Ustavna osnova za donošenje ovoga Zakona sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, br. 85/10. - pročišćeni tekst i 5/14. – Odluka Ustavnog suda Republike Hrvatske).
II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
1. Ocjena stanja
Zakon o kritičnim infrastrukturama („Narodne novine“, br. 56/13) stupio je na snagu 18. svibnja 2013. Donošenjem Zakona, kroz implementaciju Direktive Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označavanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23. 12. 2008.) propisane su nadležnosti sudionika u utvrđivanju i provedbi mjera zaštite nacionalne i europske kritične infrastrukture.
Dana 14. prosinca 2022. donesena je Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27.12.2022.) (u daljnjem tekstu: Direktiva 2022/2557). U okviru provedbe pravne stečevine Europske unije, Republika Hrvatska je obvezna uskladiti nacionalno zakonodavstvo s navedenom Direktivom koja regulira područje zaštite kritičnih infrastruktura i jačanja otpornosti kritičnih subjekata.
Uz utvrđenu obvezu izmjene postojećeg Zakona o kritičnim infrastrukturama u skladu s novim europskim pristupom, nužnost određenih izmjena prepoznata je i na nacionalnoj razini nakon desetogodišnjeg razdoblja primjene.
2. Osnovna pitanja koja se trebaju urediti Zakonom
Primarni cilj donošenja novoga Zakona je prilagodba nacionalnog propisa europskoj pravnoj stečevini, odnosno implementacija Direktive 2022/2257. U postupku nacionalne prilagodbe uzete su u obzir nove operativne i zakonodavne okolnosti, s ciljem poboljšanja učinkovitosti sustava uz osiguranje odgovarajuće razine zaštite i kontinuiteta poslovanja. Procjenjujući nove sigurnosne izazove, potrebno je što je moguće više ograničiti štetne učinke prekida ili poremećaja u radu kritičnih infrastruktura na stanovništvo i gospodarstvo.
Sustav identificiranja i zaštite nacionalnih kritičnih infrastruktura te infrastrukture od europskog značaja, treba jasno definirati kroz novi zakonski okvir kako bi se postigla maksimalna kompatibilnost s modelima i rješenjima koja se primjenjuju u Europskoj uniji.
Predloženim Zakonom uredit će se sljedeća pitanja:
-definiranje uloge tijela državne uprave nadležnog za civilnu zaštitu koje koordinira aktivnosti dionika u sustavu identificiranja i zaštite kritične infrastrukture te predlaže Vladi Republike Hrvatske kritične subjekte od posebnog europskog značaja koji se nalaze na području Republike Hrvatske ili na području druge države članice Europske unije
-propisivanje načela zaštite kritične infrastrukture, radi boljeg razumijevanja funkcionalnosti sustava zaštite kritične infrastrukture
-precizno propisivanje postupka utvrđivanja i potvrđivanja kritičnih subjekata, kao i procedure donošenja mjerila
-koordiniranje svih aktivnosti pri predlaganju i vrednovanju zaštite kritične infrastrukture
-definiranje jasnijih uvjeta analize rizika za sektorski nadležna tijela državne uprave iz kojih se identificiraju kritični subjekti te analiza i procjena rizika kod kritičnih subjekata, kao i implementacija obaveze procjene rizika države članice propisana Direktivom 2022/2557
-preciznije definiranje procedura izrade, rokova, obuhvata i ažuriranja sadržaja sigurnosnog plana kritičnih subjekata kao dijela poslovnog plana pravne osobe
-propisivanje obveze imenovanja sigurnosnih koordinatora za kritičnu infrastrukturu u tijelima državne uprave te edukacije i osposobljavanja za sigurnosne koordinatore s definiranim mjestom i ulogom u sektoru iz kojih dolaze kritične infrastrukture
-propisivanje obveze certificiranja za pravne osobe i obrte koji pružaju zaštitu kritične infrastrukture
-definiranje preciznijeg okvira za provedbu inspekcijskog nadzora
-donošenje nacionalnog akta strateškog planiranja za otpornost kritičnih subjekata
-ukazivanje na primjenu hrvatskih, europskih i drugih provjerenih normi i praksi u procesu zaštite kritičnih subjekata.
3. Posljedice koje će proisteći donošenjem Zakona
Donošenjem Zakona u koji je implementirana Direktiva 2022/2557 i kojim će se urediti naprijed navedena pitanja, postići će se bolja operacionalizacija nacionalnih procedura identifikacije i potvrđivanja kritičnih subjekata (infrastrukture) koja se do sada pokazala izazovnom radi nedovoljne reguliranosti, a time i veća otpornost kritičnih subjekata vitalnih za pružanje ključnih usluga.
III. OCJENA I IZVORI POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovoga Zakona nije potrebno osigurati dodatna sredstva u državnom proračunu Republike Hrvatske.
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
I. UVODNE ODREDBE
Predmet Zakona
Članak 1.
(1) Ovim Zakonom uređuje se zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom ovoga Zakona.
(2) Ovaj Zakon, u dijelu provedbe zaštite nacionalnih kritičnih infrastruktura, ne primjenjuje se na tijela državne uprave i druga državna tijela u čijoj su nadležnosti poslovi nacionalne sigurnosti, javne sigurnosti, obrane ili poslovi provedbe zakona u svrhu sprječavanja, otkrivanja i istraživanja kaznenih djela.
Usklađivanje propisa s pravnim aktima Europske unije
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP).
Pojmovi
Članak 3.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1)analiza rizika je dio procesa procjene rizika, a označava razmatranje mogućih scenarija prijetnji kako bi se ocijenile ranjivosti i mogući učinak poremećaja u radu kritične infrastrukture ili njezina uništenja
2)CSIRT (Computer Security Incident Response Team) je nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata
3)država članica je država članica Europske unije te država potpisnica Ugovora o Europskom gospodarskom prostoru
4)incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava, te bi u slučaju incidenta došlo do znatnih negativnih učinaka na pružanje ključnih usluga
5)javni subjekti su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
6)ključna usluga je usluga ključna za održavanje vitalnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti te okoliša
7)kontinuitet poslovanja kritičnog subjekta je neprekinutost pružanja ključne usluge, što se osigurava planiranjem i provođenjem mjera pripravnosti za nepredviđene situacije te povećanjem otpornosti i brzine oporavka
8)kritična infrastruktura je imovina, objekt, oprema, mreža ili sustav, odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge
9)kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga
10)kritični subjekt od posebnog europskog značaja je kritični subjekt koji pruža iste ili slične ključne usluge za ili u šest ili više država članica utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona
11)međusektorska mjerila označavaju skup općih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik za pojedinu imovinu, objekte, sustave i mreže koji predstavljaju kritičnu infrastrukturu te provodi utvrđivanje kritičnih subjekata i kritičnih subjekata od europskog značaja u svim sektorima kritičnih subjekata
12)nadležna tijela su tijela državne uprave, nadležna tijela za provedbu posebnih propisa, te druga državna tijela i pravne osobe s javnim ovlastima nadležne za pojedini sektor ili pojedine kategorije subjekata za koje se sukladno ovom Zakonu provodi postupak utvrđivanja kritičnih subjekata
13)nadležna tijela za provedbu posebnih propisa su Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga
14)otpornost je sposobnost kritičnog subjekta da spriječi incident, osigura zaštitu od incidenta, odgovori na njega, odupre se, ublaži ga, apsorbira, prilagodi se i oporavi od incidenta kako bi mogao nastaviti s pružanjem ključne usluge
15)provjera podobnosti osobe je provjera identiteta te provjera evidentiranosti u kaznenim evidencijama i evidencijama Sigurnosno-obavještajne agencije za osobe koje su zaposlene ili se razmatraju za zapošljavanje u kritičnom subjektu na osjetljive funkcije ili koje imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću ili obavljaju poslove za kritični subjekt, u svrhu evaluacije potencijalnog sigurnosnog rizika za kritični subjekt
16)prijetnja je vjerojatnost događaja i negativnih posljedica po kritičnu infrastrukturu koje u opsegu mogu biti antropogene, tehničko - tehnološke i prirodne, a koje mogu uzrokovati bitne poremećaje funkcioniranja društva
17)privatna zaštita je djelatnost koja je definirana zakonom koji uređuje privatnu zaštitu
18)procjena rizika je cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom
19)regulatorno tijelo je pravna osoba s javnim ovlastima koja obavlja regulatorne i druge poslove u djelokrugu i s nadležnostima u skladu s odgovarajućim zakonima
20)rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta
21)sektorska mjerila su skup specifičnih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik i utvrđuju ključne usluge u pojedinom sektoru kritičnih subjekata
22)sigurnosni koordinator za kritičnu infrastrukturu je zaposlenik nadležnog tijela koji koordinira i usmjerava aktivnosti vezane uz zaštitu i otpornost kritičnih subjekata pojedinog sektora, odnosno zaposlenik kritičnog subjekta koji te aktivnosti usmjerava sukladno svojoj organizacijskoj strukturi
23)sigurnosni plan kritičnog subjekta označava dokument koji osigurava povjerljivost, cjelovitost i raspoloživost organizacijskih, kadrovskih, materijalnih, informacijsko -komunikacijskih i drugih rješenja te stalnih i stupnjevanih sigurnosnih mjera potrebnih za neprekidno funkcioniranje kritične infrastrukture
24)tehnička specifikacija je dokument koji propisuje tehničke zahtjeve, kako je definirano u članku 2. točki 4. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012 o europskoj normizaciji, izmjeni direktiva Vijeća, 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (Tekst značajan za EGP; SL L 316/12 od 14.11.2012) (u daljnjem tekstu: Uredba (EU) br. 1025/2012)
25)treća zemlja je strana država koja nije država članica
26)upravljanje rizicima je proces utvrđivanja, procjene, vrednovanja i određivanja prioriteta rizika u cilju osiguravanja uvjeta za rad i kontinuirano poslovanje kritičnog subjekta
27)zaštita kritične infrastrukture je skup aktivnosti koje provode kritični subjekt i nadležna tijela, a kojima je cilj osigurati funkcionalnost, održati kontinuitet u pružanju ključnih usluga, spriječiti, odnosno umanjiti posljedice ugrožavanja kritične infrastrukture i osigurati otpornost.
(2) Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.
Primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata
Članak 4.
Ako su za pojedini sektor ili subjekte iz pojedinih sektora iz Priloga I. ovoga Zakona posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata iz ovoga Zakona ili predstavljaju strože zahtjeve, sukladno ocjeni nadležnog tijela, na te subjekte se primjenjuju odgovarajuće odredbe tih posebnih propisa, uključujući odredbe o nadzoru provedbe zahtjeva.
Izuzeća od primjene ovoga Zakona u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture
Članak 5.
Na kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture iz Priloga I. ovoga Zakona, ne primjenjuju se članak 20., članci od 22. do 43. i članci od 45. do 48. ovoga Zakona.
Odnos sa zakonom koji uređuje područje kibernetičke sigurnosti
Članak 6.
(1) Odredbe ovoga Zakona ne odnose se na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti.
(2) Provedba ovoga Zakona ne dovodi u pitanje provedbu postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti.
(3) U svrhu provedbe stavka 2. ovoga članka u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost, sukladno zakonu koji uređuje područje kibernetičke sigurnosti.
Popis sektora, podsektora, kategorija subjekata i ključnih usluga
Članak 7.
Sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata te ključne usluge navedeni su u Prilogu I. ovoga Zakona, koji čini njegov sastavni dio.
Načela zaštite kritične infrastrukture
Članak 8.
Načela zaštite kritične infrastrukture su:
◊načelo zaštite od svih oblika prijetnji podrazumijeva da svi kritični subjekti i sva nadležna tijela u osiguranju neprekidnog rada u isporuci ključnih usluga kritičnog subjekta, uzimaju u obzir različite oblike prijetnji
◊načelo cjelovitog pristupa znači zaštitu kritične infrastrukture od poremećaja ili prekida rada i isporuke ključnih usluga u koju su uključena sva nadležna tijela i institucije, pri čemu se u obzir uzimaju svi relevantni oblici prijetnji, a koja proizlazi iz procjene rizika i uzima u obzir međuovisnost sektora kritičnih subjekata i njihovu interakciju
◊načelo kontinuiranog planiranja zaštite kritične infrastrukture podrazumijeva kontinuiranu procjenu prijetnji i rizika poslovanja, kao i ocjenu planova za njezinu zaštitu, a planiranje zaštite dio je trajnog poslovnog procesa kritičnog subjekta
◊načelo razmjene informacija i podataka te zaštite podataka podrazumijeva da sva nadležna tijela i institucije redovno i pravodobno razmjenjuju podatke i informacije, te se razmjena temelji na povjerenju i na zaštiti podataka povezanih s radom kritičnog subjekta u skladu s odredbama ovoga Zakona i zakona koji uređuju zaštitu tajnosti i povjerljivosti podataka.
II. KOORDINACIJA ZAŠTITE KRITIČNE INFRASTRUKTURE
Koordinativno tijelo za zaštitu kritične infrastrukture
Članak 9.
(1) Koordinativno tijelo za zaštitu kritične infrastrukture (u daljnjem tekstu: Koordinativno tijelo) je tijelo državne uprave nadležno za poslove civilne zaštite čija zadaća je koordiniranje aktivnosti dionika u zaštiti kritične infrastrukture i jačanja otpornosti kritičnih subjekata.
(2) U ostvarivanju zadaća iz stavka 1. ovoga članka Koordinativno tijelo:
◊izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata
◊predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata
◊nadzire i usmjerava proces utvrđivanja kritičnih subjekata
◊prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu
◊izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture
◊vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj
◊u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture
◊u suradnji s nadležnim tijelima izrađuje međusektorska mjerila
◊koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata
◊surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata
◊sudjeluje u organizaciji, koordinaciji i provedbi mjera suradnje između javnog i privatnog sektora u cilju zaštite i jačanja otpornosti kritičnih subjekata
◊provodi postupak izdavanja i ukidanja certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture
◊surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije
◊u cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama
◊svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama
◊koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima
◊zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima
◊u roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti
Članak 10.
(1) Nadležna tijela i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o:
◊utvrđivanju kritičnih subjekata na temelju ovoga Zakona
◊rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora
◊fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode
◊rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti.
(2) Nadležna tijela mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti.
(3) Koordinativno tijelo i središnje državno tijelo za kibernetičku sigurnost sporazumom uređuju sva bitna pitanja koja se odnose na razmjenu informacija i koordinaciju nadležnih tijela, uključujući način razmjene informacija iz stavka 1. ovoga članka.
III. NACIONALNI OKVIR ZA OTPORNOST KRITIČNIH SUBJEKATA
Akt strateškog planiranja za otpornost kritičnih subjekata
Članak 11.
(1) Akt strateškog planiranja za otpornost kritičnih subjekata je srednjoročni akt strateškog planiranja kojim se utvrđuju posebni ciljevi i mjere politike temeljeni na relevantnim nacionalnim, višesektorskim i sektorskim strategijama, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata i obuhvaćanja sektora propisanih Prilogom I. ovoga Zakona.
(2) Akt strateškog planiranja za otpornost kritičnih subjekata donosi se nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente:
◊posebne ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti
◊upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta
◊opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata
◊opis postupka kojim se utvrđuju kritični subjekti
◊opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika
◊popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu akta
◊okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća
◊opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost.
(3) Akt strateškog planiranja iz stavka 1. ovoga članka donosi Vlada Republike Hrvatske (u daljnjem tekstu: Vlada).
(4) U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada.
(5) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.
(6) Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja.
(7) Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
(1) Nacionalnu procjenu rizika kritične infrastrukture koju izrađuje Koordinativno tijelo, donosi Vlada, na prijedlog ministra nadležnog za poslove civilne zaštite (u daljnjem tekstu: ministar).
(2) Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata.
(3) U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma.
(4) Pri izradi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju:
◊opća procjena rizika provedena na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20. 12. 2013.)
◊druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprječavanje velikih nesreća koje uključuju opasne tvari, te odredbe Uredbe (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010, (SL L 280, 28. 10. 2017) i Uredbe (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14. 6. 2019.)
◊relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima propisanih u Prilogu I. ovoga Zakona, među ostalim, njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja
◊sve informacije o incidentima koji su prijavljeni u skladu s člankom 32. ovoga Zakona.
(5) U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata.
(6) Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine.
(7) Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
IV. UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA
Nadležna tijela
Članak 13.
(1) Nadležna tijela utvrđuju kritične subjekte u sektorima iz svoje nadležnosti.
(2) Za sektore navedene u Prilogu I. ovoga Zakona nadležna tijela su:
◊tijelo državne uprave nadležno za energetiku za sektor „energetika”
◊tijelo državne uprave nadležno za promet za sektor „promet“
◊Hrvatska narodna banka za sektor „bankarstvo“
◊Hrvatska agencija za nadzor financijskih usluga za sektor „infrastrukture financijskog tržišta“
◊tijelo državne uprave nadležno za zdravstvo za sektor „zdravstvo“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „otpadne vode“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „ regulacijske i zaštitne vodne građevine za obranu od poplava“
◊za sektor „digitalna infrastruktura“:
a)tijelo državne uprave nadležno za digitalnu transformaciju za kategoriju subjekta „pružatelji usluga povjerenja“
b)Hrvatska regulatorna agencija za mrežne djelatnosti za kategorije subjekata „pružatelji javnih elektroničkih komunikacijskih mreža“ i „pružatelji elektroničkih komunikacijskih usluga“
c)središnje državno nadležno tijelo za kibernetičku sigurnost za kategorije subjekata: „pružatelji središta za razmjenu internetskog prometa“, „pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva“, „pružatelji usluga računalstva u oblaku“, „pružatelji usluga podatkovnog centra“ te “pružatelji mreže za isporuku sadržaja“
d)tijelo državne uprave nadležno za znanost i obrazovanje za kategoriju subjekta, „registar naziva vršne nacionalne internetske domene“
◊tijelo državne uprave nadležno za upravu za sektor „javni sektor“
◊tijelo državne uprave nadležno za poljoprivredu za sektor „proizvodnja, prerada i distribucija hrane“
◊tijelo državne uprave nadležno za obrazovne ustanove i ustanove koje provode ključne istraživačke aktivnosti za sektor „znanost i obrazovanje“ i „svemir“
◊tijelo državne uprave nadležno za kulturu i medije za sektor „kultura i mediji“.
Analiza rizika
Članak 14.
(1) Nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika.
(2) Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Međusektorska mjerila
Članak 15.
(1) Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila za analizu rizika.
(2) Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju:
-ljudske gubitke, pri čemu se procjenjuje mogući broj smrtno stradalih i/ili ozlijeđenih osoba zbog prekida rada pojedine kritične infrastrukture
-gospodarske posljedice, koje se procjenjuju s obzirom na pokazatelj gospodarskog gubitka i/ili smanjenje kvalitete usluga, uključivo i moguće učinke na okoliš
-utjecaj na javnost, koji se procjenjuje s obzirom na utjecaj na povjerenje javnosti, tjelesne i duševne patnje i remećenje svakodnevnog života, uključivo i gubitak osnovnih javnih usluga.
Sektorska mjerila
Članak 16.
(1) Sektorska mjerila za analizu rizika utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima.
(2) Nadležna tijela su dužna Koordinativnom tijelu dostaviti sektorska mjerila za analizu rizika iz stavka 1. ovoga članka.
Utvrđivanje kritičnih subjekata
Članak 17.
(1) Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika iz članka 14. stavka 1. ovoga Zakona, akta strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona i Nacionalne procjene rizika kritične infrastrukture iz članka 12. ovoga Zakona, uz dodatno razmatranje sljedećih kriterija:
-pruža li subjekt jednu ili više ključnih usluga
-posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske
-ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke.
(2) Pri utvrđivanju značaja negativnog učinka incidenta iz stavka 1. podstavka 3. ovoga članka, u obzir se uzimaju minimalno sljedeći kriteriji:
-broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt
-opseg ovisnosti drugih sektora i podsektora o ključnim uslugama
-stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva
-tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga
-geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja
-važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge.
(3) U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka.
(4) Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Potvrđivanje kritičnih subjekata
Članak 18.
(1) Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti.
(2) Prijedlozi nadležnih tijela iz stavka 1. ovoga članka moraju sadržavati sljedeće podatke:
-naziv subjekta
-adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve
-opis ključne usluge koju subjekt pruža.
(3) Na prijedlog Koordinativnog tijela, Vlada odlukom potvrđuje kritične subjekte.
(4) Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku iz stavka 3. ovoga članka, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti.
(5) Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz stavka 3. ovoga članka.
(6) Ako se na neki od potvrđenih kritičnih subjekata odnose izuzeća od primjene ovoga Zakona navedene u članku 5. ovoga Zakona, Koordinativno tijelo će u obavijesti iz stavka 4. ovoga članka navesti postojanje tih izuzeća.
(7) Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke:
-popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je propisala Europska komisija
-broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu
-međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Obavještavanje kritičnih subjekata
Članak 19.
(1) Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza.
(2) Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Izvještavanje o procjenama rizika i sigurnosnim planovima
Članak 20.
(1) Nadležna tijela dostavljaju Koordinativnom tijelu izvješće o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu.
(2) Koordinativno tijelo na temelju dostavljenih izvješća iz stavka 1. ovoga članka izrađuje i dostavlja Vladi godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata, najkasnije do 30. lipnja tekuće godine za prethodnu godinu.
Ažuriranje popisa kritičnih subjekata
Članak 21.
(1) Nadležna tijela po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata potvrđenih odlukom iz članka 18. stavka 3. ovoga Zakona te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno prijedlog da se određeni subjekt više ne smatra kritičnim subjektom.
(2) Postupak utvrđivanja i potvrđivanja subjekata iz stavka 1. ovoga članka provodi se u skladu s člancima 17., 18. i 19. ovoga Zakona.
(3) Nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 40. ovoga Zakona.
V. OBAVEZE KRITIČNIH SUBJEKATA
Procjena rizika koju provode kritični subjekti
Članak 22.
(1) Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga.
(2) U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom.
(3) Prilikom izrade procjene rizika, u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, osobito međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma i s njime povezana kaznena djela.
(4) Kritični subjekt dužan je prilikom izrade procjene rizika uzeti u obzir opseg u kojem drugi sektori navedeni u Prilogu I. ovoga Zakona ovise o ključnoj usluzi koju pruža i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi kritični subjekti u takvim drugim sektorima, uključujući prema potrebi u susjednim državama članicama i trećim zemljama.
(5) Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu.
(6) Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
(7) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Sigurnosni plan kritičnog subjekta
Članak 23.
(1) Kritični subjekt je dužan, na temelju procjene rizika iz članka 22. ovoga Zakona, izraditi sigurnosni plan koji obuhvaća mjere zaštite i osiguranja kontinuiteta poslovanja i isporuke usluga za svaku ključnu uslugu, te mjere za osiguravanje otpornosti.
(2) Kritični subjekt je dužan sigurnosni plan izraditi u roku 12 mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, te ga ažurirati najmanje jednom godišnje i o tome obavijestiti nadležno tijelo.
(3) Sigurnosni plan iz stavka 1. ovoga članka kritični subjekt donosi uz prethodnu suglasnost nadležnog tijela, a pri davanju suglasnosti, nadležno tijelo je dužno samostalno ili u suradnji s regulatornim tijelom utvrditi je li sigurnosni plan izrađen u skladu s procjenom rizika.
(4) Obavijest o donošenju sigurnosnog plana kritični subjekt je dužan dostaviti nadležnom tijelu u roku od mjesec dana od njegovog donošenja.
(5) Nadležna tijela i kritični subjekti dužni su, na zahtjev Koordinativnog tijela, dostaviti podatke i informacije u vezi upravljanja rizicima i osiguranja kontinuiteta poslovanja kritičnih subjekata.
(6) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Sadržaj sigurnosnog plana
Članak 24.
(1) Sigurnosni plan kritičnog subjekta sadrži najmanje:
-utvrđene prioritete zaštite ključnih dijelova, sustava, mreža i objekata (kritične infrastrukture)
-popis prijetnji koje mogu ugroziti kritični subjekt
-analize rizika temeljene na scenarijima realnih prijetnji (najgori slučaj i najvjerojatniji slučaj), ranjivosti svakog objekta, sustava, mreža i funkcionalnosti i mogućim posljedicama u redovnom radu te u slučaju većeg poremećaja i/ili prestanka rada/korištenja kritične infrastrukture, uključujući i rizik od napuštanja lokacije kritične infrastrukture, a uzimajući u obzir sve prijetnje iz podstavka 2. ovoga stavka
-utvrđene mjere i postupke za smanjenje ranjivosti i osiguranje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sustava, uz primjenu:
a)stalnih sigurnosnih mjera koje uključuju fizičke, tehničke i organizacijske mjere te postupaka ranog upozoravanja i jačanja svijesti
b)stupnjevanih sigurnosnih mjera koje se aktiviraju ovisno o intenzitetu i/ili jačini prijetnji
c)mjera za otpornost kritičnih subjekata koje se odnose na:
1.sprječavanje nastanka svih oblika incidenata, smanjenje rizika i utjecaja prijetnji i mjere za prilagodbu klimatskim promjenama
2.osiguravanje odgovarajuće fizičke zaštite prostora i kritične infrastrukture, uzimajući u obzir, primjerice, ograde, pregrade, alate za nadzor područja i rutinske postupke za nadzor područja, opremu za otkrivanje i kontrolu pristupa
3.odgovaranje na posljedice incidenata, odupiranje njima i njihovo ublažavanje, uzimajući u obzir provedbu postupaka i protokola za upravljanje rizicima i kriznim situacijama te rutinske postupke upozoravanja;
4.oporavak od incidenata, uzimajući u obzir mjere za kontinuitet poslovanja i utvrđivanje alternativnih lanaca opskrbe kako bi se nastavilo s pružanjem ključne usluge
5.osiguravanje odgovarajućeg upravljanja sigurnošću zaposlenika i vanjskih pružatelja usluga, uzimajući u obzir mjere kao što su utvrđivanje kategorija osoblja koje obavlja kritične funkcije, utvrđivanje prava na pristup prostorima, kritičnoj infrastrukturi i osjetljivim informacijama, uspostavljanje postupaka za provjere podobnosti i određivanje kategorija osoba koje moraju proći te provjere podobnosti te utvrđivanje odgovarajućih kvalifikacija i zahtjeva u pogledu osposobljavanja
6.informiranje relevantnog osoblja o mjerama navedenima u podtočkama od 1. do 5. ove točke, uzimajući u obzir tečajeve osposobljavanja, informativne materijale i vježbe.
-popis odgovornih osoba za kontakt, popis institucija i službi koje se pozivaju u hitnom slučaju i druge podatke vezane uz provedbu sigurnosnog plana u hitnim situacijama
-popis radnih mjesta, funkcija i poslova koje obavljaju osobe za koje se provodi provjera podobnosti.
(2) Mjere za jačanje otpornosti kritičnih subjekata određuju se nacionalnim aktom strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona.
Drugi odgovarajući dokumenti i mjere
Članak 25.
(1) Ako je kritični subjekt, na temelju posebnih propisa, proveo druge procjene rizika ili izradio dokumente koji su značajni za procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima u svrhu procjene rizika iz članka 22. ovoga Zakona.
(2) Smatra se da je kritični subjekt izvršio obvezu izrade sigurnosnog plana ako je, na temelju posebnih propisa, izradio drugi planski dokument koji sadrži najmanje elemente propisane člankom 24. ovoga Zakona.
(3) Nadležno tijelo utvrđuje usklađenost procjena odnosno dokumenata iz stavka 1. i 2. ovoga članka sa odredbama ovoga Zakona.
(4) Pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga, nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti u skladu s obvezama iz članka 24. stavka 2. ovoga Zakona.
Norme
Članak 26.
Na sva sredstva, uređaje i ostalu opremu koja se koristi u zaštiti kritičnih subjekata kao i kvalitetu i sigurnost poslovanja, primjenjuju se hrvatske norme, a u izostanku hrvatskih normi, primjenjuju se europske norme kako je definirano u članku 2. točki 1. Uredbe (EU) br. 1025/2102 Europskog parlamenta i Vijeća, odnosno druge specijalizirane norme i prihvaćena pravila struke.
VI. PRIVATNA ZAŠTITA KRITIČNIH SUBJEKATA
Ugovaranje poslova i usluga
Članak 27.
(1) Kritični subjekti mogu obavljanje poslova privatne zaštite kritične infrastrukture ugovorom povjeriti pravnim osobama i obrtima koji posjeduju certifikat iz članka 28. ovoga Zakona.
(2) O ugovorima iz stavka 1. ovoga članka, kritični subjekt izvješćuje nadležno tijelo i Koordinativno tijelo.
(3) Za prekršaj iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Certifikat za provedbu privatne zaštite kritičnih subjekata
Članak 28.
(1) Pravna osoba i obrt koji obavlja poslove privatne zaštite u objektima, sustavima i mrežama kritičnih subjekata mora biti certificiran sukladno uvjetima i na način propisan ovim Zakonom.
(2) Certifikat za provedbu privatne zaštite kritične infrastrukture iz stavka 1. ovoga članka izdaje se pravnim osobama i obrtima rješenjem tijela državne uprave nadležnog za poslove civilne zaštite.
(3) Certifikat se izdaje s rokom važenja od četiri godine, nakon čega se može obnoviti.
(4) Protiv rješenja iz stavka 2. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.
Uvjeti za ishođenje certifikata
Članak 29.
(1) Pravnoj osobi i obrtu može se izdati certifikat za provedbu privatne zaštite kritične infrastrukture ako ispunjava sve sljedeće uvjete:
-posjeduje odobrenje nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti privatne zaštite – tjelesne i tehničke zaštite te za izradu prosudbe ugroženosti
-posjeduje potvrdu da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja
-posjeduje najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika
-posjeduje jedan ili više ISO certifikata vezanih uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti
-zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika te su za njih provedene provjere iz kaznene i prekršajne evidencije
-posjeduje dokaz o pozitivnom poslovanju u posljednje tri godine
-vlasnik, osnivač, predsjednik i članovi uprave, te osobe ovlaštene za zastupanje i zaposlenici nisu osuđivani za kaznena djela protiv čovječnosti i ljudskog dostojanstva, kaznena djela protiv Republike Hrvatske, kaznena djela protiv zdravlja ljudi, kaznena djela počinjena u sastavu zločinačkog udruženja, kaznena djela protiv javnog reda, koruptivnih kaznenih djela, kaznenih djela prijevare, pranja novca, utaje poreza ili carine, kaznena djela protiv radnih odnosa i socijalnog osiguranja te kaznenih djela protiv računalnih sustava, programa i podataka.
(2) Zahtjev za izdavanje certifikata podnosi se tijelu državne uprave nadležnom za poslove civilne zaštite.
(3) Uz zahtjev za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture prilažu se dokazi o ispunjavanju uvjeta iz stavka 1. podstavaka 2. do 6. ovoga članka.
(4) Tijelo iz stavka 2. ovoga članka pribavit će po službenoj dužnosti dokaze o ispunjavanju uvjeta iz stavka 1. podstavaka 1. i 7. ovoga članka.
(5) Pravnoj osobi i obrtu tijelo državne uprave nadležno za poslove civilne zaštite rješenjem će ukinuti certifikat u sljedećim slučajevima:
-ako se utvrdi da je pravna osoba i obrt prestala udovoljavati propisanim uvjetima iz stavka 1. ovoga članka
-kada kritični subjekt izvijesti tijelo državne uprave nadležno za poslove civilne zaštite da je za pravnu osobu i obrt uslijed nepoštivanja obveza preuzetih ugovorom vođen sudski postupak i donesena pravomoćna presuda u korist kritičnog subjekta
-ako se protiv vlasnika, osnivača pravne osobe, obrta i/ili odgovorne osobe u pravnoj osobi i obrtu vode kazneni ili prekršajni postupci koji su zapreka prema posebnom propisu koji uređuju djelatnost privatne zaštite
-ako postoje sigurnosne zapreke sukladno propisu kojim se uređuje područje sigurnosnih provjera.
(6) Protiv rješenja iz stavka 5. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.
(7) O izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture Koordinativno tijelo vodi registar koji sadrži: naziv pravne osobe i obrta, popis zaposlenika koji provode zaštitu kritične infrastrukture, datum izdavanja i važenja certifikata.
Obnova certifikata
Članak 30.
(1) Zahtjev za obnovu certifikata za provedbu privatne zaštite kritične infrastrukture pravna osoba i obrt dužan je podnijeti najkasnije tri mjeseca prije isteka roka na koji je izdan važeći certifikat.
(2) Na postupak obnove certifikata odgovarajuće se primjenjuju odredbe članka 29. ovog Zakona.
Obveze pravne osobe i obrta i njihovih zaposlenika koji provode
privatnu zaštitu kritične infrastrukture
Članak 31.
(1) Zaposlenici pravnih osoba i obrta koji provode privatnu zaštitu kritične infrastrukture dužni su čuvati i zaštititi poslovnu tajnu i osobne podatke naručitelja usluga, sukladno posebnim propisima iz područja zaštite tajnosti podataka i zaštite osobnih podataka, što se utvrđuje ugovorom iz članka 27. stavka 1. ovoga Zakona.
(2) Zaposlenici u pravnim osobama i obrtima za provedbu privatne zaštite kritične infrastrukture, te zaposlenici unutarnje službe zaštite kritičnog subjekta, moraju najmanje jednom u tri godine pohađati edukaciju koje organizira Koordinativno tijelo, o čemu se vodi evidencija u tijelu državne uprave nadležnom za poslove civilne zaštite.
(3) Edukacija iz stavka 2. ovoga članka se provodi iz sljedećih tematskih cjelina:
-metodologija za izradu analiza i procjenjivanje rizika od katastrofa za Republiku Hrvatsku,
-posljedice velikih nesreća i katastrofa po stanovništvo, materijalna i kulturna dobra i okoliš
-sadržaj procjene rizika i planova djelovanja civilne zaštite jedinica lokalnih i područnih (regionalnih) samouprava
-ugroženost i zaštita kritičnih infrastruktura
-obilježja prirodnih i tehničko-tehnoloških velikih nesreća i katastrofa
-operativne snage sustava civilne zaštite
-postupanje u odgovoru na prijetnje i incidente
-način izrade planskih dokumenata u civilnoj zaštiti i informiranja javnosti u postupku donošenja
-državni plan djelovanja civilne zaštite
-sadržaj procjene rizika i operativnih planova civilne zaštite pravnih osoba
-sadržaj procjene rizika i operativnih planova pravnih osoba koje obavljaju djelatnost s opasnim tvarima
-vanjski planovi jedinica područnih (regionalnih) samouprava za područja postrojenja koja obavljaju djelatnost s opasnim tvarima.
(4) Sadržaj i termini edukacija objavljuju se na internetskoj stranici tijela državne uprave nadležnog za poslove civilne zaštite.
VII. OBAVJEŠTAVANJE O INCIDENTIMA
Obavijest i utvrđivanje značaja incidenta
Članak 32.
(1) U slučaju incidenta, kritični subjekt dužan je, bez odgađanja, poduzeti mjere i aktivnosti za zaštitu kritične infrastrukture.
(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta, dužan je o incidentu koji ima značajan učinak na pružanje usluge i kontinuitet poslovanja, bez odgađanja izvijestiti nadležno tijelo i Koordinativno tijelo, a ako to nije moguće, prva obavijest mora biti dostavljena najkasnije u roku od 24 sata od saznanja da se dogodio incident.
(3) Kritični subjekt dužan je, najkasnije u roku od mjesec dana od dostave obavijesti o incidentu, dostaviti detaljno izvješće nadležnom tijelu.
(4) Obavijest o incidentu iz stavka 2. ovoga članka mora sadržavati detaljni opis incidenta, podatke o posljedicama incidenta te sažetak mjera koje su primijenjene za ublažavanje incidenta ili će se primjenjivati radi otklanjanja uočene ranjivosti i sprječavanja pojave budućih incidenata.
(5) U obavijesti iz stavka 2. ovoga članka moraju se navesti svi dostupni podaci koji su potrebni kako bi nadležno tijelo moglo utvrditi prirodu, uzrok i moguće posljedice incidenta, među ostalim sve dostupne podatke koji su potrebni za utvrđivanje svih prekograničnih učinaka incidenta.
(6) Pri utvrđivanju značaja incidenta, posebno se uzimaju u obzir sljedeći kriteriji:
-broj i udio korisnika na koje poremećaj utječe
-trajanje poremećaja
-geografsko područje pogođeno poremećajem, uzimajući u obzir moguću geografsku izoliranost područja.
