač: svaka fizička ili pravna osoba u opskrbnom lancu, osim proizvođača, koja stavlja opremu na raspolaganje na tržištu
3.elektronička komunikacijska mreža:prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove mreže koji nisu aktivni, a koji omogućuju prijenos signala žičnim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obuhvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem kanala i prospajanjem paketa, uključujući internet), zemaljske mreže pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose
4.elektronička komunikacijska usluga: usluga koja se, u pravilu, pruža uz naknadu putem elektroničkih komunikacijskih mreža, a sastoji se od usluge pristupa internetu, kako je utvrđeno člankom 2. stavkom 2. Uredbe (EU) 2015/2120, interpersonalne komunikacijske usluge, usluga koje se u cijelosti ili većim dijelom sastoje od prijenosa signala, uključujući i pružanje komunikacijskih usluga među strojevima, te usluge prijenosa u radiodifuzijskim mrežama. Ova usluga ne obuhvaća usluge pružanja sadržaja i obavljanja uredničkog nadzora nad sadržajem koji se prenosi korištenjem elektroničkih komunikacijskih mreža i usluga
5.javna elektronička komunikacijska usluga:elektronička komunikacijska usluga koja je javno dostupna na tržišnoj osnovi
6.kritične mrežne komponente: jezgrena mreža, elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te mrežni elementi za međupovezivanje. U elektroničkim komunikacijskim mrežama, koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura, kritične mrežne komponente obuhvaćaju i radijsku pristupnu mrežu (RAN)
8.procjena sigurnosnog rizika: sastoji se od identifikacije rizika kojom se prepoznaju i opisuju rizici, analize rizika kojom se utvrđuju izvori i određuju razine rizika te evaluacije rizika kojom se uspoređuju rezultati analize rizika s mjerilima za procjenu sigurnosnog rizika
9.proizvođač: fizička ili pravna osoba koja proizvodi opremu, ili koja je projektirala ili proizvela opremu i stavlja tu opremu na tržište pod svojim imenom ili trgovačkim znakom
10.sigurnost mreža i usluga: sposobnost elektroničkih komunikacijskih mreža i usluga da određenom pouzdanošću odolijevaju bilo kojoj radnji kojom se ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost tih mreža i usluga, pohranjenih, prenesenih ili obrađenih podataka, ili povezanih usluga koje se pružaju ili su dostupne tim elektroničkim komunikacijskim mrežama ili uslugama
11.sigurnosni rizik: štetni učinak opreme proizvođača i dobavljača na sigurnost mreža i usluga
12.Sigurnosno-obavještajna agencija: tijelo nadležno za procjenu sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže
14.sigurnosno osjetljivi podaci: podaci čije bi neovlašteno otkrivanje nanijelo štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske ili bi naštetilo djelovanju i izvršavanju zadaća državnih tijela u obavljanju poslova u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva, ako su ti podaci od sigurnosnog interesa za Republiku Hrvatsku
15.sustavi kritične infrastrukture: sustavi i mreže nacionalne i europske kritične infrastrukture u skladu sa zakonom kojim se uređuju kritične infrastrukture.
II. MJERILA ZA PROCJENU SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME
Mjerila za procjenu sigurnosnog rizika
Članak 3.
Mjerila za procjenu sigurnosnog rizika dobavljača i proizvođača opreme:
- pravni sustav zemlje podrijetla proizvođača i dobavljača opreme
- prisutnost ofenzivne kibernetičke politike u zemlji podrijetla proizvođača i dobavljača opreme, kojom se utječe na sigurnost ili javni poredak Republike Hrvatske
- transparentnost financiranja i financijskog poslovanja proizvođača i dobavljača opreme
- javna dostupnost i transparentnost podataka o osnivačima, vlasnicima, upravljačkim tijelima i poslovnim suradnicima proizvođača i dobavljača opreme
- mogući negativan učinak na kritičnu infrastrukturu (fizičku i virtualnu) u Republici Hrvatskoj
- mogući negativan učinak na opskrbu kritičnim dobrima (npr. energija, sirovine, hrana) u Republici Hrvatskoj
- pristup ili mogućnost kontrole sigurnosno osjetljivih podataka u Republici Hrvatskoj.
