I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA

Ustavna osnova za donošenje ovoga Zakona sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, br. 85/10. - pročišćeni tekst i 5/14. - Odluka Ustavnog suda Republike Hrvatske).

II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE DONOŠENJEM ZAKONA PROISTEĆI

Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (Tekst značajan za EGP) (SL L 333, 27.12.2022.) (u daljnjem tekstu: Uredba (EU) 2022/2554) stupila je na snagu 16. siječnja 2023., a  primjenjivat će se od 17. siječnja 2025.

Prijedlogom zakona o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor, s Konačnim prijedlogom zakona (u daljnjem tekstu: Konačni prijedlog zakona) predlaže se zakon kojim se osigurava provedba Uredbe (EU) 2022/2554. Njime se utvrđuju nadležna tijela, ovlasti nadležnih tijela, postupak nadzora, nadzorne mjere te prekršajne odredbe za kršenje odredbi ovoga Zakona i Uredbe (EU) 2022/2554.

Uzimajući u obzir da sve veća digitalizacija i međusobna povezanost povećavaju i rizik informacijske i komunikacijske tehnologije (u daljnjem tekstu: IKT rizik), što društvo u cjelini, a posebno financijski sustav, čini osjetljivijim na kibernetičke prijetnje ili poremećaje u području IKT-a, Uredbom (EU) 2022/2554 utvrđuju se jedinstveni zahtjevi u pogledu sigurnosti mrežnih i informacijskih sustava kojima se podupiru poslovni procesi financijskih subjekata obuhvaćenih njezinim područjem primjene, sve kako bi se postigla visoka zajednička razina digitalne operativne otpornosti.

Stoga, kako bi se očuvala potpuna kontrola nad IKT rizikom, financijski subjekti obuhvaćeni područjem primjene Uredbe (EU) 2022/2554 u skladu s njezinim odredbama moraju imati sveobuhvatne kapacitete kojima se omogućuje snažno i djelotvorno upravljanje IKT rizicima, kao i posebne mehanizme i politike za postupanje u vezi sa svim IKT incidentima i izvješćivanje o značajnim IKT incidentima. Isto tako, financijski subjekti obuhvaćeni područjem primjene Uredbe (EU) 2022/2554 dužni su u skladu s njezinim odredbama uspostaviti politike za testiranje sustava, kontrola i procesa u području IKT-a, kao i za upravljanje IKT rizikom povezanim s trećim stranama.

Slijedom navedenog, Uredbom (EU) 2022/2554 utvrđuju se: i) zahtjevi primjenjivi na financijske subjekte obuhvaćene njezinim područjem primjene, a koji se, inter alia , odnose na upravljanje IKT rizikom, izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje nadležnih tijela o ozbiljnim kibernetičkim prijetnjama, testiranje digitalne operativne otpornosti te mjere za dobro upravljanje IKT rizikom povezanim s trećim stranama, ii) zahtjevi koji se odnose na ugovorne aranžmane sklopljene između trećih strana pružatelja IKT usluga i financijskih subjekata, iii) pravila za uspostavu i provedbu nadzornog okvira za ključne treće strane pružatelje IKT usluga pri pružanju usluga financijskim subjektima te iv) pravila za suradnju između nadležnih tijela i pravila o nadzoru i izvršavanju koje provode nadležna tijela u vezi sa svim pitanjima obuhvaćenima Uredbom (EU) 2022/2554.

Cilj je Uredbe (EU) 2022/2554 konsolidirati i unaprijediti zahtjeve u pogledu IKT rizika kao dio zahtjeva u pogledu operativnog rizika koji su do sada bili zasebno razmatrani u različitim aktima prava Europske unije (u daljnjem tekstu: EU). Iako su takvim aktima obuhvaćene glavne kategorije financijskih rizika (npr. kreditni rizik, tržišni rizik, kreditni rizik druge ugovorne strane, rizik likvidnosti, rizik ponašanja na tržištu), njima u vrijeme njihova donošenja nisu sveobuhvatno obrađene sve komponente operativne otpornosti. Pravila za operativne rizike u takvim sektorskim propisima često su se temeljila na tradicionalnom kvantitativnom pristupu nošenja s rizikom (određivanjem kapitalnog zahtjeva za pokrivanje IKT rizika) te nisu predstavljala ciljana kvalitativna pravila za sposobnosti za zaštitu, otkrivanje, ograničenje, oporavak i popravak u slučaju IKT incidenata ili za sposobnosti za izvješćivanje i digitalno testiranje. Uredbom (EU) 2022/2554 trebala bi se stoga podići svijest o IKT rizicima i uvažiti činjenica da IKT incidenti i pomanjkanje operativne otpornosti mogu ugroziti stabilnost financijskih subjekata

Pri tome je uz Uredbu (EU) 2022/2554 usvojena i Direktiva (EU) 2022/2556. Direktiva (EU) 2022/2556 mijenja sektorske propise u kojima se nalaze trenutačni zahtjevi koji se odnose na upravljanje IKT rizikom u financijskom sektoru.

Osim toga, Direktiva (EU) 2022/2557 stupila je na snagu 16. siječnja 2023. S obzirom na snažnu povezanost digitalne i fizičke otpornosti financijskih subjekata, Uredba (EU) 2022/2554 uzima u obzir da je u toj Uredbi i u Direktivi (EU) 2022/2557 potreban dosljedan pristup u pogledu otpornosti kritičnih subjekata. S obzirom na to da se obvezama upravljanja IKT rizicima i obvezama izvješćivanja o IKT rizicima koje su obuhvaćene Uredbom (EU) 2022/2554 na sveobuhvatan način pristupa fizičkoj otpornosti financijskih subjekata, obveze utvrđene u poglavljima III. i IV. Direktive (EU) 2022/2557 ne primjenjuju se na financijske subjekte obuhvaćene područjem primjene te Direktive.

Uredbom (EU) 2022/2554 stvara se stoga regulatorni okvir za digitalnu operativnu otpornost u sklopu kojeg financijski subjekti obuhvaćeni njezinim područjem primjene moraju osigurati otpornost na sve vrste poremećaja i prijetnji povezanih s IKT-om, kao i sposobnost primjereno odgovoriti na takve eventualne poremećaje te oporaviti svoje poslovanje.

Područje primjene Uredbe (EU) 2022/2554 stoga je široko određeno i obuhvaća financijske subjekte kako su određeni odredbama članka 2. stavaka 1. i 2. Uredbe (EU) 2022/2554.

Ipak, pri primjeni pravila o digitalnoj operativnoj otpornosti potrebno je uzeti u obzir znatne razlike između financijskih subjekata u pogledu njihove veličine i ukupnog profila rizičnosti. Stoga, kako bi se osigurala proporcionalnost okvira za digitalnu operativnu otpornost, određeni financijski subjekti isključeni su iz područja primjene Uredbe (EU) 2022/2554. Među takvim su financijskim subjektima: upravitelji alternativnih investicijskih fondova koji ne prelaze pragove iz Direktive 2011/61/EU (u Republici Hrvatskoj to su mali i srednji upravitelji alternativnih investicijskih fondova), mala društva za osiguranje i društva za reosiguranje iz članka 6. Zakona o osiguranju („Narodne novine“, br. 30/15., 112/18., 63/20., 133/20. i 151/22.) te institucije za strukovno mirovinsko osiguranje koje upravljaju mirovinskim programima koji zajedno nemaju više od ukupno 15 članova. Pored toga, iz područja primjene Uredbe (EU) 2022/2554 isključeni su i posrednici u osiguranju, posrednici u reosiguranju i sporedni posrednici u osiguranju koji se smatraju mikro poduzetnicima, odnosno malim ili srednjim poduzetnicima.

Nadalje, budući da su subjekti iz članka 2. stavka 5. točaka od 4. do 23. Direktive 2013/36/EU isključeni iz područja primjene te Direktive, članak 2. stavak 4. Uredbe (EU) 2022/2554 propisuje da države članice mogu iz područja primjene Uredbe (EU) 2022/2554 isključiti gore navedene subjekte iz članka 2. stavka 5. točaka od 4. do 23. Direktive 2013/36/EU koji se nalaze na njihovu državnom području. U Republici Hrvatskoj riječ je o kreditnim unijama i Hrvatskoj banci za obnovu i razvitak. Stoga, radi osiguravanja provedbe Uredbe (EU) 2022/2554 na način koji je usklađen s transpozicijom Direktive 2013/36/EU u pravnom poretku Republike Hrvatske, Konačni prijedlog zakona sadrži odredbu sukladno kojoj se na temelju članka 2. stavka 4. Uredbe (EU) 2022/2554 u Republici Hrvatskoj ni Uredba (EU) 2022/2554 niti ovaj Zakon neće primjenjivati na kreditne unije i Hrvatsku banku za obnovu i razvitak.

Konačno, Uredba (EU) 2022/2554 u nizu odredbi u odnosu na financijske subjekte koji su mikro poduzetnici predviđa odgovarajuća izuzeća, kao i proporcionalnu primjenu svojih odredbi, uzimajući u obzir veličinu i ukupni profil rizičnosti te prirodu, opseg i složenost usluga, aktivnosti i poslovanja takvih financijskih subjekata.

Sukladno Uredbi (EU) 2022/2554 financijski subjekti dužni su uspostaviti okvir za unutarnje upravljanje i kontrolu kojim se osigurava djelotvorno i razborito upravljanje IKT rizicima, kako bi se postigla visoka razina digitalne operativne otpornosti. Financijski subjekti, u skladu sa svojim okvirom za upravljanje IKT rizicima, dužni su svesti učinak IKT rizika na najmanju moguću mjeru, uvođenjem odgovarajućih strategija, politika, postupaka, IKT protokola i alata. Krajnja odgovornost upravljačkog tijela za upravljanje IKT rizicima financijskog subjekta glavno je načelo tog sveobuhvatnog pristupa, a podrazumijeva kontinuirani angažman upravljačkog tijela financijskog subjekta u kontroli praćenja upravljanja IKT rizicima. Financijski subjekti dužni su nadležnim tijelima dostavljati potpune i ažurirane informacije o IKT rizicima i o svojem okviru za upravljanje IKT rizicima, na zahtjev tih tijela.

Pored toga, uzimajući u obzir da prema sektorskom pravu EU-a pojedini financijski subjekti podliježu blažim zahtjevima ili izuzećima zbog razloga povezanih s njihovom veličinom ili uslugama koje pružaju, Uredba (EU) 2022/2554 predviđa i pojednostavljeni okvir za upravljanje IKT rizicima koji se odnosi, među ostalim, na mala i nepovezana investicijska društva te institucije za strukovno mirovinsko osiguranje koje upravljaju mirovinskim programima koji ukupno imaju manje od 100 članova.

Nadalje, na temelju Uredbe (EU) 2022/2554 financijski subjekti dužni su definirati, uspostaviti i provoditi proces upravljanja IKT incidentima radi otkrivanja IKT incidenata, upravljanja njima i izvješćivanja o njima. Pritom se na temelju Uredbe (EU) 2022/2554 usklađuje izvješćivanje o IKT incidentima uvođenjem zahtjeva za sve financijske subjekte da o istima izravno izvješćuju svoja nadležna tijela. Takvo izravno izvješćivanje trebalo bi omogućiti financijskim nadzornim tijelima izravan pristup informacijama o značajnim IKT incidentima.

