NACRT PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA, S KONAČNIM PRIJEDLOGOM ZAKONA
Zagreb, siječanj 2018.
I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje ovog Zakona sadržana je u članku 2. stavku 4. podstavku 1. Ustava Republike Hrvatske (Narodne novine, br. 85/10 – pročišćeni tekst i 5/14 – Odluka Ustavnog suda Republike Hrvatske).
II. OCJENA STANJA, OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
Donošenje predmetnog Zakona proizlazi iz obveza Republike Hrvatske (dalje u tekstu: RH) kao članice Europske Unije (dalje u tekstu: EU) za prijenos Direktive o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava 2016/1148 donesene 6. srpnja 2016. (dalje: NIS direktiva) u nacionalno zakonodavstvo.
NIS direktiva nastala je na temelju provedbe EU strategije kibernetičke sigurnosti donesene 7. veljače 2013. godine (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 7.2.2013, JOIN(2013)1 final). Tekst NIS direktive je tri godine usuglašavan između Vijeća, Komisije, Parlamenta EU i država članica, kako bi obuhvatio nužni minimalni opseg bitnih društvenih i gospodarskih sektora država članica koji je potreban za široku i ubrzanu inicijativu razvoja digitalnog gospodarstva EU. Time se uvode zajedničke mjere u svim državama članicama za postizanje visoke razine zaštite kibernetičke sigurnosti i koordinaciju postupanja niza potrebnih dionika na nacionalnim i sektorskim razinama država članica.
NIS direktiva je dio široke digitalne inicijative EU-a, kojom se svijest o nužnosti razvoja digitalnog gospodarstva širi kroz niz segmenata suvremenog društva, kroz aktualni proces stvaranja jedinstvenog digitalnog tržišta EU-a, zatim niz inicijativa za jačanje sigurnosne svijesti o kibernetičkom prostoru, kao i putem poticanja razvoja javno-privatnog partnerstva i elektroničkih usluga u državnoj upravi i gospodarstvu. Pri tome NIS direktiva stvara primjerene okvire prevencije i zaštite društva od kibernetičkih ugroza zajedničkim pristupom svih država članica koje osiguravaju usklađene vertikalne sektorske pristupe u NIS direktivi, dok nova EU regulativa zaštite osobnih podataka (GDPR) sličan pristup osigurava horizontalnim funkcionalnim pristupom kroz sve segmente društva u cjelini.
Temeljni cilj NIS direktive je osigurati u svim državama članicama zajedničku razinu sigurnosti mrežnih i informacijskih sustava čije bi neispravno funkcioniranje uslijed sigurnosnih incidenata moglo imati snažne posljedice na društvo ili nacionalnu ekonomiju. Pri tome NIS direktiva uvodi regulativne elemente koji omogućavaju trajno praćenje stanja automatiziranosti i digitalizacije utvrđenih sektora.
NIS direktiva utvrđuje obvezu država članica uvesti mjere za visoku razinu zaštite kibernetičke sigurnosti u sljedećim sektorima: energetika – električna energija, nafta, plin; prijevoz – zračni, željeznički, vodni, cestovni; bankarstvo; infrastrukture financijskog tržišta; zdravstveni sektor; opskrba vodom za piće i njezina distribucija; digitalna infrastruktura - razmjena internetskog prometa, usluge naziva domena i kontrola vršne nacionalne domene.
Kako bi se osigurao temeljni cilj NIS direktive u svim državama članicama, kroz NIS direktivu je prepoznata i postavljena obveza državama članicama za donošenje nacionalne strategije kibernetičke sigurnosti.
Hrvatska strategija kibernetičke sigurnosti zadovoljava potrebne zahtjeve koji se postavljaju NIS direktivom u odnosu na strateške nacionalne okvire za ostvarivanje ciljeva i zahtjeva u kibernetičkom prostoru kao virtualnoj dimenziji društva.
Na sličan način kao i EU strategija, koja je nadopunjena akcijskim planom i konkretnim zahtjevima koji proizlaze iz NIS direktive, i hrvatska strategija sadrži detaljan i strukturiran Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti, kao i uspostavljena strateška i operativna međuresorna nacionalna tijela za upravljanje provedbom strategije i rješavanje svih bitnih nacionalnih pitanja u području kibernetičke sigurnosti („Narodne novine“, broj: 61/16). Ovaj postojeći nacionalni okvir koji čine Nacionalna strategija kibernetičke sigurnosti s pripadajućim Akcijskim planom za njenu provedbu, Prijedlogom Zakona proširuje se dodatnim zahtjevima, koji su usklađeni, kako s postojećim hrvatskim nacionalnim okvirom kibernetičke sigurnosti, tako i sa zahtjevima koji proizlaze iz potrebe transpozicije NIS direktive u RH kao državi članici EU-a. Na taj način postojeći nacionalni organizacijski okvir koji je sukladan s EU zahtjevima, povezuje sva potrebna nacionalna tijela odgovarajućih nadležnosti s EU formatima strateških, operativnih ili sektorskih tijela, u okviru potreba definiranih NIS direktivom. Nacionalnom strategijom kibernetičke sigurnosti u RH su prepoznate i potrebe za razmjenom podataka između različitih dionika Strategije, za koordiniranim upravljanjem u krizama, za međusektorskom razmjenom najbolje sigurnosne prakse te prepoznavanjem rizika povezanih s osjetljivim podacima i infrastrukturama, čija izloženost potencijalnim ugrozama u kibernetičkom prostoru raste iz dana u dan.
Nacionalna strategija kibernetičke sigurnosti u smislu opsega predstavlja okvir hrvatskog društva u cjelini, a specifično se određuje nizom ciljeva i mjera prema javnom, akademskom i gospodarskom sektoru, kao i prema sektoru građanstva u cjelini. Upravo stoga, Strategija je uspostavila međuresorne okvire upravljanja povezivanjem ključnih dionika Strategije u Nacionalno vijeće za kibernetičku sigurnost te povezivanjem čitavog niza dionika provedbe Strategije iz različitih sektora društva. Prijedlogom Zakona nacionalna nadležna tijela na strateškoj i operativnoj razini, kao i drugi dionici provedbe Strategije, uključuju se u odgovarajuće organizacijske okvire i provode potrebne zahtjeve EU-a kroz NIS direktivu.
Nacionalna strategija kibernetičke sigurnosti prepoznala je i široku potrebu prilagodbe različitih obrazovnih i drugih edukacijskih programa povezanih s kibernetičkom sigurnošću i kibernetičkim prostorom, kao i usklađenu potrebu podizanja razine sigurnosne svijesti u svim društvenim sektorima te je ciljeve i mjere Akcijskog plana u ovom području usmjerila na sve postojeće razine hrvatskog obrazovnog sustava, kao i na specijalizirane sektorske edukativne institucije. Prepoznate su i mogućnosti koje se otvaraju za RH u području digitalnog gospodarstva te je sadržaj Nacionalne strategije kibernetičke sigurnosti usko koordiniran sa Strategijom pametne specijalizacije („Narodne novine“, broj: 32/16), s povezanim aktivnostima Hrvatske gospodarske komore, kao i s mogućnostima korištenja EU CEF fonda (Connecting European Facilities), koji će u 2018. biti usko povezan s primjenom NIS direktive te se njenom transpozicijom za države članice i njihovo gospodarstvo otvaraju dodatne mogućnosti.
Ubrzani proces digitalizacije različitih industrijskih sektora prepoznat je u NIS direktivi kao potencijalna prijetnja, ukoliko nije praćen odgovarajućim sigurnosnim mjerama.
Stoga se NIS direktiva usmjerava na uvođenje mjera za postizanje visoke razine kibernetičke sigurnosti u odabranim sektorima te zahtijeva od država članica da u tu svrhu prepoznaju sve ključne usluge koje pripadaju tim sektorima. Prepoznavanje ključnih usluga potrebno je provesti neovisno o trenutnom stanju digitalizacije pojedinih sektora, jer se njihova ovisnost o mrežnim i informacijskim sustavima može pojaviti u budućnosti.
Provedba odgovarajućih mjera prema NIS direktivi obvezna je samo za slučajeve kada ključna usluga operatora na tržištu ovisi o mrežnim i informacijskim sustavima, no, postupak prepoznavanja operatora ključnih usluga odnosno njihove ovisnosti o mrežnim i informacijskim sustavima potrebno je redovito provoditi i ažurirati popis takvih operatora.
Stoga, prvu skupinu obveznika zahtjeva iz NIS direktive čine operatori koji pružaju ključne usluge za društvo ili nacionalnu ekonomiju (Operators of Essential Services - OES), u okviru utvrđenih sedam NIS sektora koji su ranije navedeni.
Drugu skupinu obveznika primjene mjera utvrđenih NIS direktivom čine davatelji digitalnih usluga (Digital Service Providers – DSP).
Digitalne usluge definirane su u NIS direktivi kao: internetsko tržište, internetske tražilice i usluge računalstva u oblaku, koje su od primarne važnosti za jedinstveno digitalno tržište EU-a. Upravo stoga Europska Komisija je u završnoj fazi donošenja provedbenog propisa kojim će se na jedinstven način detaljnije regulirati obveze u odnosu na tri definirane vrste digitalnih usluga iz NIS direktive u svim državama članicama.
Budući da važećim propisima nisu već od ranije u RH uvedene obveze koje bi bile kompatibilne sa svim zahtjevima NIS direktive te bi njezino prenošenje u važeće propise zahtijevalo dopune i izmjene više zakonskih (sektorskih) propisa, izrađen je ovaj Prijedlog Zakona, kojim se namjerava na jedinstveni način urediti navedena materija.
NIS direktiva, uz obvezu uvođenje tehničkih i organizacijskih mjera za upravljanje rizicima i mjera za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata na sigurnost mrežnih i informacijskih sustava, uvodi i obvezu obavješćivanja o incidentima koji mogu imati znatan učinak na kontinuitet u pružanju usluga.
Iako su rizici u NIS direktivi usmjereni prvenstveno na mrežne i informacijske sustave koji su u potpori ključnih usluga u odabranim sektorima, odnosno digitalnim uslugama, incidenti, prema definiciji iz NIS direktive obuhvaćaju široki, opći opseg svih kategorija mogućih incidenata (kvarova, nesreća i napada), koji mogu imati negativni učinak na sigurnost mrežnih i informacijskih sustava korištenih u realizaciji ključnih usluga ili digitalnih usluga.