III. POSTUPCI, OBVEZE I OGRANIČENJA ZA PRAVNE I FIZIČKE OSOBE
Obveze pravnih i fizičkih osoba i Agencije
Članak 4.
(1)Pravne i fizičke osobe, koje su izgradile ili koje namjeravaju izgraditi, nadograditi ili održavati elektroničku komunikacijsku mrežu u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potporu sustavima kritičnih infrastruktura (u daljnjem tekstu: pravne i fizičke osobe), ne smiju upotrebljavati opremu proizvođača i dobavljača koji prethodno nisu prošli postupak procjene sigurnosnog rizika.
(2)Postupak iz stavka 1. ovoga članka pokreće se na zahtjev pravne ili fizičke osobe samo za kritične mrežne komponente elektroničke komunikacijske mreže.
(3)Postupak iz stavka 1. ovoga članka može pokrenuti proizvođač i/ili dobavljač čija će se oprema upotrebljavati u elektroničkoj komunikacijskoj mreži kao potpora sustavima kritičnih infrastruktura u svrhu podnošenja ponude u postupku javne nabave.
(4)Zahtjevi iz stavaka 2. i 3. ovoga članka podnose se Agenciji u elektroničkom obliku te moraju sadržavati sljedeće podatke:
a)podatke o podnositelju zahtjeva
b)podroban opis opreme, koji sadržava osobito tehničku dokumentaciju opreme i primjenjive certifikate, namjenu uređaja unutar mreže, način nadzora, održavanja i upravljanja opremom, životni vijek opreme te dokaz o sposobnosti proizvođača i dobavljača da osigura kontinuiranu isporuku opreme
c)ispunjeni upitnik iz Priloga ovoga Pravilnika.
(5)U slučaju zaprimanja neurednog zahtjeva Agencija će u roku od 15 dana od dana njegova zaprimanja o tome obavijestiti pravnu ili fizičku osobu, odnosno proizvođača ili dobavljača opreme koji je podnio zahtjev, te će im odrediti rok za dostavu podataka ili dokumentacije koju je ocijenila bitnom u postupku rješavanja toga zahtjeva.
(6)Agencija će u svrhu procjene sigurnosnog rizika dostaviti uredan zahtjev iz stavaka 2. ili 3. ovoga članka Sigurnosno-obavještajnoj agenciji u roku od osam dana od dana zaprimanja toga zahtjeva.
(7)Za sigurnosno osjetljive mrežne komponente elektroničke komunikacijske mreže pravna ili fizička osoba iz stavka 1. ovoga članka obvezna je, najmanje 30 dana prije ugradnje takve opreme u elektroničku komunikacijsku mrežu, dostaviti Agenciji u elektroničkom obliku podatke iz stavka 4. točaka a) i b) ovoga članka te planirane zemljopisne lokacije ugradnje te opreme.
(8)Na temelju zaprimljenih podataka iz stavka 7. ovoga članka Agencija će Sigurnosno-obavještajnoj agenciji bez odgode dostavljati obavijest o planiranim ugradnjama opreme onih proizvođača i dobavljača opreme za koje je u bilo kojem postupku procjene sigurnosnog rizika, provedenom u skladu s ovim Pravilnikom, utvrđen visok sigurnosni rizik.
Postupak pred tijelom nadležnim za procjenu sigurnosnog rizika
Članak 5.
(1)Procjena sigurnosnog rizika proizvođača i dobavljača opreme je klasificirani postupak koji se provodi u skladu s klasificiranim internim propisom Sigurnosno-obavještajne agencije i sadržava konačnu ocjenu sigurnosnog rizika.
(2)Konačna ocjena sigurnosnog rizika proizvođača i dobavljača opreme utvrđuje se kao visok sigurnosni rizik ili prihvatljiv sigurnosni rizik, a označena je kao neklasificirana i upotrebljava se samo u službene svrhe.
(3)U svrhu prikupljanja podataka o mjerilima iz članka 3. ovoga Pravilnika Sigurnosno-obavještajna agencija može zatražiti mišljenje ili dodatnu dokumentaciju od drugih nadležnih tijela.