(7) Nakon primitka obavijesti iz stavka 2. ovoga članka, nadležno tijelo će u najkraćem roku kritičnom subjektu dostaviti relevantne podatke koje se odnose na daljnje postupanje, uključujući podatke kojima bi se mogao poduprijeti djelotvoran odgovor kritičnog subjekta na incident.
(8) Kada se utvrdi da se radi o javnom interesu, Koordinativno tijelo će uz suglasnost nadležnog tijela i kritičnog subjekta, o incidentu obavijestiti javnost.
(9) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Prekogranični učinci incidenta
Članak 33.
(1) Na temelju podataka o incidentu, koje je kritični subjekt dostavio putem nadležnog tijela, Koordinativno tijelo obavješćuje jedinstvene kontaktne točke drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica.
(2) Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, Koordinativno tijelo je o incidentu dužno obavijestiti Europsku komisiju.
(3) Koordinativno tijelo dužno je s podacima iz stavka 1. ovoga članka postupati u skladu s pravnim aktima Europske unije odnosno posebnim propisima Republike Hrvatske, na način kojim se poštuje njihova povjerljivost i štiti sigurnost i komercijalni interes kritične infrastrukture na kojoj se dogodio incident.
VIII. PROVJERA PODOBNOSTI
Zahtjev za provjeru podobnosti
Članak 34.
(1) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta može podnijeti zahtjev Koordinativnom tijelu za provjeru podobnosti osoba koje:
-imaju osjetljive funkcije u kritičnom subjektu ili obavljaju poslove za kritični subjekt, posebno u vezi s mjerama otpornosti i zaštite kritične infrastrukture
-imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću
-se razmatraju za zapošljavanje na prethodno navedene funkcije.
(2) Zahtjev iz stavka 1. ovoga članka podnosi se sukladno procjeni rizika kritičnog subjekta iz članka 22. ovoga Zakona i sigurnosnom planu iz članka 23. ovoga Zakona.
(3) Zahtjevi iz stavka 1. ovoga članka ocjenjuju se u razumnom roku i obrađuju u skladu s nacionalnim pravom i postupcima o obradi i zaštiti osobnih podataka, te u skladu s relevantnim pravom Europske unije o obradi osobnih podataka, a provjere podobnosti su razmjerne i strogo ograničene na nužne potrebe, isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt.
(4) Koordinativno tijelo dostavlja odgovor na zahtjev iz stavka 1. ovoga članka u roku od deset radnih dana od datuma njegovog primitka.
Provjera podobnosti
Članak 35.
(1) Provjera podobnosti obuhvaća:
-provjeru identiteta osobe za koju se provodi provjera podobnosti
-evidentiranost u kaznenim evidencijama osobe u pogledu kažnjivih djela koja se progone po službenoj dužnosti i prekršaj protiv javnog reda i mira s elementima nasilja, a koja su relevantna za specifično radno mjesto kod kritičnog subjekta
-evidentiranost u evidencijama Sigurnosno-obavještajne agencije u pogledu aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa.
(2) U cilju provođenja provjere podobnosti za osobe iz stavka 1. ovoga članka, preko tijela državne uprave nadležnog za pravosuđe, Koordinativno tijelo podnosi zahtjev za provjeru i kroz Europski informacijski sustav kaznene evidencije za potrebe dobivanja podataka iz nacionalnih kaznenih evidencija i iz kaznenih evidencija drugih država članica.
(3) U svrhu provođenja provjere podobnosti iz stavka 1. Koordinativno tijelo će od osobe za koju se provjera provodi, a koja je strani državljanin, zatražiti podatke iz stavka 1. podstavka 2. ovoga članka o evidentiranosti u kaznenim evidencijama matične države.
(4) Provjere podobnosti iz stavka 1. ovoga članka razmjerne su i strogo ograničene na ono što je nužno.
IX. SIGURNOSNI KOORDINATORI ZA KRITIČNU INFRASTRUKTURU
Članak 36.
Poslove koordiniranja provedbe svih mjera i postupaka u zaštiti kritične infrastrukture i jačanju otpornosti kritičnih subjekata u nadležnom tijelu i kritičnom subjektu obavlja sigurnosni koordinator za kritičnu infrastrukturu i njegov zamjenik.
Sigurnosni koordinator u nadležnom tijelu
Članak 37.
(1) Čelnik nadležnog tijela odlukom određuje sigurnosnog koordinatora za kritičnu infrastrukturu za svaki sektor iz svog djelokruga.
(2) Poslovi sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu obuhvaćaju:
-upravljanje, rukovođenje i nadzor rada sigurnosnog stručnog tima u tijelu
-provođenje edukacije tima vezano uz procese procjene rizika, upravljanja rizicima i zaštite kritičnih subjekata
-sastavljanje prijedloga utvrđenih kritičnih subjekata i dostava koordinativnom tijelu
-po utvrđenim kritičnim subjektima ostvarivanje kontinuirane suradnje i komunikacije s kritičnim subjektima
-iniciranje, sudjelovanje i provedba edukacije kritičnih subjekata
-sudjelovanje u izradi procjene rizika kritičnog subjekta i nacionalne procjene rizika kritične infrastrukture
-provođenje stručnog nadzora uspostave mjera zaštite sukladno provedbenim dokumentima.
(3) Za sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu i njegovog zamjenika provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.
(4) Nadležno tijelo podnosi zahtjev za provođenje sigurnosne provjere za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika Sigurnosno - obavještajnoj agenciji.
Sigurnosni koordinator kritičnog subjekta
Članak 38.
(1) Kritični subjekt dužan je u što kraćem roku odrediti i nadležnom tijelu dostaviti prijedlog za imenovanje sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika, koji je u provedbi mjera i postupaka u zaštiti i jačanja otpornosti odgovoran za komunikaciju između kritičnog subjekta i nadležnog tijela.
(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta obavlja sljedeće poslove:
-upravlja, rukovodi i nadzire rad sigurnosnog tima
-sastavlja i nadzire provedbu sigurnosnih dokumenata
-komunicira i koordinira aktivnosti s nadležnim ijelima i drugim službama
-u suradnji s nadležnim tijelima i regulatornim tijelima izrađuje procjenu rizika
-osigurava i nadzire uspostavu, funkcionalnost, ispravnost i pravodobno servisiranje sustava tehničke zaštite, te ostalih sustava zaštite
-nadzire provedbu svih oblika zaštite.
(3) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Članak 39.
(1) Za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika prije njihovog imenovanja provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.
(2) Nadležno tijelo na temelju zaprimljenog prijedloga, a čiji je sastavni dio ispunjen i potpisan upitnik za sigurnosnu provjeru, podnosi zahtjev za provođenje sigurnosne provjere.
(3) Nakon zaprimljenog izvješća o rezultatima sigurnosne provjere, nadležno tijelo imenuje sigurnosnog koordinatora za kritičnu infrastrukturu o čemu obavještava podnositelja prijedloga iz stavka 2. ovoga članka i Koordinativno tijelo.
Osposobljavanje sigurnosnog koordinatora za kritičnu infrastrukturu
Članak 40.
(1) Nadležna tijela i kritični subjekti dužni su omogućiti osposobljavanje sigurnosnih koordinatora za kritičnu infrastrukturu.
(2) Osposobljavanje iz stavka 1. ovoga članka provodi Koordinativno tijelo, u suradnji sa znanstvenim i stručnim institucijama.
(3) Sigurnosnom koordinatoru, po završetku osposobljavanja, izdaje se potvrda koja vrijedi za razdoblje od četiri godine.
(4) Po proteku roka iz članka 4. ovoga članka, sigurnosni koordinator je u obvezi obnoviti potvrdu.
(5) Ministar pravilnikom propisuje program i način provedbe osposobljavanja za obavljanje poslova sigurnosnog koordinatora za kritičnu infrastrukturu.
X. KRITIČNI SUBJEKTI OD POSEBNOG EUROPSKOG ZNAČAJA
Utvrđivanje kritičnih subjekata od posebnog europskog značaja
Članak 41.
(1) Ako kritični subjekt pruža ključne usluge za šest ili više država članica ili u šest ili više država članica, dužan je obavijestiti nadležno tijelo o ključnim uslugama koje pruža za ili u takvim državama članicama te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge.
(2) Nadležno tijelo obavješćuje Koordinativno tijelo o utvrđivanju kritičnih subjekata iz stavka 1. ovoga članka, a Koordinativno tijelo obavijest o utvrđivanju takvih kritičnih subjekata i o uslugama koje oni pružaju bez nepotrebne odgode dostavlja Europskoj komisiji.
(3) Kada Europska komisija, na temelju savjetovanja s nadležnim tijelima država članica u kojima ili za koje se pružaju kritične usluge te sa kritičnim subjektom, utvrdi da kritični subjekt pruža ključne usluge za ili u šest ili više država članica, obavijestit će nadležno tijelo da se kritični subjekt smatra kritičnim subjektom od europskog značaja te o njegovim obvezama.
(4) Nadležno tijelo obavijest iz stavka 3. ovoga članka, bez nepotrebne odgode, dostavlja kritičnom subjektu.
(5) Kritični subjekt smatra se kritičnim subjektom od europskog značaja od datuma primitka obavijesti iz stavka 4. ovoga članka.
Savjetodavne misije
Članak 42.
(1) Koordinativno tijelo, na zahtjev nadležnog tijela i uz suglasnost Vlade, može podnijeti Europskoj komisiji zahtjev za organiziranje savjetodavne misije kako bi se procijenile mjere otpornosti i zaštite kritične infrastrukture koje uspostavlja kritični subjekt kojega je potvrdila Republika Hrvatska, a utvrđen je kao kritični subjekt od posebnog europskog značaja.
(2) Europska komisija može, i na vlastitu inicijativu kao i na zahtjev jedne ili više država članica kojima ili u kojima se pruža ključna usluga, organizirati savjetodavnu misiju ako je s time suglasna država koja je utvrdila kritični subjekt.
(3) Na obrazloženi zahtjev Europske komisije ili jedne ili više država kojima se pruža ili u kojima se pruža ključna usluga, Koordinativno tijelo će za potvrđeni kritični subjekt koji je od posebnog europskog značaja dostaviti:
-relevantne dijelove procjene rizika kritičnog subjekta
-popis relevantnih mjera za otpornost kritičnih subjekata poduzetih u skladu s člankom 24. ovoga Zakona
-nadzorne ili mjere izvršavanja, uključujući procjene usklađenosti ili izdane naloge, koje je njezino nadležno tijelo poduzelo na temelju članaka 45. do 48. ovoga Zakona u pogledu tog kritičnog subjekta.
(4) Nalazi savjetodavne misije dostavljaju se Europskoj komisiji, Koordinativnom tijelu te državama kojima se pruža ili u kojima se pruža ključna usluga i kritičnom subjektu u roku od tri mjeseca nakon zaključenja savjetodavne misije.
(5) Koordinativno tijelo, u suradnji s nadležnim tijelom, analizira nalaz iz stavka 4. ovoga članka i ako je potrebno, savjetuje Europsku komisiju o tome ispunjava li kritični subjekt od posebnog europskog značaja svoje obveze i prema potrebi, koje bi se mjere mogle poduzeti radi poboljšanja otpornosti tog kritičnog subjekta.
(6) Europska komisija na temelju savjeta iz stavka 5. ovoga članka dostavlja mišljenje Koordinativnom tijelu o ispunjavanju obaveza kritičnog subjekata i poboljšanju mjera.
(7) Nadležno tijelo i kritični subjekt od posebnog europskog značaja su dužni uzeti u obzir mišljenje iz stavka 6. ovoga članka te Europskoj komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga dostavljati informacije o mjerama poduzetima na temelju tog mišljenja.
(8) Ako je Republika Hrvatska potvrdila kritični subjekt od europskog značaja ili takav subjekt pruža usluge u ili za Republiku Hrvatsku, u savjetodavnim misijama iz stavka 1. i 2. ovoga članka sudjeluju i stručnjaci iz Republike Hrvatske, koje imenuje Europska komisija, u skladu s njihovim stručnim sposobnostima nakon savjetovanja s državom članicom koja je utvrdila kritični subjekt.
(9) Članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri.
(10) Europska komisija snosi troškove sudjelovanja u savjetodavnim misijama te organizira program svake savjetodavne misije uz savjetovanje s članovima savjetodavne misije i u dogovoru s Koordinativnim tijelom.
(11) Kritični subjekti od posebnog europskog značaja moraju omogućiti savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu savjetodavne misije.
(12) Savjetodavne misije provode se u skladu s važećim nacionalnim pravom, poštujući odgovornost Republike Hrvatske za nacionalnu sigurnost i zaštitu sigurnosnih interesa.
Jedinstvena kontaktna točka
Članak 43.
(1) Jedinstvena kontaktna točka za razmjenu informacija i koordiniranje aktivnosti u vezi s europskom kritičnom infrastrukturom s drugim državama članicama i tijelima Europske unije je Koordinativno tijelo.
(2) Podaci o jedinstvenoj kontaktnoj točki (telefonski broj i adresa elektroničke pošte) i upute za prijavu iznenadnih događaja u kritičnim infrastrukturama, dostupni su na službenim mrežnim stranicama Koordinativnog tijela i nadležnih tijela.
(3) Jedinstvena kontaktna točka iz stavka 1. ovoga članka do 17. srpnja 2028., te nakon toga svake dvije godine, podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima o izvanrednim događajima u kritičnim infrastrukturama, uključujući broj obavijesti, prirodu prijavljenih incidenata i poduzete mjere.
(4) Razmjena informacija o kritičnim subjektima od posebnog europskog značaja putem jedinstvenih kontaktnih točaka država članica ne isključuje prava i obveze drugih tijela državne uprave za razmjenu informacija, znanja i iskustava sa nadležnim tijelima drugih država članica.
XI. POSTUPANJE S PODACIMA O KRITIČNOJ INFRASTRUKTURI
Članak 44.
(1) Popis kritičnih subjekata, podaci o kritičnim subjektima, kao i svi drugi podaci koji nastaju u svrhu provedbe ovoga Zakona koriste se isključivo u svrhu provedbe zahtjeva iz ovoga Zakona i javno se ne objavljuju.
(2) Popis i podaci iz stavka 1. ovoga članka predstavljaju informacije u odnosu na koje je moguće ograničiti pravo pristupa korisniku informacija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se provodi prema odredbama posebnog zakona kojim se uređuje pravo na pristup informacijama.
(3) Nadležna tijela dužna su pri razmjeni podataka iz stavka 1. ovoga članka voditi računa o potrebi ograničavanja pristupa podacima kada je to potrebno u svrhu sprječavanja, otkrivanja, provođenja istraživanja i vođenja kaznenog postupka.
(4) U postupanju s klasificiranim podacima i podacima označenim oznakom „NEKLASIFICIRANO“ primjenjuju se mjere i standardi informacijske sigurnosti čiju primjenu nadzire središnje državno tijelo nadležno za informacijsku sigurnost sukladno propisima kojima se uređuje informacijska sigurnost.
(5) U postupanju s podacima koji se odnose na kritične subjekte od posebnog europskog značaja primjenjuju se odredbe međunarodnog sporazuma država članica kojim se kritičnoj infrastrukturi određuje taj status, a razmjena, uzajamna zaštita te drugo postupanje s klasificiranim podacima iz stavka 4. ovoga članka, provodi se u skladu s odredbama sklopljenog međunarodnog ugovora država članica o razmjeni i uzajamnoj zaštiti klasificiranih podataka.
(6) Ministar pravilnikom propisuje klasificiranje podataka i kriterije za određivanje stupnjeva tajnosti za podatke iz područja kritičnih infrastruktura te za druge podatke povezane s pojedinačnim kritičnim subjektom, ako je klasificiranje takvih podataka potrebno radi zaštite vrijednosti štićenih propisom o tajnosti podataka.
XII. NADZOR
Članak 45.
(1) Inspekcijski nadzor nad provedbom ovoga Zakona i na temelju njega donesenih propisa provode inspektori državnog tijela nadležnog za poslove civilne zaštite.
(2) U inspekcijskom nadzoru inspektori nadziru ispunjavanje uvjeta i način rada osoba koje su obvezne provoditi mjere i aktivnosti Zakona, obavljaju izravan uvid u prostore koje kritični subjekti upotrebljavaju za pružanje svojih usluga na lokaciji kao i uvid u opće i pojedinačne akte kojima se osigurava otpornost kritičnih subjekata.
(3) Ako se inspekcijskim nadzorom utvrdi povreda Zakona, inspektor ima pravo i obvezu:
-narediti otklanjanje utvrđenih nedostataka odnosno nepravilnosti u određenom roku
-pokrenuti prekršajni postupak ako se nepravilnosti ne otklone u određenom roku
-zatražiti od nadležnog tijela provedbu revizije u pogledu kritičnih subjekata
-poduzeti druge mjere i izvršiti druge radnje koje je ovlašten poduzeti i izvršiti na temelju ovoga Zakona i posebnog propisa.
(4) Ako tijekom inspekcijskog nadzora inspektor utvrdi da nije ovlašten izravno postupati, izvijestit će nadležno tijelo ili regulatorno tijelo te zatražiti pokretanje postupka i poduzimanje mjera u skladu s posebnim propisima.
Članak 46.
Radi osiguranja jedinstvenog pristupa analizi rizika kritičnih subjekata, primjenu međusektorskih mjerila iz članka 15. ovoga Zakona kod svih sudionika provedbe Zakona utvrđuje Koordinativno tijelo, a primjenu sektorskih mjerila kritičnih subjekata u analizi rizika utvrđuju nadležna tijela i regulatorna tijela u sektorima iz svog djelokruga.
XIII. PREKRŠAJNE ODREDBE
Članak 47.
(1) Novčanom kaznom u iznosu od 65.000,00 – 130.000,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:
-ne izradi procjenu rizika kritičnog subjekta u propisanom roku (članak 22. stavak 1.)
-ne izradi sigurnosni plan u propisanom roku, a nema drugi odgovarajući dokument koji zamjenjuje sigurnosni plan sukladno članku 25. ovoga Zakona (članak 23. stavak 2.)
-obavljanje poslova zaštite kritične infrastrukture ugovorom povjeri pravnoj osobi i obrtu koji ne posjeduje certifikat za provedbu privatne zaštite kritične infrastrukture (članak 27. stavak 1.)
-u slučaju incidenta ne poduzme bez odgađanja mjere i aktivnosti za zaštitu kritične infrastrukture (članak 32. stavak 1.)
(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1.300,00 – 6.000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi - kritičnom subjektu.
Članak 48.
(1) Novčanom kaznom u iznosu od 20.000,00 – 64.999,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:
-nadležnom tijelu u propisanom roku ne dostavi obavijest o donošenju sigurnosnog plana (članak 23. stavak 4.)
-nadležnom i koordinativnom tijelu u propisanom roku ne dostavi izviješće o incidentu (članak 32. stavak 3.)
(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1.300,00 do 6000,00 eura i kaznit će se i odgovorna osoba u pravnoj osobi - kritičnom subjektu.
XIV. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 49.
(1) Vlada će do 17. siječnja 2026. donijeti akt strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona.
(2) Vlada će do 17. siječnja 2026. donijeti Nacionalnu procjenu rizika kritične infrastrukture iz članka 12. ovoga Zakona.
(3) Nadležna tijela dužna su Koordinativnom tijelu dostaviti prijedlog popisa kritičnih subjekata za sektore iz svoje nadležnosti u roku od tri mjeseca od dana donošenja Nacionalne procjene rizika kritične infrastrukture.
Članak 50.
(1) Do stupanja na snagu pravilnika iz članka 14. stavka 2. ovoga Zakona ostaje na snazi Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, broj 47/16 i 93/17).
(2) Ministar će pravilnike iz članka 14. stavka 2. i članka 44. stavka 6. ovoga Zakona donijeti u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.
(3) Ministar će pravilnik iz članka 40. stavka 5. ovoga Zakona donijeti u roku od godinu dana od stupanja na snagu ovoga Zakona.
Članak 51.
(1) Ministar će donijeti odluku o međusektorskim mjerilima iz članka 15. stavka 2. ovoga Zakona u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.
(2) Nadležna tijela dužna su donijeti sektorska mjerila iz članka 16. stavka 1. ovoga Zakona u roku od tri mjeseca od dana donošenja odluke iz stavka 1. ovoga članka.
Članak 52.
(1) Stupanjem na snagu ovoga Zakona, pravne osobe i obrti koji obavljaju poslove privatne zaštite kritične infrastrukture na temelju ugovora sklopljenih do stupanja na snagu ovoga Zakona, nastavljaju obavljati te poslove do isteka roka na koji je ugovor zaključen.
(2) U razdoblju od godine dana od dana stupanja na snagu ovoga Zakona, kritični subjekt može ugovorom povjeriti obavljanje poslova privatne zaštite objekata, mreža i sustava pravnoj osobi ili obrtu koji su podnijeli zahtjev za izdavanje certifikata iz članka 29. ovoga Zakona.
Članak 53.
Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o kritičnim infrastrukturama („Narodne novine“, broj 56/13 i 114/22).
Članak 54.
Ovaj Zakon stupa na snagu osmoga dana od dana objave u „Narodnim novinama“.
PRILOG I.
POPIS SEKTORA, PODSEKTORA I KATEGORIJA IZ KOJIH SE UTVRĐUJU KRITIČNI SUBJEKTI TE KLJUČNE USLUGE KOJE PRUŽAJU
Redni broj
Sektor
Podsektor
Kategorije subjekata
Ključne usluge
1.
Energetika
(a) električna energija
(b) centralizirano grijanje i hlađenje
(c) nafta
(d) plin
(e) vodik
- elektroenergetski subjektikoju obavljaju funkciju opskrbe električnom energijom, uključujući opskrbu električnom energijom koja se obavlja kao javna usluga
Pojam „elektorenergetski subjekt“ u smislu ovoga Zakona znači pravna ili fizička osoba, koja nije krajnji kupac, a koja obavlja najmanje jednu od elektroenergetskih djelatnosti i koja je odgovorna za komercijalne i tehničke zadaće i zadaće održavanja koje su povezane s tim djelatnostima.
Pojam „opskrba električnom energijom“ u smislu ovoga Zakona znači kupnja i prodaja električne energije na veleprodajnom tržištu, prodaja električne energije krajnjim kupcima i skladištima energije, otkup električne energije od aktivnih kupaca, skladišta energije i proizvođača te agregiranje.
Pojam „opskrba električnom energijom koja se obavlja kao javna usluga“ u smislu ovoga Zakona znači opskrba električnom energijom onih krajnjih kupaca koji imaju pravo na takav način opskrbe i slobodno ga izaberu ili koriste po automatizmu.
Pojmovi „elektroenergetski subjekt“, „opskrba električnom energijom“ i „opskrba električnom energijom koja se obavlja kao javna usluga“ istovjetni su pojmovima iz članka 3. stavka 1. točaka 17., 77. i 78. Zakona o tržištu električne energije („Narodne novine“, broj: 111/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva (EU) 2019/944 Europskog parlamenta i Vijeća od 5. lipnja 2019. o zajedničkim pravilima za unutarnje tržište električne energije i izmjeni Direktive 2012/27/EU (SL L 158, 14. 6. 2019.).
- operatori distribucijskog sustava
Pojam „operator distribucijskog sustava” u smislu ovoga Zakona znači fizička ili pravna osoba odgovorna za pogon i vođenje, održavanje, razvoj i izgradnju distribucijske mreže na danom području kao i zajedničkih postrojenja prema prijenosnoj mreži i, kada je to primjenjivo, međusobno povezivanje s drugim distribucijskim sustavima te za osiguravanje dugoročne sposobnosti distribucijske mreže da zadovolji razumne zahtjeve za distribuciju električne energije.
Pojam „operator distribucijskog sustava“ istovjetan je pojmu iz članka 3. stavka 1. točke 71. Zakona o tržištu električne energije.
-operatori prijenosnog sustava
Pojam „operator prijenosnog sustava” u smislu ovoga Zakona znači fizička ili pravna osoba odgovorna za pogon i vođenje, održavanje, razvoj i izgradnju prijenosne mreže na danom području, prekograničnih prijenosnih vodova prema drugim prijenosnim mrežama kao i zajedničkih postrojenja prema distribucijskoj mreži te za osiguravanje dugoročne sposobnosti prijenosne mreže da zadovolji razumne zahtjeve za prijenos električne energije.
Pojam „operator prijenosnog sustava“ istovjetan je pojmu iz članka 3. stavka 1. točke 72. Zakona o tržištu električne energije.
- proizvođač električne energije
Pojam „proizvođač električne energije” u smislu ovoga Zakona znači fizička ili pravna osoba koja proizvodi električnu energiju.
Pojam „proizvođač električne energije”istovjetan je pojmu iz članka 3. stavka 1. točke 90. Zakona o tržištu električne energije.
- nominirani operatori tržišta električne energije je operator tržišta kojeg je nadležno tijelo odredilo za obavljanje zadaća povezanih s jedinstvenim povezivanjem dan unaprijed ili jedinstvenim unutardnevnim povezivanjem, sukladno članku 2. točki 8. Uredbe (EU) 2019/943 Europskog parlamenta i Vijeća od 5. lipnja 2019. o unutarnjem tržištu električne energije (SL L 158, 14. 6. 2019.)
Pojmovi „agregiranje”, „upravljanje potrošnjom” i „skladištenje energije” istovjetni su pojmovima iz članka 3. stavka 1. točaka 4., 93. i 109. Zakona o tržištu električne energije.
- operator sustava centraliziranog grijanja ili centraliziranog hlađenja
Pojam „centralizirano grijanje ili centralizirano hlađenje“ u smislu ovoga Zakona znači distribucija toplinske energije u obliku pare, vruće vode ili pothlađenih tekućina iz centralnih ili decentraliziranih proizvodnih postrojenja putem centralnih i zatvorenih toplinskih sustava u više zgrada ili na više lokacija radi uporabe za zagrijavanje ili hlađenje prostora ili procesa.
Pojam „centralizirano grijanje ili centralizirano hlađenje“ istovjetan je pojmu iz članka 4. stavka 1. točke 4. Zakona o obnovljivim izvorima energije i visokoučinkovitoj kogeneraciji („Narodne novine“, broj: 138/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2018/2001 Europskog parlamenta i Vijeća od 11. prosinca 2018. o promicanju uporabe energije iz obnovljivih izvora (preinaka) (Tekst značajan za EGP) (SL L 328, 21. 12. 2018.).
- operatori naftovoda
- operatori proizvodnje nafte, rafinerija i tvornica nafte, skladištenja i prijenosa
- središnja tijela za zalihe
Pojam „središnje tijelo za zalihe“ u smislu ovoga Zakona znači Agencija za ugljikovodike, kao središnje tijelo u Republici Hrvatskoj za obvezne zalihe nafte i naftnih derivata, koja je jedinstveno tijelo ovlašteno formirati, održavati i prodavati obvezne zalihe.
Pojam „središnje tijelo za zalihe“istovjetan je pojmu iz članka 3. stavka 2. točke 5. Zakona o tržištu nafte i naftnih derivata („Narodne novine“, broj: 138/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/119/EZ Europskog parlamenta i Vijeća od 14. rujna 2009. kojom se države članice obvezuju održavati minimalne zalihe sirove nafte i/ili naftnih derivata (SL L 265/9 od 9. 10. 2009.).
- opskrbljivači plinom, uključujući opskrbljivače u obvezi javne usluge
Pojam „opskrbljivač plinom“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost opskrbe plinom.
Pojam „opskrbljivač plinom u obvezi javne usluge“ u smislu ovoga Zakona znači opskrbljivač plinom koji obavlja energetsku djelatnost opskrbe u obvezi javne usluge.
Pojam „opskrba plinom“ u smislu ovoga Zakonaznači prodaja ili preprodaja plina kupcu, uključujući prodaju ili preprodaju UPP-a i SPP-a.
Pojam „opskrba plinomu obvezi javne usluge“ u smislu ovoga Zakonaznači opskrba plinom koja se u općem gospodarskom interesu obavlja po reguliranim uvjetima radi osiguravanja sigurnosti, redovitosti, kvalitete i cijene opskrbe kućanstava.
Pojmovi „opskrbljivač plinom“, „opskrbljivač plinom u obvezi javne usluge“, „opskrba plinom“ i „opskrba plinomu obvezi javne usluge“istovjetni su pojmovima iz članka 3. stavka 2. točaka 36., 37., 38. i 39. Zakona o tržištu plina („Narodne novine“, broj: 18/18 i 23/20), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/73/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o zajedničkim pravilima za unutarnje tržište prirodnog plina i stavljanju izvan snage Direktive 2003/55/EZ (Tekst značajan za EGP) (SL L 211, 14. 8. 2009.)
- operatori distribucijskog sustava
Pojam „operator distribucijskog sustava“ u smislu ovoga Zakona značienergetski subjekt koji obavlja energetsku djelatnost distribucije plina i odgovoran je za rad, održavanje i razvoj distribucijskog sustava na svom distribucijskom području i, gdje je izvodivo, njegovo povezivanje s drugim sustavima te za osiguranje dugoročne sposobnosti sustava da zadovoljava razumne potrebe za distribucijom plina.
Pojam „distribucija plina“ u smislu ovoga Zakona značirazvod plina distribucijskim sustavom visoke, srednje i niske tlačne razine radi isporuke plina krajnjim kupcima, uključujući pomoćne usluge, a isključujući opskrbu plinom.
Pojam „distribucijski sustav“ u smislu ovoga Zakona znači sustav plinovoda i ostalih pripadajućih objekata i opreme koji su u vlasništvu i/ili kojima upravlja operator distribucijskog sustava, a koji se koristi za distribuciju plina, nadzor i upravljanje, mjerenje i prijenos podataka.
Pojmovi „operator distribucijskog sustava“, „distribucija plina“ i „distribucijski sustav“istovjetni je pojmovima iz članka 3. stavka 2. točaka 5., 6. i 30. Zakona o tržištu plina.
- operatori transportnog sustava
Pojam „operator transportnog sustava“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost transporta plina i odgovoran je za rad, održavanje i razvoj transportnog sustava na određenom području i gdje je izvodivo, njegovo povezivanje s drugim sustavima te za osiguranje dugoročne sposobnosti sustava da zadovoljava razumne potrebe za transportom plina.
Pojam „transport plina“ u smislu ovoga Zakona znači prijenos plina kroz transportni sustav, isključujući opskrbu plinom i trgovinu plinom, a uključujući tranzit plina i pomoćne usluge.
Pojam „transportni sustav“ u smislu ovoga Zakona znači objekt koji je u vlasništvu i/ili kojim upravlja operator transportnog sustava, a koji čine sustav visokotlačnih plinovoda, kompresorske stanice, mjerne stanice, mjerno-redukcijske stanice, plinski čvorovi i ostali tehnološki objekti i oprema koji se koriste za transport plina, nadzor i upravljanje, mjerenje i prijenos podataka, isključujući mrežu proizvodnih plinovoda i visokotlačne distribucijske plinovode, uključujući plin za tehnološke kapacitete kojima se isključivo koristi operator transportnog sustava i operativnu akumulaciju.
Pojmovi „operator transportnog sustava“, „transport plina“ i „transportni sustav“ istovjetni su pojmovima iz članka 3. stavka 2. točaka 34., 58. i 59. Zakona o tržištu plina.
- operatori sustava skladišta plina
Pojam „operator sustava skladišta plina“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost skladištenja plina i odgovoran je za rad, održavanje i razvoj sustava skladišta plina.
Pojam „skladištenje plina“ u smislu ovoga Zakona znači utiskivanje plina u sustav skladišta plina, skladištenje plina u radnom volumenu sustava skladišta plina i povlačenje plina iz sustava skladišta plina, uključujući pomoćne usluge.
Pojmovi „operator sustava skladišta plina“ i „skladištenje plina“istovjetni su pojmovima iz članka 3. stavka 2. točaka 54. i 56. Zakona o tržištu plina.
- operatori terminala za UPP
Pojam „operator terminala za UPP“ u smislu ovoga Zakona značienergetski subjekt koji obavlja energetsku djelatnost upravljanja terminalom za UPP i odgovoran je za rad, održavanje i razvoj terminala za UPP.
Pojam „terminal za UPP“ u smislu ovoga Zakona znači terminal koji se koristi za ukapljivanje prirodnog plina ili prihvat, iskrcaj i ponovno uplinjavanje UPP-a, uključujući pomoćne usluge i privremeno skladištenje potrebno za postupak ponovnog uplinjavanja i daljnju otpremu u transportni sustav, ali isključujući dijelove terminala za UPP koji se koriste za skladištenje.
Pojmovi „operator terminala za UPP“ i „terminal za UPP“istovjetni su pojmovima iz članka 3. stavka 2. točaka 33. i 57. Zakona o tržištu plina.
- poduzeća za prirodni plin
Pojam „poduzeće za prirodni plin“ u smislu ovoga Zakona, a u skladu sa zakonom koji uređuje tržište plina, znači fizička ili pravna osoba koja obavlja najmanje jednu od sljedećih funkcija: proizvodnju, transport, distribuciju, opskrbu, nabavu ili skladištenje prirodnog plina, uključujući UPP, a odgovorna je za komercijalne i tehničke zadatke i/ili zadatke održavanja, koji su povezani s tim funkcijama, isključujući krajnje kupce.
- operatori postrojenja za rafiniranje i obradu prirodnog plina
- operatori proizvodnje, skladištenja i prijenosa vodika
(c) pomorski promet i promet unutarnjim plovnim putovima
(d) cestovni promet
(e) javni prijevoz
- zračni prijevoznici znači poduzeće za zračni prijevoz koje posjeduje valjanu operativnu licencu ili istovrijedni dokument, sukladno članku 3. točki 4. Uredbe (EZ) br. 300/2008 Europskog parlamenta i Vijeća od 11. ožujka 2008. o zajedničkim pravilima u području zaštite civilnog zračnog prometa i stavljanju izvan snage Uredbe (EZ) br. 2320/2002 (SL L 97, 9.4.2008.) koji se upotrebljavaju u komercijalne svrhe
- upravna tijela zračne luke, zračne luke, uključujući osnovne zračne luke navedene u odjeljku 2. Priloga II. Uredbi (EU) br. 1315/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o smjernicama Unije za razvoj transeuropske prometne mreže i stavljanju izvan snage Odluke br. 661/2010/EU (Tekst značajan za EGP), te tijela koja upravljaju pomoćnim objektima u zračnim lukama
Pojam „upravno tijelo zračne luke“ u smislu ovoga Zakona znači tijelo koje, pored drugih aktivnosti ili ne, ima prema nacionalnim propisima ili ugovorima za cilj rukovođenje i upravljanje infrastrukturom zračne luke, te koordinaciju i nadzor djelatnosti različitih operatora u dotičnoj zračnoj luci.
Pojam „zračna luka“ u smislu ovoga Zakona znači svaka površina koja je posebno prilagođena za slijetanje, uzlijetanje i manevriranje zrakoplova, uključujući i pripadajuće objekte, sredstva i uređaje namijenjene za odvijanje zračnog prometa i pružanje usluga, te objekte, sredstva i uređaje za pomoć u pružanju usluga komercijalnog zračnog prijevoza.
Pojmovi „upravno tijelo zračne luke“ i „zračna luka“ istovjetni su pojmovima iz članka 3. stavka 1. podstavaka 1. i 2. Pravilnika o naknadama zračnih luka („Narodne novine“, broj: 65/2015) kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/12/EZ Europskog parlamenta i Vijeća od 11. ožujka 2009. o naknadama zračnih luka.
- pružatelji usluga kontrole zračnog prometa (ATC) kako su definirani u članku 2. točki 1. Uredbe (EZ) br. 549/2004 Europskog parlamenta i Vijećaod 10. ožujka 2004. o definiranju pravnog okvira za stvaranje jedinstvenog europskog neba (Okvirna uredba) i Izjava država članica o vojnim pitanjima u svezi jedinstvenog europskog neba
- upravitelji infrastrukture
Pojam „upravitelj infrastrukture“ u smislu ovoga Zakona znači pravna osoba ili u vertikalno integriranom trgovačkom društvu organizacijska jedinica odgovorna za upravljanje, održavanje i obnovu željezničke infrastrukture, kao i za sudjelovanje u razvoju željezničke infrastrukture na način koji je određen u okviru opće politike razvoja i financiranja željezničke infrastrukture Republike Hrvatske.
