Ustavna osnova za donošenje ovoga Zakona sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, br. 85/10. - pročišćeni tekst i 5/14. – Odluka Ustavnog suda Republike Hrvatske).
II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
1. Ocjena stanja
Zakon o kritičnim infrastrukturama („Narodne novine“, br. 56/13) stupio je na snagu 18. svibnja 2013. Donošenjem Zakona, kroz implementaciju Direktive Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označavanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23. 12. 2008.) propisane su nadležnosti sudionika u utvrđivanju i provedbi mjera zaštite nacionalne i europske kritične infrastrukture.
Dana 14. prosinca 2022. donesena je Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27.12.2022.) (u daljnjem tekstu: Direktiva 2022/2557). U okviru provedbe pravne stečevine Europske unije, Republika Hrvatska je obvezna uskladiti nacionalno zakonodavstvo s navedenom Direktivom koja regulira područje zaštite kritičnih infrastruktura i jačanja otpornosti kritičnih subjekata.
Uz utvrđenu obvezu izmjene postojećeg Zakona o kritičnim infrastrukturama u skladu s novim europskim pristupom, nužnost određenih izmjena prepoznata je i na nacionalnoj razini nakon desetogodišnjeg razdoblja primjene.
2. Osnovna pitanja koja se trebaju urediti Zakonom
Primarni cilj donošenja novoga Zakona je prilagodba nacionalnog propisa europskoj pravnoj stečevini, odnosno implementacija Direktive 2022/2257. U postupku nacionalne prilagodbe uzete su u obzir nove operativne i zakonodavne okolnosti, s ciljem poboljšanja učinkovitosti sustava uz osiguranje odgovarajuće razine zaštite i kontinuiteta poslovanja. Procjenjujući nove sigurnosne izazove, potrebno je što je moguće više ograničiti štetne učinke prekida ili poremećaja u radu kritičnih infrastruktura na stanovništvo i gospodarstvo.
Sustav identificiranja i zaštite nacionalnih kritičnih infrastruktura te infrastrukture od europskog značaja, treba jasno definirati kroz novi zakonski okvir kako bi se postigla maksimalna kompatibilnost s modelima i rješenjima koja se primjenjuju u Europskoj uniji.
Predloženim Zakonom uredit će se sljedeća pitanja:
-definiranje uloge tijela državne uprave nadležnog za civilnu zaštitu koje koordinira aktivnosti dionika u sustavu identificiranja i zaštite kritične infrastrukture te predlaže Vladi Republike Hrvatske kritične subjekte od posebnog europskog značaja koji se nalaze na području Republike Hrvatske ili na području druge države članice Europske unije
-propisivanje načela zaštite kritične infrastrukture, radi boljeg razumijevanja funkcionalnosti sustava zaštite kritične infrastrukture
-precizno propisivanje postupka utvrđivanja i potvrđivanja kritičnih subjekata, kao i procedure donošenja mjerila
-koordiniranje svih aktivnosti pri predlaganju i vrednovanju zaštite kritične infrastrukture
-definiranje jasnijih uvjeta analize rizika za sektorski nadležna tijela državne uprave iz kojih se identificiraju kritični subjekti te analiza i procjena rizika kod kritičnih subjekata, kao i implementacija obaveze procjene rizika države članice propisana Direktivom 2022/2557
-preciznije definiranje procedura izrade, rokova, obuhvata i ažuriranja sadržaja sigurnosnog plana kritičnih subjekata kao dijela poslovnog plana pravne osobe
-propisivanje obveze imenovanja sigurnosnih koordinatora za kritičnu infrastrukturu u tijelima državne uprave te edukacije i osposobljavanja za sigurnosne koordinatore s definiranim mjestom i ulogom u sektoru iz kojih dolaze kritične infrastrukture
-propisivanje obveze certificiranja za pravne osobe i obrte koji pružaju zaštitu kritične infrastrukture
-definiranje preciznijeg okvira za provedbu inspekcijskog nadzora
-donošenje nacionalnog akta strateškog planiranja za otpornost kritičnih subjekata
-ukazivanje na primjenu hrvatskih, europskih i drugih provjerenih normi i praksi u procesu zaštite kritičnih subjekata.
3. Posljedice koje će proisteći donošenjem Zakona
Donošenjem Zakona u koji je implementirana Direktiva 2022/2557 i kojim će se urediti naprijed navedena pitanja, postići će se bolja operacionalizacija nacionalnih procedura identifikacije i potvrđivanja kritičnih subjekata (infrastrukture) koja se do sada pokazala izazovnom radi nedovoljne reguliranosti, a time i veća otpornost kritičnih subjekata vitalnih za pružanje ključnih usluga.
III. OCJENA I IZVORI POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovoga Zakona nije potrebno osigurati dodatna sredstva u državnom proračunu Republike Hrvatske.
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
I. UVODNE ODREDBE
Predmet Zakona
Članak 1.
(1) Ovim Zakonom uređuje se zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom ovoga Zakona.
(2) Ovaj Zakon, u dijelu provedbe zaštite nacionalnih kritičnih infrastruktura, ne primjenjuje se na tijela državne uprave i druga državna tijela u čijoj su nadležnosti poslovi nacionalne sigurnosti, javne sigurnosti, obrane ili poslovi provedbe zakona u svrhu sprječavanja, otkrivanja i istraživanja kaznenih djela.
Usklađivanje propisa s pravnim aktima Europske unije
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP).