Kriteriji za određivanje incidenata koji imaju znatan učinak na davanje digitalnih usluga propisuju se provedbenim propisom Europske komisije, koji je u tijeku donošenja.
Kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti o incidentima, kod operatora ključnih usluga i davatelja digitalnih usluga, način dostave obavijesti i druga pitanja bitna za postupanje s takvim obavijestima predlaže se urediti podzakonskim propisom. Stoga je Prijedlogom Zakona, radi potpunog prijenosa NIS direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskog akta, uredbe Vlade RH.
Države članice dužne su donijeti i objaviti zakone i druge propise koji su potrebni za usklađivanje s NIS direktivom do 9. svibnja 2018 te o tome odmah obavijestiti Europsku komisiju.
Također, države članice dužne su najkasnije do 9. studenoga 2018. godine, a nakon toga svake dvije godine, Europskoj komisiji dostavljati podatke koji su potrebni kako bi se Komisiji omogućila procjena provedbe NIS direktive.
Prijedlogom Zakona preuzimaju se obveze iz NIS direktive koje su u odgovornosti država članica te se na prikladan način povezuje nacionalno stanje RH u području kibernetičke sigurnosti te postojeće nadležnosti u svakom od NIS sektora u okviru RH te su stoga u Prijedlogu zakona primijenjeni prilagođeni kriteriji i pridružena primjerena nadležna tijela, kako bi se postigli željeni rezultati u odnosu na stvarno stanje koje postoji u predmetnim sektorima u RH.
Izričaj Prijedloga Zakona obuhvaća svu potrebnu različitost javnih i privatnih subjekata koji su ili nadležna tijela, ili obveznici primjene ovog Zakona. Prijedlog Zakona pri tome prati NIS direktivom zadanu metodologiju koja se primjenjuje na složeni postupak identifikacije operatora ključnih usluga u svim sektorima te uređuje sva bitna pitanja koja su dana u nadležnost država članica. Istovremeno, Prijedlogom Zakona se u slučaju davatelja digitalnih usluga prenose sve relevantne odredbe NIS direktive te se u provedbi referira na provedbeni propis Europske Komisije koji je u procesu donošenja i koji će se izravnoprimjenjivati na sve države članice.
Prijedlogom Zakona uvode se zahtjevi koji se postavljaju kao mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga i koji su usmjereni na osiguravanje kontinuiteta definiranih ključnih usluga u NIS direktivom zadanim sektorima u RH. U tu svrhu, Prijedlogom Zakona obuhvaćene su tehničke i organizacijske mjere za upravljanje rizicima, kao i mjere za sprečavanje i ublažavanje učinaka incidenata, ali i obveza sustavnog obavješćivanja o incidentima i njihovog koordiniranog rješavanja na sektorskoj, nacionalnoj i EU razini. Predmetne mjere i obveze izvješćivanja o incidentima pobliže će se propisati ranije spomenutom uredbom Vlade RH.
Prijedlogom Zakona u potpunosti se regulira sustav nadležnih tijela na nacionalnoj razini i njegovo povezivanje s nadležnim tijelima EU i država članica, kao i potrebna nacionalna koordinacija na sektorskim razinama. Pri tome se određuju funkcionalnosti zahtijevane na EU razini od svih država članica, kao što su to Jedinstvena nacionalna kontaktna točka, CSIRT tijela i njihova sektorska nadležnost, odnosno nadležna sektorska tijela odgovorna za provedbu nadzora nad primjenom prenesenih obveza iz NIS direktive, koristeći pri tome u najvećoj mogućoj mjeri postojeće nadležnosti i funkcionalnosti središnjih državnih tijela i drugih tijela u RH.
Jedinstvena nacionalna kontaktna točka objedinjava niz funkcionalnosti koje upotpunjavaju ulogu koju predloženo tijelo već ima u RH vezano uz provedbu Nacionalne strategije kibernetičke sigurnosti, odnosno rad Nacionalnog vijeća za kibernetičku sigurnost, dok su CSIRT nadležnosti pridjeljenje postojećim tijelima koja imaju odgovarajuće sposobnosti u tom području djelovanja.
Izbor nadležnih sektorskih tijela prati postojeće nadležnosti središnjih državnih tijela u područjima koji obuhvaćaju zadane NIS sektore, proširujući u određenoj mjeri postojeće nadzorne ovlasti tih tijela na područje primjene ovog Zakona te se oslanjajući na već regulirane revizijske procese u sektorima u kojima postoji obveza revizije, uz prikladno redefiniranje revizijskog procesa u omjeru koji je potreban za potpuni prijenos obveza iz NIS direktive.
Kako bi se uskladili uvjeti u vrlo raznorodnim i regulativno različito uređenim sektorima po pitanju provedbe revizije odnosno njezine procjene u nadzornim postupcima, uvedena je i uloga tehničkog tijela za ocjenu sukladnosti, prvenstveno za slučajeve u kojima revizija nije obvezujuća za pružatelje odnosno davatelje usluga iz NIS direktive.
Pored sektora koji su kao obvezujući predviđeni već samom NIS direktivom kao područja u kojima države članice moraju uvesti nove obveze odnosno prilagoditi postojeće, Prijedlogom Zakona se predlaže uključivanje još jednog sektora koji obuhvaća usluge u sustavima državne informacijske infrastrukture (e-Građani, kao i elektroničke poslovne aplikacije državne riznice ili centralnog obračuna plaća državnih službenika). Ovaj sektor nije zadan NIS direktivom, ali je prepoznat i kroz Nacionalnu strategiju kibernetičke sigurnosti (područje elektroničke uprave) kao visoko digitaliziran i vrlo osjetljiv zbog kumulacije velikih i različitih fondova podataka cjelokupnog stanovništva i/ili njegovih pojedinih segmenata u digitalnom obliku. Pored toga, u sklopu digitalne inicijative EU, u proceduri je i Prijedlog uredbe Europskog parlamenta i Vijeća o uspostavi jedinstvenog digitalnog pristupnika kao izvora informacija koji će omogućiti pristup na prostoru cjelokupne EU prema elektroničkim uslugama državne administracije svih država članica, što će dodatno postaviti proširene zahtjeve prema postojećim elektroničkim uslugama hrvatske državne uprave.
Kako bi se ispunila temeljna svrha NIS direktive odnosno uspostavila sustavna koordinacija svih relevantnih dionika, kao i razvila svijest o mogućim ugrozama u kibernetičkom prostoru te prikladno upravljalo rizicima i razmjerno rizicima provodile mjere zaštite, prema NIS direktivi nužno je predvidjeti i odgovarajuće prekršajne odredbe kojima bi se obuhvatilo one subjekte koji ne postupaju u skladu sa zahtjevima Zakona.
Prekršajne odredbe i prikladno povezani nadzor vezuju se na postojeće nadzorne ovlasti u pojedinim sektorima koje imaju nadležna sektorska tijela, dok su sami prekršaji sustavno grupirani u tri razine prema ozbiljnosti prekršaja.
Prijedlogom zakona se na sustavan način koriste postojeći kapaciteti i potencijali prepoznati Nacionalnom strategijom kibernetičke sigurnosti i povezuju se sa zahtjevima koji proizlaze iz NIS direktive te se na sveobuhvatan i učinkovit način uključuju u postojeću strukturu nacionalnih međuresornih tijela, Nacionalnog vijeća za kibernetičku sigurnost i Operativno-tehničke koordinacije za kibernetičku sigurnost. Takav pristup zahtijeva usklađeno djelovanje svih tijela uključenih u procese uređene ovim Prijedlogom Zakona, ali istovremeno omogućava međusobno komplementarno djelovanje različitih subjekata u širokom opsegu pokrivanja društvenih i gospodarskih sektora, čime se ostvaruje učinkovita uporaba svih resursa i ostvaruje sinergija djelovanja svih uključenih dionika.
To će omogućiti usklađeno i optimalno usmjeravanje proračunskih sredstava, korištenje EU fondova i za javni i za privatni sektor, kao i izbjegavanje neracionalnog multipliciranja kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. Važno je napomenuti da je u okviru provedbe NIS direktive planirano i korištenje sredstava iz EU fondova (npr. Connecting European Facilities - CEF), a slijedom iskustva i odobrenja hrvatskog projekta GrowCERT, koji je pokrenut 2017. i vrijedan 1 mil. EUR, uz sufinanciranje iz CEF fonda na razini 75% (nositelj CARNet - Nacionalni CERT). U 2018.g., prema najavi Europske komisije i nakon prijenosa NIS direktive u nacionalno zakonodavstvo, očekuje se mogućnost apliciranja i korištenja CEF fonda i za pravne osobe - sektorske operatore, putem nadležnih sektorskih tijela.
Kombiniranjem postojećih centraliziranih funkcionalnosti kibernetičke sigurnosti koje je Vlada RH uspostavila kroz Nacionalno vijeće za kibernetičku sigurnost i Prijedlogom Zakona predloženim povezivanjem tijela nadležnih za sektore obuhvaćene Prijedlogom, stvara se organizirani i upravljani sustav u kibernetičkom prostoru RH koji se direktno veže na puno širi sustav domovinske sigurnosti, odnosno kritičnih nacionalnih sektora i nacionalnog kriznog upravljanja, ostvarujući pri tome potrebnu sinergiju djelovanja između fizičke i virtualne dimenzije suvremenog društva.
Ovim Prijedlogom Zakona osigurava se provedba obveza RHiz NIS direktive, osiguravaju se potrebne pretpostavke za trajno unaprjeđenje stanja kibernetičke sigurnosti u širokom opsegu društvenih i gospodarskih sektora koji su obuhvaćeni njegovom primjenom, ali se istovremeno potiče i razvoj RH u području digitalnog gospodarstva usklađenim pristupom između niza dionika iz javnog i privatnog sektora. Time se otvaraju mogućnosti za učinkovitiji zajednički pristup i sinergiju djelovanja državnog, akademskog i gospodarskog sektora, prvenstveno u razvoju novih hrvatskih proizvoda i usluga sukladnih s jedinstvenim zahtjevima za cijelo područje Europske Unije.
III. OCJENA I IZVORI SREDSTAVA POTREBNIH ZA PROVEDBU ZAKONA
Za provedbu ovog Zakona bit će potrebno osigurati određena dodatna sredstva u državnom proračunu Republike Hrvatske od 2019. godine nadalje, ovisno o: 1. stanju postojećih kapaciteta nadležnih tijela, 2. broju obveznika provedbe zahtjevaiz ovog Zakona te 3. realizaciji plana korištenja sredstava EU fondova osiguranih u svrhu provedbe NIS direktive u državama članicama.