(4)Ako zahtjev sadržava neistinite podatke ili neistinitu dokumentaciju koji su bitni za procjenu sigurnosnog rizika proizvođača i dobavljača opreme, Sigurnosno-obavještajna agencija može donijeti konačnu ocjenu o postojanju visokog sigurnosnog rizika.
(5)Sigurnosno-obavještajna agencija dostavit će Agenciji konačnu ocjenu sigurnosnog rizika proizvođača i dobavljača opreme u roku od trideset dana od dana zaprimanja zahtjeva iz članka 4. ovoga Pravilnika.
Odluka Vijeća Agencije o sigurnosnom riziku proizvođača i dobavljača opreme
Članak 6.
(1) Ako se na temelju procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika utvrdi visok sigurnosni rizik, Vijeće Agencije će u roku od najviše 30 dana od dana zaprimanja konačne ocjene sigurnosnog rizika donijeti odluku kojom se pravnoj ili fizičkoj osobi određuje postupanje u vezi s kritičnim mrežnim komponentama opreme proizvođača i dobavljača.
(2) Odluka iz stavka 1. ovoga članka osobito sadržava:
a)ocjenu sigurnosnog rizika iz članka 5. stavka 5. ovoga Pravilnika
b)podatke i/ili tehničku dokumentaciju na temelju koje je donesena odluka
c)u slučaju nabave nove opreme, zabranu uporabe te opreme
d)u slučaju ugrađene opreme, uvjete i rokove zamjene te opreme iz članka 7. ovoga Pravilnika.
(3) Odluka iz stavka 1. ovoga članka objavljuje se na internetskim stranicama Agencije vodeći računa o zaštiti tajnosti podataka.
(4) Agencija će, najkasnije u roku od osam dana od dana zaprimanja konačne ocjene Sigurnosno-obavještajne agencije o prihvatljivom sigurnosnom riziku proizvođača i dobavljača opreme, o tome obavijestiti podnositelja zahtjeva iz članka 4. stavaka 2. ili 3. ovoga Pravilnika.
Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika
Članak 7.
(1) Za kritične mrežne komponente opreme koja je prije dana stupanja na snagu ovoga Pravilnika ugrađena u elektroničke komunikacijske mreže, koje se upotrebljavaju u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura, provodi se postupak procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika.
(2) Pravna i fizička osoba iz članka 4. stavka 1. ovoga Pravilnika, koja je izgradila elektroničku komunikacijsku mrežu prije dana stupanja na snagu ovoga Pravilnika, obvezna je za opremu iz stavka 1. ovoga članka podnijeti uredan zahtjev iz članka 4. stavka 2. ovoga Pravilnika u roku od dvanaest mjeseci od dana stupanja na snagu ovoga Pravilnika.
(3) Ako se na temelju procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika za ugrađenu opremu utvrdi visok sigurnosni rizik, Vijeće Agencije donijet će odluku iz članka 6. ovoga Pravilnika.
(4) Odlukom iz članka 6. ovoga Pravilnika odredit će se primjereni rok zamjene opreme za koju je utvrđen visok sigurnosni rizik, vodeći računa o životnom vijeku opreme, pri čemu rok zamjene te opreme ne može biti dulji od pet godina od dana donošenja odluke iz članka 6. ovoga Pravilnika.
(5) Ako se odlukom iz članka 6. ovoga Pravilnika odredi rok zamjene opreme koji je kraći od pet godina, a taj rok je kraći od životnog vijeka opreme, odlukom će se utvrditi i način nadoknade mogućih troškova takve zamjene.
(6) Oprema iz stavka 1. ovoga članka, za koju u roku iz stavka 2. ovoga članka nije podnesen uredan zahtjev iz članka 4. stavka 2. ovoga Pravilnika, ne smije se upotrebljavati.
IV. ZAVRŠNA ODREDBA
Stupanje na snagu Pravilnika
Članak 8.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u "Narodnim novinama".