Financijska nadzorna tijela trebala bi pak prosljeđivati pojedinosti o značajnim IKT incidentima javnim nefinancijskim tijelima (kao što su nadležna tijela i jedinstvene kontaktne točke iz Direktive (EU) 2022/2555, nacionalna tijela za zaštitu podataka i tijela za izvršavanje zakonodavstva za značajne IKT incidente kaznene prirode) kako bi se povećala svijest takvih tijela o takvim incidentima i, u slučaju timova za odgovor na računalne sigurnosne incidente (engl. Computer Security Incident Response Team; u daljnjem tekstu: CSIRT ), olakšala brza pomoć koja se, prema potrebi, može pružiti financijskim subjektima. Naime, budući da se Uredbom (EU) 2022/2554 podiže razina usklađenosti različitih komponenti digitalne otpornosti tako što se uvode zahtjevi u pogledu upravljanja IKT rizicima i izvješćivanja o IKT incidentima koji su stroži od onih utvrđenih u postojećem pravu EU-a o financijskim uslugama, tom višom razinom poboljšava se i usklađenost u usporedbi sa zahtjevima utvrđenima u Direktivi (EU) 2022/2555. Stoga je Uredba (EU) 2022/2554 lex specialis u odnosu na Direktivu (EU) 2022/2555, odnosno Zakon o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24.), kojim je Direktiva (EU) 2022/2555 preuzeta u pravni poredak Republike Hrvatske. Istodobno je pak iznimno važno očuvati čvrstu vezu između financijskog sektora i horizontalnog okvira EU-a za kibernetičku sigurnost, kako je trenutačno utvrđen u Direktivi (EU) 2022/2555.

Stoga sukladno Uredbi (EU) 2022/2554, i ne dovodeći u pitanje izvješćivanje nadležnog tijela od strane financijskog subjekta o značajnim IKT incidentima, države članice povrh toga mogu odrediti da neki ili svi financijski subjekti početnu obavijest, odnosno izvješća o značajnim IKT incidentima također moraju dostaviti nadležnim tijelima ili CSIRT -ovima imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555. U skladu s gore navedenim, Konačnim prijedlogom zakona određeno je da su financijski subjekti, kao subjekti nadzora nadležnih tijela određenih ovim Zakonom, o značajnim IKT incidentima dužni izvijestiti i CSIRT koji je u skladu sa zakonom kojim se uređuje kibernetička sigurnost, imenovan nadležnim za sektore bankarstva i infrastrukture financijskog tržišta. Pri tome su financijski subjekti, kao subjekti nadzora nadležnih tijela određenih ovim Zakonom, dužni o značajnim IKT incidentima izvještavati putem nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima koja je uspostavljena zakonom kojim se uređuje kibernetička sigurnost.

Pored toga, kako bi se osigurala potpuna usklađenost s Direktivom (EU) 2022/2555, sukladno Uredbi (EU) 2022/2554 financijski subjekti mogu, na dobrovoljnoj osnovi, obavijestiti nadležno tijelo o ozbiljnim kibernetičkim prijetnjama, ako smatraju da je prijetnja relevantna za financijski sustav, korisnike usluga ili klijente. Pri tome na temelju Uredbe (EU) 2022/2554 države članice mogu odrediti da oni financijski subjekti koji dostave takvu obavijest na dobrovoljnoj osnovi tu obavijest također mogu proslijediti CSIRT -ovima imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555. Stoga Konačni prijedlog zakona propisuje da financijski subjekti, kao subjekti nadzora nadležnih tijela određenih ovim Zakonom, koji na dobrovoljnoj osnovi izvještavaju o ozbiljnim kibernetičkim prijetnjama, za takvo izvještavanje koriste nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima koja je uspostavljena zakonom kojim se uređuje kibernetička sigurnost.

Kako bi postigli visoku razinu digitalne operativne otpornosti te u skladu s relevantnim međunarodnim standardima, kao i okvirima koji se primjenjuju u EU-u, kao što je TIBER-EU, financijski subjekti bi sukladno Uredbi (EU) 2022/2554 trebali redovito testirati svoje sustave IKT-a i osoblje koje ima odgovornosti u pogledu IKT-a s obzirom na djelotvornost njihovih sposobnosti za sprečavanje, otkrivanje, odgovor i oporavak radi otkrivanja i uklanjanja mogućih ranjivosti u području IKT-a. Kako bi se odrazile razlike koje postoje u pogledu razine pripravnosti financijskih subjekata u području kibernetičke sigurnosti među različitim financijskim podsektorima, i unutar njih, takvo testiranje uključuje širok raspon alata i mjera, koji se proteže od procjene osnovnih zahtjeva do naprednijeg testiranja na temelju penetracijskog testiranja vođenog prijetnjama (engl. Threat-Led Penetration Testing, TLPT ). Takvo napredno testiranje zahtijevat će se samo od onih financijskih subjekata koji su iz perspektive IKT-a dostatno zreli da ga u razumnoj mjeri mogu provesti.

Pri tome, kako bi se iskoristilo stručno znanje koje su stekla određena nadležna tijela, osobito u pogledu provedbe okvira TIBER–EU, Uredbom (EU) 2022/2554 određeno je da države članice mogu imenovati jedinstveno tijelo javne vlasti u financijskom sektoru koje će biti odgovorno za pitanja povezana s TLPT -om u financijskom sektoru na nacionalnoj razini te tom tijelu povjeriti sve nadležnosti i zadaće u vezi s time. S obzirom da u Republici Hrvatskoj ne postoji specijalizirano TLPT tijelo te da Republika Hrvatska nije implementirala TIBER-EU okvir, Konačnim prijedlogom zakona nije imenovano jedinstveno tijelo javne vlasti odgovorno za pitanja povezana s TLPT -om u financijskom sektoru na nacionalnoj razini.

U vezi s gore navedenim, Uredbom (EU) 2022/2554 propisano je da ako se ne imenuje jedinstveno tijelo javne vlasti odgovorno za pitanja povezana s TLPT -om, i ne dovodeći u pitanje ovlast za utvrđivanje financijskih subjekata koji su dužni provoditi TLPT , nadležno tijelo može delegirati izvršavanje nekih ili svih TLPT zadaća iz članaka 26. i 27. Uredbe (EU) 2022/2554 nekom drugom nacionalnom tijelu u financijskom sektoru. Stoga je Konačnim prijedlogom zakona predviđeno da će se, među ostalim, koordinacija postupaka i aktivnosti pri provedbi ovoga Zakona i Uredbe (EU) 2022/2554 urediti sporazumom o suradnji između nadležnih tijela određenih ovim Zakonom. Takvim sporazumom moći će se stoga urediti i pitanja delegiranja izvršavanja nekih ili svih TLPT zadaća iz članaka 26. i 27. Uredbe (EU) 2022/2554.

Kako bi se u financijskom sektoru osiguralo pouzdano praćenje IKT rizika povezanog s trećim stranama, Uredbom (EU) 2022/2554 utvrđen je skup pravila utemeljenih na načelima radi pružanja smjernica financijskim subjektima pri praćenju rizika koji nastaje u kontekstu funkcija koje su eksternalizirane trećim stranama pružateljima IKT usluga, osobito za IKT usluge kojima se podupiru ključne ili važne funkcije, kao i općenitije u kontekstu svih ovisnosti o trećim stranama u području IKT-a. Pri tome, kako bi se uvažila složenost različitih izvora IKT rizika, Uredba (EU) 2022/2554 obuhvaća širok raspon trećih strana pružatelja IKT usluga, dok definicija „ključne ili važne funkcije” predviđena u Uredbi (EU) 2022/2554 obuhvaća „ključne funkcije” kako su definirane u članku 2. stavku 1. točki 35. Direktive 2014/59/EU. U skladu s gore navedenim, funkcije koje se smatraju ključnima na temelju Direktive 2014/59/EU uključene su u definiciju ključnih funkcija u smislu Uredbe (EU) 2022/2554. Financijski subjekti ostaju u svakom trenutku potpuno odgovorni za ispunjenje svojih obveza iz Uredbe (EU) 2022/2554. Financijski subjekti trebali bi primijeniti proporcionalan pristup praćenju rizika koji se javljaju na razini trećih strana pružatelja IKT usluga, vodeći računa o prirodi, opsegu, složenosti i važnosti svojih ovisnosti u području IKT-a, ključnosti ili važnosti usluga, procesa ili funkcija koje podliježu ugovornim aranžmanima i, u konačnici, na temelju detaljne procjene mogućeg učinka na kontinuitet i kvalitetu financijskih usluga na pojedinačnoj razini i na razini grupe, ovisno o slučaju.

Pored toga, Uredbom (EU) 2022/2554 uzeto je u obzir da je financijski ekosustav EU-a postao ovisan o određenim IKT uslugama. Neki od pružatelja takvih usluga inovatori su u razvoju i primjeni tehnologija temeljenih na IKT-u i imaju važnu ulogu u pružanju financijskih usluga ili su se integrirali u vrijednosni lanac financijskih usluga. Time su postali ključni za stabilnost i cjelovitost financijskog sustava EU-a. Stoga su na temelju Uredbe (EU) 2022/2554 takve ključne treće strane pružatelji IKT usluga obuhvaćene posebnim nadzornim okvirom EU-a, sve kako bi se promicali konvergencija i učinkovitost u pogledu pristupa nadzornih tijela u nošenju s IKT rizikom povezanim s trećim stranama u financijskom sektoru, jačala digitalna operativna otpornost financijskih subjekata koji se za IKT usluge kojima se podupire pružanje financijskih usluga oslanjaju na ključne treće strane pružatelje IKT usluga te kako bi se time doprinijelo očuvanju stabilnosti financijskog sustava EU-a i cjelovitosti unutarnjeg tržišta za financijske usluge. U kontekstu takvog nadzornog okvira Uredbom (EU) 2022/2554 predviđeno je da bi se bilo koje od triju europskih nadzornih tijela (Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje, Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala, odnosno Europsko nadzorno tijelo za bankarstvo; u daljnjem tekstu zajedno: europska nadzorna tijela) moglo imenovati glavnim nadzornim tijelom za svaku pojedinu ključnu treću stranu pružatelja IKT usluga, i to na temelju kriterija određenih Uredbom (EU) 2022/2554.

Pri tome, kako bi se iskoristila višeslojna institucionalna struktura u području financijskih usluga, Zajednički odbor europskih nadzornih tijela trebao bi nastaviti osiguravati opću međusektorsku koordinaciju u vezi sa svim pitanjima koja se odnose na IKT rizik, u skladu sa svojim zadaćama u području kibernetičke sigurnosti. Potporu će mu pružati novi pododbor, tj. Nadzorni forum, koji će obavljati pripremne radnje, kako za pojedinačne odluke upućene ključnim trećim stranama pružateljima IKT usluga, tako i za izdavanje zajedničkih preporuka.