IV. OBRAZLOŽENJE ZA DONOŠENJE ZAKONA PO HITNOM POSTUPKU
Sukladno članku 204. stavka 1. Poslovnika Hrvatskoga sabora (Narodne novine br. 81/13 i 113/16) predlaže se donošenje ovog Zakona po hitnom postupku.
Zakon se odnosi na usluge od iznimne važnosti za normalno odvijanje društvenih i gospodarskih djelatnosti te za funkcioniranje unutarnjeg tržišta.
Zakonom se osigurava osnova za postizanje visoke razine sigurnosti mrežnih i informacijskih sustava o kojima ovise takve usluge odnosno zbog poremećaja u radu zbog kojih može doći do prekida pružanja same usluge.
Sigurnosni incidenti sve su većeg razmjera, učestalosti i utjecaja te predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. Ti sustavi također mogu postati meta za namjerne štetne radnje kojima je cilj nanijeti štetu ili prekinuti rad sustava. Takvi incidenti mogu ugroziti izvršavanje gospodarskih aktivnosti, prouzročiti znatne financijske gubitke, narušiti povjerenje korisnika i nanijeti znatnu štetu gospodarstvu.
U cilju stvaranja temelja za djelotvorni odgovor na izazove u pogledu kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, EU uvodi globalan pristup te NIS direktivom za sve države članice uvodi zajedničke minimalne zahtjeve za izgradnju kapaciteta i planiranje, razmjenu informacija, suradnju te zajedničke sigurnosne zahtjeve za operatore ključnih usluga i pružatelje digitalnih usluga.
Države članice u obvezi su donijeti zakone i druge propise koji su potrebni radi usklađivanja s NIS direktivom te koji moraju stupiti na snagu najkasnije 09. svibnja 2018. godine.
Države članice dužne su najkasnije 09. studenoga 2018., a nakon toga svake dvije godine, Europskoj komisiji dostaviti podatke koji su potrebni kako bi se Komisiji omogućila procjena provedbe NIS direktive, posebno dosljednosti u pristupu država članica pri identifikaciji operatora ključnih usluga. Ti podaci obuhvaćaju barem:
(a) nacionalne mjere kojima se omogućuje identifikacija operatora ključnih usluga;
(b)popis ključnih usluga;
(c)broj operatora ključnih usluga identificiranih za svaki sektor iz Priloga II. NIS direktive te oznaku njihove važnosti u odnosu na taj sektor;
(d)pragove, ako postoje, za određivanje odgovarajuće razine opskrbe prema broju korisnika koji se oslanjaju na tu uslugu ili u skladu s važnošću tog određenog operatora ključnih.
Prijedlogom Zakona utvrđuje se metodologija postupka za identifikaciju operatora ključnih usluga, definira se popis ključnih usluga, kao i kriteriji i pragovi za donošenje ocjene o važnosti negativnog učinka incidenta koji će se primjenjivati u identifikacijskom postupku.
Stoga je potrebno predvidjeti određeno vremensko razdoblje od trenutka stupanja na snagu Zakona do potpune primjene NIS direktive, a kako bi se omogućilo potrebno vrijeme za provedbu postupaka identifikacije operatora ključnih usluga, a potom i određeno vremensko razdoblje za prilagodbu identificiranih operatora s obvezama iz NIS direktive odnosno ovog Zakona.
V. TEKST KONAČNOG PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
ZAKON O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
DIO PRVI
OSNOVNE ODREDBE
Cilj i predmet
Članak 1.
(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, nadležnosti i ovlasti nadležnih sektorskih tijela, jedinstvene nacionalne kontaktne točke, tijela nadležnih za prevenciju i zaštitu od incidenata (dalje u tekstu: nadležni CSIRT) i tehničkog tijela za ocjenu sukladnosti, nadzor nad operatorima ključnih usluga i davateljima digitalnih usluga u provedbi ovog Zakona i prekršajne odredbe.
(2) Cilj je ovog Zakona osigurati provedbu mjera za postizanje visoke zajedničke razine kibernetičke sigurnosti u davanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti, uključujući funkcioniranje digitalnog tržišta.
(3) Sastavni su dio ovog Zakona:
a)Prilog I. - Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta
b)Prilog II. - Popis digitalnih usluga
c)Prilog III. - Popis nadležnih tijela.
Usklađenost s propisima Europske unije
Članak 2.
Ovim se Zakonom u pravni poredak Republike Hrvatske prenosi Direktiva 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016.).
Primjena
Članak 3.
(1) Ovaj Zakon primjenjuje se na operatore ključnih usluga, neovisno o tome jesu li u pitanju javni ili privatni subjekti, neovisno o državi njihova sjedišta, njihovoj veličini, ustroju i vlasništvu.
(2) Davatelji digitalnih usluga podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako na teritoriju Republike Hrvatske imaju sjedišteili svog predstavnika te pod uvjetom da takav davatelj ne predstavlja mikro ili mali subjekt malog gospodarstva kako su oni definirani Zakonom o poticanju razvoja malog gospodarstva.
Odnos propisa prema drugim propisima
Članak 4.
(1) Ako u provedbi ovog Zakona nastaju ili se koriste klasificirani podaci ili se obrađuju osobni podaci, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.
(2) Primjena ovog Zakona ne utječe na prava potrošača, koja su uređena posebnim zakonom.
(3) Ako su za pojedini sektor s Popisa iz Priloga I. ovog Zakona posebnim zakonom propisane mjere koje po svom sadržaju i svrsi odgovaraju zahtjevima iz ovog Zakona, ili predstavljaju strože zahtjeve, na pružatelje ključnih usluga koji pripadaju tom sektoru primjenjuju se odgovarajuće odredbe tog posebnog zakona.
Pojmovi
Članak 5.
U smislu ovog Zakona pojedini pojmovi imaju sljedeće značenje:
1)„kibernetička sigurnost“ – je sustav organizacijskih i tehničkih aktivnosti i mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka, kao i mrežnih i informacijskih sustava u kibernetičkom prostoru
2)„kibernetički prostor“ – je virtualni prostor unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani na Internet
3)„mrežni i informacijski sustav“ – je (a) elektronička komunikacijska mreža kako je ona definirana Zakonom o elektroničkim komunikacijama; (b) bilo koji uređaj ili grupa povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka ili (c) digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanim u točkama (a) i (b) u svrhu njihova rada, uporabe, zaštite i održavanja
4)„sigurnost mrežnih i informacijskih sustava” – je sposobnost mrežnih i informacijskih sustava da, na određenoj razini pouzdanosti, odolijevaju bilo kojoj radnji koja ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost, pohranjenih, prenesenih ili obrađenih podataka, ili srodnih usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup
5)„nacionalna strategija kibernetičke sigurnosti” – je okvir kojim se pružaju strateški ciljevi i prioriteti za kibernetičku sigurnost na nacionalnoj razini
6)„nadležnatijela“ – su nadležna sektorska tijela, jedinstvena nacionalna kontaktna točka, nadležni CSIRT-ovi i tehnička tijela za ocjenu sukladnosti
7) „operator ključnih usluga“ – je bilo koji javni ili privatni subjekt koji ispunjava kriterije iz članka 6. ovog Zakona
8)„davatelj digitalnih usluga”- je bilo koji privatni subjekt koji pruža neku digitalnu uslugu s Popisa iz Priloga II. ovog Zakona
9)“javni subjekti“ - su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave te pravne osobe koje imaju javne ovlasti ili obavljaju javnu službu
10)„privatni subjekti“ – su fizičke i pravne osobe koje pružaju ili daju usluge,
11)„fizička osoba“ - je osoba obrtnika ili osoba koja obavlja drugu samostalnu djelatnost
12)„pravna osoba“ – je svaka pravna osoba, neovisno o njezinoj veličini, ustroju i vlasništvu
13)„sjedište“ – je stalno mjesto poslovanja gdje pružatelj odnosno davatelj usluga u neodređenom vremenskom razdoblju upravlja svojom djelatnošću
14)„predstavnik“ –je bilo koja fizička ili pravna osoba sa sjedištem u Republici Hrvatskoj koju je davatelj digitalnih usluga koji nema sjedište u Europskoj uniji izričito imenovao da djeluje u njegovo ime i kojoj se nadležno sektorsko tijelo ili nadležni CSIRT mogu obratiti umjesto davatelju digitalnih usluga koji je obveznik primjene ovog Zakona
15)„incident” – je bilo koji događaj koji ima stvaran negativni učinak na sigurnost mrežnih i informacijskih sustava
16)„rješavanje incidenta” – su svi postupci koji podupiru otkrivanje, analizu i zaustavljanje incidenta te odgovor na njega
17)„rizik” – je bilo koja razumno prepoznatljiva okolnost ili događaj koji ima potencijalno negativni učinak na sigurnost mrežnih i informacijskih sustava
18)„središte za razmjenu internetskog prometa (IXP)” – je mrežni instrument koji omogućuje međusobno povezivanje više od dvaju neovisnih autonomnih sustava, prvenstveno u svrhu olakšavanja razmjene internetskog prometa; IXP pruža međusobno povezivanje samo za autonomne sustave; za IXP nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav, on takav promet ne mijenja i ne utječe na njega ni na koji drugi način
19)„sustav naziva domena (DNS)” – je hijerarhijsko raspoređeni sustav imenovanja na mreži koji odgovara na upite o nazivima domena
20)„pružatelj DNS usluge” – je javni ili privatni subjekt koji pruža DNS usluge na Internetu
21)„registri naziva vršnih domena” – su javni ili privatni subjekti koji upravljaju i rukuju registracijom naziva internetskih domena za određenu vršnu domenu (TLD)
22)„internetsko tržište” – je digitalna usluga koja potrošačima i/ili trgovcima, kako su oni definirani Zakonom o alternativnom rješavanju potrošačkih sporova, omogućuje da na Internetu sklapaju kupoprodajne ugovore i ugovore o uslugama s trgovcima na mrežnoj stranici tog internetskog tržišta ili na mrežnoj stranici tog trgovca koji se služi računalnim uslugama koje pruža internetsko tržište
23)„internetska tražilica” – je digitalna usluga koja korisniku omogućuje da pretražuje u načelu sve internetske stranice ili internetske stranice na određenom jeziku na temelju upita o bilo kojoj temi u obliku ključne riječi, rečenice ili nekog drugog unosa, a rezultat su poveznice na kojima se mogu pronaći informacije koje su povezane sa zatraženim sadržajem
24)„usluga računalstva u oblaku” – je digitalna usluga kojom se pruža pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, usluga i aplikacija
25)„država članica“ – država članica Europske unije
26)“kvalificirani revizor“ – je fizička ili pravna osoba koja je za obavljanje poslova revizije sigurnosti mrežnih i informacijskih sustava akreditirana pri odgovarajućoj organizaciji za normizaciju, koja je izdala ili daje na korištenje norme koje su u okviru provedbe zahtjeva iz ovog Zakona primijenjene kod određenog operatora ključnih usluga ili davatelja digitalnih usluga
27)„revizija sigurnosti mrežnih i informacijskih sustava“ – su postupci koje obavlja kvalificirani revizor radi ocjene usklađenosti uspostavljenih procesa upravljanja mrežnim i informacijskim sustavom i dokumentiranih sigurnosnih politika sa zahtjevima iz ovog Zakona
28)„CSIRT“ – je kratica za Computer Security Incident Response Team, odnosno tijelo nadležno za prevenciju i zaštitu od incidenata, za koju se u Republici Hrvatskoj koristi i kratica CERT (Computer Emergency Response Team).