Klasa:
Urbroj:
Zagreb,
MINISTAR
Oleg Butković
PRILOG
Upitnik o procjeni sigurnosnog rizika proizvođača i dobavljača opreme
1. ODABIR
Podaci iz Upitnika odnose se na (zaokružiti):
PROIZVOĐAČA DA NE
DOBAVLJAČA DA NE
Vrsta osobe (zaokružiti):
PRAVNA OSOBA DA NE
FIZIČKA OSOBA DA NE
2. OSNOVNI PODACI O PROIZVOĐAČU ILI DOBAVLJAČU OPREME
Naziv:
Skraćeni naziv:
MB (jedinstveni registracijski broj):
Nadnevak osnivanja:
Broj zaposlenih:
Vrsta pravne osobe (trgovačko društvo, ustanova i sl.):
Pravni oblik (d.d., d.o.o. i sl.):
Adresa i kontaktni podaci pravne osobe (telefon, elektronička pošta i internetska stranica):
Adresa i kontaktni podaci podružnice u RH (telefon, elektronička pošta i internetska stranica):
Ima li pravna osoba suvlasništvo ili udjele u drugim pravnim osobama? (ako "DA", navedite u kojim pravnim osobama, koji udjel i od kada)
DA NE
Navedite nazive i sjedišta pravnih osoba "kćeri"(ako postoje):
Navedite članove upravljačkih i nadzornih tijela:
Postoje li sudske presude zbog povrede prava na intelektualno vlasništvo? (ako "DA", navedite za koje djelo, na kojem sudu i od kada)
DA NE
3. PODACI O ODGOVORNOJ OSOBI PROIZVOĐAČA ILI DOBAVLJAČA OPREME
Ime:
Prezime:
Broj putovnice:
Nadnevak izdavanja/isteka putovnice:
Naziv tijela koje je izdalo putovnicu:
Država, mjesto i nadnevak rođenja:
Državljanstvo:
Imate li dvojno državljanstvo?
(ako "DA", navedite koje)
DA NE
Adresa prebivališta i/ili boravišta:
4. FINANCIJSKI I DRUGI PODACI O PROIZVOĐAČU ILI DOBAVLJAČU OPREME
Navedite vlasničku strukturu u pravnoj osobi, udjele/dionice u trgovačkom društvu te način stjecanja:
Navedite nositelje poslovnih udjela/dioničare koji imaju više od 25% udjela/dionica u kapitalu društva:
Ima li pravna osoba imovinu ili financijske interese u drugoj pravnoj osobi? (ako „DA“, navedite državu, pravnu osobu, udjel i od kada)
DA NE
Je li pravna osoba uvrštena na burzu? (ako „DA“, navedite gdje)
DA NE
Mjesto i nadnevak:
Potpis
odgovorne osobe podnositelja zahtjeva:
Upute za ispunjavanje Upitnika:
-ponuđeni odgovori moraju biti zaokruženi
-sve rubrike iz Upitnika moraju biti ispunjene
-u rubrikama za koje nemate podataka upišite oznaku: /
-ako nemate dovoljno prostora za pojedini odgovor, uporabite dodatni list papira te ga potpisanog priložite Upitniku
-ako su proizvođač i dobavljač opreme zasebne pravne osobe, Upitnik se ispunjava za svakoga pojedinačno
-ako je proizvođač ili dobavljač opreme fizička osoba, ispunjava samo tablicu 1. i tablicu 3. Upitnika.
PRAVILNIK O PROCJENI SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME ZA ELEKTRONIČKE KOMUNIKACIJSKE MREŽE
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
I. OPĆE ODREDBE
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Predmet Pravilnika
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 1.
(1) Ovim se Pravilnikom propisuju mjerila za procjenu sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže koje se upotrebljavaju ili namjeravaju upotrebljavati u Republici Hrvatskoj za pružanje javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura, kao i uvjeti i rokovi zamjene takve opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika, te postupci, obveze i ograničenja za pravne i fizičke osobe koje imaju izgrađenu elektroničku komunikacijsku mrežu ili je namjeravaju izgraditi u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potporu sustavima kritičnih infrastruktura.
(2) Upitnik o procjeni sigurnosnog rizika proizvođača i dobavljača opreme naveden je u Prilogu koji je tiskan uz ovaj Pravilnik i čini njegov sastavni dio.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Značenje pojmova
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 2.