Pojam „upravitelj infrastrukture“istovjetan je pojmu iz članka 5. stavka 1. točke 36. Zakona o željeznici („Narodne novine“, broj: 32/2019, 20/2021 i 114/2022), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2012/34/EU Europskog parlamenta i Vijeća od 21. studenoga 2012. o uspostavi jedinstvenog Europskog željezničkog prostora (preinačena) (SL L 343, 14. 12. 2012.), kako je posljednji put izmijenjena Direktivom (EU) 2016/2370 Europskog parlamenta i Vijeća od 14. prosinca 2016. o izmjeni Direktive 2012/34/EU u pogledu otvaranja tržišta za usluge domaćeg željezničkog prijevoza putnika i upravljanja željezničkom infrastrukturom (Tekst značajan za EGP) (SL L 352, 23. 12. 2016.).
- željeznički prijevoznici, među ostalim i operatori uslužnih objekata
Pojam „željeznički prijevoznik“ u smislu ovoga Zakona znači svaka pravna osoba koja ima dozvolu za obavljanje usluga željezničkog prijevoza i čija je glavna djelatnost pružanje usluga željezničkog prijevoza putnika i/ili tereta, uz uvjet da ta pravna osoba osigura vuču vlakova; to uključuje i pravnu osobu koja pruža samo uslugu vuče vlakova.
Pojam „operator uslužnih objekata“ u smislu ovoga Zakona znači pravna osoba odgovorna za upravljanje jednim ili više uslužnih objekata (upravitelj uslužnog objekta) ili za pružanje željezničkim prijevoznicima jedne ili više usluga iz Priloga 2. točaka 2. do 4. Zakona o željeznici (pružatelj usluga).
Pojmovi „željeznički prijevoznik“ i „operator uslužnih objekata“istovjetni su pojmovima iz članka 5. stavka 1. točaka 22. i 46. Zakona o željeznici.
- kompanije za prijevoz putnikaunutarnjim plovnim putovima, morem i duž obale te kompanije za prijevoz tereta unutarnjim plovnim putovima, morem i duž obale, kako su definirane za pomorski promet u Prilogu I. Uredbi (EZ) br. 725/2004 Europskog parlamenta i Vijećaod 31. ožujka 2004. o jačanju sigurnosne zaštite brodova i luka (Tekst značajan za EGP), ne uključujući pojedinačna plovila kojima upravljaju te kompanije
- upravljačka tijela luka, uključujući njihove luke kako su definirane u članku 2. točki 11. Uredbe (EZ) br. 725/2004, te subjekti koji upravljaju postrojenjima i opremom u lukama
Pojam „luka“ u smislu ovoga Zakona znači „morsku luku“ i „luku na unutarnjim plovnim putovima“.
Pod pojmom „morska luka“ podrazumijeva se morski i s morem neposredno povezan kopneni prostor u utvrđenim granicama lučkog područja s izgrađenim i neizgrađenim obalama; lukobranima, uređajima, postrojenjima i drugim objektima i sustavima namijenjenim za pristajanje, sidrenje i zaštitu brodova, jahti i brodica, ukrcaj i iskrcaj putnika i tereta, uskladištenje i drugo rukovanje teretom, proizvodnju, oplemenjivanje i doradu tereta te ostale gospodarske djelatnosti koje su s tim djelatnostima u međusobnoj ekonomskoj, prometnoj ili tehnološkoj vezi.
Pojam „morska luka“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o sigurnosnoj zaštiti pomorskih brodova i luka („Narodne novine“, broj: 32/2019, 108/2017 i 30/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosne zaštite luka (Tekst značajan za EGP) (SL L 320, 25. 11. 2005.).
Pojam „luka na unutarnjim plovnim putovima“ znači vodeni i s njim neposredno povezani kopneni prostor koji je namijenjen i opremljen za pristajanje, sidrenje i zaštitu polovila, ukrcaj, iskrcaj, prekrcaj, ili skladištenje robe i/ili ukrcaj i iskraj putnika, u kojem se obavljaju različite komplementarne djelatnosti koje su s robom ili s plovilom u neposrednoj ekonomskoj, prometnoj ili tehnološkoj vezi.
Pojam „luka na unutarnjim plovnim putovima“ istovjetan je pojmu iz čl. 5., st. 1., alineja 27., Zakona o plovidbi i lukama unutarnjih voda („Narodne novine“, broj: 144/21).“
- služba za nadzor i upravljanje pomorskim prometom(VTS) kako je definirana u članku 75.a stavku 1. i članku 75.b stavku 1. Pomorskog zakonika („Narodne novine“, broj: 181/2004, 76/2007, 146/2008, 61/2011, 56/2013, 26/2015 i 17/2019) kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2002/59/EZ Europskog parlamenta i Vijeća od 27. lipnja 2002. o uspostavi sustava nadzora plovidbe i informacijskog sustava Zajednice i stavljanju izvan snage Direktive Vijeća 93/75/EEZ.
- tijela nadležna za ceste kako su definirana u članku 2. točki 12. Delegirane uredbe Komisije (EU) 2015/962 оd 18. prosinca 2014. o dopuni Direktive 2010/40/EU Europskog parlamenta i Vijeća u pogledu pružanja usluga prometnih informacija u cijeloj Europskoj uniji u realnom vremenu (Tekst značajan za EGP), odgovorna za kontrolu upravljanja prometom, osim javnih subjekata kojima upravljanje prometom ili rad inteligentnih prometnih sustava nisu ključni dio njihove opće djelatnosti
Prema članku 2. točki 12. Delegirane uredbe Komisije (EU) 2015/962 pojam „tijelo nadležno za ceste” znači svako javno tijelo koje je nadležno za planiranje, nadzor ili upravljanje cestama u okviru svoje mjesne nadležnosti.
- operatori inteligentnih prometnih sustava
Pojam „inteligentni prometni sustavi (ITS)“ u smislu ovoga Zakona znači informacijsko-komunikacijska nadgradnja klasičnog sustava cestovnog prometa, kojim se postiže znatno poboljšanje učinaka cjelokupnog prometnog sustava. ITS uključuje ceste, vozila i korisnike cesta, a primjenjuje se u upravljanju prometom, upravljanju mobilnosti, upravljanju prometnim incidentima te za veze s ostalim vrstama prijevoza.
Pojam „inteligentni prometni sustavi (ITS)“ istovjetan je pojmu iz članka 72. stavka 1. Zakona o cestama („Narodne novine“, broj: 84/2011, 22/2013, 54/2013, 148/2013, 92/2014, 110/2019, 144/21, 114/2022 i 04/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2010/40/EZ Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih transportnih sustava u cestovnom prometu i za veze s ostalim vrstama prijevoza (Tekst značajan za EGP) (SL L 207 od 6. kolovoza 2010.).
- operateri javne usluge kako su definirani u članku 2. točki (d) Uredbe (EZ) br. 1370/2007 Europskog parlamenta i Vijeća
Prema članku 2. točki (d) Uredbe (EZ) br. 1370/2007 Europskog parlamenta i Vijeća pojam „operateri javne usluge“ znači svaki javni ili privatni prijevoznik ili skupina takvih prijevoznika koji obavljaju usluge javnog prijevoza putnika ili svako javno tijelo koje pruža usluge javnog prijevoza putnika.
(a)Zračni promet:
(I) usluge zračnog prometa koje se koriste u komercijalne svrhe (putnici i teret) (zračni prijevoznici);
(II) rad, upravljanje i održavanje zračnih luka i mrežne infrastrukture zračnih luka (upravna tijela zračne luke);
(I) usluge željezničkog prijevoza (putnički i teretni) (željeznički prijevoznici);
(II) rad, upravljanje i održavanje željezničke infrastrukture, uključujući putničke kolodvore, teretne terminale, ranžirne kolodvore i centre za nadzor prometa (upravitelji infrastrukture);
(IV) rad, upravljanje i održavanje upravljanja željezničkim prometom, prometno-upravljačkim i signalno-sigurnosnim podsustavima te telekomunikacijskim postrojenjima i sustavima koji se upotrebljavaju za prometno-upravljački i signalno-sigurnosni podsustav (upravitelji infrastrukture).
(c)pomorski promet i promet unutarnjim plovnim putovima
(I) usluge prijevoza unutarnjim plovnim putovima, morem i duž obale (putnički i teretni promet) (kompanije za prijevoz putnika i tereta kopnom, morem i duž obale);
(II) rad, upravljanje i održavanje luka i lučkih objekata te upravljanje poslovima i postrojenjima unutar luka, uključujući opskrbu gorivom, rukovanje teretom, vezivanje, putničke usluge, sakupljanje brodskog otpada i ostataka tereta, peljarenje i tegljenje (upravljačka tijela luka i subjekti koji upravljaju postrojenjima i opremom u lukama);
(III) službe za nadzor i upravljanje pomorskim prometom (operatori službi za nadzor i upravljanje pomorskim prometom);
(d)cestovni promet
(I) kontrola upravljanja prometom, uključujući aspekte povezane s planiranjem cestovne mreže, službama kontrole i upravljanja, osim upravljanja prometom ili rada inteligentnih prometnih sustava ako oni nisu glavni dio opće djelatnosti javnih tijela (tijela nadležna za ceste);
(II) Usluge inteligentnih prometnih sustava (operatori inteligentnih prometnih sustava);
(e)javni prijevoz
(I) usluge javnog cestovnog i željezničkog prijevoza putnika i druge vrste prijevoza tračnicama (operateri javne usluge);
3.
Bankarstvo
- kreditne institucije kako su definirane u članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012 (Tekst značajan za EGP)
Prema članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012, „kreditna institucija” znači društvo čija je djelatnost primanje depozita ili ostalih povratnih sredstava od javnosti te odobravanje kredita za vlastiti račun.
(a)primanje depozita (kreditne institucije);
(b) kreditiranje (kreditne institucije);
4.
Infrastrukture financijskog tržišta
- operatori mjesta trgovanja
Pojam „mjesta trgovanja“ u smislu ovoga Zakona znači uređeno tržište, MTP ili OTP.
Pojam „multilateralna trgovinska platforma ili MTP“ u smislu ovoga Zakona značimultilateralni sustav kojim upravlja investicijsko društvo ili tržišni operater, koji u sustavu i prema unaprijed poznatim i nediskrecijskim pravilima spaja ili omogućuje spajanje ponuda za kupnju i ponuda za prodaju financijskih instrumentima trećih tako da nastaje ugovor u skladu s odredbama dijela drugoga glave III. poglavlja VII. Zakona o tržištu kapitala („Narodne novine“, broj: 65/2018, 17/2020, 83/2021 i 85/2024).
Pojam „organizirana trgovinska platforma ili OTP“ u smislu ovoga Zakona znači multilateralni sustav, koji nije uređeno tržište ili MTP, koji omogućuje da se u tom sustavu susretnu ponude za kupnju i ponude za prodaju obveznica, strukturiranih financijskih proizvoda, emisijskih jedinica ili izvedenica više zainteresiranih trećih strana tako da nastaje ugovor u skladu s odredbama dijela drugoga glave III. poglavlja VII. Zakona o tržištu kapitala.
Pojmovi „mjesta trgovanja“, „multilateralna trgovinska platforma ili MTP“ i „organizirana trgovinska platforma ili OTP“istovjetni su pojmovima iz članka 3. stavka 1. točaka 61., 65. i 77. Zakona o tržištu kapitala, kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (preinačena) (Tekst značajan za EGP) (SL L 173, 12. 6. 2014.).
- središnje druge ugovorne strane (CCP-i) kako su definirane u članku 2. točki 1. Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27. 7. 2012.)
Prema članku 2. toči jedan Uredbe (EU) br. 648/2012, „središnja druga ugovorna strana“ znači pravnu osobu koja posreduje između drugih ugovornih strana u ugovorima kojima se trguje na jednom ili više financijskih tržišta, te postaje kupac svakom prodavatelja i prodavatelj svakom kupcu.
(a)poslovanje mjesta trgovanja (operatori mjesta trgovanja);
(b)rad klirinških sustava (središnje druge ugovorne strane);
5.
Zdravstvo
- pružatelji zdravstvene zaštite
Pojam „pružatelj zdravstvene zaštite“ u smislu ovoga Zakona znači svaka fizička ili pravna osoba ili bilo koji subjekt koji obavlja zdravstvenu djelatnost u Republici Hrvatskoj u skladu sa zakonom koji uređuje zdravstvenu zaštitu.
Pojam „pružatelj zdravstvene zaštite“ ne odnosi se na ustrojstvene jedinice Ministarstva obrane i Oružanih snaga Republike Hrvatske i ministarstva nadležnog za pravosuđe koje obavljaju zdravstvenu djelatnost prema posebnim propisima.
- referentni laboratoriji Europske unije iz članka 15. Uredbe (EU) 2022/2371 Europskog parlamenta i Vijeća od 23. studenoga 2022. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 1082/2013/EU (Tekst značajan za EGP)
- subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova
Pojam „lijek“ u smislu ovoga Zakona znači:
- svaka tvar ili kombinacija tvari prikazana sa svojstvima liječenja ili sprječavanja bolesti kod ljudi ili
- svaka tvar ili kombinacija tvari koja se može upotrijebiti ili primijeniti na ljudima u svrhu obnavljanja, ispravljanja ili prilagodbe fizioloških funkcija farmakološkim, imunološkim ili metaboličkim djelovanjem ili za postavljanje medicinske dijagnoze.
Pojam „lijek“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o lijekovima („Narodne novine“, broj: 76/2013, 90/2014 i 100/2018), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001., o Zakoniku Zajednice koji se odnosi na lijekove za primjenu kod ljudi (SL L 311, 28. 11. 2001.).
- subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravkeiz područja C odjeljka 21. Nacionalne klasifikacije djelatnosti 2007. – NKD 2007. („Narodne novine“, broj: 58/07)
- subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja („popis ključnih medicinskih proizvoda u slučaju izvanrednog stanja u području javnog zdravlja”) u smislu članka 22. Uredbe (EU) 2022/123 Europskog parlamenta i Vijeća od 25. siječnja 2022. o pojačanoj ulozi Europske agencije za lijekove u pripravnosti za krizne situacije i upravljanju njima u području lijekova i medicinskih proizvoda (Tekst značajan za EGP)
- subjekti koji imaju dozvolu za obavljanje prometa na veliko lijekovima
Pojam „dozvola za obavljanje prometa na veliko lijekovima“ istovjetan je pojmu iz članka 120. stavka 1. Zakona o lijekovima („Narodne novine“, broj: 76/2013, 90/2014 i 100/2018), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001., o Zakoniku Zajednice koji se odnosi na lijekove za primjenu kod ljudi (SL L 311, 28. 11. 2001.).
(II) analiza koju provodi referentni laboratorij Europske unije (referentni laboratoriji EU-a);
(III) istraživanje i razvoj lijekova (subjekti koji obavljaju aktivnosti istraživanja i razvoja lijekova);
(IV) proizvodnja osnovnih farmaceutskih proizvoda i osnovnih farmaceutskih pripravaka (subjekti koji proizvode osnovne farmaceutske proizvode i pripravke);
(V) proizvodnja medicinskih proizvoda koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja (subjekti koji proizvode medicinske proizvode);
(VI) distribucija lijekova (subjekti koji imaju dozvolu za obavljanje prometa na veliko lijekovima);
6.
Voda namijenjena za ljudsku potrošnju
- dobavljači i distributeri vode namijenjene za ljudsku potrošnju, isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda
Pojam „voda namijenjena za ljudsku potrošnju“ u smislu ovoga Zakona znači:
- sva voda, bilo u njezinu izvornom stanju ili nakon obrade, koja je namijenjena za piće, kuhanje, pripremu hrane ili druge potrebe domaćinstva i u javnim i u privatnim prostorima, neovisno o njezinu podrijetlu te o tome isporučuje li se iz vodoopskrbne mreže, isporučuje li se iz cisterne ili se stavlja u boce ili ambalažu, uključujući izvorsku i stolnu vodu
- sva voda koja se u poslovanju s hranom upotrebljava za proizvodnju, obradu, očuvanje ili stavljanje na tržište proizvoda ili tvari namijenjenih za ljudsku potrošnju.
Pojam „voda namijenjena za ljudsku potrošnju“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o vodi za ljudsku potrošnju („Narodne novine“, broj: 30/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva (EU) 2020/2184 Europskog parlamenta i Vijeća od 16. prosinca 2020. o kvaliteti vode namijenjene za ljudsku potrošnju (preinaka) (Tekst značajan za EGP) (SL L 435, 23. 12. 2020.), te sukladno Direktivi Vijeća 2013/51/Euratom od 22. listopada 2013. o utvrđivanju zahtjeva za zaštitu zdravlja stanovništva od radioaktivnih tvari u vodi namijenjenoj za ljudsku potrošnju (SL L 296, 7.11. 2013.).
(I) opskrba vodom za piće i distribucija vode za piće, osim distribucije vode za ljudsku potrošnju ako ta usluga nije glavni dio opće djelatnosti distributera koji distribuiraju drugu robu i proizvode (dobavljači i distributeri vode namijenjene za ljudsku potrošnju);
7.
Otpadne vode
- poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, sanitarne otpadne vode ili industrijske otpadne vode, isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti
Pojam „komunalne otpadne vode“ u smislu ovoga Zakona znači otpadne vode sustava javne odvodnje koje čine sanitarne otpadne vode ili otpadne vode koje su mješavina sanitarnih otpadnih voda s industrijskim otpadnim vodama i/ili oborinskim vodama određene aglomeracije.
Pojam „sanitarne otpadne vode“ u smislu ovoga Zakona znači otpadne vode koje se nakon korištenja ispuštaju iz stambenih objekata i uslužnih objekata te koje uglavnom potječu iz ljudskog metabolizma i aktivnosti kućanstava.
Pojam „industrijske otpadne vode“ u smislu ovoga Zakona znači sve otpadne vode, osim sanitarnih otpadnih voda i oborinskih voda, koje se ispuštaju iz prostora korištenih za obavljanje trgovine ili industrijske djelatnosti.
Pojmovi „komunalne otpadne vode“, „sanitarne otpadne vode“ i „industrijske otpadne vode“ istovjetni su pojmovima iz članka 4. stavka 1. točaka 25., 34. i 81. Zakona o vodama („Narodne novine“, broj: 66/2019, 84/2021 i 47/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva Vijeća 91/271/EEZ od 21. svibnja 1991. o pročišćavanju komunalnih otpadnih voda (SL L 135, 30. 5. 1991.), dopunjena Direktivom Komisije 98/15/EZ od 27. veljače 1998. s obzirom na određene zahtjeve utvrđene u Dodatku I. (Tekst značajan za EGP) (SL L 67, 7. 3. 1998.).
(a)prikupljanje, pročišćavanje i odlaganje otpadnih voda, osim prikupljanja, odlaganja ili pročišćavanja komunalnih otpadnih voda, otpadnih voda iz kućanstava ili industrijskih otpadnih voda ako one nisu glavni dio općih djelatnosti poduzeća (poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstava i industrijske otpadne vode);
8.
Regulacijske i zaštitne vodne građevine za obranu od poplava
Tijela / institucije koje su po Zakonu o vodama nadležne za upravljanje rizicima od poplava što uključuje izgradnju, pogon i održavanje građevina / sustava za smanjenje rizika od poplava.
Pojam „poplava“ u smislu ovoga Zakona znači privremenu pokrivenost vodom zemljišta, koje obično nije prekriveno vodom, uzrokovana izlijevanjem rijeka, bujica, privremenih vodotoka, jezera i nakupljanja leda, kao i morske vode u priobalnim područjima i suvišnim podzemnim vodama; ovim pojmom nisu obuhvaćene poplave iz sustava javne odvodnje i istovjetan je s pojmom određenim u članku 4. stavak 1. točka 64. Zakona o vodama Narodne novine, br. 66/19, 84/21 i 47/23).
Pojam „upravljanje rizicima od poplava“ u smislu ovoga Zakona znači izradu prethodne procjene rizika od poplava, izradu i provedbu planova upravljanja rizicima od poplava i Državnoga plana obrane od poplave, provedbenih i logističkih planova uz taj plan, uređenje voda, provedbu redovite i izvanredne obrane od poplava, provedbu obrane od leda na vodotocima, zaštitu od erozija i bujica, osnovnu melioracijsku odvodnju i provedbu ograničenja prava vlasnika i drugih posjednika zemljišta i istovjetan je s pojmom određenim u članku 119. stavak 2. Zakona o vodama
Pojam „uređenje voda“ u smislu ovoga Zakona podrazumijeva: gradnja regulacijskih i zaštitnih vodnih građevina, gradnja građevina za osnovnu melioracijsku odvodnju i usluge održavanja voda, sve u svrhu neškodljivog protoka voda i istovjetan je s pojmom određenim u članku 120. stavak 1. Zakona o vodama
Pojam „održavanje voda“ u smislu ovoga Zakona znači: održavanje prirodnih i umjetnih vodotoka i drugih voda (čišćenje i uklanjanje nanosa, zemljani i slični radovi uređenja i održavanja obala, zemljani radovi u inundacijskom području manjeg opsega, krčenje i košenje raslinja, održavanje propusnosti propusta i prijelaza preko vodotoka), održavanje regulacijskih i zaštitnih vodnih građevina (popravci na kruni i pokosima nasipa, krčenje, košnja i radovi na vegetativnoj zaštiti vodnih građevina, popravci oštećenih dijelova vodnih građevina), 3. održavanje građevina za osnovnu melioracijsku odvodnju (čišćenje, tehničko i vegetativno održavanje građevina i pojasa uz građevine, zemljani radovi na manjim izmjenama na kanalskoj mreži, održavanje izljeva ispusta drenažnih cijevi), održavanje građevina za sprječavanje i otklanjanje erozija i sprječavanje djelovanja bujica i istovjetan je s pojmom određenim u članku 121. stavak 1. Zakona o vodama.
Izgradnja i održavanje građevina i sustava zaštite od štetnog djelovanja voda sa ciljem zaštite (zdravlja i života) ljudi, njihove imovine te zaštite gospodarstva, okoliša i kulturnog naslijeđa od poplava i drugih oblika štetnog djelovanja voda, uključivo i pravovremeno upozoravanje na opasnost (sustavi dojavljivanja i prognoziranja) te pravovremeno obavještavanje (uzbunjivanje).
9.
Digitalna infrastruktura
- pružatelji središta za razmjenu internetskog prometa kako je definirano u članku 6. točki 18. Direktive (EU) 2022/2555
Prema članku 6. točki 18. Uredbe (EU) točki 18. Direktive (EU) 2022/2555, „središte za razmjenu internetskog prometa” znači mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način.
- pružatelji usluge DNS-a kako su definirani u članku 6. točki 20. Direktive (EU) 2022/2555, osim operatora korijenskih poslužitelja naziva.
Prema članku 6. točki 20. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „pružatelj usluga DNS-a” znači subjekt koji pruža: a) javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta; ili (b) mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva.
- registri naziva vršnih domena kako su definirani u članku 6. točki 21. Direktive (EU) 2022/2555.
Prema članku 6. točki 21. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „registar naziva vršnih domena” znači subjekt kojem je delegirana određena vršna domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili njihovo obavljanje eksternalizira, ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu.
- pružatelji usluga računalstva u oblaku kako su definirane u članku 6. točki 30. Direktive (EU) 2022/2555
Prema članku 6. točki 30. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija.
- pružatelji usluga podatkovnog centra kako su definirane u članku 6. točki 31. Direktive (EU) 2022/2555
Prema članku 6. točki 31. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „usluga podatkovnog centra” znači usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša;
- pružatelji mreža za isporuku sadržaja kako su definirane u članku 6. točki 32. Direktive (EU) 2022/2555
Prema članku 6. točki 32. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „mreža za isporuku sadržaja” znači mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružatelja sadržaja i usluga;
- pružatelji usluga povjerenja kako su definirane u članku 3. točki 19. Uredbe (EU) br. 2024/1183 Europskog parlamenta i Vijeća
Prema članku 3. točki 19. Uredbe (EU) br. 10/2014 Europskog parlamenta i Vijeća „pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja
- pružatelji javnih elektroničkih komunikacijskih mreža kako su definirane u članku 2. točki 8. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća
Prema članku 2. točki 8. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća „javna elektronička komunikacijska mreža” znači elektronička komunikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih komunikacijskih usluga, koje podržavaju prijenos informacija među završnim točkama mreže.
- pružatelji elektroničkih komunikacijskih usluga kako su definirane u članku 2. točki 4. Direktive (EU) 2018/1972 u mjeri u kojoj su njihove usluge javno dostupne
Prema članku 2. točki 4. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća „elektronička komunikacijska usluga” znači usluga koja se uobičajeno pruža uz naknadu putem elektroničkih komunikacijskih mreža, a obuhvaća, uz izuzetak usluga pružanja sadržaja ili obavljanja uredničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih komunikacijskih mreža i usluga, sljedeće vrste usluga: (a) „uslugu pristupa internetu” kao javno dostupna elektronička komunikacijska usluga kojom se omogućuje pristup internetu te time povezivanje s gotovo svim krajnjim točkama interneta, bez obzira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava; (b) „interpersonalnu komunikacijsku uslugu”; i (c) usluge koje se sastoje u cijelosti, ili većim dijelom, od prijenosa signala kao što su usluge prijenosa koje se upotrebljavaju za pružanje usluga komunikacije između strojeva i za radiodifuziju - u mjeri u kojoj su njihove usluge javno dostupne.
(I) pružanje i rad središta za razmjenu internetskog prometa (pružatelji središta za razmjenu internetskog prometa);
(II) pružanje usluge sustava naziva domena (DNS), osim usluga povezanih s korijenskim poslužiteljima naziva (pružatelji DNS usluga);
(III) rad registara naziva vršnih domena i upravljanje njima (registri naziva vršnih domena);
(IV) pružanje usluga računalstva u oblaku (pružatelji usluga računalstva u oblaku);
(V) pružanje usluga podatkovnog centra (pružatelji usluga podatkovnog centra);
(VI) pružanje mreža za isporuku sadržaja (pružatelji mreža za isporuku sadržaja);
- druga državna tijela i pravne osobe s javnim ovlastima
11.
Proizvodnja, prerada i distribucija hrane
- subjekti u poslovanju s hranom znači „bilo koje poduzeće, bez obzira na to ostvaruje li dobit ili ne i je li javno ili privatno, u sklopu kojeg se izvršavaju poslovi vezani za bilo koju fazu proizvodnje, prerade i distribucije hrane“, sukladno članku 3. točki 2. Uredbe (EZ) br. 178/2002 Europskog parlamenta i Vijeća. Odnosi se na subjekte koji se bave isključivo logistikom i veleprodajnom distribucijom te masovnom industrijskom proizvodnjom i preradom.
(I) masovna industrijska proizvodnja i prerada hrane;
(II) usluge lanca opskrbe hranom, uključujući skladištenje i logistiku;
(b)masovna distribucija hrane
12.
Znanost i obrazovanje
– istraživačke institucije
-visoka učilišta
13.
Svemir
- operatori zemaljske infrastrukture, koji su u vlasništvu, kojima upravljaju i koje vode države članice ili privatne strane te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža.
(I) rad zemaljske infrastrukture, koja je u vlasništvu, kojom upravljaju i koju vode države članice ili privatne osobe te koja podupire pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža (operatori zemaljske infrastrukture);
14.
Kultura i mediji
-središnje nacionalne ustanove u kulturi
-nacionalne medijske ustanove
-središnje ustanove za čuvanje i upravljanje arhivskom i knjižnom građom,
-središnja novinska agencija i Hrvatska radiotelevizija,
- prikupljanje, trajno čuvanje i pružanje usluge korištenja građe,
- pružanje usluge informiranja i trajno čuvanje informacija".
OBRAZLOŽENJE ODREDBI PREDLOŽENOG ZAKONA
Uz članak 1.
Ova odredba opisuje sadržaj i predmet zakona kojim se obuhvaća zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom Zakona. Ovaj Zakon se ne primjenjuje na subjekte javne uprave koji obavljaju aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Zakon ne utječe na obveze državnih tijela u provođenju mjera nacionalne sigurnosti i obrane, kao ni na obveze za izvršavanja drugih ključnih državnih funkcija, uključujući osiguravanje teritorijalne cjelovitosti države i održavanje javnog poretka.
Uz članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. godine o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. godine o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP). Delegirani akt koji je donesen na temelju članka 5. stavka 1. Direktive (EU) 2022/2557 utvrđuje popis ključnih usluga u sektorima i podsektorima iz Priloga te Direktive i tim popisom se trebaju koristiti nadležna tijela u svrhu provedbe procjene rizika i utvrđivanje kritičnih subjekata. U zakonu su ta dva dokumenta objedinjena u Prilogu I., radi praktičnosti i korisnosti za dionike koji moraju implementirati direktivu i njene prateće dokumente.
Uz članak 3.
Ovim člankom Zakona definiraju se značenja pojmova bitnih za razumijevanje procesa vezanih uz kritičnu infrastrukturu koji se pojavljuju kroz tekst samog zakona. U članku je navedeno 26 pojmova: analiza rizika, CSIRT, država članica, incident, javni subjekti, ključna usluga, kontinuitet poslovanja kritičnog subjekata, kritična infrastruktura, kritični subjekt, kritični subjekt od posebnog europskog značaja, međusektorska mjerila, nadležna tijela, nadležna tijela za provedbu posebnih zakona, otpornost, prijetnja, privatna zaštita, procjena rizika, regulatorno tijelo, rizik, sektorska mjerila, sigurnosni koordinator za kritičnu infrastrukturu, sigurnosni plan kritičnog subjekta, tehnička specifikacija, treća zemlja, upravljanje rizicima i zaštita kritične infrastrukture.
Izrazi koje se koriste u ovom Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.
Uz članak 4.
U ovom članku navedena je primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata u slučajevima kad su posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata za pojedini sektor ili subjekte iz pojedinih sektora, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata ili predstavljaju strože zahtjeve. Ovim člankom primjenjuju se odgovarajuće odredbe i posebni propisi na te subjekte, uključujući odredbe o nadzoru provedbe zahtjeva, a sukladno ocjeni nadležnog tijela koje procjenjuje navedene zahtjeve.
Uz članak 5.
Člankom 5. naglašava se da za kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture, ne primjenjuju se članak 20., članci od 22. do 35., članci od 42. do 44. i članci od 46. do 49. ovoga Zakona s obzirom na visoku reguliranost tih sektora srodnim uredbama i direktivama Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 – DORA za bankarstvo i financijski sektor te Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (Tekst značajan za EGP) za sektor digitalne infrastrukture. Navedenim se želi na razini EU i država članica, kako propisuje Direktiva 2022/2557 smanjiti administrativno opterećenje za sektorski nadležna tijela i druge relevantne dionike.
Uz članak 6.
Ovim člankom se pojašnjava kako se odredbe Zakona ne odnose na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti koji je lex specialis. Provedbom Zakona o kritičnim infrastrukturama sukladno članku, ne dovodi se u pitanje provedba postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti. U svrhu provedbe prethodno navedenog u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost.
Uz članak 7.
Člankom 7. propisano je da se sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata i ključne usluge detaljnije propisuju u Prilogu I. Zakona, kao sastavni dio.
Uz članak 8.
Ovim člankom definirana su načela zaštite kritične infrastrukture kako bi se osiguralo jednako razumijevanje temeljnih načela i obaveza za sve dionike koji su dužni raditi na zaštiti kritičnih infrastruktura i jačanju njihove otpornosti. Načela zaštite kritične infrastrukture su: načelo zaštite od svih oblika prijetnji, načelo cjelovitog pristupa uključujući i međuovisnost sektora kritičnih subjekata, načelo kontinuiranog planiranja zaštite kritične infrastrukture, načelo razmjene informacija i podataka te zaštite tih podataka.
Uz članak 9.
Ovim člankom određuje se da je Koordinativno tijelo za zaštitu kritične infrastrukture tijelo državne uprave nadležno za poslove civilne zaštite. Njegova je temeljna zadaća koordiniranje aktivnosti dionika u sustavu zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata. U cilju ostvarenja navedene zadaće Koordinativno tijelo provodi slijedeće mjere i aktivnosti: izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata; predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata, nadzire i usmjerava proces utvrđivanja kritičnih subjekata; prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu; izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture; vodi evidenciju kritičnih subjekata u Republici Hrvatskoj; u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture koje se propisuju dodatnim aktima; u suradnji s nadležnim tijelima izrađuje međusektorska mjerila; koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata; surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata; sudjeluje u organizaciji, koordinaciji i provedbi mjera zaštite i otpornosti kroz suradnju javnog i privatnog sektora; provodi postupak ocjenjivanja uvjeta za izdavanje certifikata i oduzimanje certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture; surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije. U cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama. Svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama. Koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima. Zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima. U roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Uz članak 10.
Ovim člankom Zakona propisuje se suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti. S obzirom da se Zakon o kritičnim infrastrukturama i Zakon o kibernetičkoj sigurnosti provode paralelno kako i predviđa EU regulativa, u suradnji s tijelom nadležnim za kibernetičku sigurnost usklađene su odredbe suradnje koje su istovjetne Zakonu o kibernetičkoj sigurnosti, a navedene su i u ovom Zakonu kako bi dionici odgovorni za implementaciju zakona imali bolji uvid u obaveze koje proizlaze iz obostrane suradnje. Nadležna tijela iz ovoga Zakona i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o utvrđivanju subjekata kritičnim subjektima na temelju ovoga Zakona te rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora, fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode, rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti. Nadležna tijela iz ovoga Zakona mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti. Način razmjene informacija i koordinacije uredit će se sporazumom između Koordinativnog tijela i Središnjeg državnog tijela za kibernetičku sigurnost.
Uz članak 11.
Ovim člankom se definira akt strateškog planiranja za otpornost kritičnih subjekata na nacionalnoj razini kojim se utvrđuju strateški ciljevi i mjere politike, a koji se temelje na relevantnim postojećim nacionalnim i sektorskim strategijama, na planovima ili na sličnim dokumentima, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata. Sukladno zahtjevima Direktive 2022/2557, a poštujući odredbe Zakona o sustavu strateškog planiranja i upravljanja razvojem Republike Hrvatske, kroz članak 11. Zakona propisana je izrada akta strateškog planiranja, a ne Strategije za otpornost kritičnih subjekata, s obzirom da direktiva propisuje obavezu ažuriranja/donošenja strateškog dokumenta svake četiri godine. U skladu s nadležnostima na temelju čl. 18. Zakona o sustavu strateškog planiranja i upravljanja razvojem Republike Hrvatske, Ministarstvo unutarnjih poslova je nadležno tijelo za upravno područje za koje se dokument izrađuje, a s obzirom na višesektorski pristup, Vlada je nadležna za njegovo donošenje. Akt strateškog planiranja za otpornost kritičnih subjekata se donosi nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente: strateške ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti; upravljački okvir za postizanje strateških ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu strategije; opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata; opis postupka kojim se utvrđuju kritični subjekti; opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika; popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu strategije; okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća i opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost. U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada Republike Hrvatske. Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske. Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja. Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
Uz članak 12.
Ovom odredbom propisuje se izrada Nacionalne procjene rizika kritične infrastrukture. Koordinativno tijelo u suradnji sa sektorski nadležnim tijelima izrađuje Nacionalnu procjenu rizika kritične infrastrukture, a na prijedlog ministra nadležnog za poslove civilne zaštite, donosi ju Vlada Republike Hrvatske. Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata. U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma. Pri provedbi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju opća procjena rizika, druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprečavanje velikih nesreća koje uključuju opasne tvari, pripravnosti na rizike u sektoru električne energije, relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja. U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata. Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine. Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
Uz članak 13.
Ovim člankom određuju se nadležna tijela koja utvrđuju kritične subjekte u sektorima iz svoje nadležnosti, koji su propisani Prilogom I. ovoga Zakona.
Uz članak 14.
Člankom 14. propisano je da nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika. Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Uz članak 15.
Ovim člankom propisano je da Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila nužnih za provedbu analize rizika. Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju: ljudske gubitke, gospodarske posljedice i utjecaj na javnost s pridruženim parametrima koji će se detaljnije brojčano i opisno propisati u navedenoj odluci.
Uz članak 16.
Članak 16. propisuje da sektorska mjerila nužna za analizu rizika koja je propisana člankom 14. utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima. Za razliku od međusektorskih mjerila koja se mogu primijeniti na sve sektore, sektorska mjerila određuju se sukladno specifičnostima svakoga sektora pojedinačno. Po utvrđivanju sektorskih mjerila, nadležna tijela su dužna ista dostaviti Koordinativnom tijelu na uvid.