Gore navedeni Nadzorni forum sukladno članku 32. stavku 4. Uredbe (EU) 2022/2554 čine, među ostalim, i po jedan predstavnik na visokoj razini iz svake države članice koji je član osoblja relevantnog nacionalnog nadležnog tijela. Pri tome je na temelju članka 32. stavka 5. Uredbe (EU) 2022/2554 svaka država članica dužna imenovati relevantno nadležno tijelo čiji je član osoblja predstavnik na visokoj razini u Nadzornom forumu te o tome obavijestiti glavno nadzorno tijelo. Stoga je Konačnim prijedlogom zakona određeno da su Hrvatska agencija za nadzor financijskih usluga i Hrvatska narodna banka, kao nadležna tijela za provedbu Uredbe (EU) 2022/2554 i ovoga Zakona u skladu s Konačnim prijedlogom zakona , nadležna tijela u smislu članka 32. stavka 5. Uredbe (EU) 2022/2554, odnosno tijela čiji je član osoblja predstavnik na visokoj razini u Nadzornom forumu. Konačnim prijedlogom zakona određeno je da će Hrvatska agencija za nadzor financijskih usluga i Hrvatska narodna banka sporazumom o suradnji detaljnije urediti sudjelovanje u Nadzornom forumu, pa tako i pravo svake od njih da svake dvije godine imenuje svog predstavnika u Nadzorni forum te način i rokove obavještavanja glavnog nadzornog tijela o promjenama predstavnika. Konačnim prijedlogom zakona predviđena je i ovlast Vlade Republike Hrvatske da na prijedlog ministra financija imenuje predstavnika i promatrača u Nadzorni forum iz reda članova osoblja nadležnih tijela za slučaj da Hrvatska agencija za nadzor financijskih usluga i Hrvatska narodna banka ne sklope sporazum o suradnji u roku određenom ovim Zakonom ili ako Hrvatska agencija za nadzor financijskih usluga i Hrvatska narodna banka sporazumom o suradnji ne urede sudjelovanje u Nadzornom forumu u skladu s ovim Zakonom .

Kako bi se osigurala provedba Uredbe (EU) 2022/2554 u odnosu na financijske subjekte obuhvaćene njezinim područjem primjene, europska nadzorna tijela dobivaju niz mandata kojima su definirane njihove nove uloge i kontinuirane zadaće, poput prikupljanja i analize podataka o značajnim IKT incidentima, nadzora nad ključnim trećim stranama pružateljima IKT usluga, osmišljavanja financijskih međusektorskih vježbi i dr.

Cilj je Uredbe (EU) 2022/2554 ojačati ukupnu digitalnu operativnu otpornost financijskog sektora EU-a i osigurati da se korisnici mogu oslanjati na usluge financijskih subjekata obuhvaćenih područjem primjene Uredbe (EU) 2022/2554 i u slučaju značajnih poremećaja. Usklađenost s Uredbom (EU) 2022/2554 osiguravat će odgovarajuća nadležna tijela, u skladu sa svojim ovlastima. Nadležna tijela moraju stoga imati sve ovlasti nadzora, istrage i sankcioniranja potrebne za izvršavanje svojih zadaća iz Uredbe (EU) 2022/2554. Države članice dužne su propisati pravila kojima se utvrđuju odgovarajuće administrativne kazne i korektivne mjere za povrede Uredbe (EU) 2022/2554 te osigurati njihovu djelotvornu provedbu. Pritom su države članice dužne dodijeliti nadležnim tijelima ovlast za primjenu barem onih administrativnih kazni ili korektivnih mjera za povrede Uredbe (EU) 2022/2554 koje su propisane člankom 50. stavkom 4. Uredbe (EU) 2022/2554. Ako se pak članak 50. stavak 2. točka c) i članak 50. stavak 4. Uredbe (EU) 2022/2554 primjenjuju na pravne osobe, države članice dužne su nadležnim tijelima dodijeliti ovlast da, podložno uvjetima utvrđenima nacionalnim pravom, primijene administrativne kazne i korektivne mjere na članove upravljačkog tijela i na druge osobe koje su na temelju nacionalnog prava odgovorne za takvu povredu. Države članice dužne su osigurati da su sve odluke kojima se izriču administrativne kazne ili korektivne mjere iz članka 50. stavka 2. točke c) Uredbe (EU) 2022/2554  propisno obrazložene i da se protiv njih može podnijeti žalba.

Slijedom navedenog, Konačnim prijedlogom zakona osigurava se provedba Uredbe (EU) 2022/2554 u okviru pravnog poretka Republike Hrvatske tako što se Hrvatskoj narodnoj banci i Hrvatskoj agenciji za nadzor financijskih usluga dodjeljuju ovlasti potrebne za izvršavanje Uredbom (EU) 2022/2554 predviđenih zadaća u odnosu na odgovarajuće subjekte nadzora, što uključuje ovlasti provođenja nadzora nad pridržavanjem odredbi Uredbe (EU) 2022/2554 i ovoga Zakona te ovlasti izricanja nadzornih mjera u slučajevima kršenja odredbi Uredbe (EU) 2022/2554 i ovoga Zakona. Ovim Zakonom utvrđuju se i prekršajne odredbe za kršenje odredbi ovoga Zakona i Uredbe (EU) 2022/2554.

III. OCJENA I IZVORI SREDSTAVA POTREBNIH ZA PROVEDBU ZAKONA

Za provedbu ovoga Zakona u Državnom proračunu Republike Hrvatske financijska sredstva su osigurana u okviru financijskog plana Ministarstva znanosti, obrazovanja i mladih. Financijska sredstva za provedbu ovoga Zakona planirana su u Državnom proračunu za 2024. godinu i projekcijama za 2025. i 2026. godinu, i to u iznosu od 718.000 eura u 2024. godini, te u iznosu od 488.000 eura u 2025. i 2026. godini. Naime, Konačnim prijedlogom zakona određeno je da su financijski subjekti, kao subjekti nadzora nadležnih tijela određenih ovim Zakonom, dužni o značajnim IKT incidentima izvještavati putem nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima koja je uspostavljena zakonom kojim se uređuje kibernetička sigurnost. Stoga će u sklopu osiguravanja preduvjeta za provedbu Uredbe (EU) 2022/2554 biti potrebno nadograditi PIXI platformu kako bi se ispunili zahtjevi propisani Uredbom (EU) 2022/2554 vezani uz izvješćivanje o značajnim IKT incidentima. PIXI platformu vodi Odjel za Nacionalni CERT u okviru Hrvatske akademske i istraživačke mreže CARNET.

IV. PRIJEDLOG ZA DONOŠENJE ZAKONA PO HITNOM POSTUPKU

Donošenje ovoga Zakona predlaže se po hitnom postupku na temelju članka 206. stavka 1. Poslovnika Hrvatskoga sabora („Narodne novine“, br. 81/13., 113/16., 69/17., 29/18., 53/20., 119/20. - Odluka Ustavnog suda Republike Hrvatske, 123/20. i 86/23. - Odluka Ustavnog suda Republike Hrvatske) sukladno kojem se po hitnom postupku donose zakoni koji se usklađuju s dokumentima Europske unije ako to zatraži predlagatelj.

Uredba (EU) 2022/2554 u cijelosti je obvezujuća i izravno se primjenjuje u svim državama članicama od 17. siječnja 2025. Budući da se ovim Zakonom isključivo osiguravaju pretpostavke za provedbu Uredbe (EU) 2022/2554, predlaže se donošenje ovoga Zakona po hitnom postupku.

KONAČNI PRIJEDLOG ZAKONA O PROVEDBI UREDBE (EU) 2022/2554 O DIGITALNOJ OPERATIVNOJ OTPORNOSTI ZA FINANCIJSKI SEKTOR

I. OPĆE ODREDBE

Predmet Zakona

Članak 1.

Ovim se Zakonom utvrđuju nadležna tijela, ovlasti nadležnih tijela, postupak nadzora, nadzorne mjere te prekršajne odredbe za kršenje odredbi ovoga Zakona i uredbe Europske unije iz članka 2. ovoga Zakona.

Pravo Europske unije

Članak 2.

Ovim Zakonom osigurava se provedba Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (Tekst značajan za EGP) (SL L 333, 27.12.2022.) (u daljnjem tekstu: Uredba (EU) 2022/2554).

Pojmovi

Članak 3.

(1) U smislu ovoga Zakona pojedini pojmovi imaju sljedeće značenje:

1. Agencija je Hrvatska agencija za nadzor financijskih usluga čije su nadležnosti i područje rada propisani zakonom kojim se uređuje područje rada i nadležnosti Hrvatske agencije za nadzor financijskih usluga, ovim Zakonom i drugim zakonima

2. EBA je Europsko nadzorno tijelo za bankarstvo

3. EIOPA je Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje

4. ESB je Europska središnja banka

5. ESMA je Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala

6. Hrvatska narodna banka je središnja banka Republike Hrvatske čiji su zadaci i nadležnosti propisani zakonom kojim se uređuje status, cilj, položaj i zadaci Hrvatske narodne banke, ovim Zakonom i drugim zakonima

7. nadležna tijela su Agencija i Hrvatska narodna banka

8. E uropska nadzorna tijela su EBA, ESMA i EIOPA

9. CSIRT je tijelo za prevenciju i zaštitu od kibernetičkih incidenata (engl. Computer Security Incident Response Team ) kojem su u skladu sa zakonom kojim se uređuje kibernetička sigurnost dodijeljene zadaće te je imenovano nadležnim CSIRT-om za sektore bankarstva i infrastrukture financijskog tržišta

10. kibernetička prijetnja je kiberprijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (Tekst značajan za EGP) (SL L 151, 7.6.2019.)

11. ozbiljna kibernetička prijetnja je ozbiljna kiberprijetnja kako je definirana člankom 3. točkom 13. Uredbe (EU) 2022/2554

12. kibernetička sigurnost je kibersigurnost u smislu Uredbe (EU) 2022/2554

13. penetracijsko testiranje vođeno prijetnjama (TLPT) je okvir koji oponaša taktike, tehnike i procedure stvarnih aktera prijetnje koje se smatraju stvarnom kibernetičkom prijetnjom, koji omogućuje kontrolirano, prilagođeno testiranje ključnih produkcijskih sustava financijskog subjekta, vođeno saznanjima o prijetnjama.

(2) Ostali pojmovi u ovom Zakonu imaju jednako značenje kao pojmovi definirani u Uredbi (EU) 2022/2554.

Korištenje pojmova s rodnim značenjem

Članak 4.

Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.

Postupanje po smjernicama

Članak 5.