U smislu ovoga Pravilnika pojedini pojmovi imaju sljedeće značenje:
1. Agencija: Hrvatska regulatorna agencija za mrežne djelatnosti
2. dobavljač : svaka fizička ili pravna osoba u opskrbnom lancu, osim proizvođača, koja stavlja opremu na raspolaganje na tržištu
3. elektronička komunikacijska mreža: prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove mreže koji nisu aktivni, a koji omogućuju prijenos signala žičnim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obuhvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem kanala i prospajanjem paketa, uključujući internet), zemaljske mreže pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose
4. elektronička komunikacijska usluga : usluga koja se, u pravilu, pruža uz naknadu putem elektroničkih komunikacijskih mreža, a sastoji se od usluge pristupa internetu, kako je utvrđeno člankom 2. stavkom 2. Uredbe (EU) 2015/2120, interpersonalne komunikacijske usluge, usluga koje se u cijelosti ili većim dijelom sastoje od prijenosa signala, uključujući i pružanje komunikacijskih usluga među strojevima, te usluge prijenosa u radiodifuzijskim mrežama. Ova usluga ne obuhvaća usluge pružanja sadržaja i obavljanja uredničkog nadzora nad sadržajem koji se prenosi korištenjem elektroničkih komunikacijskih mreža i usluga
5. javna elektronička komunikacijska usluga: elektronička komunikacijska usluga koja je javno dostupna na tržišnoj osnovi
6. kritične mrežne komponente: jezgrena mreža, elementi upravljanja virtualizacijom mrežnih funkcija i mrežne orkestracije, sustavi upravljanja i prateće funkcionalnosti, sigurnosni elementi mrežnog transporta i prijenosa, oprema za tajni nadzor elektroničkih komunikacijskih mreža i usluga te mrežni elementi za međupovezivanje. U elektroničkim komunikacijskim mrežama, koje se upotrebljavaju ili namjeravaju upotrebljavati kao potpora sustavima kritičnih infrastruktura, kritične mrežne komponente obuhvaćaju i radijsku pristupnu mrežu (RAN)
7. oprema: elektronička komunikacijska oprema i/ili radijska oprema
8. procjena sigurnosnog rizika : sastoji se od identifikacije rizika kojom se prepoznaju i opisuju rizici, analize rizika kojom se utvrđuju izvori i određuju razine rizika te evaluacije rizika kojom se uspoređuju rezultati analize rizika s mjerilima za procjenu sigurnosnog rizika
9. proizvođač: fizička ili pravna osoba koja proizvodi opremu, ili koja je projektirala ili proizvela opremu i stavlja tu opremu na tržište pod svojim imenom ili trgovačkim znakom
10. sigurnost mreža i usluga: sposobnost elektroničkih komunikacijskih mreža i usluga da određenom pouzdanošću odolijevaju bilo kojoj radnji kojom se ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost tih mreža i usluga, pohranjenih, prenesenih ili obrađenih podataka, ili povezanih usluga koje se pružaju ili su dostupne tim elektroničkim komunikacijskim mrežama ili uslugama
11. sigurnosni rizik : štetni učinak opreme proizvođača i dobavljača na sigurnost mreža i usluga
12. Sigurnosno-obavještajna agencija : tijelo nadležno za procjenu sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže
13. sigurnosno osjetljive mrežne komponente: radijska pristupna mreža (RAN)
14. sigurnosno osjetljivi podaci : podaci čije bi neovlašteno otkrivanje nanijelo štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske ili bi naštetilo djelovanju i izvršavanju zadaća državnih tijela u obavljanju poslova u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva, ako su ti podaci od sigurnosnog interesa za Republiku Hrvatsku
15. sustavi kritične infrastrukture : sustavi i mreže nacionalne i europske kritične infrastrukture u skladu sa zakonom kojim se uređuju kritične infrastrukture.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
II. MJERILA ZA PROCJENU SIGURNOSNOG RIZIKA PROIZVOĐAČA I DOBAVLJAČA OPREME
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Mjerila za procjenu sigurnosnog rizika
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 3.