Uz članak 17.
U članku 17. propisan je postupak utvrđivanja kritičnih subjekata. Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika, akta strateškog planiranja za otpornost kritičnih subjekata i Nacionalne procjene rizika kritične infrastrukture, uz dodatno razmatranje sljedećih kriterija: pruža li subjekt jednu ili više ključnih usluga; posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske i ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke. Propisani su i minimalni kriteriji za utvrđivanje značaja negativnog učinka incidenta: broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt; opseg ovisnosti drugih sektora i podsektora o ključnim uslugama; stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva; tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga; geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja; važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge. U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka. Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Uz članak 18.
Ovim člankom propisan je način potvrđivanja kritičnih subjekata. Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti. Prijedlozi nadležnih tijela moraju sadržavati sljedeće podatke: naziv subjekta; adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve i opis ključne usluge koju subjekt pruža, koji su nužni radi vođenja popisa kritičnih subjekata u Republici Hrvatskoj. Na prijedlog Koordinativnog tijela, Vlada Republike Hrvatske odlukom potvrđuje kritične subjekte koje su identificirala nadležna tijela. Po donošenju odluke Vlade, Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti, odmah po njezinu donošenju. Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti i tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz ovoga članka. Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke: popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je utvrdila Europska komisija; broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu; međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Uz članak 19.
Člankom 19. propisan je način obavješćivanja kritičnih subjekata o njihovom potvrđivanju. Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza. Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Uz članak 20.
Sukladno obavezama izrade procjene rizika i sigurnosnih planova, koje imaju kritični subjekti, članak 20. propisuje da izvješćivanje o izrađenosti procjena rizika i sigurnosnih planova kritičnih subjekata obavljaju nadležna tijela koja su dužna Koordinativnom tijelu dostaviti izvješća o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu. Koordinativno tijelo na temelju dostavljenih izvješća potom izrađuje i dostavlja Vladi Republike Hrvatske godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata.
Uz članak 21.
Ovim člankom propisano je kako se provodi obaveza ažuriranja popisa kritičnih subjekata koja se obavlja tako što nadležna tijela, po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno, prijedlog da se određeni subjekt više ne smatra kritičnim subjektom. Navedeni postupak se provodi u skladu s člancima 17., 18. i 19. ovoga Zakona. Nakon ažuriranja, nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 41. ovoga Zakona.
Uz članak 22.
Člankom 22. propisuje se postupak procjene rizika koju provode kritični subjekti kao dio svojih obveza. Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja odluke iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga. U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom. Članak propisuje i da se prilikom izrade procjene rizika u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici, međusektorski i prekogranični rizici te opseg ovisnosti o ključnim uslugama. Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu. Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
Uz članak 23.
Sukladno članku 23., kritični subjekt je dužan, na temelju procjene rizika, izraditi sigurnosni plan koji obuhvaća mjere zaštite i osiguranja kontinuiteta poslovanja i isporuke usluga za svaku ključnu uslugu, te mjere za osiguravanje otpornosti. Kritični subjekt je dužan sigurnosni plan izraditi u roku 12 mjeseci od zaprimanja Odluke iz članka 18. stavka 3. ovoga Zakona, te ga ažurirati najmanje jednom godišnje. Sigurnosni plan kritični subjekt donosi uz prethodnu suglasnost nadležnog tijela, a pri davanju suglasnosti, nadležno tijelo je dužno samostalno ili u suradnji s regulatornim tijelom utvrditi je li sigurnosni plan izrađen sukladno međusektorskim i sektorskim mjerilima analize rizika. Članak propisuje i rok od mjesec dana za obavijest nadležnom tijelu o donošenju sigurnosnog plana, te da su nadležna tijela i kritični subjekti dužni su, na zahtjev Koordinativnog tijela, dostaviti podatke i informacije u vezi upravljanja rizicima i osiguranja kontinuiteta poslovanja kritičnih subjekata.
Uz članak 24.
Ovim člankom propisan je minimalni sadržaj sigurnosnog plana uključujući utvrđene prioritete zaštite, popis prijetnji, analize rizika, utvrđene mjere i postupke za smanjenje ranjivosti i osiguranje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sustava -popis odgovornih osoba za kontakt, popis institucija i službi koje se pozivaju u hitnom slučaju i druge podatke vezane uz provedbu sigurnosnog plana u hitnim situacijama te popis radnih mjesta, funkcija i poslova koje obavljaju osobe za koje se provodi provjera podobnosti. Članak propisuje i da se mjere za jačanje otpornosti kritičnih subjekata (koje su dio sigurnosnog plana) određuju nacionalnim aktom strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona kojeg donosi Vlada Republike Hrvatske.
Uz članak 25.
Članak 25. definira primjenu odgovarajućih dokumenata i mjera kod kritičnog subjekta. Ako je kritični subjekt, na temelju posebnih (sektorskih) propisa, proveo druge procjene rizika ili izradio dokumente koji su značajni za procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima u svrhu procjene rizika iz ovoga Zakona. Smatra se da je kritični subjekt izvršio obvezu izrade sigurnosnog plana ako je, na temelju posebnih propisa, izradio drugi planski dokument koji sadrži najmanje elemente propisane člankom 24. ovoga Zakona. Člankom je propisano i da nadležno sektorsko tijelo utvrđuje usklađenost procjena, odnosno postojećih dokumenata te da pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga, nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti u skladu s obvezama iz članka 24. stavka 2. ovoga Zakona. Navedenim člankom uzima se u obzir jednakovrijednost dokumenata kojom se želi izbjeći administrativno opterećenje koje prelazi ono što je potrebno za postizanje zaštite i jačanja otpornosti kritičnih subjekata, kako je propisano ovim Zakonom.
Uz članak 26.
Odredbama ovoga članka propisano je da se na sva sredstva, uređaje i ostalu opremu koja se koristi u zaštiti kritičnih subjekata kao i kvalitetu i sigurnost poslovanja, primjenjuju hrvatske norme, a u izostanku hrvatskih normi, primjenjuju se europske norme kako je definirano u članku 2. točki 1. Uredbe (EU) br. 1025/2102 Europskog parlamenta i Vijeća, odnosno druge specijalizirane norme i prihvaćena pravila struke – kako bi se osigurala unificiranost kvalitete.
Uz članak 27.
Propisano je da kritični subjekti mogu obavljanje pojedinih poslova, koji se izravno odnose na pružanje privatne zaštite kritičnih infrastruktura, ugovorom povjeriti gospodarskim subjektima (pravnim osobama i obrtima), sukladno propisima koji uređuje djelatnost privatne zaštite. Posebno se navode gospodarski subjekti, jer u skladu s odredbama zakona koji regulira područje privatne zaštite, sva trgovačka društva imaju mogućnost organizirati i unutarnju službu zaštite pa onda nemaju potrebu sklapati ovaj oblik ugovora. O ugovaranju poslova kritični subjekt izvješćuje nadležno tijelo i Koordinativno tijelo.
Uz članak 28.
Sukladno uvjetima i na način propisan ovim Zakonom pravna osoba i obrt koji obavlja poslove privatne zaštite u objektima, sustavima i mrežama kritičnih subjekata mora biti certificirana. Certifikat za pružanje usluge privatne zaštite kritične infrastrukture može se izdati pravnim osobama i obrtima na temelju rješenja tijela državne uprave nadležnog za poslove civilne zaštite. Certifikat se izdaje s rokom važenja od četiri godine, nakon čega se može obnoviti. Izdavanjem certifikata za zaštitu kritičnih subjekata postavljaju se potrebni okviri za odgovarajuću zaštitu objekata, sustava i mreža koji su vitalni za kontinuiranu isporuku ključnih usluga u zemlji. Izdavanjem certifikata za obavljanje poslova privatne zaštite kritične infrastrukture postiže se viši standard i razina zaštite objekata, sustava i mreža koji su vitalni za normalno i nesmetano funkcioniranje zemlje.
Uz članak 29.
Ovom odredbom propisuju se uvjeti za ishođenje certifikata. Uz zahtjev za izdavanje certifikata za pružanje usluge privatne zaštite kritične infrastrukture, koji se podnosi nadležnom tijelu za civilnu zaštitu, prilažu se dokazi o ispunjavanju uvjeta. U stavku 1. ovoga Zakona definiraju se potrebni uvjeti koje pravne osobe i obrti moraju ispunjavati da bi ishodile potreban certifikat. Uz odobrenje nadležnog tijela državne uprave za obavljanje poslova civilne zaštite kojima mogu obavljati poslove privatne zaštite - tjelesne i tehničke zaštite te za izradu prosudbe ugroženosti, potrebna je i potvrda da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja. Osim toga, propisuje se minimalna razina od dvije godine radnog iskustva pravnim osobama i obrtima u provedbi zaštite objekata najvišeg i visokog stupnja razine rizika čime se ostvaruju procijenjeno potrebni uvjeti kvalificiranosti što podrazumijeva kvalifikaciju osoba koje organiziraju proces zaštite kao i zaposlenika. Određuje se posjedovanje jednog ili više ISO certifikata u području zaštite i sigurnosti čime se dodatno dokazuje kvalificiranost za poslove zaštite kritičnih infrastruktura. Zaposlenici koje rade na poslovima zaštite kritičnih infrastruktura trebaju imati najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika te se za njih provode odgovarajuće provjere iz kaznene i prekršajne evidencije. Za pravne osobe i obrti se traži dokaz o pozitivnom poslovanju u posljednje tri godine čime se potvrđuje ozbiljnost i profesionalnost poslovanja te podmirivanja obaveza prema državi. Zahtjev za izdavanje certifikata, uz koji se prilažu odgovarajući dokazi, podnosi se tijelu državne uprave nadležnom za poslove civilne zaštite. O izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture Koordinativno tijelo vodi registar koji sadrži: naziv pravne osobe i obrta, popis zaposlenika koji provode zaštitu kritične infrastrukture, datum izdavanja i važenja certifikata. Pravnoj osobi i obrtu ijelo državne uprave nadležno za poslove civilne zaštite ukinut će certifikat ovim Zakonom propisanim slučajevima. U stavku 5. ovoga članka Zakona određuje se da se protiv rješenja može pokrenuti upravni spor, a ne može izjaviti žalba.
Uz članak 30.
Članak 30. propisuje postupak obnove certifikata. Pravna osoba i obrt dužni su zahtjev za obnovu certifikata za pružanje usluge privatne zaštite kritične infrastrukture podnijeti najkasnije tri mjeseca prije isteka roka na koji je izdan važeći certifikat. Na postupak obnove certifikata primjenjuju se odredbe članka 29. ovoga Zakona.
Uz članak 31.
Ovim člankom propisuju se obveze pravne osobe i obrta i njihovih zaposlenika koji provode privatnu zaštitu kritične infrastrukture. Zaposlenici pravnih osoba i obrta koji pružaju uslugu privatne zaštite kritične infrastrukture dužni su čuvati i zaštititi poslovnu tajnu i osobne podatke naručitelja usluga, sukladno posebnim propisima iz srodnog područja. Propisana je i obveza je svih zaposlenika u pravnim osobama i obrtima za pružanje usluga privatne zaštite kritične infrastrukture, kao i zaposlenicima unutarnje službe zaštite kritičnog subjekta ako je imaju ustrojenu, da najmanje jednom u tri godine prođu edukaciju koju organizira tijelo državne uprave nadležno za poslove civilne zaštite. Mogućnost ustrojavanja unutarnje službe zaštite kritičnog subjekta proizlazi iz Zakona o privatnoj zaštiti prema kojem gospodarski subjekti mogu organizirati vlastitu unutarnju službu za potrebe zaštite vlastitih objekata prema uvjetima iz predmetnog zakona. Edukacija će se organizirati na regionalnoj razini, u dogovoru s kritičnim subjektima, kako bi ju svi zaposlenici mogli pohađati bez dodatnih troškova. O provedenoj edukaciji se vodi evidencija u tijelu državne uprave nadležnom za poslove civilne zaštite. Članak propisuje i tematske cjeline iz kojih se provodi edukacija: metodologija za izradu analiza i procjenjivanje rizika od katastrofa za Republiku Hrvatsku; posljedice velikih nesreća i katastrofa po stanovništvo, materijalna i kulturna dobra i okoliš; sadržaj procjene rizika i planova djelovanja civilne zaštite jedinica lokalnih i područnih (regionalnih) samouprava; ugroženost i zaštita kritičnih infrastruktura; obilježja prirodnih i tehničko-tehnoloških velikih nesreća i katastrofa; operativne snage sustava civilne zaštite; postupanja u odgovoru na prijetnje i incidente; način izrade planskih dokumenata u civilnoj zaštiti i informiranja javnosti u postupku donošenja; državni plan djelovanja civilne zaštite; sadržaj procjene rizika i operativnih planova civilne zaštite pravnih osoba; sadržaj procjene rizika i operativnih planova pravnih osoba koje obavljaju djelatnost s opasnim tvarima i vanjski planovi jedinica područnih (regionalnih) samouprava za područja postrojenja koja obavljaju djelatnost s opasnim tvarima. Sadržaj i termini edukacija objavljuju se na internetskoj stranici tijela državne uprave nadležnog za poslove civilne zaštite.
Uz članak 32.
Odredbama ovoga članka propisano je postupanje u slučaju incidenta na kritičnoj infrastrukturi. Kritični subjekt dužan je, bez odgađanja, poduzeti mjere i aktivnosti za zaštitu kritične infrastrukture. Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta, dužan je o incidentu koji ima značajan učinak na pružanje usluge i kontinuitet poslovanja, bez odgađanja izvijestiti nadležno tijelo i Koordinativno tijelo, a ako to nije moguće, prva obavijest mora biti dostavljena najkasnije u roku od 24 sata od saznanja da se dogodio incident. Kritični subjekt dodatno je dužan, najkasnije u roku od mjesec dana od dostave obavijesti o incidentu, dostaviti detaljno izvješće nadležnom tijelu. Pri utvrđivanju značaja incidenta, posebno se uzimaju u obzir sljedeći kriteriji: broj i udio korisnika na koje poremećaj utječe; trajanje poremećaja i geografsko područje pogođeno poremećajem, uzimajući u obzir moguću geografsku izoliranost područja. Nakon primitka obavijesti, nadležno tijelo će u najkraćem roku kritičnom subjektu dostaviti relevantne podatke koje se odnose na daljnje postupanje, uključujući podatke kojima bi se mogao poduprijeti djelotvoran odgovor kritičnog subjekta na incident. Ukoliko se utvrdi da se radi o javnom interesu, Koordinativno tijelo će uz suglasnost nadležnog tijela i kritičnog subjekta, o incidentu obavijestiti javnost.
Uz članak 33.
Ovim člankom definiraju se prekogranični učinci incidenta ukoliko on ima učinak na druge države. Na temelju podataka o incidentu, koje je kritični subjekt dostavio putem nadležnog tijela, Koordinativno tijelo obavješćuje jedinstvene kontaktne točke drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica. Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, Koordinativno tijelo je o incidentu dužno obavijestiti Europsku komisiju. S podacima o incidentu Koordinativno tijelo postupa u skladu s pravnim aktima Europske unije odnosno posebnim propisima Republike Hrvatske, na način kojim se poštuje njihova povjerljivost i štiti sigurnost i komercijalni interes kritične infrastrukture na kojoj se dogodio incident.
Uz članak 34.
Odredbama ovoga članka definirana je provjera podobnosti koju mogu zatražiti kritični subjekti sukladno vlastitim potrebama i u slučaju nužnosti. Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta može podnijeti zahtjev Koordinativnom tijelu za provjeru podobnosti osoba koje: imaju osjetljive funkcije u kritičnom subjektu ili obavljaju poslove za kritični subjekt, posebno u vezi s mjerama otpornosti i zaštite kritične infrastrukture; imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću i razmatraju se za zapošljavanje na prethodno navedene funkcije. Kroz procjenu rizika i sigurnosni plan, kritični subjekt definira funkcije za koje će se zatražiti provjera podobnosti. Zahtjevi se ocjenjuju u razumnom roku i obrađuju u skladu s nacionalnim pravom i postupcima o obradi i zaštiti osobnih podataka, te u skladu s relevantnim pravom Europske unije o obradi osobnih podataka, a provjere podobnosti su razmjerne i strogo ograničene na nužne potrebe, isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt. Koordinativno tijelo provjeru obavlja u suradnji sa Sigurnosno-obavještajnom agencijom i tijelom državne uprave nadležnim za pravosuđe, a odgovor na zahtjev dostavlja u roku od deset radnih dana od datuma njegovog primitka.
Uz članak 35.
Članak 35. propisuje što obuhvaća postupak provjere podobnosti: provjeru identiteta osobe za koju se provodi provjera podobnosti, evidentiranost u kaznenim evidencijama osobe u pogledu kažnjivih djela koja se progone po službenoj dužnosti i prekršaj protiv javnog reda i mira s elementima nasilja, a koja su relevantna za specifično radno mjesto kod kritičnog subjekta i evidentiranost u evidencijama Sigurnosno - obavještajne agencije u pogledu aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa. U cilju provođenja provjere podobnosti, Koordinativno tijelo podnosi zahtjev za provjeru tijelu državne uprave nadležnom za pravosuđe i kroz Europski informacijski sustav kaznene evidencije za potrebe dobivanja podataka iz nacionalnih kaznenih evidencija i iz kaznenih evidencija drugih država članica. Ovaj članak naglašava da su provjere podobnosti razmjerne i strogo ograničene na one koje je nužno provesti.
Uz članak 36.
Članak 36. definira ulogu sigurnosnog koordinatora i njegovog zamjenika kroz poslove koordiniranja provedbe svih mjera i postupaka u zaštiti kritične infrastrukture i jačanju otpornosti kritičnih subjekata u nadležnom tijelu i kritičnom subjektu. Sigurnosni koordinator i njegov zamjenik predstavljaju dvosmjernu vezu između kritičnog subjekta i nadležnog sektorskog tijela.
Uz članak 37.
Ovim člankom propisano je da svako nadležno tijelo mora odrediti sigurnosne koordinatore za kritičnu infrastrukturu i to za svaki sektor iz svog djelokruga te su navedeni poslovi koje obavlja sigurnosni koordinator. Kroz članak se opisuje opseg poslova sigurnosnog koordinatora u nadležnom tijelu. Za sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu i njegovog zamjenika provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere. Nadležno tijelo podnosi zahtjev za provođenje sigurnosne provjere za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika Sigurnosno - obavještajnoj agenciji.
Uz članak 38.
Članak 38. propisuje ulogu sigurnosnog koordinatora kritičnog subjekta. Kritični subjekt dužan je, nakon donošenja odluke o potvrđivanju kritičnih subjekata, u što kraćem roku odrediti i nadležnom tijelu dostaviti prijedlog za imenovanje sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika, koji je u provedbi mjera i postupaka u zaštiti i jačanja otpornosti odgovoran za komunikaciju između kritičnog subjekta i nadležnog tijela. Ovim člankom propisani su i poslovi sigurnosnog koordinatora kritičnog subjekta.
Uz članak 39.
Odredbama ovoga članka propisano je da se za sigurnosnog koordinatora za kritičnu infrastrukturu kod kritičnog subjekta i njegovog zamjenika, prije njihovog imenovanja, provodi temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere te postupak provođenja provjere. Nadležno tijelo, na temelju zaprimljenog prijedloga kritičnog subjekta, podnosi Sigurnosno-obavještajnoj agenciji zahtjev za sigurnosnu provjeru.
Uz članak 40.
Ovim člankom propisuje se obaveza osposobljavanja sigurnosnog koordinatora za kritičnu infrastrukturu prema kojoj su nadležna tijela i kritični subjekti dužni omogućiti osposobljavanje sigurnosnih koordinatora za kritičnu infrastrukturu, kako bi se osigurala ujednačena razina znanja svih dionika u zaštiti kritičnih infrastruktura. Osposobljavanje provodi Koordinativno tijelo, u suradnji sa znanstvenim i stručnim institucijama. Ministar pravilnikom propisuje program i način provedbe osposobljavanja za obavljanje poslova sigurnosnog koordinatora za kritičnu infrastrukturu. Sigurnosni koordinator po završetku osposobljavanja stječe potvrdu koja vrijedi četiri godine, koju je po isteku u obvezi ponovno obnoviti.
Uz članak 41.
Odredbama ovoga članka definira se postupak utvrđivanja kritičnih subjekata od posebnog europskog značaja. Ako kritični subjekt koji je ranije potvrđen kao kritični subjekt za Republiku Hrvatsku pruža ključne usluge, osim Republike Hrvatske, za šest ili više država članica ili u šest ili više država članica, dužan je o tome obavijestiti nadležno tijelo. Obavijest sadrži podatke o ključnim uslugama koje pruža za ili u takvim državama članicama, te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge. Nadležno tijelo potom obavješćuje Koordinativno tijelo o utvrđivanju kritičnih subjekata od posebnog europskog značaja, a Koordinativno tijelo obavijest o utvrđivanju takvih kritičnih subjekata i o uslugama koje oni pružaju bez nepotrebne odgode dostavlja Europskoj komisiji. Kada Europska komisija, na temelju savjetovanja s nadležnim tijelima država članica u kojima ili za koje se pružaju kritične usluge te sa kritičnim subjektom, utvrdi da kritični subjekt pruža ključne usluge za ili u šest ili više država članica, obavijestit će nadležno tijelo da se kritični subjekt smatra kritičnim subjektom od europskog značaja te o njegovim obvezama. Nadležno tijelo obavještava kritičnog subjekta o njegovom statusu subjekta od posebnog europskog značaja te se on takvim smatra od primitka te obavijesti.
Uz članak 42.
Ovim člankom propisano je da Koordinativno tijelo, na zahtjev nadležnog tijela i uz suglasnost Vlade Republike Hrvatske, može podnijeti Europskoj komisiji zahtjev za organiziranje savjetodavne misije kako bi se procijenile mjere otpornosti i zaštite kritične infrastrukture koje uspostavlja kritični subjekt kojega je potvrdila Republika Hrvatska, a utvrđen je kao kritični subjekt od posebnog europskog značaja. Europska komisija može, i na vlastitu inicijativu kao i na zahtjev jedne ili više država članica kojima ili u kojima se pruža ključna usluga, organizirati savjetodavnu misiju ako je s time suglasna država koja je utvrdila kritični subjekt. Propisano je i koje informacije osigurava Koordinativno tijelo za potrebe savjetodavne misije te rokovi dostave nalaza. Nalazi se analiziraju te su nadležno tijelo i kritični subjekt od posebnog europskog značaja dužni uzeti u obzir mišljenja te, Europskoj komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga, dostavljati informacije o mjerama poduzetima na temelju tog mišljenja.
Članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri. Europska komisija snosi troškove sudjelovanja u savjetodavnim misijama te organizira program svake savjetodavne misije uz savjetovanje s članovima savjetodavne misije i u dogovoru s Koordinativnim tijelom. Kritični subjekti od posebnog europskog značaja moraju omogućiti savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu savjetodavne misije. Savjetodavne misije provode se u skladu s važećim nacionalnim pravom, poštujući odgovornost Republike Hrvatske za nacionalnu sigurnost i zaštitu sigurnosnih interesa.
Uz članak 43.
Ovim odredbama propisuje se kako je Koordinativno tijelo jedinstvena kontaktna točka za razmjenu informacija i koordiniranje aktivnosti u vezi s europskom kritičnom infrastrukturom s drugim državama članicama i tijelima Europske unije. Podaci o jedinstvenoj kontaktnoj točki (telefonski broj i adresa elektroničke pošte) i upute za prijavu iznenadnih događaja u kritičnim infrastrukturama, biti će dostupni na službenim mrežnim stranicama Koordinativnog tijela i nadležnih tijela. Jedinstvena kontaktna točka iz stavka 1. ovoga članka do 17. srpnja 2028. godine, te nakon toga svake dvije godine, podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima o izvanrednim događajima u kritičnim infrastrukturama, uključujući broj obavijesti, prirodu prijavljenih incidenata i poduzete mjere. Razmjena informacija o kritičnim subjektima od posebnog europskog značaja putem jedinstvenih kontaktnih točaka država članica ne isključuje prava i obveze drugih tijela državne uprave za razmjenu informacija, znanja i iskustava sa nadležnim tijelima drugih država članica.
Uz članak 44.
Ovim člankom propisano je kako postupati s podacima o kritičnoj infrastrukturi. Popis kritičnih subjekata, podaci o kritičnim subjektima, kao i svi drugi podaci koji nastaju u svrhu provedbe ovoga Zakona koriste se isključivo u svrhu provedbe zahtjeva iz ovoga Zakona i javno se ne objavljuju.
Popis i podaci predstavljaju informacije u odnosu na koje je moguće ograničiti pravo pristupa korisniku informacija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se provodi prema odredbama posebnog zakona o pravu na pristup informacijama. Nadležna tijela dužna su pri razmjeni podataka iz stavka 1. ovoga članka voditi računa o potrebi ograničavanja pristupa podacima kada je to potrebno u svrhu sprječavanja, otkrivanja, provođenja istraživanja i vođenja kaznenog postupka. U postupanju s klasificiranim podacima i podacima označenim oznakom „NEKLASIFICIRANO“ primjenjuju se mjere i standardi informacijske sigurnosti čiju primjenu nadzire središnje državno tijelo nadležno za informacijsku sigurnost sukladno propisima kojima se uređuje informacijska sigurnost. Ministar će pravilnikom propisati način klasificiranja podataka i kriterija za određivanje stupnjeva tajnosti za podatke iz područja kritičnih infrastruktura te za druge podatke povezane s pojedinačnim kritičnim subjektom, ako je klasificiranje takvih podataka potrebno radi zaštite vrijednosti štićenih propisom o tajnosti podataka. Članak propisuje i postupanje s podacima koji se odnose na kritične subjekte od posebnog europskog značaja.
Uz članak 45.
Ovom odredbom definiran je inspekcijski nadzor nad provedbom odredbi ovoga Zakona. Nadzor provode inspektori nadležni za civilnu zaštitu što im je i obveza sukladno propisanom opisu poslova. U inspekcijskom nadzoru inspektori nadziru ispunjavanje uvjeta i način rada osoba koje su obvezne provoditi mjere i aktivnosti Zakona, obavljaju izravan uvid u prostore koje kritični subjekti upotrebljavaju za pružanje svojih usluga na lokaciji kao i uvid u opće i pojedinačne akte kojima se osigurava otpornost kritičnih subjekata. Uvidom u opće i pojedinačne akte utvrđuje se jesu li izrađene procjene i analize rizika, doneseni sigurnosni planovi, određeni sigurnosni koordinatori za kritičnu infrastrukturu i ispunjene sve ostale obveze koje su definirane ovim Zakonom. Nadzire se i obavljanje poslova privatne zaštite koje je definirano odredbama ovoga Zakona. Ako se inspekcijskim nadzorom utvrdi povreda Zakona, inspektor ima pravo i obvezu bez odgađanja: narediti otklanjanje utvrđenih nedostataka odnosno nepravilnosti u određenom roku; pokrenuti prekršajni postupak ako se nepravilnosti ne otklone u određenom roku; zatražiti od nadležnog tijela provedbu revizije u pogledu kritičnih subjekata i poduzeti druge mjere i izvršiti druge radnje koje je ovlašten poduzeti i izvršiti na temelju ovoga Zakona i posebnog propisa. Stavkom 4. ovoga članka određuje se da ako tijekom inspekcijskog nadzora inspektor utvrdi da nije ovlašten izravno postupati, odmah će izvijestiti nadležno tijelo ili regulatorno tijelo te zatražiti pokretanje postupka i poduzimanje mjera u skladu s posebnim propisima. Pod navedenim stavkom podrazumijevaju se situacije kada inspektor zamijeti moguće nedostatke ili nepravilnosti koje nisu vezane uz odredbe ovoga Zakona, da o njima izvijestiti nadležno ili regulatorno tijelo kako bi oni, u okviru svojim nadležnosti, utvrdili i po potrebi naložili otklanjanje nedostataka u skladu s posebnim propisima. Odredbama ovoga članka ne ograničava se mogućnosti nadzora i ostalim inspekcijskim i nadležnim službama u kritičnim subjektima koji se provode u skladu s odredbama posebnih zakona i propisa.
Uz članak 46.
Članak 46. propisuje da radi osiguranja jedinstvenog pristupa analizi rizika kritičnih subjekata, primjenu međusektorskih mjerila kod svih sudionika provedbe Zakona utvrđuje Koordinativno tijelo, a primjenu sektorskih mjerila kritičnih subjekata u analizi rizika utvrđuju nadležna tijela i regulatorna tijela u sektorima iz svog djelokruga.
Uz članak 47.
Ovim člankom propisane su prekršajne odredbe za kritične subjekte ukoliko ne provode obaveze propisane ovim zakonom. Novčanom kaznom u iznosu od 65.000,00 – 130.000,00 eura kazniti pravna osoba – kritični subjekt ako: ne izradi procjenu rizika kritičnog subjekta u propisanom roku, ne izradi Sigurnosni plan u propisanom roku, uslugu zaštite kritične infrastrukture povjeri pravnoj osobi i obrtu koji nema certifikat za provedbu zaštite kritične infrastrukture, u slučaju incidenta ne poduzme bez odgađanja mjere i aktivnosti za zaštitu kritične infrastrukture. Novčanom kaznom za prethodno navedene prekršaje kaznit će se i odgovorna osoba kritičnog subjekta u iznosu od 1.300,00 – 6.000,00 eura.
Uz članak 48.
Članak 48. propisuje novčane kazne u iznosu od 20.000,00 – 64.999,00 eura za pravnu osobu – kritični subjekt ako: nadležnom tijelu ne dostavi obavijesti o donošenju sigurnosnog plana, nadležnom i koordinativnom tijelu ne dostavi u roku detaljno izvješće o incidentu, ne odredi sigurnosnog koordinatora za kritičnu infrastrukturu. Novčanom kaznom za navedene prekršaje kaznit će se odgovorna osoba kritičnog subjekta u iznosu od 1.300,00 do 6.000,00 eura.
Uz članak 49.
Odredbama ovoga članka određuje se da će Vlada Republike Hrvatske do 17. siječnja 2026. godine donijeti akt strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona te Nacionalnu procjenu rizika kritične infrastrukture iz članka 12. ovoga Zakona.
Uz članak 50.
Sukladno ovom članku, ministar će pravilnik o metodologiji za izradu analize iz članka 14. stavka 2. ovoga Zakona i pravilnik o postupanju s klasificiranim podacima o kritičnoj infrastrukturi iz 44. stavka 5. ovoga Zakona donijeti u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona. Ministar će pravilnik o programu i načinu provedbe osposobljavanja sigurnosnih koordinatora za kritičnu infrastrukturu iz članka 40. stavka 3. ovoga Zakona donijeti u roku od godinu dana od dana stupanja na snagu ovoga Zakona. Do stupanja na snagu pravilnika iz članka 14. stavka 2. ovoga Zakona ostaje na snazi Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, br. 47/16 i 93/17).
Uz članak 51.
Članak 51. propisuje da će ministar nadležan za poslove civilne zaštite donijeti odluku o međusektorskim mjerilima u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona. Nadležna tijela dužna su donijeti sektorska mjerila u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.
Uz članak 52.
Odredbom stavka 1. definirano je da sve pravne osobe i obrti, koji imaju sklopljene ugovore za obavljanje poslove privatne zaštite kritične infrastrukture, nastavljaju obavljati poslove do isteka roka ugovora. Time se otklanja mogućnost da, stupanjem na snagu Zakona, moraju prekinuti postojeći ugovori s tvrtkama koje nemaju odgovarajući certifikat, te tako nanijeti šteta ugovornim stranama. Stavkom 2. ovoga članka omogućeno je kritičnim subjektima da, u razdoblju od godine dana od dana stupanja na snagu Zakona, obavljanje poslova privatne zaštite povjere pravnim osobama i obrtima koji su podnijeli zahtjev za izdavanje certifikata. Naime, pravne osobe i obrti koji žele obavljati poslove privatne zaštite kritične infrastrukture podnijet će zahtjev za izdavanje certifikata nakon stupanja na snagu Zakona. Stoga postoji mogućnost da pojedini ugovori sklopljeni radi obavljanja poslova privatne zaštite kritične infrastrukture isteknu nakon stupanja na snagu ovoga Zakona, a prije izdavanja certifikata pravnim osobama i obrtima. S obzirom na navedeno, intencija odredbe članka 52. stavka 2. je omogućiti kritičnim subjektima provedbu navedenog vida zaštite kritične infrastrukture odnosno sklapanje ugovora o obavljanju poslova privatne zaštite infrastrukture sa pravnim osobama ili obrtima koji još nisu ishodili certifikat, ali su podnijeli zahtjev za njegovo izdavanje, i to u prijelaznom razdoblju od godine dana od dana stupanja na snagu Zakona.
Uz članak 53.
Članak 54. propisuje da će postojeći Zakon o kritičnim infrastrukturama (NN, broj 56/13) biti stavljen van snage stupanjem na snagu ovoga Zakona.
Uz članak 54.
Sukladno članku, Zakon stupa na snagu 8 dana nakon objave u Narodnim novinama.
Prilogom I definiraju se sektori, podsektori i kategorije kojima se utvrđuju kritični subjekti, te ključne usluge koje pružaju.
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
Komentirate u ime: Ministarstvo unutarnjih poslova
I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje ovoga Zakona sadržana je u odredbi članka 2. stavka 4. podstavka 1. Ustava Republike Hrvatske („Narodne novine“, br. 85/10. - pročišćeni tekst i 5/14. – Odluka Ustavnog suda Republike Hrvatske).
Komentirate u ime: Ministarstvo unutarnjih poslova
II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
Komentirate u ime: Ministarstvo unutarnjih poslova
1. Ocjena stanja
Zakon o kritičnim infrastrukturama („Narodne novine“, br. 56/13) stupio je na snagu 18. svibnja 2013. Donošenjem Zakona, kroz implementaciju Direktive Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označavanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23. 12. 2008.) propisane su nadležnosti sudionika u utvrđivanju i provedbi mjera zaštite nacionalne i europske kritične infrastrukture.
Dana 14. prosinca 2022. donesena je Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27.12.2022.) (u daljnjem tekstu: Direktiva 2022/2557). U okviru provedbe pravne stečevine Europske unije, Republika Hrvatska je obvezna uskladiti nacionalno zakonodavstvo s navedenom Direktivom koja regulira područje zaštite kritičnih infrastruktura i jačanja otpornosti kritičnih subjekata.
Uz utvrđenu obvezu izmjene postojećeg Zakona o kritičnim infrastrukturama u skladu s novim europskim pristupom, nužnost određenih izmjena prepoznata je i na nacionalnoj razini nakon desetogodišnjeg razdoblja primjene.
Komentirate u ime: Ministarstvo unutarnjih poslova
2. Osnovna pitanja koja se trebaju urediti Zakonom
Primarni cilj donošenja novoga Zakona je prilagodba nacionalnog propisa europskoj pravnoj stečevini, odnosno implementacija Direktive 2022/2257. U postupku nacionalne prilagodbe uzete su u obzir nove operativne i zakonodavne okolnosti, s ciljem poboljšanja učinkovitosti sustava uz osiguranje odgovarajuće razine zaštite i kontinuiteta poslovanja. Procjenjujući nove sigurnosne izazove, potrebno je što je moguće više ograničiti štetne učinke prekida ili poremećaja u radu kritičnih infrastruktura na stanovništvo i gospodarstvo.
Sustav identificiranja i zaštite nacionalnih kritičnih infrastruktura te infrastrukture od europskog značaja, treba jasno definirati kroz novi zakonski okvir kako bi se postigla maksimalna kompatibilnost s modelima i rješenjima koja se primjenjuju u Europskoj uniji.