(1) Smjernice koje europska nadzorna tijela donose u skladu sa svojim ovlastima iz Uredbe (EU) 2022/2554 obvezujuće su za Agenciju i subjekte nadzora čije su obveze određene odredbama ovoga Zakona i Uredbe (EU) 2022/2554, ako su ispunjeni sljedeći uvjeti:

1. da se, sukladno proceduri propisanoj uredbama kojima se osnivaju europska nadzorna tijela, Agencija očitovala da se obvezuje u cijelosti ili djelomično pridržavati odredbi pojedine smjernice ili da se do određenog roka namjerava uskladiti s pojedinom smjernicom

2. da je Agencija na svojoj internetskoj stranici objavila obavijest o očitovanju iz točke 1. ovoga stavka, pri čemu su stupanje na snagu i početak primjene određeni pojedinom smjernicom, osim kada se Agencija očitovala o namjeri usklađenja s pojedinim smjernicama do određenog roka, u kojem slučaju su stupanje na snagu i početak primjene određeni očitovanjem iz točke 1. ovoga stavka.

(2) U izvršavanju svojih ovlasti Hrvatska narodna banka vodi računa o ujednačavanju nadzornih i supervizorskih alata i postupaka pri primjeni ovoga Zakona odnosno Uredbe (EU) 2022/2554 te poduzima sve aktivnosti u svrhu usklađivanja sa smjernicama i preporukama koje izdaju europska nadzorna tijela u skladu sa svojim ovlastima.

(3) Agencija i Hrvatska narodna banka na svojim internetskim stranicama objavljuju poveznice na tekstove smjernica kojih će se ta tijela i subjekti nadzora u cijelosti ili djelomično pridržavati ili s kojima se do određenog roka namjeravaju uskladiti, zajedno s obavijesti koja u odnosu na pojedine smjernice sadržava sljedeće informacije:

1. na koje se subjekte nadzora smjernica odnosi

2. primjenjuje li se smjernica u cijelosti ili djelomično i

3. datum stupanja na snagu i početka primjene smjernice, s određenim prijelaznim razdobljima ako su ona predviđena.

Izuzeće od primjene

Članak 6.

Sukladno članku 2. stavku 4. Uredbe (EU) 2022/2554, u Republici Hrvatskoj, Uredba (EU) 2022/2554 i ovaj Zakon ne primjenjuju se na kreditne unije i Hrvatsku banku za obnovu i razvitak.

II. NADLEŽNA TIJELA, NJIHOVE NADLEŽNOSTI I PODRUČJE RADA

Nadležna tijela

Članak 7.

(1) Nadležna tijela za provedbu Uredbe (EU) 2022/2554 i ovoga Zakona su Agencija i Hrvatska narodna banka.

(2) Protiv rješenja koje nadležno tijelo donosi na temelju ovoga Zakona i Uredbe (EU) 2022/2554 nije dopuštena žalba, ali se može pokrenuti upravni spor pred nadležnim upravnim sudom.

(3) U postupku povodom tužbe protiv rješenja iz stavka 2. ovoga članka nadležni upravni sud ne može odlučiti da tužba ima odgodni učinak niti može izdati privremenu mjeru.

Subjekti nadzora nadležnih tijela

Članak 8.

(1) Subjekti nadzora Agencije u smislu ovoga Zakona, a u vezi s ispunjavanjem obveza iz Uredbe (EU) 2022/2554 i ovoga Zakona su sljedeći subjekti iz članka 2. stavka 1. Uredbe (EU) 2022/2554:

1. investicijsko društvo kako je određeno zakonom koji uređuje tržište kapitala

2. pružatelj usluga povezanih s kriptoimovinom koji ima odobrenje Agencije u skladu s odredbama zakona kojim se osigurava provedba Uredbe (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (Tekst značajan za EGP) (SL L 150, 9.6.2023.) (u daljnjem tekstu: Uredba (EU) 2023/1114)

3. središnji depozitorij vrijednosnih papira kako je određen Uredbom (EU) br. 909/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o poboljšanju namire vrijednosnih papira u Europskoj uniji i o središnjim depozitorijima vrijednosnih papira te izmjeni direktiva 98/26/EZ i 2014/65/EU te Uredbe (EU) br. 236/2012 (Tekst značajan za EGP) (SL L 257, 28.8.2014.)

4. središnja druga ugovorna strana kako je određena Uredbom (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (Tekst značajan za EGP) (SL L 201, 27.7.2012.)

5. operater uređenog tržišta kako je određen zakonom koji uređuje tržište kapitala

6. v eliko društvo za upravljanje investicijskim fondovima (u daljnjem tekstu: UAIF) kako je određeno zakonom koji uređuje osnivanje i upravljanje alternativnim investicijskim fondovima

7. društvo za upravljanje otvorenim investicijskim fondovima s javnom ponudom, kako je određeno zakonom koji uređuje osnivanje i upravljanje otvorenim investicijskim fondovima s javnom ponudom

8. pružatelj usluga dostave podataka kako je određen zakonom koji uređuje tržište kapitala

9. društvo za osiguranje, kako je određeno zakonom koji uređuje osiguranje

10. društvo za reosiguranje, kako je određeno zakonom koji uređuje osiguranje

11. posrednik u osiguranju, osim ako je mikro, mali ili srednji poduzetnik izuzet od primjene Uredbe (EU) 2022/2554 u skladu s odredbom članka 2. stavka 3. točke e) Uredbe (EU) 2022/2554

12. posrednik u reosiguranju, osim ako je mikro, mali ili srednji poduzetnik izuzet od primjene Uredbe (EU) 2022/2554 u skladu s odredbom članka 2. stavka 3. točke e) Uredbe (EU) 2022/2554

13. sporedni posrednik u osiguranju osim ako je mikro, mali ili srednji poduzetnik izuzet od primjene Uredbe (EU) 2022/2554 u skladu s odredbom članka 2. stavka 3. točke  e) Uredbe (EU) 2022/2554

14. društvo za upravljanje dobrovoljnim mirovinskim fondovima, kako je određeno zakonom koji uređuje osnivanje i upravljanje dobrovoljnim mirovinskim fondovima

15. mirovinsko osiguravajuće društvo kako je određeno zakonom koji uređuje osnivanje i poslovanje mirovinskih osiguravajućih društava

16. administrator ključnih referentnih vrijednosti kako je određeno zakonom kojim se osigurava provedba Uredbe (EU) 2016/1011 Europskog parlamenta i Vijeća od 8. lipnja 2016. o indeksima koji se upotrebljavaju kao referentne vrijednosti u financijskim instrumentima i financijskim ugovorima ili za mjerenje uspješnosti investicijskih fondova i o izmjeni direktiva 2008/48/EZ i 2014/17/EU te Uredbe (EU) br. 596/2014 (Tekst značajan za EGP) (SL L 171, 29.6.2016.) kako je zadnje izmijenjena Uredbom (EU) 2023/2869 Europskog parlamenta i Vijeća od 13. prosinca 2023. o izmjeni određenih uredbi u pogledu uspostave i funkcioniranja jedinstvene europske pristupne točke (Tekst značajan za EGP) (SL L, 2023/2869, 20.12.2023.)

17. pružatelj usluga skupnog financiranja kako je određeno zakonom kojim se osigurava provedba Uredbe (EU) 2020/1503 Europskog parlamenta i Vijeća od 7. listopada 2020. o europskim pružateljima usluga skupnog financiranja za poduzeća i izmjeni Uredbe (EU) 2017/1129 i Direktive (EU) 2019/1937 (Tekst značajan za EGP) (SL L 347, 20.10.2020.).

(2) Osim subjekata iz stavka 1. ovoga članka, ovaj Zakon i Uredbu (EU) 2022/2554 dužno je primjenjivati i društvo za upravljanje obveznim mirovinskim fondovima, kako je određeno zakonom koji uređuje osnivanje i upravljanje obveznim mirovinskim fondovima, koje je u smislu primjene ovoga Zakona subjekt nadzora Agencije.

(3) Subjekti nadzora Hrvatske narodne banke u smislu ovoga Zakona, a u vezi s ispunjavanjem obveza iz Uredbe (EU) 2022/2554 i ovoga Zakona su sljedeći subjekti iz članka 2. stavka 1. Uredbe (EU) 2022/2554:

1. kreditna institucija kako je određeno zakonom kojim se uređuje osnivanje i poslovanje kreditnih institucija, osim kreditne institucije klasificirane kao značajne u skladu s člankom 6. stavkom 4. Uredbe Vijeća (EU) br. 1024/2013 od 15. listopada 2013. o dodjeli određenih zadaća Europskoj središnjoj banci u vezi s politikama bonitetnog nadzora kreditnih institucija (SL L 287, 29.10.2013.) (u daljnjem tekstu: Uredba Vijeća (EU) br. 1024/2013), za koje je nadležan ESB u skladu s ovlastima i zadaćama koje su mu dodijeljene Uredbom Vijeća (EU) br. 1024/2013

2. institucija za platni promet kako je određeno zakonom kojim se uređuje platni promet, uključujući institucije za platni promet izuzete u skladu sa zakonom kojim se uređuje platni promet i nacionalnim odredbama drugih država članica kojima se prenosi Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (Tekst značajan za EGP) (SL L 337, 23.12.2015.)

3. pružatelj usluge informiranja o računu kako je određeno zakonom kojim se uređuje platni promet

4. institucija za elektronički novac kako je određeno zakonom kojim se uređuje elektronički novac uključujući institucije za elektronički novac izuzete u skladu sa zakonom kojim se uređuje elektronički novac i nacionalnim odredbama drugih država članica kojima se prenosi Direktiva 2009/110/EZ Europskog parlamenta i Vijeća od 16. rujna 2009. o osnivanju, obavljanju djelatnosti i bonitetnom nadzoru poslovanja institucija za elektronički novac te o izmjeni direktiva 2005/60/EZ i 2006/48/EZ i stavljanju izvan snage Direktive 2000/46/EZ (Tekst značajan za EGP) (SL L 267, 10.10.2009.)

5. izdavatelj tokena vezanih uz imovinu kako je određen Uredbom (EU) 2023/1114 koji ima odobrenje Hrvatske narodne banke u skladu s odredbama zakona kojim se osigurava provedba Uredbe (EU) 2023/1114 .

Podjela nadležnosti

Članak 9.

(1) Nadležnosti Agencije za potrebe provedbe Uredbe (EU) 2022/2554 i ovoga Zakona odnose se na:

1. provođenje nadzora u smislu pridržavanja odredbi Uredbe (EU) 2022/2554 i ovoga Zakona nad subjektima nadzora Agencije iz članka 8. stavaka 1. i 2. ovoga Zakona

2. izricanje nadzornih mjera subjektima nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona

3. podnošenje optužnih prijedloga kod utvrđenih povreda odredbi Uredbe (EU) 2022/2554 i ovoga Zakona od strane subjekata nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona.

(2) Nadležnosti Hrvatske narodne banke za potrebe provedbe Uredbe (EU) 2022/2554 i ovoga Zakona odnose se na:

1. provođenje nadzora u smislu pridržavanja odredbi Uredbe (EU) 2022/2554 i ovoga Zakona nad subjektima nadzora Hrvatske narodne banke iz članka 8. stavka 3. ovoga Zakona

2. izricanje nadzornih mjera subjektima nadzora iz članka 8. stavka 3. ovoga Zakona

3. podnošenje optužnih prijedloga kod utvrđenih povreda odredbi Uredbe (EU) 2022/2554 i ovoga Zakona od strane subjekata nadzora iz članka 8. stavka 3. ovoga Zakona.