Pojmovi
Članak 3.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1)analiza rizika je dio procesa procjene rizika, a označava razmatranje mogućih scenarija prijetnji kako bi se ocijenile ranjivosti i mogući učinak poremećaja u radu kritične infrastrukture ili njezina uništenja
2)CSIRT (Computer Security Incident Response Team) je nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata
3)država članica je država članica Europske unije te država potpisnica Ugovora o Europskom gospodarskom prostoru
4)incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava, te bi u slučaju incidenta došlo do znatnih negativnih učinaka na pružanje ključnih usluga
5)javni subjekti su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
6)ključna usluga je usluga ključna za održavanje vitalnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti te okoliša
7)kontinuitet poslovanja kritičnog subjekta je neprekinutost pružanja ključne usluge, što se osigurava planiranjem i provođenjem mjera pripravnosti za nepredviđene situacije te povećanjem otpornosti i brzine oporavka
8)kritična infrastruktura je imovina, objekt, oprema, mreža ili sustav, odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge
9)kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga
10)kritični subjekt od posebnog europskog značaja je kritični subjekt koji pruža iste ili slične ključne usluge za ili u šest ili više država članica utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona
11)međusektorska mjerila označavaju skup općih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik za pojedinu imovinu, objekte, sustave i mreže koji predstavljaju kritičnu infrastrukturu te provodi utvrđivanje kritičnih subjekata i kritičnih subjekata od europskog značaja u svim sektorima kritičnih subjekata
12)nadležna tijela su tijela državne uprave, nadležna tijela za provedbu posebnih propisa, te druga državna tijela i pravne osobe s javnim ovlastima nadležne za pojedini sektor ili pojedine kategorije subjekata za koje se sukladno ovom Zakonu provodi postupak utvrđivanja kritičnih subjekata
13)nadležna tijela za provedbu posebnih propisa su Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga
14)otpornost je sposobnost kritičnog subjekta da spriječi incident, osigura zaštitu od incidenta, odgovori na njega, odupre se, ublaži ga, apsorbira, prilagodi se i oporavi od incidenta kako bi mogao nastaviti s pružanjem ključne usluge
15)provjera podobnosti osobe je provjera identiteta te provjera evidentiranosti u kaznenim evidencijama i evidencijama Sigurnosno-obavještajne agencije za osobe koje su zaposlene ili se razmatraju za zapošljavanje u kritičnom subjektu na osjetljive funkcije ili koje imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću ili obavljaju poslove za kritični subjekt, u svrhu evaluacije potencijalnog sigurnosnog rizika za kritični subjekt
16)prijetnja je vjerojatnost događaja i negativnih posljedica po kritičnu infrastrukturu koje u opsegu mogu biti antropogene, tehničko - tehnološke i prirodne, a koje mogu uzrokovati bitne poremećaje funkcioniranja društva
17)privatna zaštita je djelatnost koja je definirana zakonom koji uređuje privatnu zaštitu
18)procjena rizika je cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom
19)regulatorno tijelo je pravna osoba s javnim ovlastima koja obavlja regulatorne i druge poslove u djelokrugu i s nadležnostima u skladu s odgovarajućim zakonima
20)rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta
21)sektorska mjerila su skup specifičnih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik i utvrđuju ključne usluge u pojedinom sektoru kritičnih subjekata
22)sigurnosni koordinator za kritičnu infrastrukturu je zaposlenik nadležnog tijela koji koordinira i usmjerava aktivnosti vezane uz zaštitu i otpornost kritičnih subjekata pojedinog sektora, odnosno zaposlenik kritičnog subjekta koji te aktivnosti usmjerava sukladno svojoj organizacijskoj strukturi
23)sigurnosni plan kritičnog subjekta označava dokument koji osigurava povjerljivost, cjelovitost i raspoloživost organizacijskih, kadrovskih, materijalnih, informacijsko -komunikacijskih i drugih rješenja te stalnih i stupnjevanih sigurnosnih mjera potrebnih za neprekidno funkcioniranje kritične infrastrukture
24)tehnička specifikacija je dokument koji propisuje tehničke zahtjeve, kako je definirano u članku 2. točki 4. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012 o europskoj normizaciji, izmjeni direktiva Vijeća, 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (Tekst značajan za EGP; SL L 316/12 od 14.11.2012) (u daljnjem tekstu: Uredba (EU) br. 1025/2012)
25)treća zemlja je strana država koja nije država članica
26)upravljanje rizicima je proces utvrđivanja, procjene, vrednovanja i određivanja prioriteta rizika u cilju osiguravanja uvjeta za rad i kontinuirano poslovanje kritičnog subjekta
27)zaštita kritične infrastrukture je skup aktivnosti koje provode kritični subjekt i nadležna tijela, a kojima je cilj osigurati funkcionalnost, održati kontinuitet u pružanju ključnih usluga, spriječiti, odnosno umanjiti posljedice ugrožavanja kritične infrastrukture i osigurati otpornost.
(2) Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.
Primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata
Članak 4.
Ako su za pojedini sektor ili subjekte iz pojedinih sektora iz Priloga I. ovoga Zakona posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata iz ovoga Zakona ili predstavljaju strože zahtjeve, sukladno ocjeni nadležnog tijela, na te subjekte se primjenjuju odgovarajuće odredbe tih posebnih propisa, uključujući odredbe o nadzoru provedbe zahtjeva.
Izuzeća od primjene ovoga Zakona u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture
Članak 5.
Na kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture iz Priloga I. ovoga Zakona, ne primjenjuju se članak 20., članci od 22. do 43. i članci od 45. do 48. ovoga Zakona.
Odnos sa zakonom koji uređuje područje kibernetičke sigurnosti
Članak 6.
(1) Odredbe ovoga Zakona ne odnose se na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti.
(2) Provedba ovoga Zakona ne dovodi u pitanje provedbu postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti.
(3) U svrhu provedbe stavka 2. ovoga članka u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost, sukladno zakonu koji uređuje područje kibernetičke sigurnosti.
Popis sektora, podsektora, kategorija subjekata i ključnih usluga
Članak 7.
Sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata te ključne usluge navedeni su u Prilogu I. ovoga Zakona, koji čini njegov sastavni dio.