Predloženim Zakonom uredit će se sljedeća pitanja:
-definiranje uloge tijela državne uprave nadležnog za civilnu zaštitu koje koordinira aktivnosti dionika u sustavu identificiranja i zaštite kritične infrastrukture te predlaže Vladi Republike Hrvatske kritične subjekte od posebnog europskog značaja koji se nalaze na području Republike Hrvatske ili na području druge države članice Europske unije
-propisivanje načela zaštite kritične infrastrukture, radi boljeg razumijevanja funkcionalnosti sustava zaštite kritične infrastrukture
-precizno propisivanje postupka utvrđivanja i potvrđivanja kritičnih subjekata, kao i procedure donošenja mjerila
-koordiniranje svih aktivnosti pri predlaganju i vrednovanju zaštite kritične infrastrukture
-definiranje jasnijih uvjeta analize rizika za sektorski nadležna tijela državne uprave iz kojih se identificiraju kritični subjekti te analiza i procjena rizika kod kritičnih subjekata, kao i implementacija obaveze procjene rizika države članice propisana Direktivom 2022/2557
-preciznije definiranje procedura izrade, rokova, obuhvata i ažuriranja sadržaja sigurnosnog plana kritičnih subjekata kao dijela poslovnog plana pravne osobe
-propisivanje obveze imenovanja sigurnosnih koordinatora za kritičnu infrastrukturu u tijelima državne uprave te edukacije i osposobljavanja za sigurnosne koordinatore s definiranim mjestom i ulogom u sektoru iz kojih dolaze kritične infrastrukture
-propisivanje obveze certificiranja za pravne osobe i obrte koji pružaju zaštitu kritične infrastrukture
-definiranje preciznijeg okvira za provedbu inspekcijskog nadzora
-donošenje nacionalnog akta strateškog planiranja za otpornost kritičnih subjekata
-ukazivanje na primjenu hrvatskih, europskih i drugih provjerenih normi i praksi u procesu zaštite kritičnih subjekata.
Komentirate u ime: Ministarstvo unutarnjih poslova
3. Posljedice koje će proisteći donošenjem Zakona
Donošenjem Zakona u koji je implementirana Direktiva 2022/2557 i kojim će se urediti naprijed navedena pitanja, postići će se bolja operacionalizacija nacionalnih procedura identifikacije i potvrđivanja kritičnih subjekata (infrastrukture) koja se do sada pokazala izazovnom radi nedovoljne reguliranosti, a time i veća otpornost kritičnih subjekata vitalnih za pružanje ključnih usluga.
Komentirate u ime: Ministarstvo unutarnjih poslova
III. OCJENA I IZVORI POTREBNIH SREDSTAVA ZA PROVOĐENJE ZAKONA
Za provedbu ovoga Zakona nije potrebno osigurati dodatna sredstva u državnom proračunu Republike Hrvatske.
Komentirate u ime: Ministarstvo unutarnjih poslova
PRIJEDLOG ZAKONA O KRITIČNOJ INFRASTRUKTURI
I. UVODNE ODREDBE
Predmet Zakona
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 1.
(1) Ovim Zakonom uređuje se zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom ovoga Zakona.
(2) Ovaj Zakon, u dijelu provedbe zaštite nacionalnih kritičnih infrastruktura, ne primjenjuje se na tijela državne uprave i druga državna tijela u čijoj su nadležnosti poslovi nacionalne sigurnosti, javne sigurnosti, obrane ili poslovi provedbe zakona u svrhu sprječavanja, otkrivanja i istraživanja kaznenih djela.
Usklađivanje propisa s pravnim aktima Europske unije
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP).
Pojmovi
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 3.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1)analiza rizika je dio procesa procjene rizika, a označava razmatranje mogućih scenarija prijetnji kako bi se ocijenile ranjivosti i mogući učinak poremećaja u radu kritične infrastrukture ili njezina uništenja
2)CSIRT (Computer Security Incident Response Team) je nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata
3)država članica je država članica Europske unije te država potpisnica Ugovora o Europskom gospodarskom prostoru
4)incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava, te bi u slučaju incidenta došlo do znatnih negativnih učinaka na pružanje ključnih usluga
5)javni subjekti su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
6)ključna usluga je usluga ključna za održavanje vitalnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti te okoliša
7)kontinuitet poslovanja kritičnog subjekta je neprekinutost pružanja ključne usluge, što se osigurava planiranjem i provođenjem mjera pripravnosti za nepredviđene situacije te povećanjem otpornosti i brzine oporavka
8)kritična infrastruktura je imovina, objekt, oprema, mreža ili sustav, odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge
9)kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga
10)kritični subjekt od posebnog europskog značaja je kritični subjekt koji pruža iste ili slične ključne usluge za ili u šest ili više država članica utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona
11)međusektorska mjerila označavaju skup općih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik za pojedinu imovinu, objekte, sustave i mreže koji predstavljaju kritičnu infrastrukturu te provodi utvrđivanje kritičnih subjekata i kritičnih subjekata od europskog značaja u svim sektorima kritičnih subjekata
12)nadležna tijela su tijela državne uprave, nadležna tijela za provedbu posebnih propisa, te druga državna tijela i pravne osobe s javnim ovlastima nadležne za pojedini sektor ili pojedine kategorije subjekata za koje se sukladno ovom Zakonu provodi postupak utvrđivanja kritičnih subjekata
13)nadležna tijela za provedbu posebnih propisa su Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga
14)otpornost je sposobnost kritičnog subjekta da spriječi incident, osigura zaštitu od incidenta, odgovori na njega, odupre se, ublaži ga, apsorbira, prilagodi se i oporavi od incidenta kako bi mogao nastaviti s pružanjem ključne usluge
15)provjera podobnosti osobe je provjera identiteta te provjera evidentiranosti u kaznenim evidencijama i evidencijama Sigurnosno-obavještajne agencije za osobe koje su zaposlene ili se razmatraju za zapošljavanje u kritičnom subjektu na osjetljive funkcije ili koje imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću ili obavljaju poslove za kritični subjekt, u svrhu evaluacije potencijalnog sigurnosnog rizika za kritični subjekt
16)prijetnja je vjerojatnost događaja i negativnih posljedica po kritičnu infrastrukturu koje u opsegu mogu biti antropogene, tehničko - tehnološke i prirodne, a koje mogu uzrokovati bitne poremećaje funkcioniranja društva
17)privatna zaštita je djelatnost koja je definirana zakonom koji uređuje privatnu zaštitu
18)procjena rizika je cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom
19)regulatorno tijelo je pravna osoba s javnim ovlastima koja obavlja regulatorne i druge poslove u djelokrugu i s nadležnostima u skladu s odgovarajućim zakonima
20)rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta
21)sektorska mjerila su skup specifičnih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik i utvrđuju ključne usluge u pojedinom sektoru kritičnih subjekata
22)sigurnosni koordinator za kritičnu infrastrukturu je zaposlenik nadležnog tijela koji koordinira i usmjerava aktivnosti vezane uz zaštitu i otpornost kritičnih subjekata pojedinog sektora, odnosno zaposlenik kritičnog subjekta koji te aktivnosti usmjerava sukladno svojoj organizacijskoj strukturi
23)sigurnosni plan kritičnog subjekta označava dokument koji osigurava povjerljivost, cjelovitost i raspoloživost organizacijskih, kadrovskih, materijalnih, informacijsko -komunikacijskih i drugih rješenja te stalnih i stupnjevanih sigurnosnih mjera potrebnih za neprekidno funkcioniranje kritične infrastrukture
24)tehnička specifikacija je dokument koji propisuje tehničke zahtjeve, kako je definirano u članku 2. točki 4. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012 o europskoj normizaciji, izmjeni direktiva Vijeća, 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (Tekst značajan za EGP; SL L 316/12 od 14.11.2012) (u daljnjem tekstu: Uredba (EU) br. 1025/2012)
25)treća zemlja je strana država koja nije država članica
26)upravljanje rizicima je proces utvrđivanja, procjene, vrednovanja i određivanja prioriteta rizika u cilju osiguravanja uvjeta za rad i kontinuirano poslovanje kritičnog subjekta
27)zaštita kritične infrastrukture je skup aktivnosti koje provode kritični subjekt i nadležna tijela, a kojima je cilj osigurati funkcionalnost, održati kontinuitet u pružanju ključnih usluga, spriječiti, odnosno umanjiti posljedice ugrožavanja kritične infrastrukture i osigurati otpornost.
(2) Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje, odnose se jednako na muški i ženski rod.
Primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 4.
Ako su za pojedini sektor ili subjekte iz pojedinih sektora iz Priloga I. ovoga Zakona posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata iz ovoga Zakona ili predstavljaju strože zahtjeve, sukladno ocjeni nadležnog tijela, na te subjekte se primjenjuju odgovarajuće odredbe tih posebnih propisa, uključujući odredbe o nadzoru provedbe zahtjeva.
Izuzeća od primjene ovoga Zakona u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 5.
Na kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture iz Priloga I. ovoga Zakona, ne primjenjuju se članak 20., članci od 22. do 43. i članci od 45. do 48. ovoga Zakona.
Odnos sa zakonom koji uređuje područje kibernetičke sigurnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 6.
(1) Odredbe ovoga Zakona ne odnose se na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti.
(2) Provedba ovoga Zakona ne dovodi u pitanje provedbu postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti.
(3) U svrhu provedbe stavka 2. ovoga članka u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost, sukladno zakonu koji uređuje područje kibernetičke sigurnosti.
Popis sektora, podsektora, kategorija subjekata i ključnih usluga
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 7.
Sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata te ključne usluge navedeni su u Prilogu I. ovoga Zakona, koji čini njegov sastavni dio.
Načela zaštite kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 8.
Načela zaštite kritične infrastrukture su:
◊načelo zaštite od svih oblika prijetnji podrazumijeva da svi kritični subjekti i sva nadležna tijela u osiguranju neprekidnog rada u isporuci ključnih usluga kritičnog subjekta, uzimaju u obzir različite oblike prijetnji
◊načelo cjelovitog pristupa znači zaštitu kritične infrastrukture od poremećaja ili prekida rada i isporuke ključnih usluga u koju su uključena sva nadležna tijela i institucije, pri čemu se u obzir uzimaju svi relevantni oblici prijetnji, a koja proizlazi iz procjene rizika i uzima u obzir međuovisnost sektora kritičnih subjekata i njihovu interakciju
◊načelo kontinuiranog planiranja zaštite kritične infrastrukture podrazumijeva kontinuiranu procjenu prijetnji i rizika poslovanja, kao i ocjenu planova za njezinu zaštitu, a planiranje zaštite dio je trajnog poslovnog procesa kritičnog subjekta
◊načelo razmjene informacija i podataka te zaštite podataka podrazumijeva da sva nadležna tijela i institucije redovno i pravodobno razmjenjuju podatke i informacije, te se razmjena temelji na povjerenju i na zaštiti podataka povezanih s radom kritičnog subjekta u skladu s odredbama ovoga Zakona i zakona koji uređuju zaštitu tajnosti i povjerljivosti podataka.
II. KOORDINACIJA ZAŠTITE KRITIČNE INFRASTRUKTURE
Koordinativno tijelo za zaštitu kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 9.
(1) Koordinativno tijelo za zaštitu kritične infrastrukture (u daljnjem tekstu: Koordinativno tijelo) je tijelo državne uprave nadležno za poslove civilne zaštite čija zadaća je koordiniranje aktivnosti dionika u zaštiti kritične infrastrukture i jačanja otpornosti kritičnih subjekata.
(2) U ostvarivanju zadaća iz stavka 1. ovoga članka Koordinativno tijelo:
◊izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata
◊predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata
◊nadzire i usmjerava proces utvrđivanja kritičnih subjekata
◊prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu
◊izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture
◊vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj
◊u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture
◊u suradnji s nadležnim tijelima izrađuje međusektorska mjerila
◊koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata
◊surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata
◊sudjeluje u organizaciji, koordinaciji i provedbi mjera suradnje između javnog i privatnog sektora u cilju zaštite i jačanja otpornosti kritičnih subjekata
◊provodi postupak izdavanja i ukidanja certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture
◊surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije
◊u cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama
◊svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama
◊koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima
◊zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima
◊u roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 10.
(1) Nadležna tijela i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o:
◊utvrđivanju kritičnih subjekata na temelju ovoga Zakona
◊rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora
◊fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode
◊rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti.
(2) Nadležna tijela mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti.
(3) Koordinativno tijelo i središnje državno tijelo za kibernetičku sigurnost sporazumom uređuju sva bitna pitanja koja se odnose na razmjenu informacija i koordinaciju nadležnih tijela, uključujući način razmjene informacija iz stavka 1. ovoga članka.
III. NACIONALNI OKVIR ZA OTPORNOST KRITIČNIH SUBJEKATA
Akt strateškog planiranja za otpornost kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 11.
(1) Akt strateškog planiranja za otpornost kritičnih subjekata je srednjoročni akt strateškog planiranja kojim se utvrđuju posebni ciljevi i mjere politike temeljeni na relevantnim nacionalnim, višesektorskim i sektorskim strategijama, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata i obuhvaćanja sektora propisanih Prilogom I. ovoga Zakona.
(2) Akt strateškog planiranja za otpornost kritičnih subjekata donosi se nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente:
◊posebne ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti
◊upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta
◊opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata
◊opis postupka kojim se utvrđuju kritični subjekti
◊opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika
◊popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu akta
◊okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća
◊opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost.
(3) Akt strateškog planiranja iz stavka 1. ovoga članka donosi Vlada Republike Hrvatske (u daljnjem tekstu: Vlada).
(4) U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada.
(5) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.
(6) Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja.
(7) Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
Nacionalna procjena rizika kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 12.
(1) Nacionalnu procjenu rizika kritične infrastrukture koju izrađuje Koordinativno tijelo, donosi Vlada, na prijedlog ministra nadležnog za poslove civilne zaštite (u daljnjem tekstu: ministar).
(2) Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata.
(3) U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma.
(4) Pri izradi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju:
◊opća procjena rizika provedena na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20. 12. 2013.)
◊druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprječavanje velikih nesreća koje uključuju opasne tvari, te odredbe Uredbe (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010, (SL L 280, 28. 10. 2017) i Uredbe (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14. 6. 2019.)
◊relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima propisanih u Prilogu I. ovoga Zakona, među ostalim, njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja
◊sve informacije o incidentima koji su prijavljeni u skladu s člankom 32. ovoga Zakona.
(5) U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata.
(6) Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine.
(7) Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
IV. UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA
Nadležna tijela
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 13.
(1) Nadležna tijela utvrđuju kritične subjekte u sektorima iz svoje nadležnosti.
(2) Za sektore navedene u Prilogu I. ovoga Zakona nadležna tijela su:
◊tijelo državne uprave nadležno za energetiku za sektor „energetika”
◊tijelo državne uprave nadležno za promet za sektor „promet“
◊Hrvatska narodna banka za sektor „bankarstvo“
◊Hrvatska agencija za nadzor financijskih usluga za sektor „infrastrukture financijskog tržišta“
◊tijelo državne uprave nadležno za zdravstvo za sektor „zdravstvo“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „otpadne vode“ i sektor „voda namijenjena za ljudsku potrošnju“
◊tijelo državne uprave nadležno za vodno gospodarstvo za sektor „ regulacijske i zaštitne vodne građevine za obranu od poplava“
◊za sektor „digitalna infrastruktura“:
a)tijelo državne uprave nadležno za digitalnu transformaciju za kategoriju subjekta „pružatelji usluga povjerenja“
b)Hrvatska regulatorna agencija za mrežne djelatnosti za kategorije subjekata „pružatelji javnih elektroničkih komunikacijskih mreža“ i „pružatelji elektroničkih komunikacijskih usluga“
c)središnje državno nadležno tijelo za kibernetičku sigurnost za kategorije subjekata: „pružatelji središta za razmjenu internetskog prometa“, „pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva“, „pružatelji usluga računalstva u oblaku“, „pružatelji usluga podatkovnog centra“ te “pružatelji mreže za isporuku sadržaja“
d)tijelo državne uprave nadležno za znanost i obrazovanje za kategoriju subjekta, „registar naziva vršne nacionalne internetske domene“
◊tijelo državne uprave nadležno za upravu za sektor „javni sektor“
◊tijelo državne uprave nadležno za poljoprivredu za sektor „proizvodnja, prerada i distribucija hrane“
◊tijelo državne uprave nadležno za obrazovne ustanove i ustanove koje provode ključne istraživačke aktivnosti za sektor „znanost i obrazovanje“ i „svemir“
◊tijelo državne uprave nadležno za kulturu i medije za sektor „kultura i mediji“.
Analiza rizika
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 14.
(1) Nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika.
(2) Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Međusektorska mjerila
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 15.
(1) Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila za analizu rizika.
(2) Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju:
-ljudske gubitke, pri čemu se procjenjuje mogući broj smrtno stradalih i/ili ozlijeđenih osoba zbog prekida rada pojedine kritične infrastrukture
-gospodarske posljedice, koje se procjenjuju s obzirom na pokazatelj gospodarskog gubitka i/ili smanjenje kvalitete usluga, uključivo i moguće učinke na okoliš
-utjecaj na javnost, koji se procjenjuje s obzirom na utjecaj na povjerenje javnosti, tjelesne i duševne patnje i remećenje svakodnevnog života, uključivo i gubitak osnovnih javnih usluga.
Sektorska mjerila
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 16.
(1) Sektorska mjerila za analizu rizika utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima.
(2) Nadležna tijela su dužna Koordinativnom tijelu dostaviti sektorska mjerila za analizu rizika iz stavka 1. ovoga članka.
Utvrđivanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 17.
(1) Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika iz članka 14. stavka 1. ovoga Zakona, akta strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona i Nacionalne procjene rizika kritične infrastrukture iz članka 12. ovoga Zakona, uz dodatno razmatranje sljedećih kriterija:
-pruža li subjekt jednu ili više ključnih usluga
-posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske
-ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke.
(2) Pri utvrđivanju značaja negativnog učinka incidenta iz stavka 1. podstavka 3. ovoga članka, u obzir se uzimaju minimalno sljedeći kriteriji:
-broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt
-opseg ovisnosti drugih sektora i podsektora o ključnim uslugama
-stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva
-tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga
-geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja
-važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge.
(3) U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka.
(4) Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Potvrđivanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 18.
(1) Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti.
(2) Prijedlozi nadležnih tijela iz stavka 1. ovoga članka moraju sadržavati sljedeće podatke:
-naziv subjekta
-adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve
-opis ključne usluge koju subjekt pruža.
(3) Na prijedlog Koordinativnog tijela, Vlada odlukom potvrđuje kritične subjekte.
(4) Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku iz stavka 3. ovoga članka, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti.
(5) Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz stavka 3. ovoga članka.
(6) Ako se na neki od potvrđenih kritičnih subjekata odnose izuzeća od primjene ovoga Zakona navedene u članku 5. ovoga Zakona, Koordinativno tijelo će u obavijesti iz stavka 4. ovoga članka navesti postojanje tih izuzeća.
(7) Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke:
-popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je propisala Europska komisija
-broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu
-međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Obavještavanje kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 19.
(1) Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza.
(2) Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Izvještavanje o procjenama rizika i sigurnosnim planovima
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 20.
(1) Nadležna tijela dostavljaju Koordinativnom tijelu izvješće o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu.
(2) Koordinativno tijelo na temelju dostavljenih izvješća iz stavka 1. ovoga članka izrađuje i dostavlja Vladi godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata, najkasnije do 30. lipnja tekuće godine za prethodnu godinu.
Ažuriranje popisa kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 21.
(1) Nadležna tijela po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata potvrđenih odlukom iz članka 18. stavka 3. ovoga Zakona te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno prijedlog da se određeni subjekt više ne smatra kritičnim subjektom.
(2) Postupak utvrđivanja i potvrđivanja subjekata iz stavka 1. ovoga članka provodi se u skladu s člancima 17., 18. i 19. ovoga Zakona.
(3) Nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 40. ovoga Zakona.
V. OBAVEZE KRITIČNIH SUBJEKATA
Procjena rizika koju provode kritični subjekti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 22.
(1) Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga.
(2) U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom.
(3) Prilikom izrade procjene rizika, u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, osobito međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma i s njime povezana kaznena djela.
(4) Kritični subjekt dužan je prilikom izrade procjene rizika uzeti u obzir opseg u kojem drugi sektori navedeni u Prilogu I. ovoga Zakona ovise o ključnoj usluzi koju pruža i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi kritični subjekti u takvim drugim sektorima, uključujući prema potrebi u susjednim državama članicama i trećim zemljama.
(5) Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu.
(6) Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
(7) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Sigurnosni plan kritičnog subjekta
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 23.
(1) Kritični subjekt je dužan, na temelju procjene rizika iz članka 22. ovoga Zakona, izraditi sigurnosni plan koji obuhvaća mjere zaštite i osiguranja kontinuiteta poslovanja i isporuke usluga za svaku ključnu uslugu, te mjere za osiguravanje otpornosti.
(2) Kritični subjekt je dužan sigurnosni plan izraditi u roku 12 mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, te ga ažurirati najmanje jednom godišnje i o tome obavijestiti nadležno tijelo.
(3) Sigurnosni plan iz stavka 1. ovoga članka kritični subjekt donosi uz prethodnu suglasnost nadležnog tijela, a pri davanju suglasnosti, nadležno tijelo je dužno samostalno ili u suradnji s regulatornim tijelom utvrditi je li sigurnosni plan izrađen u skladu s procjenom rizika.
(4) Obavijest o donošenju sigurnosnog plana kritični subjekt je dužan dostaviti nadležnom tijelu u roku od mjesec dana od njegovog donošenja.
(5) Nadležna tijela i kritični subjekti dužni su, na zahtjev Koordinativnog tijela, dostaviti podatke i informacije u vezi upravljanja rizicima i osiguranja kontinuiteta poslovanja kritičnih subjekata.
(6) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Sadržaj sigurnosnog plana
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 24.
(1) Sigurnosni plan kritičnog subjekta sadrži najmanje:
-utvrđene prioritete zaštite ključnih dijelova, sustava, mreža i objekata (kritične infrastrukture)
-popis prijetnji koje mogu ugroziti kritični subjekt
-analize rizika temeljene na scenarijima realnih prijetnji (najgori slučaj i najvjerojatniji slučaj), ranjivosti svakog objekta, sustava, mreža i funkcionalnosti i mogućim posljedicama u redovnom radu te u slučaju većeg poremećaja i/ili prestanka rada/korištenja kritične infrastrukture, uključujući i rizik od napuštanja lokacije kritične infrastrukture, a uzimajući u obzir sve prijetnje iz podstavka 2. ovoga stavka
-utvrđene mjere i postupke za smanjenje ranjivosti i osiguranje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sustava, uz primjenu:
a)stalnih sigurnosnih mjera koje uključuju fizičke, tehničke i organizacijske mjere te postupaka ranog upozoravanja i jačanja svijesti
b)stupnjevanih sigurnosnih mjera koje se aktiviraju ovisno o intenzitetu i/ili jačini prijetnji
c)mjera za otpornost kritičnih subjekata koje se odnose na:
1.sprječavanje nastanka svih oblika incidenata, smanjenje rizika i utjecaja prijetnji i mjere za prilagodbu klimatskim promjenama
2.osiguravanje odgovarajuće fizičke zaštite prostora i kritične infrastrukture, uzimajući u obzir, primjerice, ograde, pregrade, alate za nadzor područja i rutinske postupke za nadzor područja, opremu za otkrivanje i kontrolu pristupa
3.odgovaranje na posljedice incidenata, odupiranje njima i njihovo ublažavanje, uzimajući u obzir provedbu postupaka i protokola za upravljanje rizicima i kriznim situacijama te rutinske postupke upozoravanja;
4.oporavak od incidenata, uzimajući u obzir mjere za kontinuitet poslovanja i utvrđivanje alternativnih lanaca opskrbe kako bi se nastavilo s pružanjem ključne usluge
5.osiguravanje odgovarajućeg upravljanja sigurnošću zaposlenika i vanjskih pružatelja usluga, uzimajući u obzir mjere kao što su utvrđivanje kategorija osoblja koje obavlja kritične funkcije, utvrđivanje prava na pristup prostorima, kritičnoj infrastrukturi i osjetljivim informacijama, uspostavljanje postupaka za provjere podobnosti i određivanje kategorija osoba koje moraju proći te provjere podobnosti te utvrđivanje odgovarajućih kvalifikacija i zahtjeva u pogledu osposobljavanja
6.informiranje relevantnog osoblja o mjerama navedenima u podtočkama od 1. do 5. ove točke, uzimajući u obzir tečajeve osposobljavanja, informativne materijale i vježbe.
-popis odgovornih osoba za kontakt, popis institucija i službi koje se pozivaju u hitnom slučaju i druge podatke vezane uz provedbu sigurnosnog plana u hitnim situacijama
-popis radnih mjesta, funkcija i poslova koje obavljaju osobe za koje se provodi provjera podobnosti.
(2) Mjere za jačanje otpornosti kritičnih subjekata određuju se nacionalnim aktom strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona.
Drugi odgovarajući dokumenti i mjere
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 25.
(1) Ako je kritični subjekt, na temelju posebnih propisa, proveo druge procjene rizika ili izradio dokumente koji su značajni za procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima u svrhu procjene rizika iz članka 22. ovoga Zakona.
(2) Smatra se da je kritični subjekt izvršio obvezu izrade sigurnosnog plana ako je, na temelju posebnih propisa, izradio drugi planski dokument koji sadrži najmanje elemente propisane člankom 24. ovoga Zakona.
(3) Nadležno tijelo utvrđuje usklađenost procjena odnosno dokumenata iz stavka 1. i 2. ovoga članka sa odredbama ovoga Zakona.
(4) Pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga, nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti u skladu s obvezama iz članka 24. stavka 2. ovoga Zakona.
Norme
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 26.
Na sva sredstva, uređaje i ostalu opremu koja se koristi u zaštiti kritičnih subjekata kao i kvalitetu i sigurnost poslovanja, primjenjuju se hrvatske norme, a u izostanku hrvatskih normi, primjenjuju se europske norme kako je definirano u članku 2. točki 1. Uredbe (EU) br. 1025/2102 Europskog parlamenta i Vijeća, odnosno druge specijalizirane norme i prihvaćena pravila struke.
VI. PRIVATNA ZAŠTITA KRITIČNIH SUBJEKATA
Ugovaranje poslova i usluga
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 27.
(1) Kritični subjekti mogu obavljanje poslova privatne zaštite kritične infrastrukture ugovorom povjeriti pravnim osobama i obrtima koji posjeduju certifikat iz članka 28. ovoga Zakona.
(2) O ugovorima iz stavka 1. ovoga članka, kritični subjekt izvješćuje nadležno tijelo i Koordinativno tijelo.
(3) Za prekršaj iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Certifikat za provedbu privatne zaštite kritičnih subjekata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 28.
(1) Pravna osoba i obrt koji obavlja poslove privatne zaštite u objektima, sustavima i mrežama kritičnih subjekata mora biti certificiran sukladno uvjetima i na način propisan ovim Zakonom.
(2) Certifikat za provedbu privatne zaštite kritične infrastrukture iz stavka 1. ovoga članka izdaje se pravnim osobama i obrtima rješenjem tijela državne uprave nadležnog za poslove civilne zaštite.
(3) Certifikat se izdaje s rokom važenja od četiri godine, nakon čega se može obnoviti.
(4) Protiv rješenja iz stavka 2. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.
Uvjeti za ishođenje certifikata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 29.
(1) Pravnoj osobi i obrtu može se izdati certifikat za provedbu privatne zaštite kritične infrastrukture ako ispunjava sve sljedeće uvjete:
-posjeduje odobrenje nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti privatne zaštite – tjelesne i tehničke zaštite te za izradu prosudbe ugroženosti
-posjeduje potvrdu da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja
-posjeduje najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika
-posjeduje jedan ili više ISO certifikata vezanih uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti
-zaposlenici imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika te su za njih provedene provjere iz kaznene i prekršajne evidencije
-posjeduje dokaz o pozitivnom poslovanju u posljednje tri godine
-vlasnik, osnivač, predsjednik i članovi uprave, te osobe ovlaštene za zastupanje i zaposlenici nisu osuđivani za kaznena djela protiv čovječnosti i ljudskog dostojanstva, kaznena djela protiv Republike Hrvatske, kaznena djela protiv zdravlja ljudi, kaznena djela počinjena u sastavu zločinačkog udruženja, kaznena djela protiv javnog reda, koruptivnih kaznenih djela, kaznenih djela prijevare, pranja novca, utaje poreza ili carine, kaznena djela protiv radnih odnosa i socijalnog osiguranja te kaznenih djela protiv računalnih sustava, programa i podataka.
(2) Zahtjev za izdavanje certifikata podnosi se tijelu državne uprave nadležnom za poslove civilne zaštite.
(3) Uz zahtjev za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture prilažu se dokazi o ispunjavanju uvjeta iz stavka 1. podstavaka 2. do 6. ovoga članka.
(4) Tijelo iz stavka 2. ovoga članka pribavit će po službenoj dužnosti dokaze o ispunjavanju uvjeta iz stavka 1. podstavaka 1. i 7. ovoga članka.
(5) Pravnoj osobi i obrtu tijelo državne uprave nadležno za poslove civilne zaštite rješenjem će ukinuti certifikat u sljedećim slučajevima:
-ako se utvrdi da je pravna osoba i obrt prestala udovoljavati propisanim uvjetima iz stavka 1. ovoga članka
-kada kritični subjekt izvijesti tijelo državne uprave nadležno za poslove civilne zaštite da je za pravnu osobu i obrt uslijed nepoštivanja obveza preuzetih ugovorom vođen sudski postupak i donesena pravomoćna presuda u korist kritičnog subjekta
-ako se protiv vlasnika, osnivača pravne osobe, obrta i/ili odgovorne osobe u pravnoj osobi i obrtu vode kazneni ili prekršajni postupci koji su zapreka prema posebnom propisu koji uređuju djelatnost privatne zaštite
-ako postoje sigurnosne zapreke sukladno propisu kojim se uređuje područje sigurnosnih provjera.
(6) Protiv rješenja iz stavka 5. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.
(7) O izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture Koordinativno tijelo vodi registar koji sadrži: naziv pravne osobe i obrta, popis zaposlenika koji provode zaštitu kritične infrastrukture, datum izdavanja i važenja certifikata.
Obnova certifikata
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 30.
(1) Zahtjev za obnovu certifikata za provedbu privatne zaštite kritične infrastrukture pravna osoba i obrt dužan je podnijeti najkasnije tri mjeseca prije isteka roka na koji je izdan važeći certifikat.
(2) Na postupak obnove certifikata odgovarajuće se primjenjuju odredbe članka 29. ovog Zakona.
Obveze pravne osobe i obrta i njihovih zaposlenika koji provode
privatnu zaštitu kritične infrastrukture
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 31.
(1) Zaposlenici pravnih osoba i obrta koji provode privatnu zaštitu kritične infrastrukture dužni su čuvati i zaštititi poslovnu tajnu i osobne podatke naručitelja usluga, sukladno posebnim propisima iz područja zaštite tajnosti podataka i zaštite osobnih podataka, što se utvrđuje ugovorom iz članka 27. stavka 1. ovoga Zakona.
(2) Zaposlenici u pravnim osobama i obrtima za provedbu privatne zaštite kritične infrastrukture, te zaposlenici unutarnje službe zaštite kritičnog subjekta, moraju najmanje jednom u tri godine pohađati edukaciju koje organizira Koordinativno tijelo, o čemu se vodi evidencija u tijelu državne uprave nadležnom za poslove civilne zaštite.
(3) Edukacija iz stavka 2. ovoga članka se provodi iz sljedećih tematskih cjelina:
-metodologija za izradu analiza i procjenjivanje rizika od katastrofa za Republiku Hrvatsku,
-posljedice velikih nesreća i katastrofa po stanovništvo, materijalna i kulturna dobra i okoliš
-sadržaj procjene rizika i planova djelovanja civilne zaštite jedinica lokalnih i područnih (regionalnih) samouprava
-ugroženost i zaštita kritičnih infrastruktura
-obilježja prirodnih i tehničko-tehnoloških velikih nesreća i katastrofa
-operativne snage sustava civilne zaštite
-postupanje u odgovoru na prijetnje i incidente
-način izrade planskih dokumenata u civilnoj zaštiti i informiranja javnosti u postupku donošenja
-državni plan djelovanja civilne zaštite
-sadržaj procjene rizika i operativnih planova civilne zaštite pravnih osoba
-sadržaj procjene rizika i operativnih planova pravnih osoba koje obavljaju djelatnost s opasnim tvarima
-vanjski planovi jedinica područnih (regionalnih) samouprava za područja postrojenja koja obavljaju djelatnost s opasnim tvarima.
(4) Sadržaj i termini edukacija objavljuju se na internetskoj stranici tijela državne uprave nadležnog za poslove civilne zaštite.
VII. OBAVJEŠTAVANJE O INCIDENTIMA
Obavijest i utvrđivanje značaja incidenta
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 32.
(1) U slučaju incidenta, kritični subjekt dužan je, bez odgađanja, poduzeti mjere i aktivnosti za zaštitu kritične infrastrukture.
(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta, dužan je o incidentu koji ima značajan učinak na pružanje usluge i kontinuitet poslovanja, bez odgađanja izvijestiti nadležno tijelo i Koordinativno tijelo, a ako to nije moguće, prva obavijest mora biti dostavljena najkasnije u roku od 24 sata od saznanja da se dogodio incident.
(3) Kritični subjekt dužan je, najkasnije u roku od mjesec dana od dostave obavijesti o incidentu, dostaviti detaljno izvješće nadležnom tijelu.
(4) Obavijest o incidentu iz stavka 2. ovoga članka mora sadržavati detaljni opis incidenta, podatke o posljedicama incidenta te sažetak mjera koje su primijenjene za ublažavanje incidenta ili će se primjenjivati radi otklanjanja uočene ranjivosti i sprječavanja pojave budućih incidenata.
(5) U obavijesti iz stavka 2. ovoga članka moraju se navesti svi dostupni podaci koji su potrebni kako bi nadležno tijelo moglo utvrditi prirodu, uzrok i moguće posljedice incidenta, među ostalim sve dostupne podatke koji su potrebni za utvrđivanje svih prekograničnih učinaka incidenta.
(6) Pri utvrđivanju značaja incidenta, posebno se uzimaju u obzir sljedeći kriteriji:
-broj i udio korisnika na koje poremećaj utječe
-trajanje poremećaja
-geografsko područje pogođeno poremećajem, uzimajući u obzir moguću geografsku izoliranost područja.
(7) Nakon primitka obavijesti iz stavka 2. ovoga članka, nadležno tijelo će u najkraćem roku kritičnom subjektu dostaviti relevantne podatke koje se odnose na daljnje postupanje, uključujući podatke kojima bi se mogao poduprijeti djelotvoran odgovor kritičnog subjekta na incident.
(8) Kada se utvrdi da se radi o javnom interesu, Koordinativno tijelo će uz suglasnost nadležnog tijela i kritičnog subjekta, o incidentu obavijestiti javnost.
(9) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Prekogranični učinci incidenta
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 33.
(1) Na temelju podataka o incidentu, koje je kritični subjekt dostavio putem nadležnog tijela, Koordinativno tijelo obavješćuje jedinstvene kontaktne točke drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica.
(2) Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, Koordinativno tijelo je o incidentu dužno obavijestiti Europsku komisiju.
(3) Koordinativno tijelo dužno je s podacima iz stavka 1. ovoga članka postupati u skladu s pravnim aktima Europske unije odnosno posebnim propisima Republike Hrvatske, na način kojim se poštuje njihova povjerljivost i štiti sigurnost i komercijalni interes kritične infrastrukture na kojoj se dogodio incident.
VIII. PROVJERA PODOBNOSTI
Zahtjev za provjeru podobnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 34.
(1) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta može podnijeti zahtjev Koordinativnom tijelu za provjeru podobnosti osoba koje:
-imaju osjetljive funkcije u kritičnom subjektu ili obavljaju poslove za kritični subjekt, posebno u vezi s mjerama otpornosti i zaštite kritične infrastrukture
-imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću
-se razmatraju za zapošljavanje na prethodno navedene funkcije.
(2) Zahtjev iz stavka 1. ovoga članka podnosi se sukladno procjeni rizika kritičnog subjekta iz članka 22. ovoga Zakona i sigurnosnom planu iz članka 23. ovoga Zakona.
(3) Zahtjevi iz stavka 1. ovoga članka ocjenjuju se u razumnom roku i obrađuju u skladu s nacionalnim pravom i postupcima o obradi i zaštiti osobnih podataka, te u skladu s relevantnim pravom Europske unije o obradi osobnih podataka, a provjere podobnosti su razmjerne i strogo ograničene na nužne potrebe, isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt.
(4) Koordinativno tijelo dostavlja odgovor na zahtjev iz stavka 1. ovoga članka u roku od deset radnih dana od datuma njegovog primitka.
Provjera podobnosti
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 35.