DIO DRUGI
OPERATORI KLJUČNIH USLUGA I DIGITALNE USLUGE
Određivanje operatora ključnih usluga
Članak 6.
Pojedini javni ili privatni subjekt (dalje u tekstu: subjekt) odredit će se operatorom ključnih usluga ako:
a)subjekt pruža neku od ključnih usluga s Popisa iz Priloga I. ovog Zakona (dalje: ključna usluga),
b)pružanje ključne usluge kod tog subjekta ovisi o mrežnim i informacijskim sustavima i
c)incident bi imao znatan negativan učinak na pružanje ključne usluge.
Identifikacijski postupak
Članak 7.
(1) Nadležna sektorska tijela provode postupak identifikacije operatora ključnih usluga po sektorima s Popisa iz Priloga I. ovog Zakona, u kojem:
a)izrađuju popise svih subjekata koji pružaju ključnu uslugu,
b)provode izdvajanje subjekta ovisno o važnosti negativnog učinka koji bi incident imao na pružanje ključne usluge kod tog subjekta i
c)za sve izdvojene subjekte provode procjenu ovisnosti pružanja ključne usluge o mrežnim i informacijskim sustavima.
(2) Nadležno sektorsko tijelo dužno je postupak identifikacije operatora ključnih usluga provoditi redovito, sukladno tržišnim promjenama u sektoru, a najmanje jednom u dvije godine.
Određivanje važnosti negativnog učinka incidenta
Članak 8.
(1) Za određivanje važnosti negativnog učinka koji bi incident imao na pružanje ključne usluge uzimaju se u obzir sljedeći kriteriji:
–broj i vrsta korisnika kojima subjekt pruža uslugu,
–postojanje ovisnosti drugih djelatnosti ili područja o pružanju usluge,
–tržišni udio subjekta koji pruža uslugu,
–zemljopisna raširenost subjekta u pružanju usluge,
–mogući utjecaj incidenta, s obzirom na njegovu težinu i trajanje, na gospodarske i društvene aktivnosti te na javnu sigurnost,
–važnosti poslovanja subjekta za održavanje dostatne razine ključne usluge, uzimajući u obzir i raspoloživost alternativnih sredstava za pružanje te usluge ili
–drugi sektorski kriteriji poput količine pružene usluge, udjela u pružanju usluge ili imovine subjekta.
(2) Kriteriji iz stavka 1. ovog članka, i kriterijski pragovi, ako su definirani, primjenjuju se u postupku identifikacije operatora ključnih usluga, prema njihovom razvrstavanju po ključnim uslugama kako je to predviđeno Popisom iz Priloga I. ovog Zakona.
(3) Ako subjekt koji pruža ključnu uslugu ispunjava kriterije prema Popisu iz Priloga I. ovog Zakona te dostiže kriterijski prag, kada je on Popisom definiran, daje se ocjena važnosti negativnog učinka incidenta na pružanje ključne usluge za tog subjekta te se subjekt izdvaja za provođenje procjene ovisnosti pružanja ključne usluge o mrežnim i informacijskim sustavima.
Procjena ovisnosti o mrežnom i informacijskom sustavu
Članak 9.
(1) Ako se utvrdi da subjekt iz članka 8. stavka 3. ovog Zakona koristi mrežni i informacijski sustav za potporu pružanju ključne usluge te da prekid rada ili neispravno funkcioniranje tog sustava može dovesti do prekida u pružanju usluge ili na drugi način negativno utjecati na kvalitetu i/ili obujam usluge, nadležno sektorsko tijelo donosi odluku o određivanju tog subjekta operatorom ključnih usluga.
(2) Iznimno od stavka 1. ovog članka, nadležno sektorsko tijelo može odnijeti odluku o određivanju subjekta operatorom ključne usluge neovisno o kriterijima s Popisa iz Priloga I. ovog Zakona, ako u postupku identifikacije utvrdi da subjekt pruža ključnu uslugu u dvije ili više država članica te da ovisnost o mrežnom i informacijskom sustavu subjekta u pružanju usluge može zbog toga imati negativan prekogranični učinak na kontinuitet u pružanju usluge.
(3) Nadležno sektorsko tijelo, radi utvrđivanja kritičnosti prekograničnog učinka iz stavka 2. ovog članka, u suradnji s jedinstvenom kontaktnom točkom provodi savjetovanja s nadležnim tijelom uključene države članice.
Obavijest o identifikaciji
Članak 10.
Nadležno sektorsko tijelo dostavlja identificiranom operatoru ključne usluge obavijest o odluci iz članka 9. ovog Zakona u roku od osam dana od dana njezina donošenja.
Dostava podataka za potrebe postupka identifikacije operatora ključne usluge
Članak 11.
(1) Svaki subjekt koji pruža neku od ključnih usluga dužan je nadležnom sektorskom tijelu, na njegov zahtjev, dostaviti podatke koji su mu potrebni za provođenje postupka identifikacije operatora ključnih usluga.
(2) U zahtjevu iz stavka 1. ovog članka obvezno se navodi svrha zahtjeva, naznaka podataka koji su tijelu potrebni i rok za dostavu podataka.
(3) Subjekti kod kojih nastupe promjene u odnosu na podatke dostavljene sukladno stavku 2. ovog članka, dužni su nadležnom sektorskom tijelu dostaviti obavijest o tim promjenama ako bi one mogle utjecati na određivanje statusa subjekta u postupku identifikacije operatora ključne usluge.
(4) Obavijesti iz stavka 3. ovog članka dostavljaju se u roku od sedam dana od dana nastanka ili uvođenja promjene.
Popis operatora ključnih usluga
Članak 12.
(1) Na temelju odluka iz članka 9. ovog Zakona nadležna sektorska tijela izrađuju, preispituju i ažuriraju Popise operatora ključnih usluga po sektorima s Popisa iz Priloga I. ovog Zakona.
(2) Nadležna sektorska tijela obavješćuju jedinstvenu nacionalnu kontaktnu točku o broju identificiranih operatora ključnih usluga u pojedinom sektoru, s naznakom njihove važnosti za sektor.
Digitalne usluge
Članak 13.
Digitalne usluge na čije se davatelje odnosi ovaj Zakon utvrđene su Popisom iz Priloga II. ovog Zakona.
DIO TREĆI
MJERE ZA POSTIZANJE VISOKE RAZINE KIBERNETIČKE SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
Obveza provedbe mjera
Članak 14.
(1) Operatori ključnih usluga i davatelji digitalnih usluga dužni su, radi osiguranja kontinuiteta u obavljanju tih usluga, poduzimati mjere za postizanje visoke razine kibernetičke sigurnosti svojih usluga.
(2) Mjere iz stavka 1. ovog članka sastoje se minimalno od:
–tehničkih i organizacijskih mjera za upravljanje rizicima, uzimajući pri tome u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti i
–mjera za sprečavanje i ublažavanjeučinaka incidenata na sigurnost mrežnih i informacijskih sustava.
Mjere za upravljanje rizikom operatora ključnih usluga
Članak 15.
Operatori ključnih usluga dužni su poduzimati tehničke i organizacijske mjere za upravljanje rizicima koje moraju obuhvatiti mjere za:
–utvrđivanje rizika od incidenata
–sprječavanje, otkrivanje i rješavanje incidenata i
–ublažavanje učinka incidenata na najmanju moguću mjeru.
Mjere za upravljanje rizikom davatelja digitalnih usluga
Članak 16.
Davatelji digitalnih usluga dužni su prilikom poduzimanja tehničkih i organizacijskih mjera za upravljanje rizicima voditi računa osobito o:
–sigurnosti sustava i objekata
–rješavanju incidenata
–upravljanju kontinuitetom poslovanja
–praćenju, reviziji i testiranju
–sukladnosti s međunarodnim propisima.
Opseg primjene mjera
Članak 17.
(1) Operatori ključnih usluga dužni su mjere za postizanje visoke razine kibernetičke sigurnosti provoditi u odnosu na mrežni i informacijski sustav, ili njegov dio, za koji je u postupku identifikacije operatora ključne usluge utvrđeno da o njemu ovisi pružanje ključne usluge kod dotičnog subjekta.
(2) Davatelji digitalnih usluga dužni su mjere za postizanje visoke razine kibernetičke sigurnosti provoditi u odnosu na mrežni i informacijski sustav koji kod njih podržava digitalnu uslugu.
NACRT PRIJEDLOG ZAKONA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA, S KONAČNIM PRIJEDLOGOM ZAKONA
Zagreb, siječanj 2018.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
I. USTAVNA OSNOVA ZA DONOŠENJE ZAKONA
Ustavna osnova za donošenje ovog Zakona sadržana je u članku 2. stavku 4. podstavku 1. Ustava Republike Hrvatske (Narodne novine, br. 85/10 – pročišćeni tekst i 5/14 – Odluka Ustavnog suda Republike Hrvatske).
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
II. OCJENA STANJA, OSNOVNA PITANJA KOJA TREBA UREDITI ZAKONOM TE POSLJEDICE KOJE ĆE PROISTEĆI DONOŠENJEM ZAKONA
Donošenje predmetnog Zakona proizlazi iz obveza Republike Hrvatske (dalje u tekstu: RH) kao članice Europske Unije (dalje u tekstu: EU) za prijenos Direktive o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava 2016/1148 donesene 6. srpnja 2016. (dalje: NIS direktiva) u nacionalno zakonodavstvo.