Načela zaštite kritične infrastrukture
Članak 8.
Načela zaštite kritične infrastrukture su:
◊načelo zaštite od svih oblika prijetnji podrazumijeva da svi kritični subjekti i sva nadležna tijela u osiguranju neprekidnog rada u isporuci ključnih usluga kritičnog subjekta, uzimaju u obzir različite oblike prijetnji
◊načelo cjelovitog pristupa znači zaštitu kritične infrastrukture od poremećaja ili prekida rada i isporuke ključnih usluga u koju su uključena sva nadležna tijela i institucije, pri čemu se u obzir uzimaju svi relevantni oblici prijetnji, a koja proizlazi iz procjene rizika i uzima u obzir međuovisnost sektora kritičnih subjekata i njihovu interakciju
◊načelo kontinuiranog planiranja zaštite kritične infrastrukture podrazumijeva kontinuiranu procjenu prijetnji i rizika poslovanja, kao i ocjenu planova za njezinu zaštitu, a planiranje zaštite dio je trajnog poslovnog procesa kritičnog subjekta
◊načelo razmjene informacija i podataka te zaštite podataka podrazumijeva da sva nadležna tijela i institucije redovno i pravodobno razmjenjuju podatke i informacije, te se razmjena temelji na povjerenju i na zaštiti podataka povezanih s radom kritičnog subjekta u skladu s odredbama ovoga Zakona i zakona koji uređuju zaštitu tajnosti i povjerljivosti podataka.
II. KOORDINACIJA ZAŠTITE KRITIČNE INFRASTRUKTURE
Koordinativno tijelo za zaštitu kritične infrastrukture
Članak 9.
(1) Koordinativno tijelo za zaštitu kritične infrastrukture (u daljnjem tekstu: Koordinativno tijelo) je tijelo državne uprave nadležno za poslove civilne zaštite čija zadaća je koordiniranje aktivnosti dionika u zaštiti kritične infrastrukture i jačanja otpornosti kritičnih subjekata.
(2) U ostvarivanju zadaća iz stavka 1. ovoga članka Koordinativno tijelo:
◊izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata
◊predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata
◊nadzire i usmjerava proces utvrđivanja kritičnih subjekata
◊prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu
◊izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture
◊vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj
◊u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture
◊u suradnji s nadležnim tijelima izrađuje međusektorska mjerila
◊koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata
◊surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata
◊sudjeluje u organizaciji, koordinaciji i provedbi mjera suradnje između javnog i privatnog sektora u cilju zaštite i jačanja otpornosti kritičnih subjekata
◊provodi postupak izdavanja i ukidanja certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture
◊surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije
◊u cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama
◊svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama
◊koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima
◊zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima
◊u roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti
Članak 10.
(1) Nadležna tijela i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o:
◊utvrđivanju kritičnih subjekata na temelju ovoga Zakona
◊rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora
◊fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode
◊rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti.
(2) Nadležna tijela mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti.
(3) Koordinativno tijelo i središnje državno tijelo za kibernetičku sigurnost sporazumom uređuju sva bitna pitanja koja se odnose na razmjenu informacija i koordinaciju nadležnih tijela, uključujući način razmjene informacija iz stavka 1. ovoga članka.
III. NACIONALNI OKVIR ZA OTPORNOST KRITIČNIH SUBJEKATA
Akt strateškog planiranja za otpornost kritičnih subjekata
Članak 11.
(1) Akt strateškog planiranja za otpornost kritičnih subjekata je srednjoročni akt strateškog planiranja kojim se utvrđuju posebni ciljevi i mjere politike temeljeni na relevantnim nacionalnim, višesektorskim i sektorskim strategijama, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata i obuhvaćanja sektora propisanih Prilogom I. ovoga Zakona.
(2) Akt strateškog planiranja za otpornost kritičnih subjekata donosi se nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente:
◊posebne ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti
◊upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta
◊opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata
◊opis postupka kojim se utvrđuju kritični subjekti
◊opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika
◊popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu akta
◊okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća
◊opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost.
(3) Akt strateškog planiranja iz stavka 1. ovoga članka donosi Vlada Republike Hrvatske (u daljnjem tekstu: Vlada).
(4) U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada.
(5) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.
(6) Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja.
(7) Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
(1) Nacionalnu procjenu rizika kritične infrastrukture koju izrađuje Koordinativno tijelo, donosi Vlada, na prijedlog ministra nadležnog za poslove civilne zaštite (u daljnjem tekstu: ministar).
(2) Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata.
(3) U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma.
(4) Pri izradi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju:
◊opća procjena rizika provedena na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20. 12. 2013.)
◊druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprječavanje velikih nesreća koje uključuju opasne tvari, te odredbe Uredbe (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010, (SL L 280, 28. 10. 2017) i Uredbe (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14. 6. 2019.)
◊relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima propisanih u Prilogu I. ovoga Zakona, među ostalim, njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja
◊sve informacije o incidentima koji su prijavljeni u skladu s člankom 32. ovoga Zakona.
(5) U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata.
(6) Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine.
(7) Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
IV. UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA
Nadležna tijela
Članak 13.
(1) Nadležna tijela utvrđuju kritične subjekte u sektorima iz svoje nadležnosti.
