Baza je ažurirana 17.04.2024.
zaključno sa NN 43/24
Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18)
Objavljeno 19.07.2018.
Donošenje predmetnog Zakona proizlazi iz obveza Republike Hrvatske (dalje u tekstu: RH) kao članice Europske Unije (dalje u tekstu: EU) za prijenos Direktive o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava 2016/1148 donesene 6. srpnja 2016. (dalje: NIS direktiva) u nacionalno zakonodavstvo.
NIS direktiva nastala je na temelju provedbe EU strategije kibernetičke sigurnosti donesene 7. veljače 2013. godine (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 7.2.2013, JOIN(2013)1 final). Tekst NIS direktive je tri godine usuglašavan između Vijeća, Komisije, Parlamenta EU i država članica, kako bi obuhvatio nužni minimalni opseg bitnih društvenih i gospodarskih sektora država članica koji je potreban za široku i ubrzanu inicijativu razvoja digitalnog gospodarstva EU. Time se uvode zajedničke mjere u svim državama članicama za postizanje visoke razine zaštite kibernetičke sigurnosti i koordinaciju postupanja niza potrebnih dionika na nacionalnim i sektorskim razinama država članica.
NIS direktiva je dio široke digitalne inicijative EU-a, kojom se svijest o nužnosti razvoja digitalnog gospodarstva širi kroz niz segmenata suvremenog društva, kroz aktualni proces stvaranja jedinstvenog digitalnog tržišta EU-a, zatim niz inicijativa za jačanje sigurnosne svijesti o kibernetičkom prostoru, kao i putem poticanja razvoja javno-privatnog partnerstva i elektroničkih usluga u državnoj upravi i gospodarstvu. Pri tome NIS direktiva stvara primjerene okvire prevencije i zaštite društva od kibernetičkih ugroza zajedničkim pristupom svih država članica koje osiguravaju usklađene vertikalne sektorske pristupe u NIS direktivi, dok nova EU regulativa zaštite osobnih podataka (GDPR) sličan pristup osigurava horizontalnim funkcionalnim pristupom kroz sve segmente društva u cjelini.
Temeljni cilj NIS direktive je osigurati u svim državama članicama zajedničku razinu sigurnosti mrežnih i informacijskih sustava čije bi neispravno funkcioniranje uslijed sigurnosnih incidenata moglo imati snažne posljedice na društvo ili nacionalnu ekonomiju. Pri tome NIS direktiva uvodi regulativne elemente koji omogućavaju trajno praćenje stanja automatiziranosti i digitalizacije utvrđenih sektora.
NIS direktiva utvrđuje obvezu država članica uvesti mjere za visoku razinu zaštite kibernetičke sigurnosti u sljedećim sektorima: energetika – električna energija, nafta, plin; prijevoz – zračni, željeznički, vodni, cestovni; bankarstvo; infrastrukture financijskog tržišta; zdravstveni sektor; opskrba vodom za piće i njezina distribucija; digitalna infrastruktura - razmjena internetskog prometa, usluge naziva domena i kontrola vršne nacionalne domene.
Kako bi se osigurao temeljni cilj NIS direktive u svim državama članicama, kroz NIS direktivu je prepoznata i postavljena obveza državama članicama za donošenje nacionalne strategije kibernetičke sigurnosti.
Zahtjevi koji se postavljaju na nacionalne strategije država članica u ovom području prate se i analiziraju putem EU agencije ENISA, a Nacionalna strategija kibernetičke sigurnosti RH („Narodne novine“, broj: 108/15) prevedena je na engleski jezik te je raspoloživa, zajedno sa strategijama drugih država članica, na poveznici: https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/strategies/croatian-cyber-security-strategy .
Hrvatska strategija kibernetičke sigurnosti zadovoljava potrebne zahtjeve koji se postavljaju NIS direktivom u odnosu na strateške nacionalne okvire za ostvarivanje ciljeva i zahtjeva u kibernetičkom prostoru kao virtualnoj dimenziji društva.