(1) Provjera podobnosti obuhvaća:
-provjeru identiteta osobe za koju se provodi provjera podobnosti
-evidentiranost u kaznenim evidencijama osobe u pogledu kažnjivih djela koja se progone po službenoj dužnosti i prekršaj protiv javnog reda i mira s elementima nasilja, a koja su relevantna za specifično radno mjesto kod kritičnog subjekta
-evidentiranost u evidencijama Sigurnosno-obavještajne agencije u pogledu aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa.
(2) U cilju provođenja provjere podobnosti za osobe iz stavka 1. ovoga članka, preko tijela državne uprave nadležnog za pravosuđe, Koordinativno tijelo podnosi zahtjev za provjeru i kroz Europski informacijski sustav kaznene evidencije za potrebe dobivanja podataka iz nacionalnih kaznenih evidencija i iz kaznenih evidencija drugih država članica.
(3) U svrhu provođenja provjere podobnosti iz stavka 1. Koordinativno tijelo će od osobe za koju se provjera provodi, a koja je strani državljanin, zatražiti podatke iz stavka 1. podstavka 2. ovoga članka o evidentiranosti u kaznenim evidencijama matične države.
(4) Provjere podobnosti iz stavka 1. ovoga članka razmjerne su i strogo ograničene na ono što je nužno.
IX. SIGURNOSNI KOORDINATORI ZA KRITIČNU INFRASTRUKTURU
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 36.
Poslove koordiniranja provedbe svih mjera i postupaka u zaštiti kritične infrastrukture i jačanju otpornosti kritičnih subjekata u nadležnom tijelu i kritičnom subjektu obavlja sigurnosni koordinator za kritičnu infrastrukturu i njegov zamjenik.
Sigurnosni koordinator u nadležnom tijelu
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 37.
(1) Čelnik nadležnog tijela odlukom određuje sigurnosnog koordinatora za kritičnu infrastrukturu za svaki sektor iz svog djelokruga.
(2) Poslovi sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu obuhvaćaju:
-upravljanje, rukovođenje i nadzor rada sigurnosnog stručnog tima u tijelu
-provođenje edukacije tima vezano uz procese procjene rizika, upravljanja rizicima i zaštite kritičnih subjekata
-koordiniranje provedbe postupka utvrđivanja kritičnih subjekata
-sastavljanje prijedloga utvrđenih kritičnih subjekata i dostava koordinativnom tijelu
-po utvrđenim kritičnim subjektima ostvarivanje kontinuirane suradnje i komunikacije s kritičnim subjektima
-iniciranje, sudjelovanje i provedba edukacije kritičnih subjekata
-sudjelovanje u izradi procjene rizika kritičnog subjekta i nacionalne procjene rizika kritične infrastrukture
-provođenje stručnog nadzora uspostave mjera zaštite sukladno provedbenim dokumentima.
(3) Za sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu i njegovog zamjenika provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.
(4) Nadležno tijelo podnosi zahtjev za provođenje sigurnosne provjere za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika Sigurnosno - obavještajnoj agenciji.
Sigurnosni koordinator kritičnog subjekta
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 38.
(1) Kritični subjekt dužan je u što kraćem roku odrediti i nadležnom tijelu dostaviti prijedlog za imenovanje sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika, koji je u provedbi mjera i postupaka u zaštiti i jačanja otpornosti odgovoran za komunikaciju između kritičnog subjekta i nadležnog tijela.
(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta obavlja sljedeće poslove:
-upravlja, rukovodi i nadzire rad sigurnosnog tima
-sastavlja i nadzire provedbu sigurnosnih dokumenata
-komunicira i koordinira aktivnosti s nadležnim ijelima i drugim službama
-u suradnji s nadležnim tijelima i regulatornim tijelima izrađuje procjenu rizika
-osigurava i nadzire uspostavu, funkcionalnost, ispravnost i pravodobno servisiranje sustava tehničke zaštite, te ostalih sustava zaštite
-nadzire provedbu svih oblika zaštite.
(3) Za prekršaje iz ovoga članka može odgovarati samo prekršajno odgovorna pravna osoba.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 39.
(1) Za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika prije njihovog imenovanja provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.
(2) Nadležno tijelo na temelju zaprimljenog prijedloga, a čiji je sastavni dio ispunjen i potpisan upitnik za sigurnosnu provjeru, podnosi zahtjev za provođenje sigurnosne provjere.
(3) Nakon zaprimljenog izvješća o rezultatima sigurnosne provjere, nadležno tijelo imenuje sigurnosnog koordinatora za kritičnu infrastrukturu o čemu obavještava podnositelja prijedloga iz stavka 2. ovoga članka i Koordinativno tijelo.
Osposobljavanje sigurnosnog koordinatora za kritičnu infrastrukturu
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 40.
(1) Nadležna tijela i kritični subjekti dužni su omogućiti osposobljavanje sigurnosnih koordinatora za kritičnu infrastrukturu.
(2) Osposobljavanje iz stavka 1. ovoga članka provodi Koordinativno tijelo, u suradnji sa znanstvenim i stručnim institucijama.
(3) Sigurnosnom koordinatoru, po završetku osposobljavanja, izdaje se potvrda koja vrijedi za razdoblje od četiri godine.
(4) Po proteku roka iz članka 4. ovoga članka, sigurnosni koordinator je u obvezi obnoviti potvrdu.
(5) Ministar pravilnikom propisuje program i način provedbe osposobljavanja za obavljanje poslova sigurnosnog koordinatora za kritičnu infrastrukturu.
X. KRITIČNI SUBJEKTI OD POSEBNOG EUROPSKOG ZNAČAJA
Utvrđivanje kritičnih subjekata od posebnog europskog značaja
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 41.
(1) Ako kritični subjekt pruža ključne usluge za šest ili više država članica ili u šest ili više država članica, dužan je obavijestiti nadležno tijelo o ključnim uslugama koje pruža za ili u takvim državama članicama te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge.
(2) Nadležno tijelo obavješćuje Koordinativno tijelo o utvrđivanju kritičnih subjekata iz stavka 1. ovoga članka, a Koordinativno tijelo obavijest o utvrđivanju takvih kritičnih subjekata i o uslugama koje oni pružaju bez nepotrebne odgode dostavlja Europskoj komisiji.
(3) Kada Europska komisija, na temelju savjetovanja s nadležnim tijelima država članica u kojima ili za koje se pružaju kritične usluge te sa kritičnim subjektom, utvrdi da kritični subjekt pruža ključne usluge za ili u šest ili više država članica, obavijestit će nadležno tijelo da se kritični subjekt smatra kritičnim subjektom od europskog značaja te o njegovim obvezama.
(4) Nadležno tijelo obavijest iz stavka 3. ovoga članka, bez nepotrebne odgode, dostavlja kritičnom subjektu.
(5) Kritični subjekt smatra se kritičnim subjektom od europskog značaja od datuma primitka obavijesti iz stavka 4. ovoga članka.
Savjetodavne misije
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 42.
(1) Koordinativno tijelo, na zahtjev nadležnog tijela i uz suglasnost Vlade, može podnijeti Europskoj komisiji zahtjev za organiziranje savjetodavne misije kako bi se procijenile mjere otpornosti i zaštite kritične infrastrukture koje uspostavlja kritični subjekt kojega je potvrdila Republika Hrvatska, a utvrđen je kao kritični subjekt od posebnog europskog značaja.
(2) Europska komisija može, i na vlastitu inicijativu kao i na zahtjev jedne ili više država članica kojima ili u kojima se pruža ključna usluga, organizirati savjetodavnu misiju ako je s time suglasna država koja je utvrdila kritični subjekt.
(3) Na obrazloženi zahtjev Europske komisije ili jedne ili više država kojima se pruža ili u kojima se pruža ključna usluga, Koordinativno tijelo će za potvrđeni kritični subjekt koji je od posebnog europskog značaja dostaviti:
-relevantne dijelove procjene rizika kritičnog subjekta
-popis relevantnih mjera za otpornost kritičnih subjekata poduzetih u skladu s člankom 24. ovoga Zakona
-nadzorne ili mjere izvršavanja, uključujući procjene usklađenosti ili izdane naloge, koje je njezino nadležno tijelo poduzelo na temelju članaka 45. do 48. ovoga Zakona u pogledu tog kritičnog subjekta.
(4) Nalazi savjetodavne misije dostavljaju se Europskoj komisiji, Koordinativnom tijelu te državama kojima se pruža ili u kojima se pruža ključna usluga i kritičnom subjektu u roku od tri mjeseca nakon zaključenja savjetodavne misije.
(5) Koordinativno tijelo, u suradnji s nadležnim tijelom, analizira nalaz iz stavka 4. ovoga članka i ako je potrebno, savjetuje Europsku komisiju o tome ispunjava li kritični subjekt od posebnog europskog značaja svoje obveze i prema potrebi, koje bi se mjere mogle poduzeti radi poboljšanja otpornosti tog kritičnog subjekta.
(6) Europska komisija na temelju savjeta iz stavka 5. ovoga članka dostavlja mišljenje Koordinativnom tijelu o ispunjavanju obaveza kritičnog subjekata i poboljšanju mjera.
(7) Nadležno tijelo i kritični subjekt od posebnog europskog značaja su dužni uzeti u obzir mišljenje iz stavka 6. ovoga članka te Europskoj komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga dostavljati informacije o mjerama poduzetima na temelju tog mišljenja.
(8) Ako je Republika Hrvatska potvrdila kritični subjekt od europskog značaja ili takav subjekt pruža usluge u ili za Republiku Hrvatsku, u savjetodavnim misijama iz stavka 1. i 2. ovoga članka sudjeluju i stručnjaci iz Republike Hrvatske, koje imenuje Europska komisija, u skladu s njihovim stručnim sposobnostima nakon savjetovanja s državom članicom koja je utvrdila kritični subjekt.
(9) Članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri.
(10) Europska komisija snosi troškove sudjelovanja u savjetodavnim misijama te organizira program svake savjetodavne misije uz savjetovanje s članovima savjetodavne misije i u dogovoru s Koordinativnim tijelom.
(11) Kritični subjekti od posebnog europskog značaja moraju omogućiti savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu savjetodavne misije.
(12) Savjetodavne misije provode se u skladu s važećim nacionalnim pravom, poštujući odgovornost Republike Hrvatske za nacionalnu sigurnost i zaštitu sigurnosnih interesa.
Jedinstvena kontaktna točka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 43.
(1) Jedinstvena kontaktna točka za razmjenu informacija i koordiniranje aktivnosti u vezi s europskom kritičnom infrastrukturom s drugim državama članicama i tijelima Europske unije je Koordinativno tijelo.
(2) Podaci o jedinstvenoj kontaktnoj točki (telefonski broj i adresa elektroničke pošte) i upute za prijavu iznenadnih događaja u kritičnim infrastrukturama, dostupni su na službenim mrežnim stranicama Koordinativnog tijela i nadležnih tijela.
(3) Jedinstvena kontaktna točka iz stavka 1. ovoga članka do 17. srpnja 2028., te nakon toga svake dvije godine, podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima o izvanrednim događajima u kritičnim infrastrukturama, uključujući broj obavijesti, prirodu prijavljenih incidenata i poduzete mjere.
(4) Razmjena informacija o kritičnim subjektima od posebnog europskog značaja putem jedinstvenih kontaktnih točaka država članica ne isključuje prava i obveze drugih tijela državne uprave za razmjenu informacija, znanja i iskustava sa nadležnim tijelima drugih država članica.
XI. POSTUPANJE S PODACIMA O KRITIČNOJ INFRASTRUKTURI
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 44.
(1) Popis kritičnih subjekata, podaci o kritičnim subjektima, kao i svi drugi podaci koji nastaju u svrhu provedbe ovoga Zakona koriste se isključivo u svrhu provedbe zahtjeva iz ovoga Zakona i javno se ne objavljuju.
(2) Popis i podaci iz stavka 1. ovoga članka predstavljaju informacije u odnosu na koje je moguće ograničiti pravo pristupa korisniku informacija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se provodi prema odredbama posebnog zakona kojim se uređuje pravo na pristup informacijama.
(3) Nadležna tijela dužna su pri razmjeni podataka iz stavka 1. ovoga članka voditi računa o potrebi ograničavanja pristupa podacima kada je to potrebno u svrhu sprječavanja, otkrivanja, provođenja istraživanja i vođenja kaznenog postupka.
(4) U postupanju s klasificiranim podacima i podacima označenim oznakom „NEKLASIFICIRANO“ primjenjuju se mjere i standardi informacijske sigurnosti čiju primjenu nadzire središnje državno tijelo nadležno za informacijsku sigurnost sukladno propisima kojima se uređuje informacijska sigurnost.
(5) U postupanju s podacima koji se odnose na kritične subjekte od posebnog europskog značaja primjenjuju se odredbe međunarodnog sporazuma država članica kojim se kritičnoj infrastrukturi određuje taj status, a razmjena, uzajamna zaštita te drugo postupanje s klasificiranim podacima iz stavka 4. ovoga članka, provodi se u skladu s odredbama sklopljenog međunarodnog ugovora država članica o razmjeni i uzajamnoj zaštiti klasificiranih podataka.
(6) Ministar pravilnikom propisuje klasificiranje podataka i kriterije za određivanje stupnjeva tajnosti za podatke iz područja kritičnih infrastruktura te za druge podatke povezane s pojedinačnim kritičnim subjektom, ako je klasificiranje takvih podataka potrebno radi zaštite vrijednosti štićenih propisom o tajnosti podataka.
XII. NADZOR
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 45.
(1) Inspekcijski nadzor nad provedbom ovoga Zakona i na temelju njega donesenih propisa provode inspektori državnog tijela nadležnog za poslove civilne zaštite.
(2) U inspekcijskom nadzoru inspektori nadziru ispunjavanje uvjeta i način rada osoba koje su obvezne provoditi mjere i aktivnosti Zakona, obavljaju izravan uvid u prostore koje kritični subjekti upotrebljavaju za pružanje svojih usluga na lokaciji kao i uvid u opće i pojedinačne akte kojima se osigurava otpornost kritičnih subjekata.
(3) Ako se inspekcijskim nadzorom utvrdi povreda Zakona, inspektor ima pravo i obvezu:
-narediti otklanjanje utvrđenih nedostataka odnosno nepravilnosti u određenom roku
-pokrenuti prekršajni postupak ako se nepravilnosti ne otklone u određenom roku
-zatražiti od nadležnog tijela provedbu revizije u pogledu kritičnih subjekata
-poduzeti druge mjere i izvršiti druge radnje koje je ovlašten poduzeti i izvršiti na temelju ovoga Zakona i posebnog propisa.
(4) Ako tijekom inspekcijskog nadzora inspektor utvrdi da nije ovlašten izravno postupati, izvijestit će nadležno tijelo ili regulatorno tijelo te zatražiti pokretanje postupka i poduzimanje mjera u skladu s posebnim propisima.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 46.
Radi osiguranja jedinstvenog pristupa analizi rizika kritičnih subjekata, primjenu međusektorskih mjerila iz članka 15. ovoga Zakona kod svih sudionika provedbe Zakona utvrđuje Koordinativno tijelo, a primjenu sektorskih mjerila kritičnih subjekata u analizi rizika utvrđuju nadležna tijela i regulatorna tijela u sektorima iz svog djelokruga.
XIII. PREKRŠAJNE ODREDBE
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 47.
(1) Novčanom kaznom u iznosu od 65.000,00 – 130.000,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:
-ne izradi procjenu rizika kritičnog subjekta u propisanom roku (članak 22. stavak 1.)
-ne izradi sigurnosni plan u propisanom roku, a nema drugi odgovarajući dokument koji zamjenjuje sigurnosni plan sukladno članku 25. ovoga Zakona (članak 23. stavak 2.)
-obavljanje poslova zaštite kritične infrastrukture ugovorom povjeri pravnoj osobi i obrtu koji ne posjeduje certifikat za provedbu privatne zaštite kritične infrastrukture (članak 27. stavak 1.)
-u slučaju incidenta ne poduzme bez odgađanja mjere i aktivnosti za zaštitu kritične infrastrukture (članak 32. stavak 1.)
(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1.300,00 – 6.000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi - kritičnom subjektu.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 48.
(1) Novčanom kaznom u iznosu od 20.000,00 – 64.999,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:
-nadležnom tijelu u propisanom roku ne dostavi obavijest o donošenju sigurnosnog plana (članak 23. stavak 4.)
-nadležnom i koordinativnom tijelu u propisanom roku ne dostavi izviješće o incidentu (članak 32. stavak 3.)
-ne odredi sigurnosnog koordinatora za kritičnu infrastrukturu (članak 38. stavak 1.)
(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1.300,00 do 6000,00 eura i kaznit će se i odgovorna osoba u pravnoj osobi - kritičnom subjektu.
XIV. PRIJELAZNE I ZAVRŠNE ODREDBE
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 49.
(1) Vlada će do 17. siječnja 2026. donijeti akt strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona.
(2) Vlada će do 17. siječnja 2026. donijeti Nacionalnu procjenu rizika kritične infrastrukture iz članka 12. ovoga Zakona.
(3) Nadležna tijela dužna su Koordinativnom tijelu dostaviti prijedlog popisa kritičnih subjekata za sektore iz svoje nadležnosti u roku od tri mjeseca od dana donošenja Nacionalne procjene rizika kritične infrastrukture.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 50.
(1) Do stupanja na snagu pravilnika iz članka 14. stavka 2. ovoga Zakona ostaje na snazi Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, broj 47/16 i 93/17).
(2) Ministar će pravilnike iz članka 14. stavka 2. i članka 44. stavka 6. ovoga Zakona donijeti u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.
(3) Ministar će pravilnik iz članka 40. stavka 5. ovoga Zakona donijeti u roku od godinu dana od stupanja na snagu ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 51.
(1) Ministar će donijeti odluku o međusektorskim mjerilima iz članka 15. stavka 2. ovoga Zakona u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.
(2) Nadležna tijela dužna su donijeti sektorska mjerila iz članka 16. stavka 1. ovoga Zakona u roku od tri mjeseca od dana donošenja odluke iz stavka 1. ovoga članka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 52.
(1) Stupanjem na snagu ovoga Zakona, pravne osobe i obrti koji obavljaju poslove privatne zaštite kritične infrastrukture na temelju ugovora sklopljenih do stupanja na snagu ovoga Zakona, nastavljaju obavljati te poslove do isteka roka na koji je ugovor zaključen.
(2) U razdoblju od godine dana od dana stupanja na snagu ovoga Zakona, kritični subjekt može ugovorom povjeriti obavljanje poslova privatne zaštite objekata, mreža i sustava pravnoj osobi ili obrtu koji su podnijeli zahtjev za izdavanje certifikata iz članka 29. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 53.
Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o kritičnim infrastrukturama („Narodne novine“, broj 56/13 i 114/22).
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 54.
Ovaj Zakon stupa na snagu osmoga dana od dana objave u „Narodnim novinama“.
Komentirate u ime: Ministarstvo unutarnjih poslova
PRILOG I.
Komentirate u ime: Ministarstvo unutarnjih poslova
POPIS SEKTORA, PODSEKTORA I KATEGORIJA IZ KOJIH SE UTVRĐUJU KRITIČNI SUBJEKTI TE KLJUČNE USLUGE KOJE PRUŽAJU
Redni broj
Sektor
Podsektor
Kategorije subjekata
Ključne usluge
1.
Energetika
(a) električna energija
(b) centralizirano grijanje i hlađenje
(c) nafta
(d) plin
(e) vodik
- elektroenergetski subjekti koju obavljaju funkciju opskrbe električnom energijom, uključujući opskrbu električnom energijom koja se obavlja kao javna usluga
Pojam „ elektorenergetski subjekt “ u smislu ovoga Zakona znači pravna ili fizička osoba, koja nije krajnji kupac, a koja obavlja najmanje jednu od elektroenergetskih djelatnosti i koja je odgovorna za komercijalne i tehničke zadaće i zadaće održavanja koje su povezane s tim djelatnostima.
Pojam „o pskrba električnom energijom “ u smislu ovoga Zakona znači kupnja i prodaja električne energije na veleprodajnom tržištu, prodaja električne energije krajnjim kupcima i skladištima energije, otkup električne energije od aktivnih kupaca, skladišta energije i proizvođača te agregiranje.
Pojam „ opskrba električnom energijom koja se obavlja kao javna usluga “ u smislu ovoga Zakona znači opskrba električnom energijom onih krajnjih kupaca koji imaju pravo na takav način opskrbe i slobodno ga izaberu ili koriste po automatizmu.
Pojmovi „ elektroenergetski subjekt“, „ opskrba električnom energijom“ i „ opskrba električnom energijom koja se obavlja kao javna usluga“ istovjetni su pojmovima iz članka 3. stavka 1. točaka 17., 77. i 78. Zakona o tržištu električne energije („Narodne novine“, broj: 111/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva (EU) 2019/944 Europskog parlamenta i Vijeća od 5. lipnja 2019. o zajedničkim pravilima za unutarnje tržište električne energije i izmjeni Direktive 2012/27/EU (SL L 158, 14. 6. 2019.).
- operatori distribucijskog sustava
Pojam „ operator distribucijskog sustava ” u smislu ovoga Zakona znači fizička ili pravna osoba odgovorna za pogon i vođenje, održavanje, razvoj i izgradnju distribucijske mreže na danom području kao i zajedničkih postrojenja prema prijenosnoj mreži i, kada je to primjenjivo, međusobno povezivanje s drugim distribucijskim sustavima te za osiguravanje dugoročne sposobnosti distribucijske mreže da zadovolji razumne zahtjeve za distribuciju električne energije.
Pojam „operator distribucijskog sustava“ istovjetan je pojmu iz članka 3. stavka 1. točke 71. Zakona o tržištu električne energije.
-operatori prijenosnog sustava
Pojam „ operator prijenosnog sustava ” u smislu ovoga Zakona znači fizička ili pravna osoba odgovorna za pogon i vođenje, održavanje, razvoj i izgradnju prijenosne mreže na danom području, prekograničnih prijenosnih vodova prema drugim prijenosnim mrežama kao i zajedničkih postrojenja prema distribucijskoj mreži te za osiguravanje dugoročne sposobnosti prijenosne mreže da zadovolji razumne zahtjeve za prijenos električne energije.
Pojam „ operator prijenosnog sustava“ istovjetan je pojmu iz članka 3. stavka 1. točke 72. Zakona o tržištu električne energije.
- proizvođač električne energije
Pojam „proizvođač električne energije” u smislu ovoga Zakona znači fizička ili pravna osoba koja proizvodi električnu energiju.
Pojam „proizvođač električne energije” istovjetan je pojmu iz članka 3. stavka 1. točke 90. Zakona o tržištu električne energije.
- nominirani operatori tržišta električne energije je operator tržišta kojeg je nadležno tijelo odredilo za obavljanje zadaća povezanih s jedinstvenim povezivanjem dan unaprijed ili jedinstvenim unutardnevnim povezivanjem, sukladno članku 2. točki 8. Uredbe (EU) 2019/943 Europskog parlamenta i Vijeća od 5. lipnja 2019. o unutarnjem tržištu električne energije (SL L 158, 14. 6. 2019.)
Pojmovi „ agregiranje ”, „ upravljanje potrošnjom ” i „ skladištenje energije ” istovjetni su pojmovima iz članka 3. stavka 1. točaka 4., 93. i 109. Zakona o tržištu električne energije.
- operator sustava centraliziranog grijanja ili centraliziranog hlađenja
Pojam „centralizirano grijanje ili centralizirano hlađenje“ u smislu ovoga Zakona znači distribucija toplinske energije u obliku pare, vruće vode ili pothlađenih tekućina iz centralnih ili decentraliziranih proizvodnih postrojenja putem centralnih i zatvorenih toplinskih sustava u više zgrada ili na više lokacija radi uporabe za zagrijavanje ili hlađenje prostora ili procesa.
Pojam „centralizirano grijanje ili centralizirano hlađenje“ istovjetan je pojmu iz članka 4. stavka 1. točke 4. Zakona o obnovljivim izvorima energije i visokoučinkovitoj kogeneraciji („Narodne novine“, broj: 138/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2018/2001 Europskog parlamenta i Vijeća od 11. prosinca 2018. o promicanju uporabe energije iz obnovljivih izvora (preinaka) (Tekst značajan za EGP) (SL L 328, 21. 12. 2018.).
- operatori naftovoda
- operatori proizvodnje nafte, rafinerija i tvornica nafte, skladištenja i prijenosa
- središnja tijela za zalihe
Pojam „ središnje tijelo za zalihe“ u smislu ovoga Zakona znači Agencija za ugljikovodike, kao središnje tijelo u Republici Hrvatskoj za obvezne zalihe nafte i naftnih derivata, koja je jedinstveno tijelo ovlašteno formirati, održavati i prodavati obvezne zalihe.
Pojam „ središnje tijelo za zalihe“ istovjetan je pojmu iz članka 3. stavka 2. točke 5. Zakona o tržištu nafte i naftnih derivata („Narodne novine“, broj: 138/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/119/EZ Europskog parlamenta i Vijeća od 14. rujna 2009. kojom se države članice obvezuju održavati minimalne zalihe sirove nafte i/ili naftnih derivata (SL L 265/9 od 9. 10. 2009.) .
- opskrbljivači plinom, uključujući opskrbljivače u obvezi javne usluge
Pojam „opskrbljivač plinom“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost opskrbe plinom.
Pojam „opskrbljivač plinom u obvezi javne usluge“ u smislu ovoga Zakona znači opskrbljivač plinom koji obavlja energetsku djelatnost opskrbe u obvezi javne usluge.
Pojam „ opskrba plinom“ u smislu ovoga Zakona znači prodaja ili preprodaja plina kupcu, uključujući prodaju ili preprodaju UPP-a i SPP-a.
Pojam „ opskrba plinom u obvezi javne usluge“ u smislu ovoga Zakona znači opskrba plinom koja se u općem gospodarskom interesu obavlja po reguliranim uvjetima radi osiguravanja sigurnosti, redovitosti, kvalitete i cijene opskrbe kućanstava.
Pojmovi „opskrbljivač plinom“, „opskrbljivač plinom u obvezi javne usluge“ , „ opskrba plinom“ i „ opskrba plinom u obvezi javne usluge“ istovjetni su pojmovima iz članka 3. stavka 2. točaka 36., 37., 38. i 39. Zakona o tržištu plina („Narodne novine“, broj: 18/18 i 23/20), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/73/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o zajedničkim pravilima za unutarnje tržište prirodnog plina i stavljanju izvan snage Direktive 2003/55/EZ (Tekst značajan za EGP) (SL L 211, 14. 8. 2009.)
- operatori distribucijskog sustava
Pojam „operator distribucijskog sustava“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost distribucije plina i odgovoran je za rad, održavanje i razvoj distribucijskog sustava na svom distribucijskom području i, gdje je izvodivo, njegovo povezivanje s drugim sustavima te za osiguranje dugoročne sposobnosti sustava da zadovoljava razumne potrebe za distribucijom plina.
Pojam „distribucija plina“ u smislu ovoga Zakona znači razvod plina distribucijskim sustavom visoke, srednje i niske tlačne razine radi isporuke plina krajnjim kupcima, uključujući pomoćne usluge, a isključujući opskrbu plinom.
Pojam „distribucijski sustav“ u smislu ovoga Zakona znači sustav plinovoda i ostalih pripadajućih objekata i opreme koji su u vlasništvu i/ili kojima upravlja operator distribucijskog sustava, a koji se koristi za distribuciju plina, nadzor i upravljanje, mjerenje i prijenos podataka.
Pojmovi „operator distribucijskog sustava“, „distribucija plina“ i „distribucijski sustav“ istovjetni je pojmovima iz članka 3. stavka 2. točaka 5., 6. i 30. Zakona o tržištu plina.
- operatori transportnog sustava
Pojam „operator transportnog sustava“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost transporta plina i odgovoran je za rad, održavanje i razvoj transportnog sustava na određenom području i gdje je izvodivo, njegovo povezivanje s drugim sustavima te za osiguranje dugoročne sposobnosti sustava da zadovoljava razumne potrebe za transportom plina.
Pojam „t ransport plina “ u smislu ovoga Zakona znači prijenos plina kroz transportni sustav, isključujući opskrbu plinom i trgovinu plinom, a uključujući tranzit plina i pomoćne usluge.
Pojam „ transportni sustav “ u smislu ovoga Zakona znači objekt koji je u vlasništvu i/ili kojim upravlja operator transportnog sustava, a koji čine sustav visokotlačnih plinovoda, kompresorske stanice, mjerne stanice, mjerno-redukcijske stanice, plinski čvorovi i ostali tehnološki objekti i oprema koji se koriste za transport plina, nadzor i upravljanje, mjerenje i prijenos podataka, isključujući mrežu proizvodnih plinovoda i visokotlačne distribucijske plinovode, uključujući plin za tehnološke kapacitete kojima se isključivo koristi operator transportnog sustava i operativnu akumulaciju.
Pojmovi „operator transportnog sustava“ , „ t ransport plina “ i „ transportni sustav “ istovjetni su pojmovima iz članka 3. stavka 2. točaka 34., 58. i 59. Zakona o tržištu plina.
- operatori sustava skladišta plina
Pojam „operator sustava skladišta plina“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost skladištenja plina i odgovoran je za rad, održavanje i razvoj sustava skladišta plina.
Pojam „skladištenje plina“ u smislu ovoga Zakona znači utiskivanje plina u sustav skladišta plina, skladištenje plina u radnom volumenu sustava skladišta plina i povlačenje plina iz sustava skladišta plina, uključujući pomoćne usluge.
Pojmovi „operator sustava skladišta plina“ i „skladištenje plina“ istovjetni su pojmovima iz članka 3. stavka 2. točaka 54. i 56. Zakona o tržištu plina.
- operatori terminala za UPP
Pojam „operator terminala za UPP“ u smislu ovoga Zakona znači energetski subjekt koji obavlja energetsku djelatnost upravljanja terminalom za UPP i odgovoran je za rad, održavanje i razvoj terminala za UPP.
Pojam „terminal za UPP“ u smislu ovoga Zakona znači terminal koji se koristi za ukapljivanje prirodnog plina ili prihvat, iskrcaj i ponovno uplinjavanje UPP-a, uključujući pomoćne usluge i privremeno skladištenje potrebno za postupak ponovnog uplinjavanja i daljnju otpremu u transportni sustav, ali isključujući dijelove terminala za UPP koji se koriste za skladištenje.
Pojmovi „operator terminala za UPP“ i „terminal za UPP“ istovjetni su pojmovima iz članka 3. stavka 2. točaka 33. i 57. Zakona o tržištu plina.
- poduzeća za prirodni plin
Pojam „poduzeće za prirodni plin“ u smislu ovoga Zakona, a u skladu sa zakonom koji uređuje tržište plina, znači fizička ili pravna osoba koja obavlja najmanje jednu od sljedećih funkcija: proizvodnju, transport, distribuciju, opskrbu, nabavu ili skladištenje prirodnog plina, uključujući UPP, a odgovorna je za komercijalne i tehničke zadatke i/ili zadatke održavanja, koji su povezani s tim funkcijama, isključujući krajnje kupce.
- operatori postrojenja za rafiniranje i obradu prirodnog plina
- operatori proizvodnje, skladištenja i prijenosa vodika
a) Električna energija
(I) opskrba električnom energijom (elektroenergetski subjekti);
(II) rad, održavanje i razvoj sustava za distribuciju električne energije (operatori distribucijskih sustava);
(III) rad, održavanje i razvoj prijenosnog sustava za električnu energiju (operatori prijenosnog sustava);
(IV) proizvodnja električne energije (proizvođači);
(V) usluga nominiranog operatora tržišta električne energije (nominirani operatori tržišta električne energije);
(VI) upravljanje potrošnjom (sudionici na tržištu električne energije);
(VII) agregiranje električne energije (sudionici na tržištu električne energije);
(VIII) skladištenje energije (sudionici na tržištu električne energije);
(b) centralizirano grijanje i hlađenje:
(I) pružanje centraliziranoga grijanja ili centraliziranog hlađenja (operatori centraliziranog grijanja ili hlađenja);
(c) nafta:
(I) prijenos nafte (operatori naftovoda);
(II) proizvodnja nafte (operatori proizvodnje nafte);
(III) rafiniranje i obrada nafte (operatori postrojenja za rafiniranje i obradu nafte);
(IV) skladištenje nafte (operatori skladištenja nafte);
(V) upravljanje naftnim zalihama, uključujući zalihe za slučaj nužde i posebne zalihe nafte (središnja tijela za zalihe nafte);
(d) plin
(I) opskrba plinom (poduzeće za opskrbu);
(II) distribucija plina (operatori distribucijskog sustava);
(III) prijenos plina (operatori transportnog sustava);
(IV) skladištenje plina (operatori sustava skladišta plina);
(V) rad sustava ukapljenog prirodnog plina (UPP) (operatori terminala za UPP);
(VI) proizvodnja prirodnog plina (poduzeća za prirodni plin);
(VII) kupnja prirodnog plina (poduzeća za prirodni plin);
(VIII) rafiniranje i obrada prirodnog plina (operatori postrojenja za rafiniranje i obradu prirodnog plina);
(e) vodik:
(I) proizvodnja vodika (operatori proizvodnje vodika);
(II) skladištenje vodika (operatori skladištenja vodika);
(III) prijenos vodika (operatori prijenosa vodika);
2.
Promet
(a) zračni promet
(b) željeznički promet
(c) pomorski promet i promet unutarnjim plovnim putovima
(d) cestovni promet
(e) javni prijevoz
- zračni prijevoznici znači poduzeće za zračni prijevoz koje posjeduje valjanu operativnu licencu ili istovrijedni dokument, sukladno članku 3. točki 4. Uredbe (EZ) br. 300/2008 Europskog parlamenta i Vijeća od 11. ožujka 2008. o zajedničkim pravilima u području zaštite civilnog zračnog prometa i stavljanju izvan snage Uredbe (EZ) br. 2320/2002 (SL L 97, 9.4.2008.) koji se upotrebljavaju u komercijalne svrhe
- upravna tijela zračne luke, zračne luke, uključujući osnovne zračne luke navedene u odjeljku 2. Priloga II. Uredbi (EU) br. 1315/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o smjernicama Unije za razvoj transeuropske prometne mreže i stavljanju izvan snage Odluke br. 661/2010/EU (Tekst značajan za EGP) , te tijela koja upravljaju pomoćnim objektima u zračnim lukama
Pojam „upravno tijelo zračne luke“ u smislu ovoga Zakona znači tijelo koje, pored drugih aktivnosti ili ne, ima prema nacionalnim propisima ili ugovorima za cilj rukovođenje i upravljanje infrastrukturom zračne luke, te koordinaciju i nadzor djelatnosti različitih operatora u dotičnoj zračnoj luci.
Pojam „zračna luka“ u smislu ovoga Zakona znači svaka površina koja je posebno prilagođena za slijetanje, uzlijetanje i manevriranje zrakoplova, uključujući i pripadajuće objekte, sredstva i uređaje namijenjene za odvijanje zračnog prometa i pružanje usluga, te objekte, sredstva i uređaje za pomoć u pružanju usluga komercijalnog zračnog prijevoza.
Pojmovi „upravno tijelo zračne luke“ i „zračna luka“ istovjetni su pojmovima iz članka 3. stavka 1. podstavaka 1. i 2. Pravilnika o naknadama zračnih luka („Narodne novine“, broj: 65/2015) kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2009/12/EZ Europskog parlamenta i Vijeća od 11. ožujka 2009. o naknadama zračnih luka.
- pružatelji usluga kontrole zračnog prometa (ATC) kako su definirani u članku 2. točki 1. Uredbe (EZ) br. 549/2004 Europskog parlamenta i Vijeća od 10. ožujka 2004. o definiranju pravnog okvira za stvaranje jedinstvenog europskog neba (Okvirna uredba) i Izjava država članica o vojnim pitanjima u svezi jedinstvenog europskog neba
- upravitelji infrastrukture
Pojam „ upravitelj infrastrukture “ u smislu ovoga Zakona znači pravna osoba ili u vertikalno integriranom trgovačkom društvu organizacijska jedinica odgovorna za upravljanje, održavanje i obnovu željezničke infrastrukture, kao i za sudjelovanje u razvoju željezničke infrastrukture na način koji je određen u okviru opće politike razvoja i financiranja željezničke infrastrukture Republike Hrvatske .