(2) Za sektore navedene u Prilogu I. ovoga Zakona nadležna tijela su:
◊tijelo državne uprave nadležno za energetiku za sektor „energetika”
◊tijelo državne uprave nadležno za promet za sektor „promet“
◊Hrvatska narodna banka za sektor „bankarstvo“
◊Hrvatska agencija za nadzor financijskih usluga za sektor „infrastrukture financijskog tržišta“
◊tijelo državne uprave nadležno za zdravstvo za sektor „zdravstvo“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „otpadne vode“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „ regulacijske i zaštitne vodne građevine za obranu od poplava“
◊za sektor „digitalna infrastruktura“:
a)tijelo državne uprave nadležno za digitalnu transformaciju za kategoriju subjekta „pružatelji usluga povjerenja“
b)Hrvatska regulatorna agencija za mrežne djelatnosti za kategorije subjekata „pružatelji javnih elektroničkih komunikacijskih mreža“ i „pružatelji elektroničkih komunikacijskih usluga“
c)središnje državno nadležno tijelo za kibernetičku sigurnost za kategorije subjekata: „pružatelji središta za razmjenu internetskog prometa“, „pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva“, „pružatelji usluga računalstva u oblaku“, „pružatelji usluga podatkovnog centra“ te “pružatelji mreže za isporuku sadržaja“
d)tijelo državne uprave nadležno za znanost i obrazovanje za kategoriju subjekta, „registar naziva vršne nacionalne internetske domene“
◊tijelo državne uprave nadležno za upravu za sektor „javni sektor“
◊tijelo državne uprave nadležno za poljoprivredu za sektor „proizvodnja, prerada i distribucija hrane“
◊tijelo državne uprave nadležno za obrazovne ustanove i ustanove koje provode ključne istraživačke aktivnosti za sektor „znanost i obrazovanje“ i „svemir“
◊tijelo državne uprave nadležno za kulturu i medije za sektor „kultura i mediji“.
Analiza rizika
Članak 14.
(1) Nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika.
(2) Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Međusektorska mjerila
Članak 15.
(1) Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila za analizu rizika.
(2) Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju:
-ljudske gubitke, pri čemu se procjenjuje mogući broj smrtno stradalih i/ili ozlijeđenih osoba zbog prekida rada pojedine kritične infrastrukture
-gospodarske posljedice, koje se procjenjuju s obzirom na pokazatelj gospodarskog gubitka i/ili smanjenje kvalitete usluga, uključivo i moguće učinke na okoliš
-utjecaj na javnost, koji se procjenjuje s obzirom na utjecaj na povjerenje javnosti, tjelesne i duševne patnje i remećenje svakodnevnog života, uključivo i gubitak osnovnih javnih usluga.
Sektorska mjerila
Članak 16.
(1) Sektorska mjerila za analizu rizika utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima.
(2) Nadležna tijela su dužna Koordinativnom tijelu dostaviti sektorska mjerila za analizu rizika iz stavka 1. ovoga članka.
Utvrđivanje kritičnih subjekata
Članak 17.
(1) Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika iz članka 14. stavka 1. ovoga Zakona, akta strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona i Nacionalne procjene rizika kritične infrastrukture iz članka 12. ovoga Zakona, uz dodatno razmatranje sljedećih kriterija:
-pruža li subjekt jednu ili više ključnih usluga
-posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske
-ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke.
(2) Pri utvrđivanju značaja negativnog učinka incidenta iz stavka 1. podstavka 3. ovoga članka, u obzir se uzimaju minimalno sljedeći kriteriji:
-broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt
-opseg ovisnosti drugih sektora i podsektora o ključnim uslugama
-stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva
-tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga
-geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja
-važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge.
(3) U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka.
(4) Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Potvrđivanje kritičnih subjekata
Članak 18.
(1) Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti.
(2) Prijedlozi nadležnih tijela iz stavka 1. ovoga članka moraju sadržavati sljedeće podatke:
-naziv subjekta
-adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve
-opis ključne usluge koju subjekt pruža.
(3) Na prijedlog Koordinativnog tijela, Vlada odlukom potvrđuje kritične subjekte.
(4) Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku iz stavka 3. ovoga članka, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti.
(5) Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz stavka 3. ovoga članka.
(6) Ako se na neki od potvrđenih kritičnih subjekata odnose izuzeća od primjene ovoga Zakona navedene u članku 5. ovoga Zakona, Koordinativno tijelo će u obavijesti iz stavka 4. ovoga članka navesti postojanje tih izuzeća.
(7) Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke:
-popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je propisala Europska komisija
-broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu
-međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Obavještavanje kritičnih subjekata
Članak 19.
(1) Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza.
(2) Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Izvještavanje o procjenama rizika i sigurnosnim planovima
Članak 20.
(1) Nadležna tijela dostavljaju Koordinativnom tijelu izvješće o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu.
(2) Koordinativno tijelo na temelju dostavljenih izvješća iz stavka 1. ovoga članka izrađuje i dostavlja Vladi godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata, najkasnije do 30. lipnja tekuće godine za prethodnu godinu.
Ažuriranje popisa kritičnih subjekata
Članak 21.
(1) Nadležna tijela po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata potvrđenih odlukom iz članka 18. stavka 3. ovoga Zakona te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno prijedlog da se određeni subjekt više ne smatra kritičnim subjektom.
(2) Postupak utvrđivanja i potvrđivanja subjekata iz stavka 1. ovoga članka provodi se u skladu s člancima 17., 18. i 19. ovoga Zakona.
(3) Nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 40. ovoga Zakona.
V. OBAVEZE KRITIČNIH SUBJEKATA
Procjena rizika koju provode kritični subjekti
Članak 22.
(1) Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga.
(2) U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom.
(3) Prilikom izrade procjene rizika, u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, osobito međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma i s njime povezana kaznena djela.
(4) Kritični subjekt dužan je prilikom izrade procjene rizika uzeti u obzir opseg u kojem drugi sektori navedeni u Prilogu I. ovoga Zakona ovise o ključnoj usluzi koju pruža i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi kritični subjekti u takvim drugim sektorima, uključujući prema potrebi u susjednim državama članicama i trećim zemljama.
(5) Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu.
(6) Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
(7) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
Komentirate u ime: Ministarstvo unutarnjih poslova
I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje ovoga Zakona sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, br. 85/10. - pročišćeni tekst i 5/14. – Odluka Ustavnog suda Republike Hrvatske).