NIS direktiva nastala je na temelju provedbe EU strategije kibernetičke sigurnosti donesene 7. veljače 2013. godine (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 7.2.2013, JOIN(2013)1 final). Tekst NIS direktive je tri godine usuglašavan između Vijeća, Komisije, Parlamenta EU i država članica, kako bi obuhvatio nužni minimalni opseg bitnih društvenih i gospodarskih sektora država članica koji je potreban za široku i ubrzanu inicijativu razvoja digitalnog gospodarstva EU. Time se uvode zajedničke mjere u svim državama članicama za postizanje visoke razine zaštite kibernetičke sigurnosti i koordinaciju postupanja niza potrebnih dionika na nacionalnim i sektorskim razinama država članica.
NIS direktiva je dio široke digitalne inicijative EU-a, kojom se svijest o nužnosti razvoja digitalnog gospodarstva širi kroz niz segmenata suvremenog društva, kroz aktualni proces stvaranja jedinstvenog digitalnog tržišta EU-a, zatim niz inicijativa za jačanje sigurnosne svijesti o kibernetičkom prostoru, kao i putem poticanja razvoja javno-privatnog partnerstva i elektroničkih usluga u državnoj upravi i gospodarstvu. Pri tome NIS direktiva stvara primjerene okvire prevencije i zaštite društva od kibernetičkih ugroza zajedničkim pristupom svih država članica koje osiguravaju usklađene vertikalne sektorske pristupe u NIS direktivi, dok nova EU regulativa zaštite osobnih podataka (GDPR) sličan pristup osigurava horizontalnim funkcionalnim pristupom kroz sve segmente društva u cjelini.
Temeljni cilj NIS direktive je osigurati u svim državama članicama zajedničku razinu sigurnosti mrežnih i informacijskih sustava čije bi neispravno funkcioniranje uslijed sigurnosnih incidenata moglo imati snažne posljedice na društvo ili nacionalnu ekonomiju. Pri tome NIS direktiva uvodi regulativne elemente koji omogućavaju trajno praćenje stanja automatiziranosti i digitalizacije utvrđenih sektora.
NIS direktiva utvrđuje obvezu država članica uvesti mjere za visoku razinu zaštite kibernetičke sigurnosti u sljedećim sektorima: energetika – električna energija, nafta, plin; prijevoz – zračni, željeznički, vodni, cestovni; bankarstvo; infrastrukture financijskog tržišta; zdravstveni sektor; opskrba vodom za piće i njezina distribucija; digitalna infrastruktura - razmjena internetskog prometa, usluge naziva domena i kontrola vršne nacionalne domene.
Kako bi se osigurao temeljni cilj NIS direktive u svim državama članicama, kroz NIS direktivu je prepoznata i postavljena obveza državama članicama za donošenje nacionalne strategije kibernetičke sigurnosti.
Zahtjevi koji se postavljaju na nacionalne strategije država članica u ovom području prate se i analiziraju putem EU agencije ENISA, a Nacionalna strategija kibernetičke sigurnosti RH („Narodne novine“, broj: 108/15) prevedena je na engleski jezik te je raspoloživa, zajedno sa strategijama drugih država članica, na poveznici: https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/strategies/croatian-cyber-security-strategy .
Hrvatska strategija kibernetičke sigurnosti zadovoljava potrebne zahtjeve koji se postavljaju NIS direktivom u odnosu na strateške nacionalne okvire za ostvarivanje ciljeva i zahtjeva u kibernetičkom prostoru kao virtualnoj dimenziji društva.
Na sličan način kao i EU strategija, koja je nadopunjena akcijskim planom i konkretnim zahtjevima koji proizlaze iz NIS direktive, i hrvatska strategija sadrži detaljan i strukturiran Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti, kao i uspostavljena strateška i operativna međuresorna nacionalna tijela za upravljanje provedbom strategije i rješavanje svih bitnih nacionalnih pitanja u području kibernetičke sigurnosti („Narodne novine“, broj: 61/16). Ovaj postojeći nacionalni okvir koji čine Nacionalna strategija kibernetičke sigurnosti s pripadajućim Akcijskim planom za njenu provedbu, Prijedlogom Zakona proširuje se dodatnim zahtjevima, koji su usklađeni, kako s postojećim hrvatskim nacionalnim okvirom kibernetičke sigurnosti, tako i sa zahtjevima koji proizlaze iz potrebe transpozicije NIS direktive u RH kao državi članici EU-a. Na taj način postojeći nacionalni organizacijski okvir koji je sukladan s EU zahtjevima, povezuje sva potrebna nacionalna tijela odgovarajućih nadležnosti s EU formatima strateških, operativnih ili sektorskih tijela, u okviru potreba definiranih NIS direktivom. Nacionalnom strategijom kibernetičke sigurnosti u RH su prepoznate i potrebe za razmjenom podataka između različitih dionika Strategije, za koordiniranim upravljanjem u krizama, za međusektorskom razmjenom najbolje sigurnosne prakse te prepoznavanjem rizika povezanih s osjetljivim podacima i infrastrukturama, čija izloženost potencijalnim ugrozama u kibernetičkom prostoru raste iz dana u dan.
Nacionalna strategija kibernetičke sigurnosti u smislu opsega predstavlja okvir hrvatskog društva u cjelini, a specifično se određuje nizom ciljeva i mjera prema javnom, akademskom i gospodarskom sektoru, kao i prema sektoru građanstva u cjelini. Upravo stoga, Strategija je uspostavila međuresorne okvire upravljanja povezivanjem ključnih dionika Strategije u Nacionalno vijeće za kibernetičku sigurnost te povezivanjem čitavog niza dionika provedbe Strategije iz različitih sektora društva. Prijedlogom Zakona nacionalna nadležna tijela na strateškoj i operativnoj razini, kao i drugi dionici provedbe Strategije, uključuju se u odgovarajuće organizacijske okvire i provode potrebne zahtjeve EU-a kroz NIS direktivu.
Nacionalna strategija kibernetičke sigurnosti prepoznala je i široku potrebu prilagodbe različitih obrazovnih i drugih edukacijskih programa povezanih s kibernetičkom sigurnošću i kibernetičkim prostorom, kao i usklađenu potrebu podizanja razine sigurnosne svijesti u svim društvenim sektorima te je ciljeve i mjere Akcijskog plana u ovom području usmjerila na sve postojeće razine hrvatskog obrazovnog sustava, kao i na specijalizirane sektorske edukativne institucije. Prepoznate su i mogućnosti koje se otvaraju za RH u području digitalnog gospodarstva te je sadržaj Nacionalne strategije kibernetičke sigurnosti usko koordiniran sa Strategijom pametne specijalizacije („Narodne novine“, broj: 32/16), s povezanim aktivnostima Hrvatske gospodarske komore, kao i s mogućnostima korištenja EU CEF fonda (Connecting European Facilities), koji će u 2018. biti usko povezan s primjenom NIS direktive te se njenom transpozicijom za države članice i njihovo gospodarstvo otvaraju dodatne mogućnosti.
Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za njenu provedbu utemeljeni su na metodologiji kojom su opći ciljevi Strategije razrađeni na posebne ciljeve svakog od odabranih područja i poveznica područja kibernetičke sigurnosti, a za svaki posebni cilj utvrđene su u Akcijskom planu mjere za koje su definirani vremenski rokovi, odgovorna tijela – nositelji i sunositelji, kao i potrebna metrika za mjerenje provedbe mjera Akcijskog plana. Izvješće o provedbi početnog ciklusa Akcijskog plana u 2016. raspoloživo je na poveznici: http://www.uvns.hr/UserDocsImages/dokumenti/informacijska-sigurnost/Izvjesce%20o%20provedbi%20Akcijskog%20plana%20za%20provedbu%20NSKS%20u%202016.pdf , kao i inicijalno izvješće o osnivanju međuresornih nacionalnih tijela za upravljanje strategijom: http://www.uvns.hr/UserDocsImages/dokumenti/informacijska-sigurnost/InicijalnoIzvjesceVijecaVladiRH_13062017.pdf .
Ubrzani proces digitalizacije različitih industrijskih sektora prepoznat je u NIS direktivi kao potencijalna prijetnja, ukoliko nije praćen odgovarajućim sigurnosnim mjerama.
Stoga se NIS direktiva usmjerava na uvođenje mjera za postizanje visoke razine kibernetičke sigurnosti u odabranim sektorima te zahtijeva od država članica da u tu svrhu prepoznaju sve ključne usluge koje pripadaju tim sektorima. Prepoznavanje ključnih usluga potrebno je provesti neovisno o trenutnom stanju digitalizacije pojedinih sektora, jer se njihova ovisnost o mrežnim i informacijskim sustavima može pojaviti u budućnosti.
Provedba odgovarajućih mjera prema NIS direktivi obvezna je samo za slučajeve kada ključna usluga operatora na tržištu ovisi o mrežnim i informacijskim sustavima, no, postupak prepoznavanja operatora ključnih usluga odnosno njihove ovisnosti o mrežnim i informacijskim sustavima potrebno je redovito provoditi i ažurirati popis takvih operatora.
Stoga, prvu skupinu obveznika zahtjeva iz NIS direktive čine operatori koji pružaju ključne usluge za društvo ili nacionalnu ekonomiju (Operators of Essential Services - OES), u okviru utvrđenih sedam NIS sektora koji su ranije navedeni.
Drugu skupinu obveznika primjene mjera utvrđenih NIS direktivom čine davatelji digitalnih usluga (Digital Service Providers – DSP).
Digitalne usluge definirane su u NIS direktivi kao: internetsko tržište, internetske tražilice i usluge računalstva u oblaku, koje su od primarne važnosti za jedinstveno digitalno tržište EU-a. Upravo stoga Europska Komisija je u završnoj fazi donošenja provedbenog propisa kojim će se na jedinstven način detaljnije regulirati obveze u odnosu na tri definirane vrste digitalnih usluga iz NIS direktive u svim državama članicama.
Budući da važećim propisima nisu već od ranije u RH uvedene obveze koje bi bile kompatibilne sa svim zahtjevima NIS direktive te bi njezino prenošenje u važeće propise zahtijevalo dopune i izmjene više zakonskih (sektorskih) propisa, izrađen je ovaj Prijedlog Zakona, kojim se namjerava na jedinstveni način urediti navedena materija.
