Baza je ažurirana 01.12.2024. 

zaključno sa NN 120/24

EU 2024/2679

 

PRIJELAZNE I ZAVRŠNE ODREDBE iz zakona o kibernetičkoj sigurnosti NN 14/24

 

Obveze operatora ključnih usluga i davatelja digitalnih usluga u prijelaznom razdoblju

Članak 105.

Operatori ključnih usluga i davatelji digitalnih usluga koji su do stupanja na snagu ovoga Zakona provodili mjere za postizanje visoke razine kibernetičke sigurnosti prema odredbama Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 64/18.) i Uredbe o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 68/18.) nastavljaju s provedbom mjera na temelju tih propisa do dostave obavijesti o provedenoj kategorizaciji subjekta iz članka 19. stavaka 1. i 3. ovoga Zakona.

Obveze pružatelja javnih elektroničkih komunikacijskih mreža, pružatelja javno dostupnih elektroničkih komunikacijskih usluga i pružatelja usluga povjerenja u prijelaznom razdoblju

Članak 106.

(1) Pružatelji javnih elektroničkih komunikacijskih mreža i pružatelji javno dostupnih elektroničkih komunikacijskih usluga koji su do stupanja na snagu ovoga Zakona provodili sigurnosne zahtjeve u svrhu zaštite sigurnosti elektroničkih komunikacijskih mreža i elektroničkih komunikacijskih usluga prema odredbama članka 41. Zakona o elektroničkim komunikacijama (»Narodne novine«, br. 76/22.) nastavljaju s provedbom zahtjeva na temelju članka 41. toga Zakona do dostave obavijesti o provedenoj kategorizaciji subjekta iz članka 19. stavka 1. ovoga Zakona.

(2) Pružatelji usluga povjerenja koji su do stupanja na snagu ovoga Zakona provodili sigurnosne zahtjeve u svrhu zaštite sigurnosti usluga povjerenja prema odredbama Uredbe (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ i Zakona o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (»Narodne novine«, br. 62/17.) nastavljaju s provedbom zahtjeva na temelju tih propisa do dostave obavijesti o provedenoj kategorizaciji subjekta iz članka 19. stavka 1. ovoga Zakona.

Prijelazna odredba o sklopljenim sporazumima o pristupanju nacionalnom sustavu

Članak 107.

Sporazumi o pristupanju nacionalnom sustavu koji su sklopljeni na temelju Odluke o mjerama i aktivnostima za podizanje nacionalnih sposobnosti pravovremenog otkrivanja i zaštite od državno sponzoriranih kibernetičkih napada, Advanced Persistent Threat (ATP) kampanja te drugih kibernetičkih ugroza, klasa: 022-03/21-04/91, urbroj: 50301-29/09-21-2, od 1. travnja 2021., ostaju na snazi do njihova isteka.

Rok za usklađivanje sa zahtjevima koji se odnose na upravljanje podacima o registraciji naziva domena i provođenje provjera za postojeće korisnike domena

Članak 108.

Registar naziva vršne nacionalne internetske domene i registrari dužni su uskladiti se sa zahtjevima iz ovoga Zakona koji se odnose na upravljanje podacima o registraciji naziva domena i provesti provjere iz članka 47. stavka 2. ovoga Zakona za postojeće korisnike domena u roku od godine dana od dana stupanja na snagu ovoga Zakona.

Započeti postupci

Članak 109.

(1) Postupci započeti prema odredbama Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 64/18.) dovršit će se prema odredbama toga Zakona i propisa donesenih na temelju toga Zakona.

(2) Postupci započeti prema odredbama članka 41. Zakona o elektroničkim komunikacijama (»Narodne novine«, br. 76/22.) dovršit će se prema odredbama toga Zakona i propisa donesenih na temelju toga Zakona.

Rok za provedbu prve kategorizacije subjekata

Članak 110.

(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti iz članka 4. stavka 1. točke 28. ovoga Zakona i nadležna tijela za provedbu posebnih zakona iz članka 4. stavka 1. točke 27. ovoga Zakona provest će prvu kategorizaciju subjekata i dostavu obavijesti o provedenoj kategorizaciji subjekata u roku od godinu dana od dana stupanja na snagu ovoga Zakona.

(2) Postupak kategorizacije subjekata i dostava obavijesti o provedenoj kategorizaciji subjekata provest će se u roku iz stavka 1. ovoga članka za sve operatore ključnih usluga s popisa iz članka 12. Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 64/18.).

(3) Postupak prve kategorizacije informacijskih posrednika u razmjeni elektroničkog računa među poduzetnicima i dostava obavijesti o provedenoj kategorizaciji sukladno ovom Zakonu provest će se u roku od tri mjeseca od stupanja na snagu zakona kojim se uređuje razmjena elektroničkog računa između poduzetnika.

Rok za uspostavu posebnog registra subjekata

Članak 111.