Pojam „ upravitelj infrastrukture “ istovjetan je pojmu iz članka 5. stavka 1. točke 36. Zakona o željeznici („Narodne novine“, broj: 32/2019, 20/2021 i 114/2022), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2012/34/EU Europskog parlamenta i Vijeća od 21. studenoga 2012. o uspostavi jedinstvenog Europskog željezničkog prostora (preinačena) (SL L 343, 14. 12. 2012.), kako je posljednji put izmijenjena Direktivom (EU) 2016/2370 Europskog parlamenta i Vijeća od 14. prosinca 2016. o izmjeni Direktive 2012/34/EU u pogledu otvaranja tržišta za usluge domaćeg željezničkog prijevoza putnika i upravljanja željezničkom infrastrukturom (Tekst značajan za EGP) (SL L 352, 23. 12. 2016.).
- željeznički prijevoznici, među ostalim i operatori uslužnih objekata
Pojam „ željeznički prijevoznik“ u smislu ovoga Zakona znači svaka pravna osoba koja ima dozvolu za obavljanje usluga željezničkog prijevoza i čija je glavna djelatnost pružanje usluga željezničkog prijevoza putnika i/ili tereta, uz uvjet da ta pravna osoba osigura vuču vlakova; to uključuje i pravnu osobu koja pruža samo uslugu vuče vlakova.
Pojam „ operator uslužnih objekata“ u smislu ovoga Zakona znači pravna osoba odgovorna za upravljanje jednim ili više uslužnih objekata (upravitelj uslužnog objekta) ili za pružanje željezničkim prijevoznicima jedne ili više usluga iz Priloga 2. točaka 2. do 4. Zakona o željeznici (pružatelj usluga).
Pojmovi „ željeznički prijevoznik“ i „ operator uslužnih objekata“ istovjetni su pojmovima iz članka 5. stavka 1. točaka 22. i 46. Zakona o željeznici.
- kompanije za prijevoz putnika unutarnjim plovnim putovima, morem i duž obale te kompanije za prijevoz tereta unutarnjim plovnim putovima, morem i duž obale, kako su definirane za pomorski promet u Prilogu I. Uredbi (EZ) br. 725/2004 Europskog parlamenta i Vijeća od 31. ožujka 2004. o jačanju sigurnosne zaštite brodova i luka (Tekst značajan za EGP) , ne uključujući pojedinačna plovila kojima upravljaju te kompanije
- upravljačka tijela luka , uključujući njihove luke kako su definirane u članku 2. točki 11. Uredbe (EZ) br. 725/2004, te subjekti koji upravljaju postrojenjima i opremom u lukama
Pojam „luka“ u smislu ovoga Zakona znači „morsku luku“ i „luku na unutarnjim plovnim putovima“.
Pod pojmom „morska luka“ podrazumijeva se morski i s morem neposredno povezan kopneni prostor u utvrđenim granicama lučkog područja s izgrađenim i neizgrađenim obalama; lukobranima, uređajima, postrojenjima i drugim objektima i sustavima namijenjenim za pristajanje, sidrenje i zaštitu brodova, jahti i brodica, ukrcaj i iskrcaj putnika i tereta, uskladištenje i drugo rukovanje teretom, proizvodnju, oplemenjivanje i doradu tereta te ostale gospodarske djelatnosti koje su s tim djelatnostima u međusobnoj ekonomskoj, prometnoj ili tehnološkoj vezi.
Pojam „morska luka“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o sigurnosnoj zaštiti pomorskih brodova i luka („Narodne novine“, broj: 32/2019, 108/2017 i 30/2021), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosne zaštite luka (Tekst značajan za EGP) (SL L 320, 25. 11. 2005.).
Pojam „luka na unutarnjim plovnim putovima“ znači vodeni i s njim neposredno povezani kopneni prostor koji je namijenjen i opremljen za pristajanje, sidrenje i zaštitu polovila, ukrcaj, iskrcaj, prekrcaj, ili skladištenje robe i/ili ukrcaj i iskraj putnika, u kojem se obavljaju različite komplementarne djelatnosti koje su s robom ili s plovilom u neposrednoj ekonomskoj, prometnoj ili tehnološkoj vezi.
Pojam „luka na unutarnjim plovnim putovima“ istovjetan je pojmu iz čl. 5., st. 1., alineja 27., Zakona o plovidbi i lukama unutarnjih voda („Narodne novine“, broj: 144/21).“
- služba za nadzor i upravljanje pomorskim prometom (VTS) kako je definirana u članku 75.a stavku 1. i članku 75.b stavku 1. Pomorskog zakonika („Narodne novine“, broj: 181/2004, 76/2007, 146/2008, 61/2011, 56/2013, 26/2015 i 17/2019) kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2002/59/EZ Europskog parlamenta i Vijeća od 27. lipnja 2002. o uspostavi sustava nadzora plovidbe i informacijskog sustava Zajednice i stavljanju izvan snage Direktive Vijeća 93/75/EEZ.
- tijela nadležna za ceste kako su definirana u članku 2. točki 12. Delegirane uredbe Komisije (EU) 2015/962 оd 18. prosinca 2014. o dopuni Direktive 2010/40/EU Europskog parlamenta i Vijeća u pogledu pružanja usluga prometnih informacija u cijeloj Europskoj uniji u realnom vremenu (Tekst značajan za EGP) , odgovorna za kontrolu upravljanja prometom, osim javnih subjekata kojima upravljanje prometom ili rad inteligentnih prometnih sustava nisu ključni dio njihove opće djelatnosti
Prema članku 2. točki 12. Delegirane uredbe Komisije (EU) 2015/962 pojam „tijelo nadležno za ceste” znači svako javno tijelo koje je nadležno za planiranje, nadzor ili upravljanje cestama u okviru svoje mjesne nadležnosti.
- operatori inteligentnih prometnih sustava
Pojam „ inteligentni prometni sustavi (ITS)“ u smislu ovoga Zakona znači informacijsko-komunikacijska nadgradnja klasičnog sustava cestovnog prometa, kojim se postiže znatno poboljšanje učinaka cjelokupnog prometnog sustava. ITS uključuje ceste, vozila i korisnike cesta, a primjenjuje se u upravljanju prometom, upravljanju mobilnosti, upravljanju prometnim incidentima te za veze s ostalim vrstama prijevoza.
Pojam „ inteligentni prometni sustavi (ITS)“ istovjetan je pojmu iz članka 72. stavka 1. Zakona o cestama („Narodne novine“, broj: 84/2011, 22/2013, 54/2013, 148/2013, 92/2014, 110/2019, 144/21, 114/2022 i 04/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2010/40/EZ Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih transportnih sustava u cestovnom prometu i za veze s ostalim vrstama prijevoza (Tekst značajan za EGP) (SL L 207 od 6. kolovoza 2010.).
- operateri javne usluge kako su definirani u članku 2. točki (d) Uredbe (EZ) br. 1370/2007 Europskog parlamenta i Vijeća
Prema članku 2. točki (d) Uredbe (EZ) br. 1370/2007 Europskog parlamenta i Vijeća pojam „operateri javne usluge“ znači svaki javni ili privatni prijevoznik ili skupina takvih prijevoznika koji obavljaju usluge javnog prijevoza putnika ili svako javno tijelo koje pruža usluge javnog prijevoza putnika.
(a) Zračni promet:
(I) usluge zračnog prometa koje se koriste u komercijalne svrhe (putnici i teret) (zračni prijevoznici);
(II) rad, upravljanje i održavanje zračnih luka i mrežne infrastrukture zračnih luka (upravna tijela zračne luke);
(III) usluge kontrole zračnog prometa (operatori kontrole upravljanja prometom);
(b) željeznički promet
(I) usluge željezničkog prijevoza (putnički i teretni) (željeznički prijevoznici);
(II) rad, upravljanje i održavanje željezničke infrastrukture, uključujući putničke kolodvore, teretne terminale, ranžirne kolodvore i centre za nadzor prometa (upravitelji infrastrukture);
(III) rad, upravljanje i održavanje željezničkih uslužnih objekata (operatori uslužnih objekata);
(IV) rad, upravljanje i održavanje upravljanja željezničkim prometom, prometno-upravljačkim i signalno-sigurnosnim podsustavima te telekomunikacijskim postrojenjima i sustavima koji se upotrebljavaju za prometno-upravljački i signalno-sigurnosni podsustav (upravitelji infrastrukture).
(c) pomorski promet i promet unutarnjim plovnim putovima
(I) usluge prijevoza unutarnjim plovnim putovima, morem i duž obale (putnički i teretni promet) (kompanije za prijevoz putnika i tereta kopnom, morem i duž obale);
(II) rad, upravljanje i održavanje luka i lučkih objekata te upravljanje poslovima i postrojenjima unutar luka, uključujući opskrbu gorivom, rukovanje teretom, vezivanje, putničke usluge, sakupljanje brodskog otpada i ostataka tereta, peljarenje i tegljenje (upravljačka tijela luka i subjekti koji upravljaju postrojenjima i opremom u lukama);
(III) službe za nadzor i upravljanje pomorskim prometom (operatori službi za nadzor i upravljanje pomorskim prometom);
(d) cestovni promet
(I) kontrola upravljanja prometom, uključujući aspekte povezane s planiranjem cestovne mreže, službama kontrole i upravljanja, osim upravljanja prometom ili rada inteligentnih prometnih sustava ako oni nisu glavni dio opće djelatnosti javnih tijela (tijela nadležna za ceste);
(II) Usluge inteligentnih prometnih sustava (operatori inteligentnih prometnih sustava);
(e) javni prijevoz
(I) usluge javnog cestovnog i željezničkog prijevoza putnika i druge vrste prijevoza tračnicama (operateri javne usluge);
3.
Bankarstvo
- kreditne institucije kako su definirane u članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012 (Tekst značajan za EGP)
Prema članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012, „kreditna institucija” znači društvo čija je djelatnost primanje depozita ili ostalih povratnih sredstava od javnosti te odobravanje kredita za vlastiti račun.
(a) primanje depozita (kreditne institucije);
(b) kreditiranje (kreditne institucije);
4.
Infrastrukture financijskog tržišta
- operatori mjesta trgovanja
Pojam „ mjesta trgovanja“ u smislu ovoga Zakona znači uređeno tržište, MTP ili OTP.
Pojam „ multilateralna trgovinska platforma ili MTP“ u smislu ovoga Zakona znači multilateralni sustav kojim upravlja investicijsko društvo ili tržišni operater, koji u sustavu i prema unaprijed poznatim i nediskrecijskim pravilima spaja ili omogućuje spajanje ponuda za kupnju i ponuda za prodaju financijskih instrumentima trećih tako da nastaje ugovor u skladu s odredbama dijela drugoga glave III. poglavlja VII. Zakona o tržištu kapitala („Narodne novine“, broj: 65/2018, 17/2020, 83/2021 i 85/2024).
Pojam „ organizirana trgovinska platforma ili OTP “ u smislu ovoga Zakona znači multilateralni sustav , koji nije uređeno tržište ili MTP, koji omogućuje da se u tom sustavu susretnu ponude za kupnju i ponude za prodaju obveznica, strukturiranih financijskih proizvoda, emisijskih jedinica ili izvedenica više zainteresiranih trećih strana tako da nastaje ugovor u skladu s odredbama dijela drugoga glave III. poglavlja VII. Zakona o tržištu kapitala.
Pojmovi „ mjesta trgovanja“, „ multilateralna trgovinska platforma ili MTP“ i „ organizirana trgovinska platforma ili OTP “ istovjetni su pojmovima iz članka 3. stavka 1. točaka 61., 65. i 77. Zakona o tržištu kapitala , kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (preinačena) (Tekst značajan za EGP) (SL L 173, 12. 6. 2014.).
- središnje druge ugovorne strane (CCP-i) kako su definirane u članku 2. točki 1. Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27. 7. 2012.)
Prema članku 2. toči jedan Uredbe (EU) br. 648/2012, „središnja druga ugovorna strana“ znači pravnu osobu koja posreduje između drugih ugovornih strana u ugovorima kojima se trguje na jednom ili više financijskih tržišta, te postaje kupac svakom prodavatelja i prodavatelj svakom kupcu.
(a) poslovanje mjesta trgovanja (operatori mjesta trgovanja);
(b) rad klirinških sustava (središnje druge ugovorne strane);
5.
Zdravstvo
- pružatelji zdravstvene zaštite
Pojam „pružatelj zdravstvene zaštite“ u smislu ovoga Zakona znači svaka fizička ili pravna osoba ili bilo koji subjekt koji obavlja zdravstvenu djelatnost u Republici Hrvatskoj u skladu sa zakonom koji uređuje zdravstvenu zaštitu.
Pojam „pružatelj zdravstvene zaštite“ ne odnosi se na ustrojstvene jedinice Ministarstva obrane i Oružanih snaga Republike Hrvatske i ministarstva nadležnog za pravosuđe koje obavljaju zdravstvenu djelatnost prema posebnim propisima.
- referentni laboratoriji Europske unije iz članka 15. Uredbe (EU) 2022/2371 Europskog parlamenta i Vijeća od 23. studenoga 2022. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 1082/2013/EU (Tekst značajan za EGP)
- subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova
Pojam „ lijek “ u smislu ovoga Zakona znači:
- svaka tvar ili kombinacija tvari prikazana sa svojstvima liječenja ili sprječavanja bolesti kod ljudi ili
- svaka tvar ili kombinacija tvari koja se može upotrijebiti ili primijeniti na ljudima u svrhu obnavljanja, ispravljanja ili prilagodbe fizioloških funkcija farmakološkim, imunološkim ili metaboličkim djelovanjem ili za postavljanje medicinske dijagnoze.
Pojam „ lijek“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o lijekovima („Narodne novine“, broj: 76/2013, 90/2014 i 100/2018) , kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001., o Zakoniku Zajednice koji se odnosi na lijekove za primjenu kod ljudi (SL L 311, 28. 11. 2001.).
- subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke iz područja C odjeljka 21. Nacionalne klasifikacije djelatnosti 2007. – NKD 2007 . („Narodne novine“, broj: 58/07)
- subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja („popis ključnih medicinskih proizvoda u slučaju izvanrednog stanja u području javnog zdravlja”) u smislu članka 22. Uredbe (EU) 2022/123 Europskog parlamenta i Vijeća od 25. siječnja 2022. o pojačanoj ulozi Europske agencije za lijekove u pripravnosti za krizne situacije i upravljanju njima u području lijekova i medicinskih proizvoda (Tekst značajan za EGP)
- subjekti koji imaju dozvolu za obavljanje prometa na veliko lijekovima
Pojam „dozvola za obavljanje prometa na veliko lijekovima“ istovjetan je pojmu iz članka 120. stavka 1. Zakona o lijekovima („Narodne novine“, broj: 76/2013, 90/2014 i 100/2018), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001., o Zakoniku Zajednice koji se odnosi na lijekove za primjenu kod ljudi (SL L 311, 28. 11. 2001.).
(I) pružanje zdravstvenih usluga (pružatelji zdravstvene zaštite);
(II) analiza koju provodi referentni laboratorij Europske unije (referentni laboratoriji EU-a);
(III) istraživanje i razvoj lijekova (subjekti koji obavljaju aktivnosti istraživanja i razvoja lijekova);
(IV) proizvodnja osnovnih farmaceutskih proizvoda i osnovnih farmaceutskih pripravaka (subjekti koji proizvode osnovne farmaceutske proizvode i pripravke);
(V) proizvodnja medicinskih proizvoda koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja (subjekti koji proizvode medicinske proizvode);
(VI) distribucija lijekova (subjekti koji imaju dozvolu za obavljanje prometa na veliko lijekovima);
6.
Voda namijenjena za ljudsku potrošnju
- dobavljači i distributeri vode namijenjene za ljudsku potrošnju , isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda
Pojam „voda namijenjena za ljudsku potrošnju“ u smislu ovoga Zakona znači:
- sva voda, bilo u njezinu izvornom stanju ili nakon obrade, koja je namijenjena za piće, kuhanje, pripremu hrane ili druge potrebe domaćinstva i u javnim i u privatnim prostorima, neovisno o njezinu podrijetlu te o tome isporučuje li se iz vodoopskrbne mreže, isporučuje li se iz cisterne ili se stavlja u boce ili ambalažu, uključujući izvorsku i stolnu vodu
- sva voda koja se u poslovanju s hranom upotrebljava za proizvodnju, obradu, očuvanje ili stavljanje na tržište proizvoda ili tvari namijenjenih za ljudsku potrošnju.
Pojam „voda namijenjena za ljudsku potrošnju“ istovjetan je pojmu iz članka 3. stavka 1. točke 1. Zakona o vodi za ljudsku potrošnju („Narodne novine“, broj: 30/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva (EU) 2020/2184 Europskog parlamenta i Vijeća od 16. prosinca 2020. o kvaliteti vode namijenjene za ljudsku potrošnju (preinaka) (Tekst značajan za EGP) (SL L 435, 23. 12. 2020.), te sukladno Direktivi Vijeća 2013/51/Euratom od 22. listopada 2013. o utvrđivanju zahtjeva za zaštitu zdravlja stanovništva od radioaktivnih tvari u vodi namijenjenoj za ljudsku potrošnju (SL L 296, 7.11. 2013.).
(I) opskrba vodom za piće i distribucija vode za piće, osim distribucije vode za ljudsku potrošnju ako ta usluga nije glavni dio opće djelatnosti distributera koji distribuiraju drugu robu i proizvode (dobavljači i distributeri vode namijenjene za ljudsku potrošnju);
7.
Otpadne vode
- poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, sanitarne otpadne vode ili industrijske otpadne vode, isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti
Pojam „komunalne otpadne vode“ u smislu ovoga Zakona znači otpadne vode sustava javne odvodnje koje čine sanitarne otpadne vode ili otpadne vode koje su mješavina sanitarnih otpadnih voda s industrijskim otpadnim vodama i/ili oborinskim vodama određene aglomeracije.
Pojam „sanitarne otpadne vode“ u smislu ovoga Zakona znači otpadne vode koje se nakon korištenja ispuštaju iz stambenih objekata i uslužnih objekata te koje uglavnom potječu iz ljudskog metabolizma i aktivnosti kućanstava.
Pojam „ industrijske otpadne vode “ u smislu ovoga Zakona znači sve otpadne vode, osim sanitarnih otpadnih voda i oborinskih voda, koje se ispuštaju iz prostora korištenih za obavljanje trgovine ili industrijske djelatnosti.
Pojmovi „komunalne otpadne vode“ , „sanitarne otpadne vode“ i „industrijske otpadne vode“ istovjetni su pojmovima iz članka 4. stavka 1. točaka 25., 34. i 81. Zakona o vodama („Narodne novine“, broj: 66/2019, 84/2021 i 47/2023), kojim je u hrvatsko zakonodavstvo preuzeta Direktiva Vijeća 91/271/EEZ od 21. svibnja 1991. o pročišćavanju komunalnih otpadnih voda (SL L 135, 30. 5. 1991.), dopunjena Direktivom Komisije 98/15/EZ od 27. veljače 1998. s obzirom na određene zahtjeve utvrđene u Dodatku I. (Tekst značajan za EGP) (SL L 67, 7. 3. 1998.).
(a) prikupljanje, pročišćavanje i odlaganje otpadnih voda, osim prikupljanja, odlaganja ili pročišćavanja komunalnih otpadnih voda, otpadnih voda iz kućanstava ili industrijskih otpadnih voda ako one nisu glavni dio općih djelatnosti poduzeća (poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstava i industrijske otpadne vode);
8.
Regulacijske i zaštitne vodne građevine za obranu od poplava
Tijela / institucije koje su po Zakonu o vodama nadležne za upravljanje rizicima od poplava što uključuje izgradnju, pogon i održavanje građevina / sustava za smanjenje rizika od poplava.
Pojam „poplava“ u smislu ovoga Zakona znači privremenu pokrivenost vodom zemljišta, koje obično nije prekriveno vodom, uzrokovana izlijevanjem rijeka, bujica, privremenih vodotoka, jezera i nakupljanja leda, kao i morske vode u priobalnim područjima i suvišnim podzemnim vodama; ovim pojmom nisu obuhvaćene poplave iz sustava javne odvodnje i istovjetan je s pojmom određenim u članku 4. stavak 1. točka 64. Zakona o vodama Narodne novine, br. 66/19, 84/21 i 47/23).
Pojam „upravljanje rizicima od poplava“ u smislu ovoga Zakona znači izradu prethodne procjene rizika od poplava, izradu i provedbu planova upravljanja rizicima od poplava i Državnoga plana obrane od poplave, provedbenih i logističkih planova uz taj plan, uređenje voda, provedbu redovite i izvanredne obrane od poplava, provedbu obrane od leda na vodotocima, zaštitu od erozija i bujica, osnovnu melioracijsku odvodnju i provedbu ograničenja prava vlasnika i drugih posjednika zemljišta i istovjetan je s pojmom određenim u članku 119. stavak 2. Zakona o vodama
Pojam „uređenje voda“ u smislu ovoga Zakona podrazumijeva: gradnja regulacijskih i zaštitnih vodnih građevina, gradnja građevina za osnovnu melioracijsku odvodnju i usluge održavanja voda, sve u svrhu neškodljivog protoka voda i istovjetan je s pojmom određenim u članku 120. stavak 1. Zakona o vodama
Pojam „održavanje voda“ u smislu ovoga Zakona znači: održavanje prirodnih i umjetnih vodotoka i drugih voda (čišćenje i uklanjanje nanosa, zemljani i slični radovi uređenja i održavanja obala, zemljani radovi u inundacijskom području manjeg opsega, krčenje i košenje raslinja, održavanje propusnosti propusta i prijelaza preko vodotoka), održavanje regulacijskih i zaštitnih vodnih građevina (popravci na kruni i pokosima nasipa, krčenje, košnja i radovi na vegetativnoj zaštiti vodnih građevina, popravci oštećenih dijelova vodnih građevina), 3. održavanje građevina za osnovnu melioracijsku odvodnju (čišćenje, tehničko i vegetativno održavanje građevina i pojasa uz građevine, zemljani radovi na manjim izmjenama na kanalskoj mreži, održavanje izljeva ispusta drenažnih cijevi), održavanje građevina za sprječavanje i otklanjanje erozija i sprječavanje djelovanja bujica i istovjetan je s pojmom određenim u članku 121. stavak 1. Zakona o vodama.
Izgradnja i održavanje građevina i sustava zaštite od štetnog djelovanja voda sa ciljem zaštite (zdravlja i života) ljudi, njihove imovine te zaštite gospodarstva, okoliša i kulturnog naslijeđa od poplava i drugih oblika štetnog djelovanja voda, uključivo i pravovremeno upozoravanje na opasnost (sustavi dojavljivanja i prognoziranja) te pravovremeno obavještavanje (uzbunjivanje).
9.
Digitalna infrastruktura
- pružatelji središta za razmjenu internetskog prometa kako je definirano u članku 6. točki 18. Direktive (EU) 2022/2555
Prema članku 6. točki 18. Uredbe (EU) točki 18. Direktive (EU) 2022/2555, „središte za razmjenu internetskog prometa” znači mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način.
- pružatelji usluge DNS-a kako su definirani u članku 6. točki 20. Direktive (EU) 2022/2555, osim operatora korijenskih poslužitelja naziva.
Prema članku 6. točki 20. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „pružatelj usluga DNS-a” znači subjekt koji pruža: a) javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta; ili (b) mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva.
- registri naziva vršnih domena kako su definirani u članku 6. točki 21. Direktive (EU) 2022/2555.
Prema članku 6. točki 21. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „registar naziva vršnih domena” znači subjekt kojem je delegirana određena vršna domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili njihovo obavljanje eksternalizira, ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu.
- pružatelji usluga računalstva u oblaku kako su definirane u članku 6. točki 30. Direktive (EU) 2022/2555
Prema članku 6. točki 30. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija.
- pružatelji usluga podatkovnog centra kako su definirane u članku 6. točki 31. Direktive (EU) 2022/2555
Prema članku 6. točki 31. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „usluga podatkovnog centra” znači usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša;
- pružatelji mreža za isporuku sadržaja kako su definirane u članku 6. točki 32. Direktive (EU) 2022/2555
Prema članku 6. točki 32. Uredbe (EU) točki 18. Direktive (EU) 2022/2555 „mreža za isporuku sadržaja” znači mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružatelja sadržaja i usluga;
- pružatelji usluga povjerenja kako su definirane u članku 3. točki 19. Uredbe (EU) br. 2024/1183 Europskog parlamenta i Vijeća
Prema članku 3. točki 19. Uredbe (EU) br. 10/2014 Europskog parlamenta i Vijeća „pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja
- pružatelji javnih elektroničkih komunikacijskih mreža kako su definirane u članku 2. točki 8. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća
Prema članku 2. točki 8. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća „javna elektronička komunikacijska mreža” znači elektronička komunikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih komunikacijskih usluga, koje podržavaju prijenos informacija među završnim točkama mreže.
- pružatelji elektroničkih komunikacijskih usluga kako su definirane u članku 2. točki 4. Direktive (EU) 2018/1972 u mjeri u kojoj su njihove usluge javno dostupne
Prema članku 2. točki 4. Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća „elektronička komunikacijska usluga” znači usluga koja se uobičajeno pruža uz naknadu putem elektroničkih komunikacijskih mreža, a obuhvaća, uz izuzetak usluga pružanja sadržaja ili obavljanja uredničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih komunikacijskih mreža i usluga, sljedeće vrste usluga: (a) „uslugu pristupa internetu” kao javno dostupna elektronička komunikacijska usluga kojom se omogućuje pristup internetu te time povezivanje s gotovo svim krajnjim točkama interneta, bez obzira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava; (b) „interpersonalnu komunikacijsku uslugu”; i (c) usluge koje se sastoje u cijelosti, ili većim dijelom, od prijenosa signala kao što su usluge prijenosa koje se upotrebljavaju za pružanje usluga komunikacije između strojeva i za radiodifuziju - u mjeri u kojoj su njihove usluge javno dostupne.
(I) pružanje i rad središta za razmjenu internetskog prometa (pružatelji središta za razmjenu internetskog prometa);
(II) pružanje usluge sustava naziva domena (DNS), osim usluga povezanih s korijenskim poslužiteljima naziva (pružatelji DNS usluga);
(III) rad registara naziva vršnih domena i upravljanje njima (registri naziva vršnih domena);
(IV) pružanje usluga računalstva u oblaku (pružatelji usluga računalstva u oblaku);
(V) pružanje usluga podatkovnog centra (pružatelji usluga podatkovnog centra);
(VI) pružanje mreža za isporuku sadržaja (pružatelji mreža za isporuku sadržaja);
(VII) pružanje usluga povjerenja (pružatelji usluga povjerenja);
(VIII) pružanje javno dostupnih elektroničkih komunikacijskih usluga (pružatelji elektroničkih komunikacijskih usluga);
(IX) pružanje javnih elektroničkih komunikacijskih mreža (pružatelji javnih elektroničkih komunikacijskih mreža);
10.
Javni sektor
- tijela državne uprave
- druga državna tijela i pravne osobe s javnim ovlastima
11.
Proizvodnja, prerada i distribucija hrane
- subjekti u poslovanju s hranom znači „bilo koje poduzeće, bez obzira na to ostvaruje li dobit ili ne i je li javno ili privatno, u sklopu kojeg se izvršavaju poslovi vezani za bilo koju fazu proizvodnje, prerade i distribucije hrane“, sukladno članku 3. točki 2. Uredbe (EZ) br. 178/2002 Europskog parlamenta i Vijeća. Odnosi se na subjekte koji se bave isključivo logistikom i veleprodajnom distribucijom te masovnom industrijskom proizvodnjom i preradom.
(I) masovna industrijska proizvodnja i prerada hrane;
(II) usluge lanca opskrbe hranom, uključujući skladištenje i logistiku;
(b) masovna distribucija hrane
12.
Znanost i obrazovanje
– istraživačke institucije
-visoka učilišta
13.
Svemir
- operatori zemaljske infrastrukture , koji su u vlasništvu, kojima upravljaju i koje vode države članice ili privatne strane te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža.
(I) rad zemaljske infrastrukture, koja je u vlasništvu, kojom upravljaju i koju vode države članice ili privatne osobe te koja podupire pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža (operatori zemaljske infrastrukture);
14.
Kultura i mediji
- središnje nacionalne ustanove u kulturi
- nacionalne medijske ustanove
- središnje ustanove za čuvanje i upravljanje arhivskom i knjižnom građom,
- središnja novinska agencija i Hrvatska radiotelevizija,
- prikupljanje, trajno čuvanje i pružanje usluge korištenja građe,
- pružanje usluge informiranja i trajno čuvanje informacija".
Komentirate u ime: Ministarstvo unutarnjih poslova
OBRAZLOŽENJE ODREDBI PREDLOŽENOG ZAKONA
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 1.
Ova odredba opisuje sadržaj i predmet zakona kojim se obuhvaća zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, obaveze kritičnih subjekata, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obaveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom Zakona. Ovaj Zakon se ne primjenjuje na subjekte javne uprave koji obavljaju aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Zakon ne utječe na obveze državnih tijela u provođenju mjera nacionalne sigurnosti i obrane, kao ni na obveze za izvršavanja drugih ključnih državnih funkcija, uključujući osiguravanje teritorijalne cjelovitosti države i održavanje javnog poretka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. godine o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije EU) 2023/2450 оd 25. srpnja 2023. godine o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP). Delegirani akt koji je donesen na temelju članka 5. stavka 1. Direktive (EU) 2022/2557 utvrđuje popis ključnih usluga u sektorima i podsektorima iz Priloga te Direktive i tim popisom se trebaju koristiti nadležna tijela u svrhu provedbe procjene rizika i utvrđivanje kritičnih subjekata. U zakonu su ta dva dokumenta objedinjena u Prilogu I., radi praktičnosti i korisnosti za dionike koji moraju implementirati direktivu i njene prateće dokumente.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 3.
Ovim člankom Zakona definiraju se značenja pojmova bitnih za razumijevanje procesa vezanih uz kritičnu infrastrukturu koji se pojavljuju kroz tekst samog zakona. U članku je navedeno 26 pojmova: analiza rizika, CSIRT, država članica, incident, javni subjekti, ključna usluga, kontinuitet poslovanja kritičnog subjekata, kritična infrastruktura, kritični subjekt, kritični subjekt od posebnog europskog značaja, međusektorska mjerila, nadležna tijela, nadležna tijela za provedbu posebnih zakona, otpornost, prijetnja, privatna zaštita, procjena rizika, regulatorno tijelo, rizik, sektorska mjerila, sigurnosni koordinator za kritičnu infrastrukturu, sigurnosni plan kritičnog subjekta, tehnička specifikacija, treća zemlja, upravljanje rizicima i zaštita kritične infrastrukture.
Izrazi koje se koriste u ovom Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 4.
U ovom članku navedena je primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata u slučajevima kad su posebnim propisima Republike Hrvatske ili propisima Europske unije propisani zahtjevi za jačanje otpornosti subjekata za pojedini sektor ili subjekte iz pojedinih sektora, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata ili predstavljaju strože zahtjeve. Ovim člankom primjenjuju se odgovarajuće odredbe i posebni propisi na te subjekte, uključujući odredbe o nadzoru provedbe zahtjeva, a sukladno ocjeni nadležnog tijela koje procjenjuje navedene zahtjeve.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 5.
Člankom 5. naglašava se da za kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture, ne primjenjuju se članak 20., članci od 22. do 35., članci od 42. do 44. i članci od 46. do 49. ovoga Zakona s obzirom na visoku reguliranost tih sektora srodnim uredbama i direktivama Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 – DORA za bankarstvo i financijski sektor te Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (Tekst značajan za EGP) za sektor digitalne infrastrukture. Navedenim se želi na razini EU i država članica, kako propisuje Direktiva 2022/2557 smanjiti administrativno opterećenje za sektorski nadležna tijela i druge relevantne dionike.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 6.
Ovim člankom se pojašnjava kako se odredbe Zakona ne odnose na pitanja koja su predmet zakona koji uređuje područje kibernetičke sigurnosti koji je lex specialis. Provedbom Zakona o kritičnim infrastrukturama sukladno članku, ne dovodi se u pitanje provedba postupaka i mjera koje su kritični subjekti sukladno zakonu koji uređuje područje kibernetičke sigurnosti dužni primjenjivati u cilju postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga, odnosno obavljanju svojih djelatnosti. U svrhu provedbe prethodno navedenog u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona koji uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 7.
Člankom 7. propisano je da se sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata i ključne usluge detaljnije propisuju u Prilogu I. Zakona, kao sastavni dio.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 8.
Ovim člankom definirana su načela zaštite kritične infrastrukture kako bi se osiguralo jednako razumijevanje temeljnih načela i obaveza za sve dionike koji su dužni raditi na zaštiti kritičnih infrastruktura i jačanju njihove otpornosti. Načela zaštite kritične infrastrukture su: načelo zaštite od svih oblika prijetnji, načelo cjelovitog pristupa uključujući i međuovisnost sektora kritičnih subjekata, načelo kontinuiranog planiranja zaštite kritične infrastrukture, načelo razmjene informacija i podataka te zaštite tih podataka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 9.
Ovim člankom određuje se da je Koordinativno tijelo za zaštitu kritične infrastrukture tijelo državne uprave nadležno za poslove civilne zaštite. Njegova je temeljna zadaća koordiniranje aktivnosti dionika u sustavu zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata. U cilju ostvarenja navedene zadaće Koordinativno tijelo provodi slijedeće mjere i aktivnosti: izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata; predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi zaštite nacionalne kritične infrastrukture i povećanja otpornosti kritičnih subjekata, nadzire i usmjerava proces utvrđivanja kritičnih subjekata; prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu; izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture; vodi evidenciju kritičnih subjekata u Republici Hrvatskoj; u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture koje se propisuju dodatnim aktima; u suradnji s nadležnim tijelima izrađuje međusektorska mjerila; koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata; surađuje sa znanstveno - istraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata; sudjeluje u organizaciji, koordinaciji i provedbi mjera zaštite i otpornosti kroz suradnju javnog i privatnog sektora; provodi postupak ocjenjivanja uvjeta za izdavanje certifikata i oduzimanje certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture; surađuje s Europskom komisijom i trećim zemljama, te kao jedinstvena kontakt točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije. U cilju jačanja otpornosti kritičnih subjekata i smanjenja njihovog administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica, te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama. Svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama. Koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima. Zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima. U roku od tri mjeseca nakon imenovanja ili uspostavljanja, obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima, te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 10.
Ovim člankom Zakona propisuje se suradnja nadležnih tijela s tijelima iz zakona koji uređuje područje kibernetičke sigurnosti. S obzirom da se Zakon o kritičnim infrastrukturama i Zakon o kibernetičkoj sigurnosti provode paralelno kako i predviđa EU regulativa, u suradnji s tijelom nadležnim za kibernetičku sigurnost usklađene su odredbe suradnje koje su istovjetne Zakonu o kibernetičkoj sigurnosti, a navedene su i u ovom Zakonu kako bi dionici odgovorni za implementaciju zakona imali bolji uvid u obaveze koje proizlaze iz obostrane suradnje. Nadležna tijela iz ovoga Zakona i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, a osobito informacije o utvrđivanju subjekata kritičnim subjektima na temelju ovoga Zakona te rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora, fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode, rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu koji uređuje područje kibernetičke sigurnosti. Nadležna tijela iz ovoga Zakona mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti. Način razmjene informacija i koordinacije uredit će se sporazumom između Koordinativnog tijela i Središnjeg državnog tijela za kibernetičku sigurnost.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 11.