Komentirate u ime: Ministarstvo unutarnjih poslova
II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
Komentirate u ime: Ministarstvo unutarnjih poslova
1. Ocjena stanja
Zakon o kritičnim infrastrukturama („Narodne novine“, br. 56/13) stupio je na snagu 18. svibnja 2013. Donošenjem Zakona, kroz implementaciju Direktive Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označavanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23. 12. 2008.) propisane su nadležnosti sudionika u utvrđivanju i provedbi mjera zaštite nacionalne i europske kritične infrastrukture.
Dana 14. prosinca 2022. donesena je Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27.12.2022.) (u daljnjem tekstu: Direktiva 2022/2557). U okviru provedbe pravne stečevine Europske unije, Republika Hrvatska je obvezna uskladiti nacionalno zakonodavstvo s navedenom Direktivom koja regulira područje zaštite kritičnih infrastruktura i jačanja otpornosti kritičnih subjekata.
Uz utvrđenu obvezu izmjene postojećeg Zakona o kritičnim infrastrukturama u skladu s novim europskim pristupom, nužnost određenih izmjena prepoznata je i na nacionalnoj razini nakon desetogodišnjeg razdoblja primjene.
Komentirate u ime: Ministarstvo unutarnjih poslova
2. Osnovna pitanja koja se trebaju urediti Zakonom
Primarni cilj donošenja novoga Zakona je prilagodba nacionalnog propisa europskoj pravnoj stečevini, odnosno implementacija Direktive 2022/2257. U postupku nacionalne prilagodbe uzete su u obzir nove operativne i zakonodavne okolnosti, s ciljem poboljšanja učinkovitosti sustava uz osiguranje odgovarajuće razine zaštite i kontinuiteta poslovanja. Procjenjujući nove sigurnosne izazove, potrebno je što je moguće više ograničiti štetne učinke prekida ili poremećaja u radu kritičnih infrastruktura na stanovništvo i gospodarstvo.
Sustav identificiranja i zaštite nacionalnih kritičnih infrastruktura te infrastrukture od europskog značaja, treba jasno definirati kroz novi zakonski okvir kako bi se postigla maksimalna kompatibilnost s modelima i rješenjima koja se primjenjuju u Europskoj uniji.
Predloženim Zakonom uredit će se sljedeća pitanja:
-definiranje uloge tijela državne uprave nadležnog za civilnu zaštitu koje koordinira aktivnosti dionika u sustavu identificiranja i zaštite kritične infrastrukture te predlaže Vladi Republike Hrvatske kritične subjekte od posebnog europskog značaja koji se nalaze na području Republike Hrvatske ili na području druge države članice Europske unije
-propisivanje načela zaštite kritične infrastrukture, radi boljeg razumijevanja funkcionalnosti sustava zaštite kritične infrastrukture
-precizno propisivanje postupka utvrđivanja i potvrđivanja kritičnih subjekata, kao i procedure donošenja mjerila
-koordiniranje svih aktivnosti pri predlaganju i vrednovanju zaštite kritične infrastrukture
-definiranje jasnijih uvjeta analize rizika za sektorski nadležna tijela državne uprave iz kojih se identificiraju kritični subjekti te analiza i procjena rizika kod kritičnih subjekata, kao i implementacija obaveze procjene rizika države članice propisana Direktivom 2022/2557
-preciznije definiranje procedura izrade, rokova, obuhvata i ažuriranja sadržaja sigurnosnog plana kritičnih subjekata kao dijela poslovnog plana pravne osobe
-propisivanje obveze imenovanja sigurnosnih koordinatora za kritičnu infrastrukturu u tijelima državne uprave te edukacije i osposobljavanja za sigurnosne koordinatore s definiranim mjestom i ulogom u sektoru iz kojih dolaze kritične infrastrukture
-propisivanje obveze certificiranja za pravne osobe i obrte koji pružaju zaštitu kritične infrastrukture
-definiranje preciznijeg okvira za provedbu inspekcijskog nadzora
-donošenje nacionalnog akta strateškog planiranja za otpornost kritičnih subjekata
-ukazivanje na primjenu hrvatskih, europskih i drugih provjerenih normi i praksi u procesu zaštite kritičnih subjekata.
Komentirate u ime: Ministarstvo unutarnjih poslova
3. Posljedice koje će proisteći donošenjem Zakona
Donošenjem Zakona u koji je implementirana Direktiva 2022/2557 i kojim će se urediti naprijed navedena pitanja, postići će se bolja operacionalizacija nacionalnih procedura identifikacije i potvrđivanja kritičnih subjekata (infrastrukture) koja se do sada pokazala izazovnom radi nedovoljne reguliranosti, a time i veća otpornost kritičnih subjekata vitalnih za pružanje ključnih usluga.
Komentirate u ime: Ministarstvo unutarnjih poslova
III. OCJENA I IZVORI POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovoga Zakona nije potrebno osigurati dodatna sredstva u državnom proračunu Republike Hrvatske.
Komentirate u ime: Ministarstvo unutarnjih poslova
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
I. UVODNE ODREDBE
Predmet Zakona
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 1.
(1) Ovim Zakonom uređuje se zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom ovoga Zakona.
(2) Ovaj Zakon, u dijelu provedbe zaštite nacionalnih kritičnih infrastruktura, ne primjenjuje se na tijela državne uprave i druga državna tijela u čijoj su nadležnosti poslovi nacionalne sigurnosti, javne sigurnosti, obrane ili poslovi provedbe zakona u svrhu sprječavanja, otkrivanja i istraživanja kaznenih djela.
Usklađivanje propisa s pravnim aktima Europske unije
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP).