Na sličan način kao i EU strategija, koja je nadopunjena akcijskim planom i konkretnim zahtjevima koji proizlaze iz NIS direktive, i hrvatska strategija sadrži detaljan i strukturiran Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti, kao i uspostavljena strateška i operativna međuresorna nacionalna tijela za upravljanje provedbom strategije i rješavanje svih bitnih nacionalnih pitanja u području kibernetičke sigurnosti („Narodne novine“, broj: 61/16). Ovaj postojeći nacionalni okvir koji čine Nacionalna strategija kibernetičke sigurnosti s pripadajućim Akcijskim planom za njenu provedbu, Prijedlogom Zakona proširuje se dodatnim zahtjevima, koji su usklađeni, kako s postojećim hrvatskim nacionalnim okvirom kibernetičke sigurnosti, tako i sa zahtjevima koji proizlaze iz potrebe transpozicije NIS direktive u RH kao državi članici EU-a. Na taj način postojeći nacionalni organizacijski okvir koji je sukladan s EU zahtjevima, povezuje sva potrebna nacionalna tijela odgovarajućih nadležnosti s EU formatima strateških, operativnih ili sektorskih tijela, u okviru potreba definiranih NIS direktivom. Nacionalnom strategijom kibernetičke sigurnosti u RH su prepoznate i potrebe za razmjenom podataka između različitih dionika Strategije, za koordiniranim upravljanjem u krizama, za međusektorskom razmjenom najbolje sigurnosne prakse te prepoznavanjem rizika povezanih s osjetljivim podacima i infrastrukturama, čija izloženost potencijalnim ugrozama u kibernetičkom prostoru raste iz dana u dan.
Nacionalna strategija kibernetičke sigurnosti u smislu opsega predstavlja okvir hrvatskog društva u cjelini, a specifično se određuje nizom ciljeva i mjera prema javnom, akademskom i gospodarskom sektoru, kao i prema sektoru građanstva u cjelini. Upravo stoga, Strategija je uspostavila međuresorne okvire upravljanja povezivanjem ključnih dionika Strategije u Nacionalno vijeće za kibernetičku sigurnost te povezivanjem čitavog niza dionika provedbe Strategije iz različitih sektora društva. Prijedlogom Zakona nacionalna nadležna tijela na strateškoj i operativnoj razini, kao i drugi dionici provedbe Strategije, uključuju se u odgovarajuće organizacijske okvire i provode potrebne zahtjeve EU-a kroz NIS direktivu.
Nacionalna strategija kibernetičke sigurnosti prepoznala je i široku potrebu prilagodbe različitih obrazovnih i drugih edukacijskih programa povezanih s kibernetičkom sigurnošću i kibernetičkim prostorom, kao i usklađenu potrebu podizanja razine sigurnosne svijesti u svim društvenim sektorima te je ciljeve i mjere Akcijskog plana u ovom području usmjerila na sve postojeće razine hrvatskog obrazovnog sustava, kao i na specijalizirane sektorske edukativne institucije. Prepoznate su i mogućnosti koje se otvaraju za RH u području digitalnog gospodarstva te je sadržaj Nacionalne strategije kibernetičke sigurnosti usko koordiniran sa Strategijom pametne specijalizacije („Narodne novine“, broj: 32/16), s povezanim aktivnostima Hrvatske gospodarske komore, kao i s mogućnostima korištenja EU CEF fonda (Connecting European Facilities), koji će u 2018. biti usko povezan s primjenom NIS direktive te se njenom transpozicijom za države članice i njihovo gospodarstvo otvaraju dodatne mogućnosti.
Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za njenu provedbu utemeljeni su na metodologiji kojom su opći ciljevi Strategije razrađeni na posebne ciljeve svakog od odabranih područja i poveznica područja kibernetičke sigurnosti, a za svaki posebni cilj utvrđene su u Akcijskom planu mjere za koje su definirani vremenski rokovi, odgovorna tijela – nositelji i sunositelji, kao i potrebna metrika za mjerenje provedbe mjera Akcijskog plana. Izvješće o provedbi početnog ciklusa Akcijskog plana u 2016. raspoloživo je na poveznici: http://www.uvns.hr/UserDocsImages/dokumenti/informacijska-sigurnost/Izvjesce%20o%20provedbi%20Akcijskog%20plana%20za%20provedbu%20NSKS%20u%202016.pdf, kao i inicijalno izvješće o osnivanju međuresornih nacionalnih tijela za upravljanje strategijom: http://www.uvns.hr/UserDocsImages/dokumenti/informacijska-sigurnost/InicijalnoIzvjesceVijecaVladiRH_13062017.pdf .
Ubrzani proces digitalizacije različitih industrijskih sektora prepoznat je u NIS direktivi kao potencijalna prijetnja, ukoliko nije praćen odgovarajućim sigurnosnim mjerama.