NIS direktiva, uz obvezu uvođenje tehničkih i organizacijskih mjera za upravljanje rizicima i mjera za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata na sigurnost mrežnih i informacijskih sustava, uvodi i obvezu obavješćivanja o incidentima koji mogu imati znatan učinak na kontinuitet u pružanju usluga.
Iako su rizici u NIS direktivi usmjereni prvenstveno na mrežne i informacijske sustave koji su u potpori ključnih usluga u odabranim sektorima, odnosno digitalnim uslugama, incidenti, prema definiciji iz NIS direktive obuhvaćaju široki, opći opseg svih kategorija mogućih incidenata (kvarova, nesreća i napada), koji mogu imati negativni učinak na sigurnost mrežnih i informacijskih sustava korištenih u realizaciji ključnih usluga ili digitalnih usluga.
Kriteriji za određivanje incidenata koji imaju znatan učinak na davanje digitalnih usluga propisuju se provedbenim propisom Europske komisije, koji je u tijeku donošenja.
Kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti o incidentima, kod operatora ključnih usluga i davatelja digitalnih usluga, način dostave obavijesti i druga pitanja bitna za postupanje s takvim obavijestima predlaže se urediti podzakonskim propisom. Stoga je Prijedlogom Zakona, radi potpunog prijenosa NIS direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskog akta, uredbe Vlade RH.
Države članice dužne su donijeti i objaviti zakone i druge propise koji su potrebni za usklađivanje s NIS direktivom do 9. svibnja 2018 te o tome odmah obavijestiti Europsku komisiju.
Također, države članice dužne su najkasnije do 9. studenoga 2018. godine, a nakon toga svake dvije godine, Europskoj komisiji dostavljati podatke koji su potrebni kako bi se Komisiji omogućila procjena provedbe NIS direktive.
Prijedlogom Zakona preuzimaju se obveze iz NIS direktive koje su u odgovornosti država članica te se na prikladan način povezuje nacionalno stanje RH u području kibernetičke sigurnosti te postojeće nadležnosti u svakom od NIS sektora u okviru RH te su stoga u Prijedlogu zakona primijenjeni prilagođeni kriteriji i pridružena primjerena nadležna tijela, kako bi se postigli željeni rezultati u odnosu na stvarno stanje koje postoji u predmetnim sektorima u RH.
Izričaj Prijedloga Zakona obuhvaća svu potrebnu različitost javnih i privatnih subjekata koji su ili nadležna tijela, ili obveznici primjene ovog Zakona. Prijedlog Zakona pri tome prati NIS direktivom zadanu metodologiju koja se primjenjuje na složeni postupak identifikacije operatora ključnih usluga u svim sektorima te uređuje sva bitna pitanja koja su dana u nadležnost država članica. Istovremeno, Prijedlogom Zakona se u slučaju davatelja digitalnih usluga prenose sve relevantne odredbe NIS direktive te se u provedbi referira na provedbeni propis Europske Komisije koji je u procesu donošenja i koji će se izravno primjenjivati na sve države članice.
Prijedlogom Zakona uvode se zahtjevi koji se postavljaju kao mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga i koji su usmjereni na osiguravanje kontinuiteta definiranih ključnih usluga u NIS direktivom zadanim sektorima u RH. U tu svrhu, Prijedlogom Zakona obuhvaćene su tehničke i organizacijske mjere za upravljanje rizicima, kao i mjere za sprečavanje i ublažavanje učinaka incidenata, ali i obveza sustavnog obavješćivanja o incidentima i njihovog koordiniranog rješavanja na sektorskoj, nacionalnoj i EU razini. Predmetne mjere i obveze izvješćivanja o incidentima pobliže će se propisati ranije spomenutom uredbom Vlade RH.
Prijedlogom Zakona u potpunosti se regulira sustav nadležnih tijela na nacionalnoj razini i njegovo povezivanje s nadležnim tijelima EU i država članica, kao i potrebna nacionalna koordinacija na sektorskim razinama. Pri tome se određuju funkcionalnosti zahtijevane na EU razini od svih država članica, kao što su to Jedinstvena nacionalna kontaktna točka, CSIRT tijela i njihova sektorska nadležnost, odnosno nadležna sektorska tijela odgovorna za provedbu nadzora nad primjenom prenesenih obveza iz NIS direktive, koristeći pri tome u najvećoj mogućoj mjeri postojeće nadležnosti i funkcionalnosti središnjih državnih tijela i drugih tijela u RH.
Jedinstvena nacionalna kontaktna točka objedinjava niz funkcionalnosti koje upotpunjavaju ulogu koju predloženo tijelo već ima u RH vezano uz provedbu Nacionalne strategije kibernetičke sigurnosti, odnosno rad Nacionalnog vijeća za kibernetičku sigurnost, dok su CSIRT nadležnosti pridjeljenje postojećim tijelima koja imaju odgovarajuće sposobnosti u tom području djelovanja.
Izbor nadležnih sektorskih tijela prati postojeće nadležnosti središnjih državnih tijela u područjima koji obuhvaćaju zadane NIS sektore, proširujući u određenoj mjeri postojeće nadzorne ovlasti tih tijela na područje primjene ovog Zakona te se oslanjajući na već regulirane revizijske procese u sektorima u kojima postoji obveza revizije, uz prikladno redefiniranje revizijskog procesa u omjeru koji je potreban za potpuni prijenos obveza iz NIS direktive.
Kako bi se uskladili uvjeti u vrlo raznorodnim i regulativno različito uređenim sektorima po pitanju provedbe revizije odnosno njezine procjene u nadzornim postupcima, uvedena je i uloga tehničkog tijela za ocjenu sukladnosti, prvenstveno za slučajeve u kojima revizija nije obvezujuća za pružatelje odnosno davatelje usluga iz NIS direktive.
Pored sektora koji su kao obvezujući predviđeni već samom NIS direktivom kao područja u kojima države članice moraju uvesti nove obveze odnosno prilagoditi postojeće, Prijedlogom Zakona se predlaže uključivanje još jednog sektora koji obuhvaća usluge u sustavima državne informacijske infrastrukture (e-Građani, kao i elektroničke poslovne aplikacije državne riznice ili centralnog obračuna plaća državnih službenika). Ovaj sektor nije zadan NIS direktivom, ali je prepoznat i kroz Nacionalnu strategiju kibernetičke sigurnosti (područje elektroničke uprave) kao visoko digitaliziran i vrlo osjetljiv zbog kumulacije velikih i različitih fondova podataka cjelokupnog stanovništva i/ili njegovih pojedinih segmenata u digitalnom obliku. Pored toga, u sklopu digitalne inicijative EU, u proceduri je i Prijedlog uredbe Europskog parlamenta i Vijeća o uspostavi jedinstvenog digitalnog pristupnika kao izvora informacija koji će omogućiti pristup na prostoru cjelokupne EU prema elektroničkim uslugama državne administracije svih država članica, što će dodatno postaviti proširene zahtjeve prema postojećim elektroničkim uslugama hrvatske državne uprave.
Kako bi se ispunila temeljna svrha NIS direktive odnosno uspostavila sustavna koordinacija svih relevantnih dionika, kao i razvila svijest o mogućim ugrozama u kibernetičkom prostoru te prikladno upravljalo rizicima i razmjerno rizicima provodile mjere zaštite, prema NIS direktivi nužno je predvidjeti i odgovarajuće prekršajne odredbe kojima bi se obuhvatilo one subjekte koji ne postupaju u skladu sa zahtjevima Zakona.
Prekršajne odredbe i prikladno povezani nadzor vezuju se na postojeće nadzorne ovlasti u pojedinim sektorima koje imaju nadležna sektorska tijela, dok su sami prekršaji sustavno grupirani u tri razine prema ozbiljnosti prekršaja.
Prijedlogom zakona se na sustavan način koriste postojeći kapaciteti i potencijali prepoznati Nacionalnom strategijom kibernetičke sigurnosti i povezuju se sa zahtjevima koji proizlaze iz NIS direktive te se na sveobuhvatan i učinkovit način uključuju u postojeću strukturu nacionalnih međuresornih tijela, Nacionalnog vijeća za kibernetičku sigurnost i Operativno-tehničke koordinacije za kibernetičku sigurnost. Takav pristup zahtijeva usklađeno djelovanje svih tijela uključenih u procese uređene ovim Prijedlogom Zakona, ali istovremeno omogućava međusobno komplementarno djelovanje različitih subjekata u širokom opsegu pokrivanja društvenih i gospodarskih sektora, čime se ostvaruje učinkovita uporaba svih resursa i ostvaruje sinergija djelovanja svih uključenih dionika.
To će omogućiti usklađeno i optimalno usmjeravanje proračunskih sredstava, korištenje EU fondova i za javni i za privatni sektor, kao i izbjegavanje neracionalnog multipliciranja kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. Važno je napomenuti da je u okviru provedbe NIS direktive planirano i korištenje sredstava iz EU fondova (npr. Connecting European Facilities - CEF), a slijedom iskustva i odobrenja hrvatskog projekta GrowCERT, koji je pokrenut 2017. i vrijedan 1 mil. EUR, uz sufinanciranje iz CEF fonda na razini 75% (nositelj CARNet - Nacionalni CERT). U 2018.g., prema najavi Europske komisije i nakon prijenosa NIS direktive u nacionalno zakonodavstvo, očekuje se mogućnost apliciranja i korištenja CEF fonda i za pravne osobe - sektorske operatore, putem nadležnih sektorskih tijela.
Kombiniranjem postojećih centraliziranih funkcionalnosti kibernetičke sigurnosti koje je Vlada RH uspostavila kroz Nacionalno vijeće za kibernetičku sigurnost i Prijedlogom Zakona predloženim povezivanjem tijela nadležnih za sektore obuhvaćene Prijedlogom, stvara se organizirani i upravljani sustav u kibernetičkom prostoru RH koji se direktno veže na puno širi sustav domovinske sigurnosti, odnosno kritičnih nacionalnih sektora i nacionalnog kriznog upravljanja, ostvarujući pri tome potrebnu sinergiju djelovanja između fizičke i virtualne dimenzije suvremenog društva.