(3) Opseg razmjene informacija te koordinacija postupaka i aktivnosti pri provedbi ovoga Zakona i Uredbe (EU) 2022/2554 uredit će se sporazumom o suradnji između Agencije i Hrvatske narodne banke.

III. NADZOR

Postupak nadzora koji provodi Agencija

Članak 10.

(1) Nadzor nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona prema podjeli nadležnosti iz članka 9. ovoga Zakona obavlja Agencija u skladu s odredbama Uredbe (EU) 2022/2554 , ovoga Zakona i zakona kojima je uređeno osnivanje i poslovanje subjekata nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona.

(2) Agencija može obavljanje pojedinih zadataka u vezi s nadzorom nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona povjeriti ovlaštenom revizoru, revizorskom društvu ili drugoj stručno osposobljenoj osobi.

(3) Agencija u postupku nadzora može:

1. od subjekta nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona i njihovih radnika zatražiti pisana i usmena objašnjenja

2. obaviti razgovore za potrebe prikupljanja informacija s bilo kojom osobom za koju ocijeni da ima relevantna saznanja, uz uvjet njezinog izričitog pristanka.

Postupak nadzora koji provodi Hrvatska narodna banka

Članak 11.

(1) Nadzor nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona sukladno podjeli nadležnosti iz članka 9. ovoga Zakona obavlja Hrvatska narodna banka sukladno odredbama Uredbe (EU) 2022/2554, ovoga Zakona i zakona kojima je uređeno osnivanje i poslovanje subjekata nadzora iz članka 8. stavka 3. ovoga Zakona.

(2) Hrvatska narodna banka može obavljanje pojedinih zadataka u vezi s nadzorom nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona povjeriti ovlaštenom revizoru, revizorskom društvu ili drugoj stručno osposobljenoj osobi.

(3) Hrvatska narodna banka u postupku nadzora može:

1. od subjekta nadzora iz članka 8. stavka 3. ovoga Zakona i njihovih radnika zatražiti pisana i usmena objašnjenja

2. obaviti razgovore za potrebe prikupljanja informacija s bilo kojom osobom za koju ocijeni da ima relevantna saznanja, uz uvjet njezinog izričitog pristanka.

Nadzorne mjere Agencije

Članak 12.

(1) Osim mjera koje je ovlaštena izricati sukladno zakonima kojima se uređuje osnivanje i poslovanje subjekata nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona, Agencija je ovlaštena pri obavljanju nadzora nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona:

1. izdavati nalog subjektu nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona i odgovornoj osobi tog subjekta nadzora da prestane s ponašanjem koje predstavlja povredu Uredbe (EU) 2022/2554 i ovoga Zakona i da se suzdrži od ponavljanja takvog ponašanja

2. upućivati zahtjev za privremeni ili trajni prestanak postupanja ili ponašanja koje smatra protivnim odredbama Uredbe (EU) 2022/2554 i ovoga Zakona te sprječavati ponavljanja takvog postupanja ili ponašanja

3. izricati ili odrediti mjere i podnositi optužne prijedloge kako bi se osiguralo da subjekt nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona uspostavi postupanje koje je u skladu s propisima

4. upućivati zahtjev, u mjeri u kojoj je to propisima dopušteno, za dostavu postojeće evidencije telekomunikacijskog operatera o podatkovnom prometu ako postoji opravdana sumnja u povredu Uredbe (EU) 2022/2554 i ovoga Zakona te ako takva evidencija može biti važna za istragu povreda Uredbe (EU) 2022/2554 i ovoga Zakona i

5. izdavati javne obavijesti, uključujući javne objave u kojima se navodi identitet subjekta nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona i odgovorne osobe subjekta nadzora te priroda povrede.

(2) Ako utvrdi da je član upravljačkog tijela subjekta nadzora ili druga osoba odgovorna za povrede Uredbe (EU) 2022/2554, Agencija može kao posebnu nadzornu mjeru naložiti nadzornom odboru subjekta nadzora da razriješi člana uprave ili drugu osobu razriješi rukovodeće funkcije u subjektu nadzora.

(3) Pravna ili fizička osoba kojoj je Agencija izrekla nadzornu mjeru dužna ju je izvršiti na način i u roku kako je to određeno rješenjem.  

(4) Agencija je u svrhu ujednačavanja nadzorne prakse ovlaštena raznim vrstama objava  izvještavati određene skupine subjekata nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona o objašnjenju ili načinu primjene ovoga Zakona.

Nadzorne mjere Hrvatske narodne banke

Članak 13.

(1) Osim mjera koje je ovlaštena izricati sukladno zakonima kojima se uređuje osnivanje i poslovanje subjekata nadzora iz članka 8. stavka 3. ovoga Zakona, Hrvatska narodna banka je ovlaštena pri obavljanju nadzora nad provedbom Uredbe (EU) 2022/2554 i ovoga Zakona:

1. izdavati nalog subjektu nadzora iz članka 8. stavka 3. ovoga Zakona da prestane s ponašanjem koje predstavlja povredu Uredbe (EU) 2022/2554 i ovoga Zakona i da se suzdrži od ponavljanja takvog ponašanja

2. upućivati zahtjev za privremeni ili trajni prestanak postupanja ili ponašanja koje smatra protivnim odredbama Uredbe (EU) 2022/2554 i ovoga Zakona te sprječavati ponavljanja takvog postupanja ili ponašanja

3. izricati ili odrediti mjere i podnositi optužne prijedloge kako bi se osiguralo da subjekt nadzora iz članka 8. stavka 3. ovoga Zakona uspostavi postupanje koje je u skladu s propisima

4. upućivati zahtjev, u mjeri u kojoj je to propisima dopušteno, za dostavu postojeće evidencije telekomunikacijskog operatera o podatkovnom prometu ako postoji opravdana sumnja u povredu Uredbe (EU) 2022/2554 i ovoga Zakona te ako takva evidencija može biti važna za istragu povreda Uredbe (EU) 2022/2554 i ovoga Zakona i

5. izdavati javne obavijesti, uključujući javne objave u kojima se navodi identitet subjekta nadzora iz članka 8. stavka 3. ovoga Zakona i odgovorne osobe subjekta nadzora te priroda povrede.

(2) Ako utvrdi da je član upravljačkog tijela subjekta nadzora ili druga osoba odgovorna za povrede Uredbe (EU) 2022/2554, Hrvatska narodna banka može kao posebnu nadzornu mjeru naložiti nadzornom odboru subjekta nadzora da razriješi člana uprave ili drugu osobu ukloni s rukovodeće funkcije u subjektu nadzora.

(3) Pravna ili fizička osoba kojoj je Hrvatska narodna banka izrekla nadzornu mjeru dužna ju je izvršiti na način i u roku kako je to određeno rješenjem.

(4) Hrvatska narodna banka je u svrhu ujednačavanja nadzorne prakse ovlaštena raznim vrstama objava izvještavati određene skupine subjekata nadzora iz članka 8. stavka 3. ovoga Zakona o objašnjenju ili načinu primjene ovoga Zakona.

IV. OSTALE ODREDBE VEZANE UZ PROVEDBU UREDBE (EU) 2022/2554

Izvješćivanje o značajnim IKT incidentima

Članak 14.

(1) Subjekti nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona dužni su o značajnim IKT incidentima izvještavati Agenciju.

(2) Subjekti nadzora iz članka 8. stavka 3. ovoga Zakona dužni su o značajnim IKT incidentima izvještavati Hrvatsku narodnu banku.

(3) Subjekti nadzora iz članka 8. ovoga Zakona o značajnom IKT incidentu dužni su izvijestiti i CSIRT.

Nacionalna platforma za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima

Članak 15.

(1) Subjekti nadzora iz članka 8. ovoga Zakona dužni su o značajnim IKT incidentima izvještavati putem nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima koja je uspostavljena zakonom kojim se uređuje kibernetička sigurnost.

(2) Subjekti nadzora iz članka 8. ovoga Zakona koji na dobrovoljnoj osnovi izvještavaju o ozbiljnoj kibernetičkoj prijetnji za izvještavanje koriste se nacionalnom platformom iz stavka 1. ovoga članka.

Predstavnik u Nadzornom forumu

Članak 16.

(1) Nadležna tijela u smislu članka 32. stavka 5. Uredbe (EU) 2022/2554 su Agencija i Hrvatska narodna banka.

(2) Agencija i Hrvatska narodna banka će u sporazumu o suradnji iz članka 9. stavka 3. ovoga Zakona detaljnije urediti sudjelovanje u Nadzornom forumu iz članka 32. Uredbe (EU) 2022/2554, a posebno:

1. pravo svake od njih da svake dvije godine imenuje svog predstavnika u Nadzorni forum te način i rokove obavještavanja glavnog nadzornog tijela o promjenama predstavnika    

2. način međusobnog informiranja o aktivnostima Nadzornog foruma

3. obvezu međusobnog savjetovanja radi zauzimanja zajedničkih stajališta u području IKT rizika i obavještavanja drugog nadzornog tijela o svim aktivnostima vezanim uz upravljanje IKT rizikom iz područja nadležnosti pojedinog nadležnog tijela.

(3) Agencija i Hrvatska narodna banka će po sklapanju sporazuma o imenovanju predstavnika u Nadzorni forum obavijestiti glavno nadzorno tijelo u skladu s člankom 32. stavkom 5. Uredbe (EU) 2022/2554.

(4) Ako Agencija i Hrvatska narodna banka ne sklope sporazum o suradnji iz članka 9. stavka 3. ovoga Zakona u roku iz članka 20. ovoga Zakona ili ako Agencija i Hrvatska narodna banka u sporazumu o suradnji iz članka 9. stavka 3. ovoga Zakona ne urede sudjelovanje u Nadzornom forumu iz članka 32. Uredbe (EU) 2022/2554 u skladu sa stavkom 2. ovoga članka, Vlada Republike Hrvatske na prijedlog ministra financija imenovat će iz reda članova osoblja nadležnih tijela predstavnika i promatrača u Nadzorni forum te će o imenovanju Ministarstvo financija obavijestiti glavno nadzorno tijelo.

V. PREKRŠAJNE ODREDBE

Opće odredbe

Članak 17.

(1) Ako je počinitelj prekršaja poduzetnik/pravna osoba, u smislu propisa kojima se uređuje računovodstvo poduzetnika, ukupnim prihodom za osnovicu izračuna visine kazne za prekršaje iz ove glave smatra se ukupni godišnji prihod prema posljednjim dostupnim financijskim izvještajima koje je odobrilo upravljačko tijelo počinitelja prekršaja.