Pojmovi
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 3.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1)analiza rizika je dio procesa procjene rizika, a označava razmatranje mogućih scenarija prijetnji kako bi se ocijenile ranjivosti i mogući učinak poremećaja u radu kritične infrastrukture ili njezina uništenja
2)CSIRT (Computer Security Incident Response Team) je nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata
3)država članica je država članica Europske unije te država potpisnica Ugovora o Europskom gospodarskom prostoru
4)incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava, te bi u slučaju incidenta došlo do znatnih negativnih učinaka na pružanje ključnih usluga
5)javni subjekti su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
6)ključna usluga je usluga ključna za održavanje vitalnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti te okoliša
7)kontinuitet poslovanja kritičnog subjekta je neprekinutost pružanja ključne usluge, što se osigurava planiranjem i provođenjem mjera pripravnosti za nepredviđene situacije te povećanjem otpornosti i brzine oporavka
8)kritična infrastruktura je imovina, objekt, oprema, mreža ili sustav, odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge
9)kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga
10)kritični subjekt od posebnog europskog značaja je kritični subjekt koji pruža iste ili slične ključne usluge za ili u šest ili više država članica utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona
11)međusektorska mjerila označavaju skup općih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik za pojedinu imovinu, objekte, sustave i mreže koji predstavljaju kritičnu infrastrukturu te provodi utvrđivanje kritičnih subjekata i kritičnih subjekata od europskog značaja u svim sektorima kritičnih subjekata
12)nadležna tijela su tijela državne uprave, nadležna tijela za provedbu posebnih propisa, te druga državna tijela i pravne osobe s javnim ovlastima nadležne za pojedini sektor ili pojedine kategorije subjekata za koje se sukladno ovom Zakonu provodi postupak utvrđivanja kritičnih subjekata
13)nadležna tijela za provedbu posebnih propisa su Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga
14)otpornost je sposobnost kritičnog subjekta da spriječi incident, osigura zaštitu od incidenta, odgovori na njega, odupre se, ublaži ga, apsorbira, prilagodi se i oporavi od incidenta kako bi mogao nastaviti s pružanjem ključne usluge
15)provjera podobnosti osobe je provjera identiteta te provjera evidentiranosti u kaznenim evidencijama i evidencijama Sigurnosno-obavještajne agencije za osobe koje su zaposlene ili se razmatraju za zapošljavanje u kritičnom subjektu na osjetljive funkcije ili koje imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću ili obavljaju poslove za kritični subjekt, u svrhu evaluacije potencijalnog sigurnosnog rizika za kritični subjekt
16)prijetnja je vjerojatnost događaja i negativnih posljedica po kritičnu infrastrukturu koje u opsegu mogu biti antropogene, tehničko - tehnološke i prirodne, a koje mogu uzrokovati bitne poremećaje funkcioniranja društva
17)privatna zaštita je djelatnost koja je definirana zakonom koji uređuje privatnu zaštitu
18)procjena rizika je cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom
19)regulatorno tijelo je pravna osoba s javnim ovlastima koja obavlja regulatorne i druge poslove u djelokrugu i s nadležnostima u skladu s odgovarajućim zakonima
20)rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta
21)sektorska mjerila su skup specifičnih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik i utvrđuju ključne usluge u pojedinom sektoru kritičnih subjekata
22)sigurnosni koordinator za kritičnu infrastrukturu je zaposlenik nadležnog tijela koji koordinira i usmjerava aktivnosti vezane uz zaštitu i otpornost kritičnih subjekata pojedinog sektora, odnosno zaposlenik kritičnog subjekta koji te aktivnosti usmjerava sukladno svojoj organizacijskoj strukturi
23)sigurnosni plan kritičnog subjekta označava dokument koji osigurava povjerljivost, cjelovitost i raspoloživost organizacijskih, kadrovskih, materijalnih, informacijsko -komunikacijskih i drugih rješenja te stalnih i stupnjevanih sigurnosnih mjera potrebnih za neprekidno funkcioniranje kritične infrastrukture
24)tehnička specifikacija je dokument koji propisuje tehničke zahtjeve, kako je definirano u članku 2. točki 4. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012 o europskoj normizaciji, izmjeni direktiva Vijeća, 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (Tekst značajan za EGP; SL L 316/12 od 14.11.2012) (u daljnjem tekstu: Uredba (EU) br. 1025/2012)
25)treća zemlja je strana država koja nije država članica
26)upravljanje rizicima je proces utvrđivanja, procjene, vrednovanja i određivanja prioriteta rizika u cilju osiguravanja uvjeta za rad i kontinuirano poslovanje kritičnog subjekta
27)zaštita kritične infrastrukture je skup aktivnosti koje provode kritični subjekt i nadležna tijela, a kojima je cilj osigurati funkcionalnost, održati kontinuitet u pružanju ključnih usluga, spriječiti, odnosno umanjiti posljedice ugrožavanja kritične infrastrukture i osigurati otpornost.
(2) Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.
Primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 4.
Ako su za pojedini sektor ili subjekte iz pojedinih sektora iz Priloga I. ovoga Zakona posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata iz ovoga Zakona ili predstavljaju strože zahtjeve, sukladno ocjeni nadležnog tijela, na te subjekte se primjenjuju odgovarajuće odredbe tih posebnih propisa, uključujući odredbe o nadzoru provedbe zahtjeva.
Izuzeća od primjene ovoga Zakona u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 5.
Na kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture iz Priloga I. ovoga Zakona, ne primjenjuju se članak 20., članci od 22. do 43. i članci od 45. do 48. ovoga Zakona.
Odnos sa zakonom koji uređuje područje kibernetičke sigurnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 6.
(1) Odredbe ovoga Zakona ne odnose se na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti.
(2) Provedba ovoga Zakona ne dovodi u pitanje provedbu postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti.
(3) U svrhu provedbe stavka 2. ovoga članka u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost, sukladno zakonu koji uređuje područje kibernetičke sigurnosti.