Ovim Prijedlogom Zakona osigurava se provedba obveza RH iz NIS direktive, osiguravaju se potrebne pretpostavke za trajno unaprjeđenje stanja kibernetičke sigurnosti u širokom opsegu društvenih i gospodarskih sektora koji su obuhvaćeni njegovom primjenom, ali se istovremeno potiče i razvoj RH u području digitalnog gospodarstva usklađenim pristupom između niza dionika iz javnog i privatnog sektora. Time se otvaraju mogućnosti za učinkovitiji zajednički pristup i sinergiju djelovanja državnog, akademskog i gospodarskog sektora, prvenstveno u razvoju novih hrvatskih proizvoda i usluga sukladnih s jedinstvenim zahtjevima za cijelo područje Europske Unije.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
III. OCJENA I IZVORI SREDSTAVA POTREBNIH ZA PROVEDBU ZAKONA
Za provedbu ovog Zakona bit će potrebno osigurati određena dodatna sredstva u državnom proračunu Republike Hrvatske od 2019. godine nadalje, ovisno o: 1. stanju postojećih kapaciteta nadležnih tijela, 2. broju obveznika provedbe zahtjeva iz ovog Zakona te 3. realizaciji plana korištenja sredstava EU fondova osiguranih u svrhu provedbe NIS direktive u državama članicama.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
IV. OBRAZLOŽENJE ZA DONOŠENJE ZAKONA PO HITNOM POSTUPKU
Sukladno članku 204. stavka 1. Poslovnika Hrvatskoga sabora (Narodne novine br. 81/13 i 113/16) predlaže se donošenje ovog Zakona po hitnom postupku.
Zakon se odnosi na usluge od iznimne važnosti za normalno odvijanje društvenih i gospodarskih djelatnosti te za funkcioniranje unutarnjeg tržišta.
Zakonom se osigurava osnova za postizanje visoke razine sigurnosti mrežnih i informacijskih sustava o kojima ovise takve usluge odnosno zbog poremećaja u radu zbog kojih može doći do prekida pružanja same usluge.
Sigurnosni incidenti sve su većeg razmjera, učestalosti i utjecaja te predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. Ti sustavi također mogu postati meta za namjerne štetne radnje kojima je cilj nanijeti štetu ili prekinuti rad sustava. Takvi incidenti mogu ugroziti izvršavanje gospodarskih aktivnosti, prouzročiti znatne financijske gubitke, narušiti povjerenje korisnika i nanijeti znatnu štetu gospodarstvu.
U cilju stvaranja temelja za djelotvorni odgovor na izazove u pogledu kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, EU uvodi globalan pristup te NIS direktivom za sve države članice uvodi zajedničke minimalne zahtjeve za izgradnju kapaciteta i planiranje, razmjenu informacija, suradnju te zajedničke sigurnosne zahtjeve za operatore ključnih usluga i pružatelje digitalnih usluga.
Države članice u obvezi su donijeti zakone i druge propise koji su potrebni radi usklađivanja s NIS direktivom te koji moraju stupiti na snagu najkasnije 09. svibnja 2018. godine.
Države članice dužne su najkasnije 09. studenoga 2018., a nakon toga svake dvije godine, Europskoj komisiji dostaviti podatke koji su potrebni kako bi se Komisiji omogućila procjena provedbe NIS direktive, posebno dosljednosti u pristupu država članica pri identifikaciji operatora ključnih usluga. Ti podaci obuhvaćaju barem:
( a) nacionalne mjere kojima se omogućuje identifikacija operatora ključnih usluga;
(b) popis ključnih usluga;
(c) broj operatora ključnih usluga identificiranih za svaki sektor iz Priloga II. NIS direktive te oznaku njihove važnosti u odnosu na taj sektor;
(d) pragove, ako postoje, za određivanje odgovarajuće razine opskrbe prema broju korisnika koji se oslanjaju na tu uslugu ili u skladu s važnošću tog određenog operatora ključnih.
Prijedlogom Zakona utvrđuje se metodologija postupka za identifikaciju operatora ključnih usluga, definira se popis ključnih usluga, kao i kriteriji i pragovi za donošenje ocjene o važnosti negativnog učinka incidenta koji će se primjenjivati u identifikacijskom postupku.
Stoga je potrebno predvidjeti određeno vremensko razdoblje od trenutka stupanja na snagu Zakona do potpune primjene NIS direktive, a kako bi se omogućilo potrebno vrijeme za provedbu postupaka identifikacije operatora ključnih usluga, a potom i određeno vremensko razdoblje za prilagodbu identificiranih operatora s obvezama iz NIS direktive odnosno ovog Zakona.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
V. TEKST KONAČNOG PRIJEDLOGA ZAKONA O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
ZAKON O KIBERNETIČKOJ SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
DIO PRVI
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
OSNOVNE ODREDBE
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Cilj i predmet
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 1.
(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, nadležnosti i ovlasti nadležnih sektorskih tijela, jedinstvene nacionalne kontaktne točke, tijela nadležnih za prevenciju i zaštitu od incidenata (dalje u tekstu: nadležni CSIRT) i tehničkog tijela za ocjenu sukladnosti, nadzor nad operatorima ključnih usluga i davateljima digitalnih usluga u provedbi ovog Zakona i prekršajne odredbe.
(2) Cilj je ovog Zakona osigurati provedbu mjera za postizanje visoke zajedničke razine kibernetičke sigurnosti u davanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti, uključujući funkcioniranje digitalnog tržišta.
(3) Sastavni su dio ovog Zakona:
a) Prilog I. - Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta
b) Prilog II. - Popis digitalnih usluga
c) Prilog III. - Popis nadležnih tijela.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Usklađenost s propisima Europske unije
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 2.
Ovim se Zakonom u pravni poredak Republike Hrvatske prenosi Direktiva 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016.).
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Primjena
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 3.
(1) Ovaj Zakon primjenjuje se na operatore ključnih usluga, neovisno o tome jesu li u pitanju javni ili privatni subjekti, neovisno o državi njihova sjedišta, njihovoj veličini, ustroju i vlasništvu.
(2) Davatelji digitalnih usluga podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako na teritoriju Republike Hrvatske imaju sjedište ili svog predstavnika te pod uvjetom da takav davatelj ne predstavlja mikro ili mali subjekt malog gospodarstva kako su oni definirani Zakonom o poticanju razvoja malog gospodarstva.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Odnos propisa prema drugim propisima
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 4.
(1) Ako u provedbi ovog Zakona nastaju ili se koriste klasificirani podaci ili se obrađuju osobni podaci, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.
(2) Primjena ovog Zakona ne utječe na prava potrošača, koja su uređena posebnim zakonom.
(3) Ako su za pojedini sektor s Popisa iz Priloga I. ovog Zakona posebnim zakonom propisane mjere koje po svom sadržaju i svrsi odgovaraju zahtjevima iz ovog Zakona, ili predstavljaju strože zahtjeve, na pružatelje ključnih usluga koji pripadaju tom sektoru primjenjuju se odgovarajuće odredbe tog posebnog zakona.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Pojmovi
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 5.
U smislu ovog Zakona pojedini pojmovi imaju sljedeće značenje:
1) „kibernetička sigurnost“ – je sustav organizacijskih i tehničkih aktivnosti i mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka, kao i mrežnih i informacijskih sustava u kibernetičkom prostoru
2) „kibernetički prostor“ – je virtualni prostor unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani na Internet
3) „mrežni i informacijski sustav“ – je (a) elektronička komunikacijska mreža kako je ona definirana Zakonom o elektroničkim komunikacijama; (b) bilo koji uređaj ili grupa povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka ili (c) digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanim u točkama (a) i (b) u svrhu njihova rada, uporabe, zaštite i održavanja
4) „sigurnost mrežnih i informacijskih sustava” – je sposobnost mrežnih i informacijskih sustava da, na određenoj razini pouzdanosti, odolijevaju bilo kojoj radnji koja ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost, pohranjenih, prenesenih ili obrađenih podataka, ili srodnih usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup
5) „nacionalna strategija kibernetičke sigurnosti” – je okvir kojim se pružaju strateški ciljevi i prioriteti za kibernetičku sigurnost na nacionalnoj razini
6) „ nadležna tijela “ – su nadležna sektorska tijela, jedinstvena nacionalna kontaktna točka, nadležni CSIRT-ovi i tehnička tijela za ocjenu sukladnosti
7) „operator ključnih usluga“ – je bilo koji javni ili privatni subjekt koji ispunjava kriterije iz članka 6. ovog Zakona
8) „davatelj digitalnih usluga” - je bilo koji privatni subjekt koji pruža neku digitalnu uslugu s Popisa iz Priloga II. ovog Zakona
9) “javni subjekti “ - su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave te pravne osobe koje imaju javne ovlasti ili obavljaju javnu službu
10) „privatni subjekti “ – su fizičke i pravne osobe koje pružaju ili daju usluge,
11) „fizička osoba“ - je osoba obrtnika ili osoba koja obavlja drugu samostalnu djelatnost
12) „pravna osoba“ – je svaka pravna osoba, neovisno o njezinoj veličini, ustroju i vlasništvu
13) „ sjedište “ – je stalno mjesto poslovanja gdje pružatelj odnosno davatelj usluga u neodređenom vremenskom razdoblju upravlja svojom djelatnošću
14) „predstavnik“ – je bilo koja fizička ili pravna osoba sa sjedištem u Republici Hrvatskoj koju je davatelj digitalnih usluga koji nema sjedište u Europskoj uniji izričito imenovao da djeluje u njegovo ime i kojoj se nadležno sektorsko tijelo ili nadležni CSIRT mogu obratiti umjesto davatelju digitalnih usluga koji je obveznik primjene ovog Zakona
15) „incident” – je bilo koji događaj koji ima stvaran negativni učinak na sigurnost mrežnih i informacijskih sustava
16) „rješavanje incidenta” – su svi postupci koji podupiru otkrivanje, analizu i zaustavljanje incidenta te odgovor na njega
17) „rizik” – je bilo koja razumno prepoznatljiva okolnost ili događaj koji ima potencijalno negativni učinak na sigurnost mrežnih i informacijskih sustava
18) „središte za razmjenu internetskog prometa (IXP)” – je mrežni instrument koji omogućuje međusobno povezivanje više od dvaju neovisnih autonomnih sustava, prvenstveno u svrhu olakšavanja razmjene internetskog prometa; IXP pruža međusobno povezivanje samo za autonomne sustave; za IXP nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav, on takav promet ne mijenja i ne utječe na njega ni na koji drugi način
19) „sustav naziva domena (DNS)” – je hijerarhijsko raspoređeni sustav imenovanja na mreži koji odgovara na upite o nazivima domena
20) „pružatelj DNS usluge” – je javni ili privatni subjekt koji pruža DNS usluge na Internetu
21) „registri naziva vršnih domena” – su javni ili privatni subjekti koji upravljaju i rukuju registracijom naziva internetskih domena za određenu vršnu domenu (TLD)
22) „internetsko tržište” – je digitalna usluga koja potrošačima i/ili trgovcima, kako su oni definirani Zakonom o alternativnom rješavanju potrošačkih sporova, omogućuje da na Internetu sklapaju kupoprodajne ugovore i ugovore o uslugama s trgovcima na mrežnoj stranici tog internetskog tržišta ili na mrežnoj stranici tog trgovca koji se služi računalnim uslugama koje pruža internetsko tržište
23) „internetska tražilica” – je digitalna usluga koja korisniku omogućuje da pretražuje u načelu sve internetske stranice ili internetske stranice na određenom jeziku na temelju upita o bilo kojoj temi u obliku ključne riječi, rečenice ili nekog drugog unosa, a rezultat su poveznice na kojima se mogu pronaći informacije koje su povezane sa zatraženim sadržajem
24) „usluga računalstva u oblaku” – je digitalna usluga kojom se pruža pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, usluga i aplikacija
25) „država članica“ – država članica Europske unije
26) “ kvalificirani revizor “ – je fizička ili pravna osoba koja je za obavljanje poslova revizije sigurnosti mrežnih i informacijskih sustava akreditirana pri odgovarajućoj organizaciji za normizaciju, koja je izdala ili daje na korištenje norme koje su u okviru provedbe zahtjeva iz ovog Zakona primijenjene kod određenog operatora ključnih usluga ili davatelja digitalnih usluga
27) „revizija sigurnosti mrežnih i informacijskih sustava“ – su postupci koje obavlja kvalificirani revizor radi ocjene usklađenosti uspostavljenih procesa upravljanja mrežnim i informacijskim sustavom i dokumentiranih sigurnosnih politika sa zahtjevima iz ovog Zakona
28) „CSIRT“ – je kratica za Computer Security Incident Response Team, odnosno tijelo nadležno za prevenciju i zaštitu od incidenata, za koju se u Republici Hrvatskoj koristi i kratica CERT (Computer Emergency Response Team).