(2) Ako je počinitelj prekršaja matično društvo ili društvo kći matičnoga društva od kojega se zahtijeva priprema konsolidiranih financijskih izvještaja u skladu sa zakonom kojim se uređuje računovodstvo poduzetnika, ukupnim prihodom za osnovicu izračuna visine kazne za prekršaje iz ove glave smatra se ukupni godišnji prihod ili odgovarajuća vrsta prihoda u skladu s relevantnim računovodstvenim propisima prema posljednjim dostupnim konsolidiranim financijskim izvještajima koje je odobrilo upravljačko tijelo krajnjega matičnog društva.

(3) Kada nadležna tijela iz ovoga Zakona zbog postupanja koja su protivna Uredbi (EU) 2022/2554 izvršavaju svoje ovlasti:

• za izricanje nadzornih mjera
• za izricanje drugih mjera koje su ovlaštena izricati sukladno zakonima kojima se uređuje poslovanje subjekata nadzora iz članka 8. ovoga Zakona ili
• odlučivanja o podnošenju optužnih prijedloga

obvezni su uzeti u obzir sve relevantne okolnosti iz članka 51. stavka 2. Uredbe (EU) 2022/2554 .

Objava izrečenih prekršajnih sankcija

Članak 18.

(1) Nadležna tijela odluke o prekršaju objavljuju na svojim internetskim stranicama u skladu s člankom 54. Uredbe (EU) 2022/2554 .

(2) Podaci iz stavka 1. ovoga članka dostupni su na internetskim stranicama nadležnih tijela samo tijekom razdoblja koje je potrebno za provedbu članka 54. Uredbe (EU) 2022/2554, a najdulje pet godina od dana njihove objave.

(3) Nadležna tijela u skladu s odredbama o rehabilitaciji u smislu zakona kojim je uređen prekršajni postupak istekom roka od tri godine od dana pravomoćnosti odluke o prekršaju sa svojih internetskih stranica uklanjaju osobne podatke u smislu propisa kojima je uređena zaštita osobnih podataka, a iz kojih bi bilo moguće utvrditi identitet počinitelja prekršaja.

Prekršaji

Članak 19.

(1) Novčanom kaznom koja ne može biti veća od 3% ukupnog prihoda iz članka 17. stavka 1. ili 2. ovoga Zakona kaznit će se pravna osoba ako:

1. nije uspostavila okvir za unutarnje upravljanje i kontrolu kojim se osigurava djelotvorno i razborito upravljanje IKT rizicima, u skladu s člankom 5. stavkom 1. Uredbe (EU) 2022/2554

2. nije uvela funkciju za praćenje aranžmana o upotrebi IKT usluga sklopljenih s trećim stranama pružateljima IKT usluga ili imenovala člana višeg rukovodstva koji će biti odgovoran za nadzor nad povezanom izloženosti rizicima i relevantnom dokumentacijom, u skladu s člankom 5. stavkom 3. Uredbe (EU) 2022/2554

3. nije uspostavila okvir za upravljanje IKT rizicima, u skladu s člankom 6. stavcima 1. i 2. Uredbe (EU) 2022/2554

4. nije svela učinak IKT rizika na najmanju moguću mjeru ili nije na zahtjev nadležnog tijela dostavila sve informacije, u skladu s člankom 6. stavkom 3. Uredbe (EU) 2022/2554  

5. nije odgovornost za upravljanje IKT rizicima i nadzor nad njima dodijelila kontrolnoj funkciji ili nije osigurala odgovarajuće razdvajanje i neovisnost funkcija upravljanja IKT rizicima, kontrolnih funkcija i funkcija unutarnje revizije, u skladu s člankom 6. stavkom 4. Uredbe (EU) 2022/2554

6. ne dokumentira okvir za upravljanje IKT rizicima ili ne preispituje okvir za upravljanje IKT rizicima ili ne poboljšava okvir za upravljanje IKT rizicima ili nije dostavila izvješće o preispitivanju okvira za upravljanje IKT rizicima, u skladu s člankom 6. stavkom 5. Uredbe (EU) 2022/2554

7. nije osigurala da okvir za upravljanje IKT rizicima podliježe unutarnjoj reviziji, u skladu s člankom 6. stavkom 6. Uredbe (EU) 2022/2554

8. nije uspostavila formalni proces daljnjeg postupanja temeljem zaključaka unutarnjeg revizijskog pregleda, u skladu s člankom 6. stavkom 7. Uredbe (EU) 2022/2554

9. okvir za upravljanje IKT rizicima ne obuhvaća strategiju za digitalnu otpornost uspostavljenu u skladu s člankom 6. stavkom 8. Uredbe (EU) 2022/2554

10. ne upotrebljava ili ne održava ažuriranima IKT sustave, protokole i alate koji su u skladu s člankom 7. Uredbe (EU) 2022/2554

11. nije utvrdila ili nije klasificirala ili nije na odgovarajući način dokumentirala sve poslovne funkcije ili uloge i odgovornosti koje se podupiru IKT-om ili informacijsku imovinu i IKT imovinu kojom se te funkcije podupiru ili njihove uloge i ovisnosti u odnosu na IKT rizik, u skladu s člankom 8. stavkom 1. Uredbe (EU) 2022/2554

12. ne utvrđuje kontinuirano sve izvore IKT rizika ili ne procjenjuje kibernetičke prijetnje ili ne procjenjuje ranjivosti IKT-a, u skladu s člankom 8. stavkom 2. Uredbe (EU) 2022/2554

13. nije provela procjenu rizika nakon značajne promjene, u skladu s člankom 8. stavkom 3. Uredbe (EU) 2022/2554

14. nije utvrdila svu informacijsku i IKT imovinu ili nije mapirala onu koju smatra ključnom ili nije odredila veze među imovinom, u skladu s člankom 8. stavkom 4. Uredbe (EU) 2022/2554

15. nije utvrdila ili nije dokumentirala sve procese koji ovise o trećim stranama pružateljima IKT usluga, u skladu s člankom 8. stavkom 5. Uredbe (EU) 2022/2554

16. ne vodi ili ne ažurira redovito relevantne evidencije, u skladu s člankom 8. stavkom 6. Uredbe (EU) 2022/2554

17. ne provodi posebnu procjenu IKT rizika za sve zastarjele IKT sustave, u skladu s člankom 8. stavkom 7. Uredbe (EU) 2022/2554

18. ne prati ili ne kontrolira sigurnost i funkcioniranje IKT sustavâ i alatâ, u skladu s člankom 9. stavkom 1. Uredbe (EU) 2022/2554

19. ne izrađuje ili ne provodi politike ili postupke ili protokole ili alate za sigurnost IKT-a, u skladu s člankom 9. stavcima 2. i 3. Uredbe (EU) 2022/2554

20. uspostavljeni okvir za upravljanje IKT rizicima ne obuhvaća elemente u skladu s člankom 9. stavkom 4. Uredbe (EU) 2022/2554

21. nije uspostavila ili nije testirala mehanizam za brzo otkrivanje neobičnih aktivnosti, u skladu s člankom 10. stavcima 1. i 2. Uredbe (EU) 2022/2554

22. nije osigurala dostatne resurse ili sposobnosti za praćenje aktivnosti korisnika ili nastanka neobičnih pojava u IKT-u ili IKT incidenata, u skladu s člankom 10. stavkom 3. Uredbe (EU) 2022/2554

23. nije uspostavila mehanizme za provjeru u skladu s člankom 10. stavkom 4. Uredbe (EU) 2022/2554

24. nije uvela sveobuhvatnu politiku kontinuiteta poslovanja u području IKT-a, u skladu s člankom 11. stavkom 1. Uredbe (EU) 2022/2554

25. ne provodi politiku kontinuiteta poslovanja u području IKT-a, u skladu s člankom 11. stavkom 2. Uredbe (EU) 2022/2554

26. ne provodi planove odgovora ili planove oporavka u području IKT-a, u skladu s člankom 11. stavkom 3. Uredbe (EU) 2022/2554

27. nije uvela ili ne održava ili ne testira planove kontinuiteta poslovanja u području IKT-a, u skladu s člankom 11. stavkom 4. Uredbe (EU) 2022/2554

28.  nije provela analizu učinka na poslovanje u skladu s člankom 11. stavkom 5. Uredbe (EU) 2022/2554

29. nije testirala planove kontinuiteta poslovanja u području IKT-a ili planove odgovora i oporavka u području IKT-a ili planove komunikacije u krizi, u skladu s člankom 11. stavkom 6. Uredbe (EU) 2022/2554

30. nema funkciju za upravljanje krizama, u skladu s člankom 11. stavkom 7. Uredbe (EU) (EU) 2022/2554

31. nije vodila evidenciju aktivnosti u slučaju aktivacije planova kontinuiteta poslovanja u području IKT-a ili planova odgovora i oporavka u području IKT-a, u skladu s člankom 11. stavkom 8. Uredbe (EU) 2022/2554

32. kao središnji depozitorij vrijednosnih papira ne dostavi Agenciji preslike rezultata testova kontinuiteta poslovanja u području IKT-a, u skladu s člankom 11. stavkom 9. Uredbe (EU) 2022/2554

33. nadležnom tijelu na zahtjev ne dostavi procjenu ukupnih godišnjih troškova i gubitaka prouzročenih značajnim IKT incidentima, u skladu s člankom 11. stavkom 10. Uredbe (EU) 2022/2554

34. nije razvila ili dokumentirala politike i postupke za izradu sigurnosnih kopija ili postupke i metode za ponovnu uspostavu i oporavak, u skladu s člankom 12. stavkom 1. Uredbe (EU) 2022/2554

35. nije uspostavila sustave za izradu sigurnosnih kopija, u skladu s člankom 12. stavkom 2. Uredbe (EU) 2022/2554

36. IKT sustav koji upotrebljava pri vraćanju podataka sa sigurnosne kopije ne ispunjava zahtjeve iz članka 12. stavka 3. Uredbe (EU) 2022/2554

37. kao središnja druga ugovorna stana nema plan oporavka koji omogućuje oporavak svih transakcija koje su bile u tijeku u trenutku poremećaja u skladu s člankom 12. stavkom 3. Uredbe (EU) 2022/2554

38. kao pružatelj usluga dostave podataka nema infrastrukturu u skladu s člankom 12. stavkom 3. podstavkom 3. Uredbe (EU) 2022/2554

39. ne održava redundantne IKT kapacitete, u skladu s člankom 12. stavkom 4. Uredbe (EU) 2022/2554

40. kao središnji depozitorij vrijednosnih papira ne održava najmanje jedno sekundarno mjesto obrade koje ispunjava uvjete iz članka 12. stavka 5. Uredbe (EU) 2022/2554

41. nije osigurala održavanje najviše razine cjelovitosti podataka pri oporavljanju od IKT incidenta, u skladu s člankom 12. stavkom 7. Uredbe (EU) 2022/2554

42. ne raspolaže sposobnostima ili osobljem za prikupljanje informacija o ranjivostima ili kibernetičkim prijetnjama ili IKT incidentima, u skladu s člankom 13. stavkom 1. Uredbe (EU) 2022/2554

43. ne raspolaže sposobnostima ili osobljem za analizu učinka ranjivosti ili kibernetičkih prijetnji ili IKT incidenata na digitalnu operativnu otpornost, u skladu s člankom 13. stavkom 1. Uredbe (EU) 2022/2554