Ovim člankom se definira akt strateškog planiranja za otpornost kritičnih subjekata na nacionalnoj razini kojim se utvrđuju strateški ciljevi i mjere politike, a koji se temelje na relevantnim postojećim nacionalnim i sektorskim strategijama, na planovima ili na sličnim dokumentima, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata. Sukladno zahtjevima Direktive 2022/2557, a poštujući odredbe Zakona o sustavu strateškog planiranja i upravljanja razvojem Republike Hrvatske, kroz članak 11. Zakona propisana je izrada akta strateškog planiranja, a ne Strategije za otpornost kritičnih subjekata, s obzirom da direktiva propisuje obavezu ažuriranja/donošenja strateškog dokumenta svake četiri godine. U skladu s nadležnostima na temelju čl. 18. Zakona o sustavu strateškog planiranja i upravljanja razvojem Republike Hrvatske, Ministarstvo unutarnjih poslova je nadležno tijelo za upravno područje za koje se dokument izrađuje, a s obzirom na višesektorski pristup, Vlada je nadležna za njegovo donošenje. Akt strateškog planiranja za otpornost kritičnih subjekata se donosi nakon savjetovanja sa svim relevantnim dionicima, a sadrži najmanje sljedeće elemente: strateške ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti; upravljački okvir za postizanje strateških ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu strategije; opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata; opis postupka kojim se utvrđuju kritični subjekti; opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika; popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu strategije; okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona koji uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća i opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća kojom se zamjenjuje Preporuka 96/280/EZ od 3. travnja 1996., a koje je Republika Hrvatska utvrdila kao kritične subjekte olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost. U svrhu razrade mjera za provedbu posebnih ciljeva i prioriteta akta strateškog planiranja za otpornost kritičnih subjekata, Koordinativno tijelo, u suradnji s nadležnim tijelima, izrađuje akcijski plan za njegovu provedbu koji donosi Vlada Republike Hrvatske. Izvještavanje, praćenje i vrednovanje akta strateškog planiranja za otpornost kritičnih subjekata provodi se u skladu s propisom koji uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske. Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja za otpornost kritičnih subjekata i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja. Koordinativno tijelo najmanje svake četiri godine ažurira akt strateškog planiranja za otpornost kritičnih subjekata.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 12.
Ovom odredbom propisuje se izrada Nacionalne procjene rizika kritične infrastrukture. Koordinativno tijelo u suradnji sa sektorski nadležnim tijelima izrađuje Nacionalnu procjenu rizika kritične infrastrukture, a na prijedlog ministra nadležnog za poslove civilne zaštite, donosi ju Vlada Republike Hrvatske. Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata. U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma. Pri provedbi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju opća procjena rizika, druge relevantne procjene rizika provedene u skladu sa odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprečavanje velikih nesreća koje uključuju opasne tvari, pripravnosti na rizike u sektoru električne energije, relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja. U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture, Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata. Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine. Koordinativno tijelo i nadležna tijela, potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 13.
Ovim člankom određuju se nadležna tijela koja utvrđuju kritične subjekte u sektorima iz svoje nadležnosti, koji su propisani Prilogom I. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 14.
Člankom 14. propisano je da nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika uz primjenu utvrđene metodologije izrade analize rizika. Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 15.
Ovim člankom propisano je da Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila nužnih za provedbu analize rizika. Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju: ljudske gubitke, gospodarske posljedice i utjecaj na javnost s pridruženim parametrima koji će se detaljnije brojčano i opisno propisati u navedenoj odluci.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 16.
Članak 16. propisuje da sektorska mjerila nužna za analizu rizika koja je propisana člankom 14. utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima. Za razliku od međusektorskih mjerila koja se mogu primijeniti na sve sektore, sektorska mjerila određuju se sukladno specifičnostima svakoga sektora pojedinačno. Po utvrđivanju sektorskih mjerila, nadležna tijela su dužna ista dostaviti Koordinativnom tijelu na uvid.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 17.
U članku 17. propisan je postupak utvrđivanja kritičnih subjekata. Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika, akta strateškog planiranja za otpornost kritičnih subjekata i Nacionalne procjene rizika kritične infrastrukture, uz dodatno razmatranje sljedećih kriterija: pruža li subjekt jednu ili više ključnih usluga; posluje li subjekt, odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske i ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke. Propisani su i minimalni kriteriji za utvrđivanje značaja negativnog učinka incidenta: broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt; opseg ovisnosti drugih sektora i podsektora o ključnim uslugama; stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva; tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga; geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja; važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge. U postupku utvrđivanja, subjekti koji pružaju ključne usluge su dužni, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka. Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 18.
Ovim člankom propisan je način potvrđivanja kritičnih subjekata. Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti. Prijedlozi nadležnih tijela moraju sadržavati sljedeće podatke: naziv subjekta; adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve i opis ključne usluge koju subjekt pruža, koji su nužni radi vođenja popisa kritičnih subjekata u Republici Hrvatskoj. Na prijedlog Koordinativnog tijela, Vlada Republike Hrvatske odlukom potvrđuje kritične subjekte koje su identificirala nadležna tijela. Po donošenju odluke Vlade, Koordinativno tijelo je dužno dostaviti nadležnim tijelima Odluku, u dijelu koji se odnosi na sektor, odnosno kategoriju subjekata iz njihove nadležnosti, odmah po njezinu donošenju. Koordinativno tijelo je o potvrđivanju kritičnih subjekata dužno obavijestiti i tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od mjesec dana od donošenja odluke iz ovoga članka. Nakon donošenja odluke o potvrđivanju kritičnih subjekata, Koordinativno tijelo kao Jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke: popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je utvrdila Europska komisija; broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu; međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 19.
Člankom 19. propisan je način obavješćivanja kritičnih subjekata o njihovom potvrđivanju. Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela su dužna u roku mjesec dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obavezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza. Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 20.
Sukladno obavezama izrade procjene rizika i sigurnosnih planova, koje imaju kritični subjekti, članak 20. propisuje da izvješćivanje o izrađenosti procjena rizika i sigurnosnih planova kritičnih subjekata obavljaju nadležna tijela koja su dužna Koordinativnom tijelu dostaviti izvješća o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu. Koordinativno tijelo na temelju dostavljenih izvješća potom izrađuje i dostavlja Vladi Republike Hrvatske godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova/planova otpornosti kritičnih subjekata.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 21.
Ovim člankom propisano je kako se provodi obaveza ažuriranja popisa kritičnih subjekata koja se obavlja tako što nadležna tijela, po potrebi, a najmanje svake četiri godine, preispituju i ažuriraju popis kritičnih subjekata te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti, odnosno, prijedlog da se određeni subjekt više ne smatra kritičnim subjektom. Navedeni postupak se provodi u skladu s člancima 17., 18. i 19. ovoga Zakona. Nakon ažuriranja, nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz članaka 22. do 41. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 22.
Člankom 22. propisuje se postupak procjene rizika koju provode kritični subjekti kao dio svojih obveza. Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja odluke iz članka 19. stavka 1. ovoga Zakona, a zatim svake četiri godine, izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga. U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom. Članak propisuje i da se prilikom izrade procjene rizika u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici, međusektorski i prekogranični rizici te opseg ovisnosti o ključnim uslugama. Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu. Kritični subjekti su izravno odgovorni za provedbu obaveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 23.
Sukladno članku 23., kritični subjekt je dužan, na temelju procjene rizika, izraditi sigurnosni plan koji obuhvaća mjere zaštite i osiguranja kontinuiteta poslovanja i isporuke usluga za svaku ključnu uslugu, te mjere za osiguravanje otpornosti. Kritični subjekt je dužan sigurnosni plan izraditi u roku 12 mjeseci od zaprimanja Odluke iz članka 18. stavka 3. ovoga Zakona, te ga ažurirati najmanje jednom godišnje. Sigurnosni plan kritični subjekt donosi uz prethodnu suglasnost nadležnog tijela, a pri davanju suglasnosti, nadležno tijelo je dužno samostalno ili u suradnji s regulatornim tijelom utvrditi je li sigurnosni plan izrađen sukladno međusektorskim i sektorskim mjerilima analize rizika. Članak propisuje i rok od mjesec dana za obavijest nadležnom tijelu o donošenju sigurnosnog plana, te da su nadležna tijela i kritični subjekti dužni su, na zahtjev Koordinativnog tijela, dostaviti podatke i informacije u vezi upravljanja rizicima i osiguranja kontinuiteta poslovanja kritičnih subjekata.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 24.
Ovim člankom propisan je minimalni sadržaj sigurnosnog plana uključujući utvrđene prioritete zaštite, popis prijetnji, analize rizika, utvrđene mjere i postupke za smanjenje ranjivosti i osiguranje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sustava -popis odgovornih osoba za kontakt, popis institucija i službi koje se pozivaju u hitnom slučaju i druge podatke vezane uz provedbu sigurnosnog plana u hitnim situacijama te popis radnih mjesta, funkcija i poslova koje obavljaju osobe za koje se provodi provjera podobnosti. Članak propisuje i da se mjere za jačanje otpornosti kritičnih subjekata (koje su dio sigurnosnog plana) određuju nacionalnim aktom strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona kojeg donosi Vlada Republike Hrvatske.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 25.
Članak 25. definira primjenu odgovarajućih dokumenata i mjera kod kritičnog subjekta. Ako je kritični subjekt, na temelju posebnih (sektorskih) propisa, proveo druge procjene rizika ili izradio dokumente koji su značajni za procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima u svrhu procjene rizika iz ovoga Zakona. Smatra se da je kritični subjekt izvršio obvezu izrade sigurnosnog plana ako je, na temelju posebnih propisa, izradio drugi planski dokument koji sadrži najmanje elemente propisane člankom 24. ovoga Zakona. Člankom je propisano i da nadležno sektorsko tijelo utvrđuje usklađenost procjena, odnosno postojećih dokumenata te da pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga, nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti u skladu s obvezama iz članka 24. stavka 2. ovoga Zakona. Navedenim člankom uzima se u obzir jednakovrijednost dokumenata kojom se želi izbjeći administrativno opterećenje koje prelazi ono što je potrebno za postizanje zaštite i jačanja otpornosti kritičnih subjekata, kako je propisano ovim Zakonom.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 26.
Odredbama ovoga članka propisano je da se na sva sredstva, uređaje i ostalu opremu koja se koristi u zaštiti kritičnih subjekata kao i kvalitetu i sigurnost poslovanja, primjenjuju hrvatske norme, a u izostanku hrvatskih normi, primjenjuju se europske norme kako je definirano u članku 2. točki 1. Uredbe (EU) br. 1025/2102 Europskog parlamenta i Vijeća, odnosno druge specijalizirane norme i prihvaćena pravila struke – kako bi se osigurala unificiranost kvalitete.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 27.
Propisano je da kritični subjekti mogu obavljanje pojedinih poslova, koji se izravno odnose na pružanje privatne zaštite kritičnih infrastruktura, ugovorom povjeriti gospodarskim subjektima (pravnim osobama i obrtima), sukladno propisima koji uređuje djelatnost privatne zaštite. Posebno se navode gospodarski subjekti, jer u skladu s odredbama zakona koji regulira područje privatne zaštite, sva trgovačka društva imaju mogućnost organizirati i unutarnju službu zaštite pa onda nemaju potrebu sklapati ovaj oblik ugovora. O ugovaranju poslova kritični subjekt izvješćuje nadležno tijelo i Koordinativno tijelo.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 28.
Sukladno uvjetima i na način propisan ovim Zakonom pravna osoba i obrt koji obavlja poslove privatne zaštite u objektima, sustavima i mrežama kritičnih subjekata mora biti certificirana. Certifikat za pružanje usluge privatne zaštite kritične infrastrukture može se izdati pravnim osobama i obrtima na temelju rješenja tijela državne uprave nadležnog za poslove civilne zaštite. Certifikat se izdaje s rokom važenja od četiri godine, nakon čega se može obnoviti. Izdavanjem certifikata za zaštitu kritičnih subjekata postavljaju se potrebni okviri za odgovarajuću zaštitu objekata, sustava i mreža koji su vitalni za kontinuiranu isporuku ključnih usluga u zemlji. Izdavanjem certifikata za obavljanje poslova privatne zaštite kritične infrastrukture postiže se viši standard i razina zaštite objekata, sustava i mreža koji su vitalni za normalno i nesmetano funkcioniranje zemlje.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 29.
Ovom odredbom propisuju se uvjeti za ishođenje certifikata. Uz zahtjev za izdavanje certifikata za pružanje usluge privatne zaštite kritične infrastrukture, koji se podnosi nadležnom tijelu za civilnu zaštitu, prilažu se dokazi o ispunjavanju uvjeta. U stavku 1. ovoga Zakona definiraju se potrebni uvjeti koje pravne osobe i obrti moraju ispunjavati da bi ishodile potreban certifikat. Uz odobrenje nadležnog tijela državne uprave za obavljanje poslova civilne zaštite kojima mogu obavljati poslove privatne zaštite - tjelesne i tehničke zaštite te za izradu prosudbe ugroženosti, potrebna je i potvrda da od dana izdavanja odobrenja nije bilo zabrane rada zbog nezakonitosti poslovanja. Osim toga, propisuje se minimalna razina od dvije godine radnog iskustva pravnim osobama i obrtima u provedbi zaštite objekata najvišeg i visokog stupnja razine rizika čime se ostvaruju procijenjeno potrebni uvjeti kvalificiranosti što podrazumijeva kvalifikaciju osoba koje organiziraju proces zaštite kao i zaposlenika. Određuje se posjedovanje jednog ili više ISO certifikata u području zaštite i sigurnosti čime se dodatno dokazuje kvalificiranost za poslove zaštite kritičnih infrastruktura. Zaposlenici koje rade na poslovima zaštite kritičnih infrastruktura trebaju imati najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika te se za njih provode odgovarajuće provjere iz kaznene i prekršajne evidencije. Za pravne osobe i obrti se traži dokaz o pozitivnom poslovanju u posljednje tri godine čime se potvrđuje ozbiljnost i profesionalnost poslovanja te podmirivanja obaveza prema državi. Zahtjev za izdavanje certifikata, uz koji se prilažu odgovarajući dokazi, podnosi se tijelu državne uprave nadležnom za poslove civilne zaštite. O izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture Koordinativno tijelo vodi registar koji sadrži: naziv pravne osobe i obrta, popis zaposlenika koji provode zaštitu kritične infrastrukture, datum izdavanja i važenja certifikata. Pravnoj osobi i obrtu ijelo državne uprave nadležno za poslove civilne zaštite ukinut će certifikat ovim Zakonom propisanim slučajevima. U stavku 5. ovoga članka Zakona određuje se da se protiv rješenja može pokrenuti upravni spor, a ne može izjaviti žalba.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 30.
Članak 30. propisuje postupak obnove certifikata. Pravna osoba i obrt dužni su zahtjev za obnovu certifikata za pružanje usluge privatne zaštite kritične infrastrukture podnijeti najkasnije tri mjeseca prije isteka roka na koji je izdan važeći certifikat. Na postupak obnove certifikata primjenjuju se odredbe članka 29. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 31.
Ovim člankom propisuju se obveze pravne osobe i obrta i njihovih zaposlenika koji provode privatnu zaštitu kritične infrastrukture. Zaposlenici pravnih osoba i obrta koji pružaju uslugu privatne zaštite kritične infrastrukture dužni su čuvati i zaštititi poslovnu tajnu i osobne podatke naručitelja usluga, sukladno posebnim propisima iz srodnog područja. Propisana je i obveza je svih zaposlenika u pravnim osobama i obrtima za pružanje usluga privatne zaštite kritične infrastrukture, kao i zaposlenicima unutarnje službe zaštite kritičnog subjekta ako je imaju ustrojenu, da najmanje jednom u tri godine prođu edukaciju koju organizira tijelo državne uprave nadležno za poslove civilne zaštite. Mogućnost ustrojavanja unutarnje službe zaštite kritičnog subjekta proizlazi iz Zakona o privatnoj zaštiti prema kojem gospodarski subjekti mogu organizirati vlastitu unutarnju službu za potrebe zaštite vlastitih objekata prema uvjetima iz predmetnog zakona. Edukacija će se organizirati na regionalnoj razini, u dogovoru s kritičnim subjektima, kako bi ju svi zaposlenici mogli pohađati bez dodatnih troškova. O provedenoj edukaciji se vodi evidencija u tijelu državne uprave nadležnom za poslove civilne zaštite. Članak propisuje i tematske cjeline iz kojih se provodi edukacija: metodologija za izradu analiza i procjenjivanje rizika od katastrofa za Republiku Hrvatsku; posljedice velikih nesreća i katastrofa po stanovništvo, materijalna i kulturna dobra i okoliš; sadržaj procjene rizika i planova djelovanja civilne zaštite jedinica lokalnih i područnih (regionalnih) samouprava; ugroženost i zaštita kritičnih infrastruktura; obilježja prirodnih i tehničko-tehnoloških velikih nesreća i katastrofa; operativne snage sustava civilne zaštite; postupanja u odgovoru na prijetnje i incidente; način izrade planskih dokumenata u civilnoj zaštiti i informiranja javnosti u postupku donošenja; državni plan djelovanja civilne zaštite; sadržaj procjene rizika i operativnih planova civilne zaštite pravnih osoba; sadržaj procjene rizika i operativnih planova pravnih osoba koje obavljaju djelatnost s opasnim tvarima i vanjski planovi jedinica područnih (regionalnih) samouprava za područja postrojenja koja obavljaju djelatnost s opasnim tvarima. Sadržaj i termini edukacija objavljuju se na internetskoj stranici tijela državne uprave nadležnog za poslove civilne zaštite.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 32.
Odredbama ovoga članka propisano je postupanje u slučaju incidenta na kritičnoj infrastrukturi. Kritični subjekt dužan je, bez odgađanja, poduzeti mjere i aktivnosti za zaštitu kritične infrastrukture. Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta, dužan je o incidentu koji ima značajan učinak na pružanje usluge i kontinuitet poslovanja, bez odgađanja izvijestiti nadležno tijelo i Koordinativno tijelo, a ako to nije moguće, prva obavijest mora biti dostavljena najkasnije u roku od 24 sata od saznanja da se dogodio incident. Kritični subjekt dodatno je dužan, najkasnije u roku od mjesec dana od dostave obavijesti o incidentu, dostaviti detaljno izvješće nadležnom tijelu. Pri utvrđivanju značaja incidenta, posebno se uzimaju u obzir sljedeći kriteriji: broj i udio korisnika na koje poremećaj utječe; trajanje poremećaja i geografsko područje pogođeno poremećajem, uzimajući u obzir moguću geografsku izoliranost područja. Nakon primitka obavijesti, nadležno tijelo će u najkraćem roku kritičnom subjektu dostaviti relevantne podatke koje se odnose na daljnje postupanje, uključujući podatke kojima bi se mogao poduprijeti djelotvoran odgovor kritičnog subjekta na incident. Ukoliko se utvrdi da se radi o javnom interesu, Koordinativno tijelo će uz suglasnost nadležnog tijela i kritičnog subjekta, o incidentu obavijestiti javnost.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 33.
Ovim člankom definiraju se prekogranični učinci incidenta ukoliko on ima učinak na druge države. Na temelju podataka o incidentu, koje je kritični subjekt dostavio putem nadležnog tijela, Koordinativno tijelo obavješćuje jedinstvene kontaktne točke drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica. Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, Koordinativno tijelo je o incidentu dužno obavijestiti Europsku komisiju. S podacima o incidentu Koordinativno tijelo postupa u skladu s pravnim aktima Europske unije odnosno posebnim propisima Republike Hrvatske, na način kojim se poštuje njihova povjerljivost i štiti sigurnost i komercijalni interes kritične infrastrukture na kojoj se dogodio incident.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 34.
Odredbama ovoga članka definirana je provjera podobnosti koju mogu zatražiti kritični subjekti sukladno vlastitim potrebama i u slučaju nužnosti. Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta može podnijeti zahtjev Koordinativnom tijelu za provjeru podobnosti osoba koje: imaju osjetljive funkcije u kritičnom subjektu ili obavljaju poslove za kritični subjekt, posebno u vezi s mjerama otpornosti i zaštite kritične infrastrukture; imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću i razmatraju se za zapošljavanje na prethodno navedene funkcije. Kroz procjenu rizika i sigurnosni plan, kritični subjekt definira funkcije za koje će se zatražiti provjera podobnosti. Zahtjevi se ocjenjuju u razumnom roku i obrađuju u skladu s nacionalnim pravom i postupcima o obradi i zaštiti osobnih podataka, te u skladu s relevantnim pravom Europske unije o obradi osobnih podataka, a provjere podobnosti su razmjerne i strogo ograničene na nužne potrebe, isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt. Koordinativno tijelo provjeru obavlja u suradnji sa Sigurnosno-obavještajnom agencijom i tijelom državne uprave nadležnim za pravosuđe, a odgovor na zahtjev dostavlja u roku od deset radnih dana od datuma njegovog primitka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 35.
Članak 35. propisuje što obuhvaća postupak provjere podobnosti: provjeru identiteta osobe za koju se provodi provjera podobnosti, evidentiranost u kaznenim evidencijama osobe u pogledu kažnjivih djela koja se progone po službenoj dužnosti i prekršaj protiv javnog reda i mira s elementima nasilja, a koja su relevantna za specifično radno mjesto kod kritičnog subjekta i evidentiranost u evidencijama Sigurnosno - obavještajne agencije u pogledu aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa. U cilju provođenja provjere podobnosti, Koordinativno tijelo podnosi zahtjev za provjeru tijelu državne uprave nadležnom za pravosuđe i kroz Europski informacijski sustav kaznene evidencije za potrebe dobivanja podataka iz nacionalnih kaznenih evidencija i iz kaznenih evidencija drugih država članica. Ovaj članak naglašava da su provjere podobnosti razmjerne i strogo ograničene na one koje je nužno provesti.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 36.
Članak 36. definira ulogu sigurnosnog koordinatora i njegovog zamjenika kroz poslove koordiniranja provedbe svih mjera i postupaka u zaštiti kritične infrastrukture i jačanju otpornosti kritičnih subjekata u nadležnom tijelu i kritičnom subjektu. Sigurnosni koordinator i njegov zamjenik predstavljaju dvosmjernu vezu između kritičnog subjekta i nadležnog sektorskog tijela.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 37.
Ovim člankom propisano je da svako nadležno tijelo mora odrediti sigurnosne koordinatore za kritičnu infrastrukturu i to za svaki sektor iz svog djelokruga te su navedeni poslovi koje obavlja sigurnosni koordinator. Kroz članak se opisuje opseg poslova sigurnosnog koordinatora u nadležnom tijelu. Za sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu i njegovog zamjenika provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere. Nadležno tijelo podnosi zahtjev za provođenje sigurnosne provjere za sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika Sigurnosno - obavještajnoj agenciji.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 38.
Članak 38. propisuje ulogu sigurnosnog koordinatora kritičnog subjekta. Kritični subjekt dužan je, nakon donošenja odluke o potvrđivanju kritičnih subjekata, u što kraćem roku odrediti i nadležnom tijelu dostaviti prijedlog za imenovanje sigurnosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika, koji je u provedbi mjera i postupaka u zaštiti i jačanja otpornosti odgovoran za komunikaciju između kritičnog subjekta i nadležnog tijela. Ovim člankom propisani su i poslovi sigurnosnog koordinatora kritičnog subjekta.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 39.
Odredbama ovoga članka propisano je da se za sigurnosnog koordinatora za kritičnu infrastrukturu kod kritičnog subjekta i njegovog zamjenika, prije njihovog imenovanja, provodi temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere te postupak provođenja provjere. Nadležno tijelo, na temelju zaprimljenog prijedloga kritičnog subjekta, podnosi Sigurnosno-obavještajnoj agenciji zahtjev za sigurnosnu provjeru.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 40.
Ovim člankom propisuje se obaveza osposobljavanja sigurnosnog koordinatora za kritičnu infrastrukturu prema kojoj su nadležna tijela i kritični subjekti dužni omogućiti osposobljavanje sigurnosnih koordinatora za kritičnu infrastrukturu, kako bi se osigurala ujednačena razina znanja svih dionika u zaštiti kritičnih infrastruktura. Osposobljavanje provodi Koordinativno tijelo, u suradnji sa znanstvenim i stručnim institucijama. Ministar pravilnikom propisuje program i način provedbe osposobljavanja za obavljanje poslova sigurnosnog koordinatora za kritičnu infrastrukturu. Sigurnosni koordinator po završetku osposobljavanja stječe potvrdu koja vrijedi četiri godine, koju je po isteku u obvezi ponovno obnoviti.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 41.
Odredbama ovoga članka definira se postupak utvrđivanja kritičnih subjekata od posebnog europskog značaja. Ako kritični subjekt koji je ranije potvrđen kao kritični subjekt za Republiku Hrvatsku pruža ključne usluge, osim Republike Hrvatske, za šest ili više država članica ili u šest ili više država članica, dužan je o tome obavijestiti nadležno tijelo. Obavijest sadrži podatke o ključnim uslugama koje pruža za ili u takvim državama članicama, te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge. Nadležno tijelo potom obavješćuje Koordinativno tijelo o utvrđivanju kritičnih subjekata od posebnog europskog značaja, a Koordinativno tijelo obavijest o utvrđivanju takvih kritičnih subjekata i o uslugama koje oni pružaju bez nepotrebne odgode dostavlja Europskoj komisiji. Kada Europska komisija, na temelju savjetovanja s nadležnim tijelima država članica u kojima ili za koje se pružaju kritične usluge te sa kritičnim subjektom, utvrdi da kritični subjekt pruža ključne usluge za ili u šest ili više država članica, obavijestit će nadležno tijelo da se kritični subjekt smatra kritičnim subjektom od europskog značaja te o njegovim obvezama. Nadležno tijelo obavještava kritičnog subjekta o njegovom statusu subjekta od posebnog europskog značaja te se on takvim smatra od primitka te obavijesti.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 42.
Ovim člankom propisano je da Koordinativno tijelo, na zahtjev nadležnog tijela i uz suglasnost Vlade Republike Hrvatske, može podnijeti Europskoj komisiji zahtjev za organiziranje savjetodavne misije kako bi se procijenile mjere otpornosti i zaštite kritične infrastrukture koje uspostavlja kritični subjekt kojega je potvrdila Republika Hrvatska, a utvrđen je kao kritični subjekt od posebnog europskog značaja. Europska komisija može, i na vlastitu inicijativu kao i na zahtjev jedne ili više država članica kojima ili u kojima se pruža ključna usluga, organizirati savjetodavnu misiju ako je s time suglasna država koja je utvrdila kritični subjekt. Propisano je i koje informacije osigurava Koordinativno tijelo za potrebe savjetodavne misije te rokovi dostave nalaza. Nalazi se analiziraju te su nadležno tijelo i kritični subjekt od posebnog europskog značaja dužni uzeti u obzir mišljenja te, Europskoj komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga, dostavljati informacije o mjerama poduzetima na temelju tog mišljenja.
Članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri. Europska komisija snosi troškove sudjelovanja u savjetodavnim misijama te organizira program svake savjetodavne misije uz savjetovanje s članovima savjetodavne misije i u dogovoru s Koordinativnim tijelom. Kritični subjekti od posebnog europskog značaja moraju omogućiti savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu savjetodavne misije. Savjetodavne misije provode se u skladu s važećim nacionalnim pravom, poštujući odgovornost Republike Hrvatske za nacionalnu sigurnost i zaštitu sigurnosnih interesa.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 43.
Ovim odredbama propisuje se kako je Koordinativno tijelo jedinstvena kontaktna točka za razmjenu informacija i koordiniranje aktivnosti u vezi s europskom kritičnom infrastrukturom s drugim državama članicama i tijelima Europske unije. Podaci o jedinstvenoj kontaktnoj točki (telefonski broj i adresa elektroničke pošte) i upute za prijavu iznenadnih događaja u kritičnim infrastrukturama, biti će dostupni na službenim mrežnim stranicama Koordinativnog tijela i nadležnih tijela. Jedinstvena kontaktna točka iz stavka 1. ovoga članka do 17. srpnja 2028. godine, te nakon toga svake dvije godine, podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima o izvanrednim događajima u kritičnim infrastrukturama, uključujući broj obavijesti, prirodu prijavljenih incidenata i poduzete mjere. Razmjena informacija o kritičnim subjektima od posebnog europskog značaja putem jedinstvenih kontaktnih točaka država članica ne isključuje prava i obveze drugih tijela državne uprave za razmjenu informacija, znanja i iskustava sa nadležnim tijelima drugih država članica.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 44.
Ovim člankom propisano je kako postupati s podacima o kritičnoj infrastrukturi. Popis kritičnih subjekata, podaci o kritičnim subjektima, kao i svi drugi podaci koji nastaju u svrhu provedbe ovoga Zakona koriste se isključivo u svrhu provedbe zahtjeva iz ovoga Zakona i javno se ne objavljuju.
Popis i podaci predstavljaju informacije u odnosu na koje je moguće ograničiti pravo pristupa korisniku informacija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se provodi prema odredbama posebnog zakona o pravu na pristup informacijama. Nadležna tijela dužna su pri razmjeni podataka iz stavka 1. ovoga članka voditi računa o potrebi ograničavanja pristupa podacima kada je to potrebno u svrhu sprječavanja, otkrivanja, provođenja istraživanja i vođenja kaznenog postupka. U postupanju s klasificiranim podacima i podacima označenim oznakom „NEKLASIFICIRANO“ primjenjuju se mjere i standardi informacijske sigurnosti čiju primjenu nadzire središnje državno tijelo nadležno za informacijsku sigurnost sukladno propisima kojima se uređuje informacijska sigurnost. Ministar će pravilnikom propisati način klasificiranja podataka i kriterija za određivanje stupnjeva tajnosti za podatke iz područja kritičnih infrastruktura te za druge podatke povezane s pojedinačnim kritičnim subjektom, ako je klasificiranje takvih podataka potrebno radi zaštite vrijednosti štićenih propisom o tajnosti podataka. Članak propisuje i postupanje s podacima koji se odnose na kritične subjekte od posebnog europskog značaja.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 45.
Ovom odredbom definiran je inspekcijski nadzor nad provedbom odredbi ovoga Zakona. Nadzor provode inspektori nadležni za civilnu zaštitu što im je i obveza sukladno propisanom opisu poslova. U inspekcijskom nadzoru inspektori nadziru ispunjavanje uvjeta i način rada osoba koje su obvezne provoditi mjere i aktivnosti Zakona, obavljaju izravan uvid u prostore koje kritični subjekti upotrebljavaju za pružanje svojih usluga na lokaciji kao i uvid u opće i pojedinačne akte kojima se osigurava otpornost kritičnih subjekata. Uvidom u opće i pojedinačne akte utvrđuje se jesu li izrađene procjene i analize rizika, doneseni sigurnosni planovi, određeni sigurnosni koordinatori za kritičnu infrastrukturu i ispunjene sve ostale obveze koje su definirane ovim Zakonom. Nadzire se i obavljanje poslova privatne zaštite koje je definirano odredbama ovoga Zakona. Ako se inspekcijskim nadzorom utvrdi povreda Zakona, inspektor ima pravo i obvezu bez odgađanja: narediti otklanjanje utvrđenih nedostataka odnosno nepravilnosti u određenom roku; pokrenuti prekršajni postupak ako se nepravilnosti ne otklone u određenom roku; zatražiti od nadležnog tijela provedbu revizije u pogledu kritičnih subjekata i poduzeti druge mjere i izvršiti druge radnje koje je ovlašten poduzeti i izvršiti na temelju ovoga Zakona i posebnog propisa. Stavkom 4. ovoga članka određuje se da ako tijekom inspekcijskog nadzora inspektor utvrdi da nije ovlašten izravno postupati, odmah će izvijestiti nadležno tijelo ili regulatorno tijelo te zatražiti pokretanje postupka i poduzimanje mjera u skladu s posebnim propisima. Pod navedenim stavkom podrazumijevaju se situacije kada inspektor zamijeti moguće nedostatke ili nepravilnosti koje nisu vezane uz odredbe ovoga Zakona, da o njima izvijestiti nadležno ili regulatorno tijelo kako bi oni, u okviru svojim nadležnosti, utvrdili i po potrebi naložili otklanjanje nedostataka u skladu s posebnim propisima. Odredbama ovoga članka ne ograničava se mogućnosti nadzora i ostalim inspekcijskim i nadležnim službama u kritičnim subjektima koji se provode u skladu s odredbama posebnih zakona i propisa.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 46.
Članak 46. propisuje da radi osiguranja jedinstvenog pristupa analizi rizika kritičnih subjekata, primjenu međusektorskih mjerila kod svih sudionika provedbe Zakona utvrđuje Koordinativno tijelo, a primjenu sektorskih mjerila kritičnih subjekata u analizi rizika utvrđuju nadležna tijela i regulatorna tijela u sektorima iz svog djelokruga.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 47.
Ovim člankom propisane su prekršajne odredbe za kritične subjekte ukoliko ne provode obaveze propisane ovim zakonom. Novčanom kaznom u iznosu od 65.000,00 – 130.000,00 eura kazniti pravna osoba – kritični subjekt ako: ne izradi procjenu rizika kritičnog subjekta u propisanom roku, ne izradi Sigurnosni plan u propisanom roku, uslugu zaštite kritične infrastrukture povjeri pravnoj osobi i obrtu koji nema certifikat za provedbu zaštite kritične infrastrukture, u slučaju incidenta ne poduzme bez odgađanja mjere i aktivnosti za zaštitu kritične infrastrukture. Novčanom kaznom za prethodno navedene prekršaje kaznit će se i odgovorna osoba kritičnog subjekta u iznosu od 1.300,00 – 6.000,00 eura.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 48.
Članak 48. propisuje novčane kazne u iznosu od 20.000,00 – 64.999,00 eura za pravnu osobu – kritični subjekt ako: nadležnom tijelu ne dostavi obavijesti o donošenju sigurnosnog plana, nadležnom i koordinativnom tijelu ne dostavi u roku detaljno izvješće o incidentu, ne odredi sigurnosnog koordinatora za kritičnu infrastrukturu. Novčanom kaznom za navedene prekršaje kaznit će se odgovorna osoba kritičnog subjekta u iznosu od 1.300,00 do 6.000,00 eura.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 49.
Odredbama ovoga članka određuje se da će Vlada Republike Hrvatske do 17. siječnja 2026. godine donijeti akt strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona te Nacionalnu procjenu rizika kritične infrastrukture iz članka 12. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 50.
Sukladno ovom članku, ministar će pravilnik o metodologiji za izradu analize iz članka 14. stavka 2. ovoga Zakona i pravilnik o postupanju s klasificiranim podacima o kritičnoj infrastrukturi iz 44. stavka 5. ovoga Zakona donijeti u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona. Ministar će pravilnik o programu i načinu provedbe osposobljavanja sigurnosnih koordinatora za kritičnu infrastrukturu iz članka 40. stavka 3. ovoga Zakona donijeti u roku od godinu dana od dana stupanja na snagu ovoga Zakona. Do stupanja na snagu pravilnika iz članka 14. stavka 2. ovoga Zakona ostaje na snazi Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura („Narodne novine“, br. 47/16 i 93/17).
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 51.
Članak 51. propisuje da će ministar nadležan za poslove civilne zaštite donijeti odluku o međusektorskim mjerilima u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona. Nadležna tijela dužna su donijeti sektorska mjerila u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 52.
Odredbom stavka 1. definirano je da sve pravne osobe i obrti, koji imaju sklopljene ugovore za obavljanje poslove privatne zaštite kritične infrastrukture, nastavljaju obavljati poslove do isteka roka ugovora. Time se otklanja mogućnost da, stupanjem na snagu Zakona, moraju prekinuti postojeći ugovori s tvrtkama koje nemaju odgovarajući certifikat, te tako nanijeti šteta ugovornim stranama. Stavkom 2. ovoga članka omogućeno je kritičnim subjektima da, u razdoblju od godine dana od dana stupanja na snagu Zakona, obavljanje poslova privatne zaštite povjere pravnim osobama i obrtima koji su podnijeli zahtjev za izdavanje certifikata. Naime, pravne osobe i obrti koji žele obavljati poslove privatne zaštite kritične infrastrukture podnijet će zahtjev za izdavanje certifikata nakon stupanja na snagu Zakona. Stoga postoji mogućnost da pojedini ugovori sklopljeni radi obavljanja poslova privatne zaštite kritične infrastrukture isteknu nakon stupanja na snagu ovoga Zakona, a prije izdavanja certifikata pravnim osobama i obrtima. S obzirom na navedeno, intencija odredbe članka 52. stavka 2. je omogućiti kritičnim subjektima provedbu navedenog vida zaštite kritične infrastrukture odnosno sklapanje ugovora o obavljanju poslova privatne zaštite infrastrukture sa pravnim osobama ili obrtima koji još nisu ishodili certifikat, ali su podnijeli zahtjev za njegovo izdavanje, i to u prijelaznom razdoblju od godine dana od dana stupanja na snagu Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 53.
Članak 54. propisuje da će postojeći Zakon o kritičnim infrastrukturama (NN, broj 56/13) biti stavljen van snage stupanjem na snagu ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Uz članak 54.
Sukladno članku, Zakon stupa na snagu 8 dana nakon objave u Narodnim novinama.
Prilogom I definiraju se sektori, podsektori i kategorije kojima se utvrđuju kritični subjekti, te ključne usluge koje pružaju.
Komentirate u ime: Ministarstvo unutarnjih poslova