Mjerila za procjenu sigurnosnog rizika dobavljača i proizvođača opreme:
- pravni sustav zemlje podrijetla proizvođača i dobavljača opreme
- prisutnost ofenzivne kibernetičke politike u zemlji podrijetla proizvođača i dobavljača opreme, kojom se utječe na sigurnost ili javni poredak Republike Hrvatske
- transparentnost financiranja i financijskog poslovanja proizvođača i dobavljača opreme
- javna dostupnost i transparentnost podataka o osnivačima, vlasnicima, upravljačkim tijelima i poslovnim suradnicima proizvođača i dobavljača opreme
- mogući negativan učinak na kritičnu infrastrukturu (fizičku i virtualnu) u Republici Hrvatskoj
- mogući negativan učinak na opskrbu kritičnim dobrima (npr. energija, sirovine, hrana) u Republici Hrvatskoj
- pristup ili mogućnost kontrole sigurnosno osjetljivih podataka u Republici Hrvatskoj.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
III. POSTUPCI, OBVEZE I OGRANIČENJA ZA PRAVNE I FIZIČKE OSOBE
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Obveze pravnih i fizičkih osoba i Agencije
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 4.
(1) Pravne i fizičke osobe, koje su izgradile ili koje namjeravaju izgraditi, nadograditi ili održavati elektroničku komunikacijsku mrežu u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potporu sustavima kritičnih infrastruktura (u daljnjem tekstu: pravne i fizičke osobe), ne smiju upotrebljavati opremu proizvođača i dobavljača koji prethodno nisu prošli postupak procjene sigurnosnog rizika.
(2) Postupak iz stavka 1. ovoga članka pokreće se na zahtjev pravne ili fizičke osobe samo za kritične mrežne komponente elektroničke komunikacijske mreže.
(3) Postupak iz stavka 1. ovoga članka može pokrenuti proizvođač i/ili dobavljač čija će se oprema upotrebljavati u elektroničkoj komunikacijskoj mreži kao potpora sustavima kritičnih infrastruktura u svrhu podnošenja ponude u postupku javne nabave.
(4) Zahtjevi iz stavaka 2. i 3. ovoga članka podnose se Agenciji u elektroničkom obliku te moraju sadržavati sljedeće podatke:
a) podatke o podnositelju zahtjeva
b) podroban opis opreme, koji sadržava osobito tehničku dokumentaciju opreme i primjenjive certifikate, namjenu uređaja unutar mreže, način nadzora, održavanja i upravljanja opremom, životni vijek opreme te dokaz o sposobnosti proizvođača i dobavljača da osigura kontinuiranu isporuku opreme
c) ispunjeni upitnik iz Priloga ovoga Pravilnika.
(5) U slučaju zaprimanja neurednog zahtjeva Agencija će u roku od 15 dana od dana njegova zaprimanja o tome obavijestiti pravnu ili fizičku osobu, odnosno proizvođača ili dobavljača opreme koji je podnio zahtjev, te će im odrediti rok za dostavu podataka ili dokumentacije koju je ocijenila bitnom u postupku rješavanja toga zahtjeva.
(6) Agencija će u svrhu procjene sigurnosnog rizika dostaviti uredan zahtjev iz stavaka 2. ili 3. ovoga članka Sigurnosno-obavještajnoj agenciji u roku od osam dana od dana zaprimanja toga zahtjeva.
(7) Za sigurnosno osjetljive mrežne komponente elektroničke komunikacijske mreže pravna ili fizička osoba iz stavka 1. ovoga članka obvezna je, najmanje 30 dana prije ugradnje takve opreme u elektroničku komunikacijsku mrežu, dostaviti Agenciji u elektroničkom obliku podatke iz stavka 4. točaka a) i b) ovoga članka te planirane zemljopisne lokacije ugradnje te opreme.
(8) Na temelju zaprimljenih podataka iz stavka 7. ovoga članka Agencija će Sigurnosno-obavještajnoj agenciji bez odgode dostavljati obavijest o planiranim ugradnjama opreme onih proizvođača i dobavljača opreme za koje je u bilo kojem postupku procjene sigurnosnog rizika, provedenom u skladu s ovim Pravilnikom, utvrđen visok sigurnosni rizik.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Postupak pred tijelom nadležnim za procjenu sigurnosnog rizika
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 5.
(1) Procjena sigurnosnog rizika proizvođača i dobavljača opreme je klasificirani postupak koji se provodi u skladu s klasificiranim internim propisom Sigurnosno-obavještajne agencije i sadržava konačnu ocjenu sigurnosnog rizika.