44. nije provela preispitivanje nakon IKT incidenta ili nije na zahtjev obavijestila nadležno tijelo o promjenama koje su provedene slijedom preispitivanja nakon IKT incidenata, u skladu s člankom 13. stavkom 2. Uredbe (EU) 2022/2554

45. nije provela odgovarajuća preispitivanja relevantnih komponenata okvira za upravljanje IKT rizicima, u skladu s člankom 13. stavkom 3. Uredbe (EU) 2022/2554

46. ne prati djelotvornost provedbe strategije za digitalnu operativnu otpornost, u skladu s člankom 13. stavkom 4. Uredbe (EU) 2022/2554

47. nije osmislila ili ne primjenjuje programe za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanja o digitalnoj operativnoj otpornosti, u skladu s člankom 13. stavkom 6. Uredbe (EU) 2022/2554

48. ne prati relevantna tehnološka dostignuća ili nije u toku s najnovijim procesima upravljanja IKT rizicima, u skladu s člankom 13. stavkom 7. Uredbe (EU) 2022/2554

49. nije izradila planove komunikacije u krizi kojima se osigurava odgovorna objava, u skladu s člankom 14. stavkom 1. Uredbe (EU) 2022/2554

50. ne provodi komunikacijske politike za interno osoblje ili vanjske dionike, sukladno članku 14. stavku 2. Uredbe (EU) 2022/2554

51. nije zadužila najmanje jednu osobu za provedbu komunikacijske strategije za IKT incidente, sukladno članku 14. stavku 3. Uredbe (EU) 2022/2554

52. ne postupi u skladu s regulatornim tehničkim standardom koji je donesen na temelju članka 15. Uredbe (EU) 2022/2554

53. kao subjekt koji u skladu s člankom 16. stavkom 1. Uredbe (EU) 2022/2554 primjenjuje pojednostavljeni okvir za upravljanje IKT rizicima ne ispunjava uvjete iz članka 16. stavka 1. podstavka 2. Uredbe (EU) 2022/2554

54. kao subjekt koji u skladu s člankom 16. stavkom 1. Uredbe (EU) 2022/2554 primjenjuje pojednostavljeni okvir za upravljanje IKT rizicima nije dokumentirala ili preispitala okvir za upravljanje IKT rizicima ili nije izvješće o preispitivanju okvira za upravljanje IKT rizicima dostavila nadležnom tijelu na njegov zahtjev, u skladu s člankom 16. stavkom 2. Uredbe (EU) 2022/2554

55. kao subjekt koji u skladu s člankom 16. stavkom 1. Uredbe (EU) 2022/2554 primjenjuje pojednostavljeni okvir za upravljanje IKT rizicima ne postupi u skladu s regulatornim tehničkim standardom koji je donesen na temelju članka 16. stavka 3. Uredbe (EU) 2022/2554

56. nije definirala ili nije uspostavila ili ne provodi proces upravljanja IKT incidentima, u skladu s člankom 17. stavkom 1. Uredbe (EU) 2022/2554

57. nije evidentirala sve IKT incidente ili ozbiljne kibernetičke prijetnje ili nije uspostavila odgovarajuće postupke i procese za praćenje, postupanje i poduzimanje daljnjih mjera, u skladu s člankom 17. stavkom 2. Uredbe (EU) 2022/2554

58. uspostavljeni proces upravljanja IKT incidentima iz članka 17. stavka 1. Uredbe (EU) 2022/2554 ne obuhvaća elemente iz članka 17. stavka 3. Uredbe (EU) 2022/2554

59. nije klasificirala IKT incidente ili nije utvrdila njihov učinak, u skladu s člankom 18. stavkom 1. Uredbe (EU) 2022/2554

60. nije klasificirala kibernetičke prijetnje, u skladu s člankom 18. stavkom 2. Uredbe (EU) 2022/2554

61. ne postupi u skladu s regulatornim tehničkim standardom koji je donesen na temelju članka 18. stavka 3. Uredbe (EU) 2022/2554

62. nije nadležno tijelo izvijestila o značajnom IKT incidentu, u skladu s člankom 19. stavkom 1. Uredbe (EU) 2022/2554 ili člankom 14. ovoga Zakona ili člankom 15. stavkom 1. ovoga Zakona

63. nije klijente obavijestila o značajnom IKT incidentu koji utječe na financijske interese klijenata ili o mjerama koje su poduzete, u skladu s člankom 19. stavkom 3. Uredbe (EU) 2022/2554

64. ne dostavi u zadanim rokovima početnu obavijest ili prijelazno izvješće ili završno izvješće, u skladu s člankom 19. stavkom 4. Uredbe (EU) 2022/2554

65. ne postupi u skladu s regulatornim tehničkim standardom ili provedbenim tehničkim standardom donesenima na temelju članka 20. Uredbe (EU) 2022/2554

66. nije izradila ili ne održava ili ne preispituje program testiranja digitalne operativne otpornosti, u skladu s člankom 24. stavkom 1. Uredbe (EU) 2022/2554

67. program testiranja digitalne operativne otpornosti ne uključuje procjene ili testove ili metodologije ili postupke ili alate, u skladu s člankom 24. stavkom 2. Uredbe (EU) 2022/2554

68. u provođenju programa testiranja digitalne operativne otpornosti ne primjenjuje pristup koji se temelji na procjeni rizika, u skladu s člankom 24. stavkom 3. Uredbe (EU) 2022/2554

69.  nije osigurala da testove digitalne operativne otpornosti provode neovisne strane, u skladu s člankom 24. stavkom 4. Uredbe (EU) 2022/2554

70. nije uvela postupke ili politike za određivanje prioriteta, klasifikaciju i ispravljanje svih problema otkrivenih tijekom testova ili nije utvrdila metodologiju unutarnje provjere, u skladu s člankom 24. stavkom 5. Uredbe (EU) 2022/2554

71. nije osigurala da se provedu testovi IKT sustava i aplikacija, u skladu s člankom 24. stavkom 6. Uredbe (EU) 2022/2554

72. program testiranja digitalne operativne otpornosti iz članka 24. Uredbe (EU) 2022/2554 ne predviđa sve elemente propisane člankom 25. stavkom 1. Uredbe (EU) 2022/2554

73. kao središnji depozitorij vrijednosnih papira ili središnja druga ugovorna strana nije provela procjenu ranjivosti, u skladu s člankom 25. stavkom 2. Uredbe (EU) 2022/2554

74. kao mikro poduzetnik ne provodi testove IKT alata i sustava, u skladu s člankom 25. stavkom 3. Uredbe (EU) 2022/2554

75. kao subjekt koji je u skladu s člankom 26. stavkom 8. podstavkom 3. Uredbe (EU) 2022/2554 dužan provoditi TLPT:

a. nije barem jednom u tri godine ili po zahtjevu nadležnog tijela provela napredno testiranje u obliku TLPT-a, u skladu s člankom 26. stavkom 1. Uredbe (EU) 2022/2554

b. nije TLPT-jem obuhvatila više ključnih ili važnih funkcija financijskog subjekta ili sve takve funkcije ili se TLPT ne provodi na produkcijskim sustavima kojima se te funkcije podupiru, u skladu sa zahtjevima iz članka 26. stavka 2. Uredbe (EU) 2022/2554

c. kada TLTP obuhvaća i treće strane pružatelje IKT usluga, nije poduzela mjere za osiguranje sudjelovanja trećih strana, u skladu s člankom 26. stavkom 3. Uredbe (EU) 2022/2554

d. ne provodi djelotvorne kontrole upravljanja rizicima kako bi ublažila rizike od mogućeg učinka na podatke ili od oštećenja imovine i od poremećaja u radu ključnih ili važnih funkcija, usluga ili operacija, u skladu s člankom 26. stavkom 5. Uredbe (EU) 2022/2554

e. ne dostavi sažetak relevantnih nalaza ili planove za ispravljanje nedostataka ili dokumentaciju kojom se potvrđuje da je TLPT proveden u skladu sa zahtjevima, u skladu s člankom 26. stavcima 6. i 7. Uredbe (EU) 2022/2554

f. nije angažirao provoditelje testiranja, u skladu s člankom 26. stavkom 8. ili člankom 27. Uredbe (EU) 2022/2554

g. ne postupi u skladu s regulatornim tehničkim standardom koji je donesen na temelju članka 26. stavka 11. Uredbe (EU) 2022/2554

76. ne upravlja IKT rizikom povezanim s trećim stranama, u skladu s člankom 28. stavkom 1. Uredbe (EU) 2022/2554

77. nije donijela ili ne preispituje redovito strategiju za IKT rizik povezan s trećim stranama, u skladu s člankom 28. stavkom 2. Uredbe (EU) 2022/2554

78. ne vodi ili ne ažurira registar informacija o svim ugovornim aranžmanima o upotrebi IKT usluga koje pružaju treće strane pružatelji IKT usluga, u skladu s člankom 28. stavkom 3. Uredbe (EU) 2022/2554

79. nije nadležno tijelo izvijestio u skladu s člankom 28. stavkom 3. podstavkom 3. Uredbe (EU) 2022/2554 ili u skladu s člankom 28. stavkom 3. podstavkom 5. Uredbe (EU) 2022/2554

80. prije sklapanja ugovornog aranžmana o upotrebi IKT usluga, nije provela sve elemente iz članka 28. stavka 4. Uredbe (EU) 2022/2554 ili članka 29. stavka 1. Uredbe (EU) 2022/2554

81. sklopi ugovor s trećom stranom pružateljem IKT usluga koji ne ispunjava odgovarajuće standarde informacijske sigurnosti, u skladu s člankom 28. stavkom 5. Uredbe (EU) 2022/2554

82. pri ostvarivanju prava na pristup, inspekcijski nadzor i reviziju u odnosu na treću stranu pružatelja IKT usluga, nije utvrdila učestalost ili nije utvrdila područja revizije ili nije provjerila imaju li revizori odgovarajuće vještine i znanje, u skladu s člankom 28. stavkom 6. Uredbe (EU) 2022/2554

83. nije osigurala mogućnost raskida ugovornog angažmana o uporabi IKT usluga, u skladu s člankom 28. stavkom 7. Uredbe (EU) 2022/2554

84. nije uvela izlaznu strategiju ili nije osigurala da se može povući iz ugovornih aranžmana ili nije dokumentirala ili nije testirala izlazne planove, u skladu s člankom 28. stavkom 8. Uredbe (EU) 2022/2554

85. nije utvrdila alternativna rješenja ili nije izradila tranzicijske planove ili nije uspostavila odgovarajuće mjere za nepredvidive situacije, u skladu s člankom 28. stavkom 8. Uredbe (EU) 2022/2554

86. ne postupi u skladu s provedbenim tehničkim standardom koji je donesen na temelju članka 28. stavka 9. Uredbe (EU) 2022/2554

87. ne postupi u skladu s regulatornim tehničkim standardom koji je donesen na temelju članka 28. stavka 10. Uredbe (EU) 2022/2554