Stoga se NIS direktiva usmjerava na uvođenje mjera za postizanje visoke razine kibernetičke sigurnosti u odabranim sektorima te zahtijeva od država članica da u tu svrhu prepoznaju sve ključne usluge koje pripadaju tim sektorima. Prepoznavanje ključnih usluga potrebno je provesti neovisno o trenutnom stanju digitalizacije pojedinih sektora, jer se njihova ovisnost o mrežnim i informacijskim sustavima može pojaviti u budućnosti.
Provedba odgovarajućih mjera prema NIS direktivi obvezna je samo za slučajeve kada ključna usluga operatora na tržištu ovisi o mrežnim i informacijskim sustavima, no, postupak prepoznavanja operatora ključnih usluga odnosno njihove ovisnosti o mrežnim i informacijskim sustavima potrebno je redovito provoditi i ažurirati popis takvih operatora.
Stoga, prvu skupinu obveznika zahtjeva iz NIS direktive čine operatori koji pružaju ključne usluge za društvo ili nacionalnu ekonomiju (Operators of Essential Services - OES), u okviru utvrđenih sedam NIS sektora koji su ranije navedeni.
Drugu skupinu obveznika primjene mjera utvrđenih NIS direktivom čine davatelji digitalnih usluga (Digital Service Providers – DSP).
Digitalne usluge definirane su u NIS direktivi kao: internetsko tržište, internetske tražilice i usluge računalstva u oblaku, koje su od primarne važnosti za jedinstveno digitalno tržište EU-a. Upravo stoga Europska Komisija je u završnoj fazi donošenja provedbenog propisa kojim će se na jedinstven način detaljnije regulirati obveze u odnosu na tri definirane vrste digitalnih usluga iz NIS direktive u svim državama članicama.
Budući da važećim propisima nisu već od ranije u RH uvedene obveze koje bi bile kompatibilne sa svim zahtjevima NIS direktive te bi njezino prenošenje u važeće propise zahtijevalo dopune i izmjene više zakonskih (sektorskih) propisa, izrađen je ovaj Zakon, kojim se na jedinstveni način uređuje navedena materija.
NIS direktiva, uz obvezu uvođenje tehničkih i organizacijskih mjera za upravljanje rizicima i mjera za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata na sigurnost mrežnih i informacijskih sustava, uvodi i obvezu obavješćivanja o incidentima koji mogu imati znatan učinak na kontinuitet u pružanju usluga.
Iako su rizici u NIS direktivi usmjereni prvenstveno na mrežne i informacijske sustave koji su u potpori ključnih usluga u odabranim sektorima, odnosno digitalnim uslugama, incidenti, prema definiciji iz NIS direktive obuhvaćaju široki, opći opseg svih kategorija mogućih incidenata (kvarova, nesreća i napada), koji mogu imati negativni učinak na sigurnost mrežnih i informacijskih sustava korištenih u realizaciji ključnih usluga ili digitalnih usluga.
Kriteriji za određivanje incidenata koji imaju znatan učinak na davanje digitalnih usluga propisuju se provedbenim propisom Europske komisije, koji je u tijeku donošenja.
Kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti o incidentima, kod operatora ključnih usluga i davatelja digitalnih usluga, način dostave obavijesti i druga pitanja bitna za postupanje s takvim obavijestima predlaže se urediti podzakonskim propisom. Stoga je ovim Zakonom, radi potpunog prijenosa NIS direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskog akta, uredbe Vlade RH.
Države članice dužne su donijeti i objaviti zakone i druge propise koji su potrebni za usklađivanje s NIS direktivom do 9. svibnja 2018 te o tome odmah obavijestiti Europsku komisiju.
Također, države članice dužne su najkasnije do 9. studenoga 2018. godine, a nakon toga svake dvije godine, Europskoj komisiji dostavljati podatke koji su potrebni kako bi se Komisiji omogućila procjena provedbe NIS direktive.
Novim Zakonom preuzimaju se obveze iz NIS direktive koje su u odgovornosti država članica te se na prikladan način povezuje nacionalno stanje RH u području kibernetičke sigurnosti te postojeće nadležnosti u svakom od NIS sektora u okviru RH te su stoga u novom zakonu primijenjeni prilagođeni kriteriji i pridružena primjerena nadležna tijela, kako bi se postigli željeni rezultati u odnosu na stvarno stanje koje postoji u predmetnim sektorima u RH.