(2) Konačna ocjena sigurnosnog rizika proizvođača i dobavljača opreme utvrđuje se kao visok sigurnosni rizik ili prihvatljiv sigurnosni rizik, a označena je kao neklasificirana i upotrebljava se samo u službene svrhe.
(3) U svrhu prikupljanja podataka o mjerilima iz članka 3. ovoga Pravilnika Sigurnosno-obavještajna agencija može zatražiti mišljenje ili dodatnu dokumentaciju od drugih nadležnih tijela.
(4) Ako zahtjev sadržava neistinite podatke ili neistinitu dokumentaciju koji su bitni za procjenu sigurnosnog rizika proizvođača i dobavljača opreme, Sigurnosno-obavještajna agencija može donijeti konačnu ocjenu o postojanju visokog sigurnosnog rizika.
(5) Sigurnosno-obavještajna agencija dostavit će Agenciji konačnu ocjenu sigurnosnog rizika proizvođača i dobavljača opreme u roku od trideset dana od dana zaprimanja zahtjeva iz članka 4. ovoga Pravilnika.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Odluka Vijeća Agencije o sigurnosnom riziku proizvođača i dobavljača opreme
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 6.
(1) Ako se na temelju procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika utvrdi visok sigurnosni rizik, Vijeće Agencije će u roku od najviše 30 dana od dana zaprimanja konačne ocjene sigurnosnog rizika donijeti odluku kojom se pravnoj ili fizičkoj osobi određuje postupanje u vezi s kritičnim mrežnim komponentama opreme proizvođača i dobavljača.
(2) Odluka iz stavka 1. ovoga članka osobito sadržava:
a) ocjenu sigurnosnog rizika iz članka 5. stavka 5. ovoga Pravilnika
b) podatke i/ili tehničku dokumentaciju na temelju koje je donesena odluka
c) u slučaju nabave nove opreme, zabranu uporabe te opreme
d) u slučaju ugrađene opreme, uvjete i rokove zamjene te opreme iz članka 7. ovoga Pravilnika.
(3) Odluka iz stavka 1. ovoga članka objavljuje se na internetskim stranicama Agencije vodeći računa o zaštiti tajnosti podataka.
(4) Agencija će, najkasnije u roku od osam dana od dana zaprimanja konačne ocjene Sigurnosno-obavještajne agencije o prihvatljivom sigurnosnom riziku proizvođača i dobavljača opreme, o tome obavijestiti podnositelja zahtjeva iz članka 4. stavaka 2. ili 3. ovoga Pravilnika.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Uvjeti i rokovi zamjene opreme koja je ugrađena u elektroničke komunikacijske mreže prije dana stupanja na snagu ovoga Pravilnika
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 7.
(1) Za kritične mrežne komponente opreme koja je prije dana stupanja na snagu ovoga Pravilnika ugrađena u elektroničke komunikacijske mreže, koje se upotrebljavaju u svrhu pružanja javno dostupnih elektroničkih komunikacijskih usluga ili kao potpora sustavima kritičnih infrastruktura, provodi se postupak procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika.
(2) Pravna i fizička osoba iz članka 4. stavka 1. ovoga Pravilnika, koja je izgradila elektroničku komunikacijsku mrežu prije dana stupanja na snagu ovoga Pravilnika, obvezna je za opremu iz stavka 1. ovoga članka podnijeti uredan zahtjev iz članka 4. stavka 2. ovoga Pravilnika u roku od dvanaest mjeseci od dana stupanja na snagu ovoga Pravilnika.
(3) Ako se na temelju procjene sigurnosnog rizika iz članka 5. ovoga Pravilnika za ugrađenu opremu utvrdi visok sigurnosni rizik, Vijeće Agencije donijet će odluku iz članka 6. ovoga Pravil nika.
(4) Odlukom iz članka 6. ovoga Pravilnika odredit će se primjereni rok zamjene opreme za koju je utvrđen visok sigurnosni rizik, vodeći računa o životnom vijeku opreme, pri čemu rok zamjene te opreme ne može biti dulji od pet godina od dana donošenja odluke iz članka 6. ovoga Pravilnika.