88. ne analizira koristi i troškove alternativnih rješenja, u skladu s člankom 29. stavkom 1. Uredbe (EU) 2022/2554

89. u slučaju podugovaranja IKT usluga kojima se podupiru ključne ili važne funkcije nije analizirala potencijalne koristi i rizike tog podugovaranja, u skladu s člankom 29. stavkom 2. Uredbe (EU) 2022/2554

90. nije utvrdila prava i obveze u pisanom obliku, u skladu s člankom 30. stavkom 1. Uredbe (EU) 2022/2554

91. ugovorni aranžmani o upotrebi IKT usluga koje će pružati treća strana pružatelj IKT usluga ne sadrži elemente kako je propisano člankom 30. stavkom 2. Uredbe (EU) 2022/2554

92. ugovorni aranžmani o upotrebi IKT usluga koje podupiru ključne ili važne funkcije koje će pružati treća strana pružatelj IKT usluga ne sadrži elemente kako je propisano člankom 30. stavkom 3. Uredbe (EU) 2022/2554

93. ne postupi u skladu s provedbenim tehničkim standardom koji je donesen na temelju članka 30. stavka 5. Uredbe (EU) 2022/2554

94. ako na zahtjev Agencije ili Hrvatske narodne banke za potrebe nadzora ne dostavi pisana objašnjenja ili odbije dati usmena objašnjenja što je protivno članku 10. stavku 3. ovoga Zakona odnosno članku 11. stavku 3. ovoga Zakona

95. ako ne izvrši nadzornu mjeru koju je izrekla Agencija ili Hrvatska narodna banka ili nadzornu mjeru koju je izrekla Agencija ili Hrvatska narodna banka ne izvrši u roku koji je određen rješenjem, što je protivno članku 12. stavku 3. ovoga Zakona odnosno članku 13. stavku 3. ovoga Zakona.

(2) Novčanom kaznom u iznosu do 15.000,00 eura može se kazniti za prekršaj iz stavka 1. ovoga članka i odgovorna osoba u pravnoj osobi.

(3) Novčanom kaznom u iznosu do 15.000,00 eura kaznit će se član upravljačkog tijela pravne osobe ako:

1. ne utvrdi, ne odobri ili ne nadzire sve aranžmane povezane s okvirom za upravljanje IKT rizicima u skladu s člankom 5. stavkom 2. Uredbe (EU) 2022/2554

2. aktivno ne osvježava znanje i vještine koji su mu dostatni kako bi mogao razumjeti i procijeniti IKT rizik i njegov učinak na poslovanje, u skladu s člankom 5. stavkom 4. Uredbe (EU) 2022/2554

3. ne osigura da ga više IKT osoblje najmanje jedanput godišnje izvijesti o nalazima ili iznese preporuke, u skladu s člankom 13. stavkom 5. Uredbe (EU) 2022/2554

4. ne preispituje redovito rizike koji su utvrđeni u vezi s ugovornim aranžmanima o upotrebi IKT usluga u skladu s člankom 28. stavkom 2. Uredbe (EU) 2022/2554.

VI. PRIJELAZNA I ZAVRŠNA ODREDBA

Sklapanje sporazuma o suradnji između nadležnih tijela

Članak 20.

Agencija i Hrvatska narodna banka sklopit će sporazum o suradnji iz članka 9. stavka 3. ovoga Zakona u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.

Stupanje na snagu

Članak 21.

Ovaj Zakon objavit će se u „Narodnim novinama“, a stupa na snagu 17. siječnja 2025.

OBRAZLOŽENJE

Uz članak 1.

Ovim člankom određen je predmet ovoga Zakona. 

Uz članak 2.

Ovim člankom navedena je pravna stečevina čija se provedba ovim Zakonom osigurava. 

Uz članak 3.

Ovim člankom određeni su pojmovi. 

Uz članak 4.

Ovim člankom određeno je korištenje pojmova s rodnim značenjem. 

Uz članak 5.

Ovim člankom određeno je postupanje Agencije i Hrvatske narodne banke u odnosu na smjernice koje donose europska nadzorna tijela (EBA, ESMA i EIOPA). Za subjekte nadzora Agencije smjernice su obvezujuće, uz ispunjenje uvjeta, a to su da se prethodno Agencija očitovala da se obvezuje u cijelosti ili djelomično pridržavati odredbi pojedine smjernice ili da se do određenog roka namjerava uskladiti s pojedinom smjernicom te da je Agencija na svojoj internetskoj stranici objavila obavijest o očitovanju pri čemu su stupanje na snagu i početak primjene određeni pojedinom smjernicom, osim ako se Agencija očitovala o namjeri usklađenja s pojedinim smjernicama do određenog roka, u kojem slučaju su stupanje na snagu i početak primjene navedeni u očitovanju. Hrvatska narodna banka za svoje subjekte u odnosu na ujednačenu primjenu smjernica i preporuka vodi računa pri provedbi nadzornih i supervizorskih aktivnosti. 

Uz članak 6.

Ovim člankom je određeno kako se ovaj Zakon ne primjenjuje na kreditne unije i Hrvatsku banku za obnovu i razvitak. 

Uz članak 7.

Ovim člankom određeno je da su Agencija i Hrvatska narodna banka nadležna tijela za provedbu Uredbe (EU) 2022/2554 i ovoga Zakona. 

Uz članak 8.

Ovim člankom određeni su subjekti nazora Agencije i Hrvatske narodne banke koji su obvezni primjenjivati odredbe Uredbe (EU) 2022/2554 i ovoga Zakona. 

Uz članak 9.

Ovim člankom određene su nadležnosti Agencije i Hrvatske narodne banke za potrebe provedbe Uredbe (EU) 2022/2554 i ovoga Zakona te je propisano da će se opseg razmjene informacija te koordinacija postupaka i aktivnosti pri provedbi Uredbe (EU) 2022/2554 i ovoga Zakona urediti sporazumom o suradnji između Agencije i Hrvatske narodne banke. 

Uz članak 10.

Ovim člankom propisan je postupak nadzora koji provodi Agencija pri čemu Agencija provodi nadzor u odnosu na svoje subjekte nadzora u skladu s odredbama Uredbe (EU) 2022/2554 i ovoga Zakona, ali i zakona kojima je uređeno osnivanje i poslovanje subjekata nadzora. 

Uz članak 11.

Ovim člankom propisan je postupak nadzora koji provodi Hrvatska narodna banka pri čemu Hrvatska narodna banka provodi nadzor u odnosu na svoje subjekte nadzora u skladu s odredbama Uredbe (EU) 2022/2554 i ovoga Zakona, ali i zakona kojima je uređeno osnivanje i poslovanje subjekata nadzora. 

Uz članak 12.

Ovim člankom propisane su mjere koje je ovlaštena izricati Agencija, uz mjere propisane zakonima kojima je uređeno osnivanje i poslovanje njezinih subjekata nadzora. Ovim člankom propisano je da je Agencija u svrhu ujednačavanja nadzorne prakse ovlaštena raznim vrstama objava (uputama, smjernicama, upozorenjima i sl.) izvještavati određene skupine subjekata nadzora iz članka 8. stavaka 1. i 2. ovoga Zakona o objašnjenju ili načinu primjene ovoga Zakona. 

Uz članak 13.

Ovim člankom su propisane mjere koje je ovlaštena izricati Hrvatska narodna banka, uz mjere propisane zakonima kojima je uređeno osnivanje i poslovanje njezinih subjekata nadzora. Ovim člankom propisano je da je Hrvatska narodna banka u svrhu ujednačavanja nadzorne prakse ovlaštena raznim vrstama objava (uputama, smjernicama, upozorenjima i sl.) izvještavati određene skupine subjekata nadzora iz članka 8. stavka 3. ovoga Zakona o objašnjenju ili načinu primjene ovoga Zakona. 

Uz članak 14.

Ovim člankom propisano je da su subjekti nadzora Agencije i Hrvatske narodne banke dužni o značajnim IKT incidentima izvijestiti svaki svoje nadležno tijelo te CSIRT. 

Uz članak 15.

Ovim člankom propisano je da su svi subjekti dužni o značajnim IKT incidentima izvještavati putem nacionalne platforme za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima koja je uspostavljena zakonom kojim se uređuje kibernetička sigurnost. 

Uz članak 16.

Ovim člankom propisano je da su Agencija i Hrvatska narodna banka nadležna tijela iz članka 32. stavka 5. Uredbe (EU) 2022/2054 te da će Agencija i Hrvatska narodna banka sporazumom o suradnji detaljnije urediti sudjelovanje u Nadzornom forumu iz članka 32. Uredbe (EU) 2022/2054. Agencija i Hrvatska narodna banka će po sklapanju sporazuma o imenovanju predstavnika u Nadzorni forum obavijestiti glavno nadzorno tijelo u skladu s člankom 32. stavkom 5. Uredbe (EU) 2022/2554. Ovim člankom propisana je i ovlast Vlade Republike Hrvatske da na prijedlog ministra financija imenuje predstavnika i promatrača u Nadzorni forum iz reda članova osoblja nadležnih tijela za slučaj da Agencija i Hrvatska narodna banka ne sklope sporazum o suradnji iz članka 9. stavka 3. ovoga Zakona u roku iz članka 20. ovoga Zakona ili ako Agencija i Hrvatska narodna banka u sporazumu o suradnji iz članka 9. stavka 3. ovoga Zakona ne urede sudjelovanje u Nadzornom forumu iz članka 32. Uredbe (EU) 2022/2554 u skladu s člankom 16. stavkom 2. ovoga Zakona. 

Uz članak 17.

Ovim člankom propisane su opće odredbe u svezi prekršajnih odredbi. Kada nadležna tijela iz ovoga Zakona zbog postupanja koja su protivna Uredbi (EU) 2022/2554 izvršavaju svoje ovlasti za izricanje nadzornih mjera, za izricanje drugih mjera koje su ovlaštena izricati sukladno zakonima kojima se uređuje poslovanje subjekata nadzora, pri odlučivanju o podnošenju optužnih prijedloga ili pokretanju postupka izricanja upravnih sankcija obvezna su uzeti u obzir sve relevantne okolnosti iz članka 51. stavka 2. Uredbe (EU) 2022/2554. 

Uz članak 18.

Ovim člankom propisana je objava izrečenih prekršajnih sankcija na internetskim stranicama  Agencije i Hrvatske narodne banke u skladu s člankom 54. Uredbe (EU) 2022/2554, pri čemu će podaci biti dostupni na internetskim stranicama Agencije odnosno Hrvatske narodne banke najmanje pet godina od dana njihove objave. 

Uz članak 19.

Ovim člankom propisani su prekršaji za postupanje suprotno Uredbi (EU) 2022/2554. 

Uz članak 20. 

Ovim člankom propisan je rok u kojem će Agencija i Hrvatska narodna banka sklopiti sporazum o suradnji iz članka 9. stavka 3. ovoga Zakona.

Uz članak 21. 

Ovim člankom propisano je stupanje na snagu ovoga Zakona.