Zakon obuhvaća svu potrebnu različitost javnih i privatnih subjekata koji su ili nadležna tijela, ili obveznici primjene ovog Zakona. Zakon pri tome prati NIS direktivom zadanu metodologiju koja se primjenjuje na složeni postupak identifikacije operatora ključnih usluga u svim sektorima te uređuje sva bitna pitanja koja su dana u nadležnost država članica. Istovremeno, Zakonom se u slučaju davatelja digitalnih usluga prenose sve relevantne odredbe NIS direktive te se u provedbi referira na provedbeni propis Europske Komisije koji je u procesu donošenja i koji će se izravno primjenjivati na sve države članice.
Zakonom se uvode zahtjevi koji se postavljaju kao mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga i koji su usmjereni na osiguravanje kontinuiteta definiranih ključnih usluga u NIS direktivom zadanim sektorima u RH. U tu svrhu, obuhvaćene su tehničke i organizacijske mjere za upravljanje rizicima, kao i mjere za sprečavanje i ublažavanje učinaka incidenata, ali i obveza sustavnog obavješćivanja o incidentima i njihovog koordiniranog rješavanja na sektorskoj, nacionalnoj i EU razini. Predmetne mjere i obveze izvješćivanja o incidentima pobliže će se propisati ranije spomenutom uredbom Vlade RH.
U potpunosti se regulira sustav nadležnih tijela na nacionalnoj razini i njegovo povezivanje s nadležnim tijelima EU i država članica, kao i potrebna nacionalna koordinacija na sektorskim razinama. Pri tome se određuju funkcionalnosti zahtijevane na EU razini od svih država članica, kao što su to Jedinstvena nacionalna kontaktna točka, CSIRT tijela i njihova sektorska nadležnost, odnosno nadležna sektorska tijela odgovorna za provedbu nadzora nad primjenom prenesenih obveza iz NIS direktive, koristeći pri tome u najvećoj mogućoj mjeri postojeće nadležnosti i funkcionalnosti središnjih državnih tijela i drugih tijela u RH.
Jedinstvena nacionalna kontaktna točka objedinjava niz funkcionalnosti koje upotpunjavaju ulogu koju predloženo tijelo već ima u RH vezano uz provedbu Nacionalne strategije kibernetičke sigurnosti, odnosno rad Nacionalnog vijeća za kibernetičku sigurnost, dok su CSIRT nadležnosti pridjeljenje postojećim tijelima koja imaju odgovarajuće sposobnosti u tom području djelovanja.
Izbor nadležnih sektorskih tijela prati postojeće nadležnosti središnjih državnih tijela u područjima koji obuhvaćaju zadane NIS sektore, proširujući u određenoj mjeri postojeće nadzorne ovlasti tih tijela na područje primjene ovog Zakona te se oslanjajući na već regulirane revizijske procese u sektorima u kojima postoji obveza revizije, uz prikladno redefiniranje revizijskog procesa u omjeru koji je potreban za potpuni prijenos obveza iz NIS direktive.
Kako bi se uskladili uvjeti u vrlo raznorodnim i regulativno različito uređenim sektorima po pitanju provedbe revizije odnosno njezine procjene u nadzornim postupcima, uvedena je i uloga tehničkog tijela za ocjenu sukladnosti, prvenstveno za slučajeve u kojima revizija nije obvezujuća za pružatelje odnosno davatelje usluga iz NIS direktive.
Pored sektora koji su kao obvezujući predviđeni već samom NIS direktivom kao područja u kojima države članice moraju uvesti nove obveze odnosno prilagoditi postojeće, Uključuje se još jedan sektor koji obuhvaća usluge u sustavima državne informacijske infrastrukture (e-Građani, kao i elektroničke poslovne aplikacije državne riznice ili centralnog obračuna plaća državnih službenika). Ovaj sektor nije zadan NIS direktivom, ali je prepoznat i kroz Nacionalnu strategiju kibernetičke sigurnosti (područje elektroničke uprave) kao visoko digitaliziran i vrlo osjetljiv zbog kumulacije velikih i različitih fondova podataka cjelokupnog stanovništva i/ili njegovih pojedinih segmenata u digitalnom obliku. Pored toga, u sklopu digitalne inicijative EU, u proceduri je i Prijedlog uredbe Europskog parlamenta i Vijeća o uspostavi jedinstvenog digitalnog pristupnika kao izvora informacija koji će omogućiti pristup na prostoru cjelokupne EU prema elektroničkim uslugama državne administracije svih država članica, što će dodatno postaviti proširene zahtjeve prema postojećim elektroničkim uslugama hrvatske državne uprave.