(5) Ako se odlukom iz članka 6. ovoga Pravilnika odredi rok zamjene opreme koji je kraći od pet godina, a taj rok je kraći od životnog vijeka opreme, odlukom će se utvrditi i način nadoknade mogućih troškova takve zamjene.
(6) Oprema iz stavka 1. ovoga članka, za koju u roku iz stavka 2. ovoga članka nije podnesen uredan zahtjev iz članka 4. stavka 2. ovoga Pravilnika, ne smije se upotrebljavati.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
IV. ZAVRŠNA ODREDBA
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Stupanje na snagu Pravilnika
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
Članak 8.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u "Narodnim novinama".
Klasa :
Urbroj :
Zagreb,
MINISTAR
Oleg Butković
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE
PRILOG
Upitnik o procjeni sigurnosnog rizika proizvođača i dobavljača opreme
1. ODABIR
Podaci iz Upitnika odnose se na (zaokružiti) :
PROIZVOĐAČA DA NE
DOBAVLJAČA DA NE
Vrsta osobe (zaokružiti) :
PRAVNA OSOBA DA NE
FIZIČKA OSOBA DA NE
2. OSNOVNI PODACI O PROIZVOĐAČU ILI DOBAVLJAČU OPREME
Naziv:
Skraćeni naziv:
MB (jedinstveni registracijski broj) :
Nadnevak osnivanja:
Broj zaposlenih:
Vrsta pravne osobe (trgovačko društvo, ustanova i sl.) :
Pravni oblik (d.d., d.o.o. i sl.):
Adresa i kontaktni podaci pravne osobe (telefon, elektronička pošta i internetska stranica) :
Adresa i kontaktni podaci podružnice u RH (telefon, elektronička pošta i internetska stranica) :
Ima li pravna osoba suvlasništvo ili udjele u drugim pravnim osobama? (ako "DA", navedite u kojim pravnim osobama, koji udjel i od kada)
DA NE
Navedite nazive i sjedišta pravnih osoba "kćeri" (ako postoje) :
Navedite članove upravljačkih i nadzornih tijela:
Postoje li sudske presude zbog povrede prava na intelektualno vlasništvo? (ako "DA", navedite za koje djelo, na kojem sudu i od kada)
DA NE
3. PODACI O ODGOVORNOJ OSOBI PROIZVOĐAČA ILI DOBAVLJAČA OPREME
Ime:
Prezime:
Broj putovnice:
Nadnevak izdavanja/isteka putovnice:
Naziv tijela koje je izdalo putovnicu:
Država, mjesto i nadnevak rođenja:
Državljanstvo:
Imate li dvojno državljanstvo?
(ako "DA", navedite koje)
DA NE
Adresa prebivališta i/ili boravišta:
4. FINANCIJSKI I DRUGI PODACI O PROIZVOĐAČU ILI DOBAVLJAČU OPREME
Navedite vlasničku strukturu u pravnoj osobi, udjele/dionice u trgovačkom društvu te način stjecanja:
Navedite nositelje poslovnih udjela/dioničare koji imaju više od 25% udjela/dionica u kapitalu društva:
Ima li pravna osoba imovinu ili financijske interese u drugoj pravnoj osobi? (ako „DA“, navedite državu, pravnu osobu, udjel i od kada)
DA NE
Je li pravna osoba uvrštena na burzu? (ako „DA“, navedite gdje)
DA NE
Mjesto i nadnevak:
Potpis
odgovorne osobe podnositelja zahtjeva:
Upute za ispunjavanje Upitnika:
- ponuđeni odgovori moraju biti zaokruženi
- sve rubrike iz Upitnika moraju biti ispunjene
- u rubrikama za koje nemate podataka upišite oznaku: /
- ako nemate dovoljno prostora za pojedini odgovor, uporabite dodatni list papira te ga potpisanog priložite Upitniku
- ako su proizvođač i dobavljač opreme zasebne pravne osobe, Upitnik se ispunjava za svakoga pojedinačno
- ako je proizvođač ili dobavljač opreme fizička osoba, ispunjava samo tablicu 1. i tablicu 3. Upitnika.
Komentirate u ime: MINISTARSTVO MORA, PROMETA I INFRASTRUKTURE