Popis sektora, podsektora, kategorija subjekata i ključnih usluga
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 7.
Sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata te ključne usluge navedeni su u Prilogu I. ovoga Zakona, koji čini njegov sastavni dio.
Načela zaštite kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 8.
Načela zaštite kritične infrastrukture su:
◊načelo zaštite od svih oblika prijetnji podrazumijeva da svi kritični subjekti i sva nadležna tijela u osiguranju neprekidnog rada u isporuci ključnih usluga kritičnog subjekta, uzimaju u obzir različite oblike prijetnji
◊načelo cjelovitog pristupa znači zaštitu kritične infrastrukture od poremećaja ili prekida rada i isporuke ključnih usluga u koju su uključena sva nadležna tijela i institucije, pri čemu se u obzir uzimaju svi relevantni oblici prijetnji, a koja proizlazi iz procjene rizika i uzima u obzir međuovisnost sektora kritičnih subjekata i njihovu interakciju
◊načelo kontinuiranog planiranja zaštite kritične infrastrukture podrazumijeva kontinuiranu procjenu prijetnji i rizika poslovanja, kao i ocjenu planova za njezinu zaštitu, a planiranje zaštite dio je trajnog poslovnog procesa kritičnog subjekta
◊načelo razmjene informacija i podataka te zaštite podataka podrazumijeva da sva nadležna tijela i institucije redovno i pravodobno razmjenjuju podatke i informacije, te se razmjena temelji na povjerenju i na zaštiti podataka povezanih s radom kritičnog subjekta u skladu s odredbama ovoga Zakona i zakona koji uređuju zaštitu tajnosti i povjerljivosti podataka.
II. KOORDINACIJA ZAŠTITE KRITIČNE INFRASTRUKTURE
Koordinativno tijelo za zaštitu kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 9.
(1) Koordinativno tijelo za zaštitu kritične infrastrukture (u daljnjem tekstu: Koordinativno tijelo) je tijelo državne uprave nadležno za poslove civilne zaštite čija zadaća je koordiniranje aktivnosti dionika u zaštiti kritične infrastrukture i jačanja otpornosti kritičnih subjekata.
(2) U ostvarivanju zadaća iz stavka 1. ovoga članka Koordinativno tijelo:
◊izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata
◊predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata
◊nadzire i usmjerava proces utvrđivanja kritičnih subjekata
◊prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu
◊izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture
◊vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj
◊u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture
◊u suradnji s nadležnim tijelima izrađuje međusektorska mjerila
◊koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata
◊surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata
◊sudjeluje u organizaciji, koordinaciji i provedbi mjera suradnje između javnog i privatnog sektora u cilju zaštite i jačanja otpornosti kritičnih subjekata
◊provodi postupak izdavanja i ukidanja certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture
◊surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije
◊u cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama
◊svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama
◊koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima
◊zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima
◊u roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 10.
(1) Nadležna tijela i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o:
◊utvrđivanju kritičnih subjekata na temelju ovoga Zakona
◊rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora
◊fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode
◊rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti.
(2) Nadležna tijela mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti.
(3) Koordinativno tijelo i središnje državno tijelo za kibernetičku sigurnost sporazumom uređuju sva bitna pitanja koja se odnose na razmjenu informacija i koordinaciju nadležnih tijela, uključujući način razmjene informacija iz stavka 1. ovoga članka.
III. NACIONALNI OKVIR ZA OTPORNOST KRITIČNIH SUBJEKATA
Akt strateškog planiranja za otpornost kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 11.
(1) Akt strateškog planiranja za otpornost kritičnih subjekata je srednjoročni akt strateškog planiranja kojim se utvrđuju posebni ciljevi i mjere politike temeljeni na relevantnim nacionalnim, višesektorskim i sektorskim strategijama, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata i obuhvaćanja sektora propisanih Prilogom I. ovoga Zakona.
(2) Akt strateškog planiranja za otpornost kritičnih subjekata donosi se nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente:
◊posebne ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti
◊upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta
◊opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata
◊opis postupka kojim se utvrđuju kritični subjekti
◊opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika
◊popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu akta
◊okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća
◊opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost.
(3) Akt strateškog planiranja iz stavka 1. ovoga članka donosi Vlada Republike Hrvatske (u daljnjem tekstu: Vlada).
(4) U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada.
(5) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.
(6) Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja.
(7) Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
Nacionalna procjena rizika kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 12.
(1) Nacionalnu procjenu rizika kritične infrastrukture koju izrađuje Koordinativno tijelo, donosi Vlada, na prijedlog ministra nadležnog za poslove civilne zaštite (u daljnjem tekstu: ministar).
(2) Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata.
(3) U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma.
(4) Pri izradi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju:
◊opća procjena rizika provedena na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20. 12. 2013.)
◊druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprječavanje velikih nesreća koje uključuju opasne tvari, te odredbe Uredbe (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010, (SL L 280, 28. 10. 2017) i Uredbe (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14. 6. 2019.)
◊relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima propisanih u Prilogu I. ovoga Zakona, među ostalim, njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja
◊sve informacije o incidentima koji su prijavljeni u skladu s člankom 32. ovoga Zakona.
(5) U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata.
(6) Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine.
(7) Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
IV. UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA
Nadležna tijela
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 13.
(1) Nadležna tijela utvrđuju kritične subjekte u sektorima iz svoje nadležnosti.