Kako bi se ispunila temeljna svrha NIS direktive odnosno uspostavila sustavna koordinacija svih relevantnih dionika, kao i razvila svijest o mogućim ugrozama u kibernetičkom prostoru te prikladno upravljalo rizicima i razmjerno rizicima provodile mjere zaštite, prema NIS direktivi nužno je predvidjeti i odgovarajuće prekršajne odredbe kojima bi se obuhvatilo one subjekte koji ne postupaju u skladu sa zahtjevima Zakona.
Prekršajne odredbe i prikladno povezani nadzor vezuju se na postojeće nadzorne ovlasti u pojedinim sektorima koje imaju nadležna sektorska tijela, dok su sami prekršaji sustavno grupirani u tri razine prema ozbiljnosti prekršaja.
Zakonom se na sustavan način koriste postojeći kapaciteti i potencijali prepoznati Nacionalnom strategijom kibernetičke sigurnosti i povezuju se sa zahtjevima koji proizlaze iz NIS direktive te se na sveobuhvatan i učinkovit način uključuju u postojeću strukturu nacionalnih međuresornih tijela, Nacionalnog vijeća za kibernetičku sigurnost i Operativno-tehničke koordinacije za kibernetičku sigurnost. Takav pristup zahtijeva usklađeno djelovanje svih tijela uključenih u procese uređene ovim Zakonom, ali istovremeno omogućava međusobno komplementarno djelovanje različitih subjekata u širokom opsegu pokrivanja društvenih i gospodarskih sektora, čime se ostvaruje učinkovita uporaba svih resursa i ostvaruje sinergija djelovanja svih uključenih dionika.
To će omogućiti usklađeno i optimalno usmjeravanje proračunskih sredstava, korištenje EU fondova i za javni i za privatni sektor, kao i izbjegavanje neracionalnog multipliciranja kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima. Važno je napomenuti da je u okviru provedbe NIS direktive planirano i korištenje sredstava iz EU fondova (npr. Connecting European Facilities - CEF), a slijedom iskustva i odobrenja hrvatskog projekta GrowCERT, koji je pokrenut 2017. i vrijedan 1 mil. EUR, uz sufinanciranje iz CEF fonda na razini 75% (nositelj CARNet - Nacionalni CERT). U 2018.g., prema najavi Europske komisije i nakon prijenosa NIS direktive u nacionalno zakonodavstvo, očekuje se mogućnost apliciranja i korištenja CEF fonda i za pravne osobe - sektorske operatore, putem nadležnih sektorskih tijela.
Kombiniranjem postojećih centraliziranih funkcionalnosti kibernetičke sigurnosti koje je Vlada RH uspostavila kroz Nacionalno vijeće za kibernetičku sigurnost i Prijedlogom Zakona predloženim povezivanjem tijela nadležnih za sektore obuhvaćene Prijedlogom, stvara se organizirani i upravljani sustav u kibernetičkom prostoru RH koji se direktno veže na puno širi sustav domovinske sigurnosti, odnosno kritičnih nacionalnih sektora i nacionalnog kriznog upravljanja, ostvarujući pri tome potrebnu sinergiju djelovanja između fizičke i virtualne dimenzije suvremenog društva.
Dakle, ovim Zakonom osigurava se provedba obveza RH iz NIS direktive, osiguravaju se potrebne pretpostavke za trajno unaprjeđenje stanja kibernetičke sigurnosti u širokom opsegu društvenih i gospodarskih sektora koji su obuhvaćeni njegovom primjenom, ali se istovremeno potiče i razvoj RH u području digitalnog gospodarstva usklađenim pristupom između niza dionika iz javnog i privatnog sektora. Time se otvaraju mogućnosti za učinkovitiji zajednički pristup i sinergiju djelovanja državnog, akademskog i gospodarskog sektora, prvenstveno u razvoju novih hrvatskih proizvoda i usluga sukladnih s jedinstvenim zahtjevima za cijelo područje Europske Unije.