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
DIO DRUGI
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
OPERATORI KLJUČNIH USLUGA I DIGITALNE USLUGE
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Određivanje operatora ključnih usluga
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 6.
Pojedini javni ili privatni subjekt (dalje u tekstu: subjekt) odredit će se operatorom ključnih usluga ako:
a) subjekt pruža neku od ključnih usluga s Popisa iz Priloga I. ovog Zakona (dalje: ključna usluga),
b) pružanje ključne usluge kod tog subjekta ovisi o mrežnim i informacijskim sustavima i
c) incident bi imao znatan negativan učinak na pružanje ključne usluge.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Identifikacijski postupak
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 7.
(1) Nadležna sektorska tijela provode postupak identifikacije operatora ključnih usluga po sektorima s Popisa iz Priloga I. ovog Zakona , u kojem:
a) izrađuju popise svih subjekata koji pružaju ključnu uslugu,
b) provode izdvajanje subjekta ovisno o važnosti negativnog učinka koji bi incident imao na pružanje ključne usluge kod tog subjekta i
c) za sve izdvojene subjekte provode procjenu ovisnosti pružanja ključne usluge o mrežnim i informacijskim sustavima.
(2) Nadležno sektorsko tijelo dužno je postupak identifikacije operatora ključnih usluga provoditi redovito, sukladno tržišnim promjenama u sektoru, a najmanje jednom u dvije godine.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Određivanje važnosti negativnog učinka incidenta
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 8.
(1) Za određivanje važnosti negativnog učinka koji bi incident imao na pružanje ključne usluge uzimaju se u obzir sljedeći kriteriji:
– broj i vrsta korisnika kojima subjekt pruža uslugu,
– postojanje ovisnosti drugih djelatnosti ili područja o pružanju usluge,
– tržišni udio subjekta koji pruža uslugu,
– zemljopisna raširenost subjekta u pružanju usluge,
– mogući utjecaj incidenta, s obzirom na njegovu težinu i trajanje, na gospodarske i društvene aktivnosti te na javnu sigurnost,
– važnosti poslovanja subjekta za održavanje dostatne razine ključne usluge, uzimajući u obzir i raspoloživost alternativnih sredstava za pružanje te usluge ili
– drugi sektorski kriteriji poput količine pružene usluge, udjela u pružanju usluge ili imovine subjekta.
(2) Kriteriji iz stavka 1. ovog članka, i kriterijski pragovi, ako su definirani, primjenjuju se u postupku identifikacije operatora ključnih usluga, prema njihovom razvrstavanju po ključnim uslugama kako je to predviđeno Popisom iz Priloga I. ovog Zakona.
(3) Ako subjekt koji pruža ključnu uslugu ispunjava kriterije prema Popisu iz Priloga I. ovog Zakona te dostiže kriterijski prag, kada je on Popisom definiran, daje se ocjena važnosti negativnog učinka incidenta na pružanje ključne usluge za tog subjekta te se subjekt izdvaja za provođenje procjene ovisnosti pružanja ključne usluge o mrežnim i informacijskim sustavima .
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Procjena ovisnosti o mrežnom i informacijskom sustavu
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 9.
(1) Ako se utvrdi da subjekt iz članka 8. stavka 3. ovog Zakona koristi mrežni i informacijski sustav za potporu pružanju ključne usluge te da prekid rada ili neispravno funkcioniranje tog sustava može dovesti do prekida u pružanju usluge ili na drugi način negativno utjecati na kvalitetu i/ili obujam usluge, nadležno sektorsko tijelo donosi odluku o određivanju tog subjekta operatorom ključnih usluga.
(2) Iznimno od stavka 1. ovog članka, nadležno sektorsko tijelo može odnijeti odluku o određivanju subjekta operatorom ključne usluge neovisno o kriterijima s Popisa iz Priloga I. ovog Zakona, ako u postupku identifikacije utvrdi da subjekt pruža ključnu uslugu u dvije ili više država članica te da ovisnost o mrežnom i informacijskom sustavu subjekta u pružanju usluge može zbog toga imati negativan prekogranični učinak na kontinuitet u pružanju usluge.
(3) Nadležno sektorsko tijelo, radi utvrđivanja kritičnosti prekograničnog učinka iz stavka 2. ovog članka, u suradnji s jedinstvenom kontaktnom točkom provodi savjetovanja s nadležnim tijelom uključene države članice.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Obavijest o identifikaciji
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 10.
Nadležno sektorsko tijelo dostavlja identificiranom operatoru ključne usluge obavijest o odluci iz članka 9. ovog Zakona u roku od osam dana od dana njezina donošenja.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Dostava podataka za potrebe postupka identifikacije operatora ključne usluge
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 11.
(1) Svaki subjekt koji pruža neku od ključnih usluga dužan je nadležnom sektorskom tijelu, na njegov zahtjev, dostaviti podatke koji su mu potrebni za provođenje postupka identifikacije operatora ključnih usluga.
(2) U zahtjevu iz stavka 1. ovog članka obvezno se navodi svrha zahtjeva, naznaka podataka koji su tijelu potrebni i rok za dostavu podataka.
(3) Subjekti kod kojih nastupe promjene u odnosu na podatke dostavljene sukladno stavku 2. ovog članka, dužni su nadležnom sektorskom tijelu dostaviti obavijest o tim promjenama ako bi one mogle utjecati na određivanje statusa subjekta u postupku identifikacije operatora ključne usluge.
(4) Obavijesti iz stavka 3. ovog članka dostavljaju se u roku od sedam dana od dana nastanka ili uvođenja promjene.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Popis operatora ključnih usluga
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 12.
(1) Na temelju odluka iz članka 9. ovog Zakona nadležna sektorska tijela izrađuju, preispituju i ažuriraju Popise operatora ključnih usluga po sektorima s Popisa iz Priloga I. ovog Zakona.
(2) Nadležna sektorska tijela obavješćuju jedinstvenu nacionalnu kontaktnu točku o broju identificiranih operatora ključnih usluga u pojedinom sektoru , s naznakom njihove važnosti za sektor.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Digitalne usluge
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 13.
Digitalne usluge na čije se davatelje odnosi ovaj Zakon utvrđene su Popisom iz Priloga II. ovog Zakona.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
DIO TREĆI
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
MJERE ZA POSTIZANJE VISOKE RAZINE KIBERNETIČKE SIGURNOSTI OPERATORA KLJUČNIH USLUGA I DAVATELJA DIGITALNIH USLUGA
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Obveza provedbe mjera
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 14.
(1) Operatori ključnih usluga i davatelji digitalnih usluga dužni su, radi osiguranja kontinuiteta u obavljanju tih usluga, poduzimati mjere za postizanje visoke razine kibernetičke sigurnosti svojih usluga.
(2) Mjere iz stavka 1. ovog članka sastoje se minimalno od:
– tehničkih i organizacijskih mjera za upravljanje rizicima, uzimajući pri tome u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti i
– mjera za sprečavanje i ublažavanje učinaka incidenata na sigurnost mrežnih i informacijskih sustava.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Mjere za upravljanje rizikom operatora ključnih usluga
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 15.
Operatori ključnih usluga dužni su poduzimati tehničke i organizacijske mjere za upravljanje rizicima koje moraju obuhvatiti mjere za:
– utvrđivanje rizika od incidenata
– sprječavanje, otkrivanje i rješavanje incidenata i
– ublažavanje učinka incidenata na najmanju moguću mjeru.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Mjere za upravljanje rizikom davatelja digitalnih usluga
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 16.
Davatelji digitalnih usluga dužni su prilikom poduzimanja tehničkih i organizacijskih mjera za upravljanje rizicima voditi računa osobito o:
– sigurnosti sustava i objekata
– rješavanju incidenata
– upravljanju kontinuitetom poslovanja
– praćenju, reviziji i testiranju
– sukladnosti s međunarodnim propisima.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Opseg primjene mjera
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Članak 17.
(1) Operatori ključnih usluga dužni su mjere za postizanje visoke razine kibernetičke sigurnosti provoditi u odnosu na mrežni i informacijski sustav, ili njegov dio, za koji je u postupku identifikacije operatora ključne usluge utvrđeno da o njemu ovisi pružanje ključne usluge kod dotičnog subjekta.
(2) Davatelji digitalnih usluga dužni su mjere za postizanje visoke razine kibernetičke sigurnosti provoditi u odnosu na mrežni i informacijski sustav koji kod njih podržava digitalnu uslugu.
Komentirate u ime: Ured Vijeća za nacionalnu sigurnost
Primjena mjera prema procjeni rizika