(2) Za sektore navedene u Prilogu I. ovoga Zakona nadležna tijela su:
◊tijelo državne uprave nadležno za energetiku za sektor „energetika”
◊tijelo državne uprave nadležno za promet za sektor „promet“
◊Hrvatska narodna banka za sektor „bankarstvo“
◊Hrvatska agencija za nadzor financijskih usluga za sektor „infrastrukture financijskog tržišta“
◊tijelo državne uprave nadležno za zdravstvo za sektor „zdravstvo“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „otpadne vode“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „ regulacijske i zaštitne vodne građevine za obranu od poplava“
◊za sektor „digitalna infrastruktura“:
a)tijelo državne uprave nadležno za digitalnu transformaciju za kategoriju subjekta „pružatelji usluga povjerenja“
b)Hrvatska regulatorna agencija za mrežne djelatnosti za kategorije subjekata „pružatelji javnih elektroničkih komunikacijskih mreža“ i „pružatelji elektroničkih komunikacijskih usluga“
c)središnje državno nadležno tijelo za kibernetičku sigurnost za kategorije subjekata: „pružatelji središta za razmjenu internetskog prometa“, „pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva“, „pružatelji usluga računalstva u oblaku“, „pružatelji usluga podatkovnog centra“ te “pružatelji mreže za isporuku sadržaja“
d)tijelo državne uprave nadležno za znanost i obrazovanje za kategoriju subjekta, „registar naziva vršne nacionalne internetske domene“
◊tijelo državne uprave nadležno za upravu za sektor „javni sektor“
◊tijelo državne uprave nadležno za poljoprivredu za sektor „proizvodnja, prerada i distribucija hrane“
◊tijelo državne uprave nadležno za obrazovne ustanove i ustanove koje provode ključne istraživačke aktivnosti za sektor „znanost i obrazovanje“ i „svemir“
◊tijelo državne uprave nadležno za kulturu i medije za sektor „kultura i mediji“.
Analiza rizika
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 14.
(1) Nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika.
(2) Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Međusektorska mjerila
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 15.
(1) Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila za analizu rizika.
(2) Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju:
-ljudske gubitke, pri čemu se procjenjuje mogući broj smrtno stradalih i/ili ozlijeđenih osoba zbog prekida rada pojedine kritične infrastrukture
-gospodarske posljedice, koje se procjenjuju s obzirom na pokazatelj gospodarskog gubitka i/ili smanjenje kvalitete usluga, uključivo i moguće učinke na okoliš
-utjecaj na javnost, koji se procjenjuje s obzirom na utjecaj na povjerenje javnosti, tjelesne i duševne patnje i remećenje svakodnevnog života, uključivo i gubitak osnovnih javnih usluga.
Sektorska mjerila
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 16.
(1) Sektorska mjerila za analizu rizika utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima.
(2) Nadležna tijela su dužna Koordinativnom tijelu dostaviti sektorska mjerila za analizu rizika iz stavka 1. ovoga članka.
Utvrđivanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 17.
(1) Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika iz članka 14. stavka 1. ovoga Zakona, akta strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona i Nacionalne procjene rizika kritične infrastrukture iz članka 12. ovoga Zakona, uz dodatno razmatranje sljedećih kriterija:
-pruža li subjekt jednu ili više ključnih usluga
-posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske
-ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke.
(2) Pri utvrđivanju značaja negativnog učinka incidenta iz stavka 1. podstavka 3. ovoga članka, u obzir se uzimaju minimalno sljedeći kriteriji:
-broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt
-opseg ovisnosti drugih sektora i podsektora o ključnim uslugama
-stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva
-tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga
-geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja
-važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge.
(3) U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka.
(4) Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Potvrđivanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 18.
(1) Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti.
(2) Prijedlozi nadležnih tijela iz stavka 1. ovoga članka moraju sadržavati sljedeće podatke:
-naziv subjekta
-adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve
-opis ključne usluge koju subjekt pruža.
(3) Na prijedlog Koordinativnog tijela, Vlada odlukom potvrđuje kritične subjekte.
(4) Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku iz stavka 3. ovoga članka, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti.
(5) Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz stavka 3. ovoga članka.
(6) Ako se na neki od potvrđenih kritičnih subjekata odnose izuzeća od primjene ovoga Zakona navedene u članku 5. ovoga Zakona, Koordinativno tijelo će u obavijesti iz stavka 4. ovoga članka navesti postojanje tih izuzeća.
(7) Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke:
-popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je propisala Europska komisija
-broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu
-međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Obavještavanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 19.
(1) Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza.
(2) Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Izvještavanje o procjenama rizika i sigurnosnim planovima
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 20.
(1) Nadležna tijela dostavljaju Koordinativnom tijelu izvješće o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu.
(2) Koordinativno tijelo na temelju dostavljenih izvješća iz stavka 1. ovoga članka izrađuje i dostavlja Vladi godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata, najkasnije do 30. lipnja tekuće godine za prethodnu godinu.
Ažuriranje popisa kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 21.
(1) Nadležna tijela po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata potvrđenih odlukom iz članka 18. stavka 3. ovoga Zakona te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno prijedlog da se određeni subjekt više ne smatra kritičnim subjektom.
(2) Postupak utvrđivanja i potvrđivanja subjekata iz stavka 1. ovoga članka provodi se u skladu s člancima 17., 18. i 19. ovoga Zakona.
(3) Nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 40. ovoga Zakona.
V. OBAVEZE KRITIČNIH SUBJEKATA
Procjena rizika koju provode kritični subjekti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 22.
(1) Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga.
(2) U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom.
(3) Prilikom izrade procjene rizika, u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, osobito međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma i s njime povezana kaznena djela.
(4) Kritični subjekt dužan je prilikom izrade procjene rizika uzeti u obzir opseg u kojem drugi sektori navedeni u Prilogu I. ovoga Zakona ovise o ključnoj usluzi koju pruža i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi kritični subjekti u takvim drugim sektorima, uključujući prema potrebi u susjednim državama članicama i trećim zemljama.
(5) Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu.
(6) Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
(7) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Sigurnosni plan kritičnog subjekta