Središnje državno tijelo za kibernetičku sigurnost uspostavit će poseban registar subjekata iz članka 22. ovoga Zakona u roku od godinu dana od dana stupanja na snagu ovoga Zakona.

Početak roka za provedbu revizija sigurnosti i stručnih nadzora

Članak 112.

Rokovi za provedbu revizija kibernetičke sigurnosti iz članka 34. stavka 1. ovoga Zakona i stručnog nadzora nad provedbom zahtjeva kibernetičke sigurnosti iz članka 75. stavka 1. ovoga Zakona počinju teći prvog sljedećeg radnog dana nakon isteka roka iz članka 26. stavka 5. ovoga Zakona.

Donošenje provedbenih propisa

Članak 113.

(1) Vlada će uredbu iz članka 24. ovoga Zakona donijeti u roku od devet mjeseci od dana stupanja na snagu ovoga Zakona.

(2) Vlada će srednjoročni akt strateškog planiranja iz članka 55. ovoga Zakona donijeti u roku od 24 mjeseca od dana stupanja na snagu ovoga Zakona.

(3) Vlada će nacionalni program upravljanja kibernetičkim krizama iz članka 56. ovoga Zakona donijeti u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.

(4) Vlada će Plan provedbe vježbi kibernetičke sigurnosti iz članka 58. ovoga Zakona donijeti u roku od 12 mjeseci od dana stupanja na snagu ovoga Zakona.

(5) Zavod za sigurnost informacijskih sustava će pravila iz članka 33. stavka 1. ovoga Zakona donijeti u roku od devet mjeseci od dana stupanja na snagu uredbe iz stavka 1. ovoga članka.

Donošenje propisa o unutarnjem ustrojstvu i unutarnjem redu

Članak 114.

(1) Vlada će, na prijedlog predstojnika Ureda Vijeća za nacionalnu sigurnost, uz prethodnu suglasnost predsjednika Republike Hrvatske, uskladiti Uredbu o unutarnjem ustrojstvu Ureda Vijeća za nacionalnu sigurnost s odredbama ovoga Zakona u roku od 30 dana od dana stupanja na snagu ovoga Zakona.

(2) Predstojnik Ureda Vijeća za nacionalnu sigurnost uskladit će Pravilnik o unutarnjem redu Ureda Vijeća za nacionalnu sigurnost s Uredbom iz stavka 1. ovoga članka, uz prethodnu suglasnost Vijeća za nacionalnu sigurnost, u roku od 30 dana od dana stupanja na snagu Uredbe.

(3) Vlada će, na prijedlog ravnatelja Sigurnosno-obavještajne agencije, uz prethodnu suglasnost predsjednika Republike Hrvatske, uskladiti Uredbu o unutarnjem ustrojstvu Sigurnosno-obavještajne agencije s odredbama ovoga Zakona u roku od 30 dana od dana stupanja na snagu ovoga Zakona.

(4) Ravnatelj Sigurnosno-obavještajne agencije uskladit će Pravilnik o unutarnjem redu Sigurnosno-obavještajne agencije s Uredbom iz stavka 3. ovoga članka, uz prethodnu suglasnost predstojnika Ureda Vijeća za nacionalnu sigurnost, u roku od 30 dana od dana stupanja na snagu Uredbe.

(5) Vlada će, na prijedlog ravnatelja Zavoda za sigurnost informacijskih sustava, uz prethodnu suglasnost Savjeta za koordinaciju sigurnosno-obavještajnih agencija, uskladiti Uredbu o unutarnjem ustrojstvu Zavoda za sigurnost informacijskih sustava s odredbama ovoga Zakona u roku od 30 dana od dana stupanja na snagu ovoga Zakona.

(6) Ravnatelj Zavoda za sigurnost informacijskih sustava uskladit će Pravilnik o unutarnjem redu Zavoda za sigurnost informacijskih sustava s Uredbom iz stavka 5. ovoga članka, uz prethodnu suglasnost Vlade, u roku od 30 dana od dana stupanja na snagu Uredbe.

Prestanak važenja propisa

Članak 115.

(1) Danom stupanja na snagu ovoga Zakona prestaju važiti:

Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 64/18.)

– članak 17. stavak 2. podstavak 4. i članak 21. Zakona o informacijskoj sigurnosti (»Narodne novine«, br. 79/07.)

– članak 41. Zakona o elektroničkim komunikacijama (»Narodne novine«, br. 76/22.)

Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (»Narodne novine«, br. 68/18.) i

– Odluka o osnivanju Nacionalnog vijeća za kibernetičku sigurnost i Operativno-tehničke koordinacije za kibernetičku sigurnost (»Narodne novine«, br. 61/16., 28/18., 110/18., 79/19. i 136/20.).

(2) Odluka o mjerama i aktivnostima za podizanje nacionalnih sposobnosti pravovremenog otkrivanja i zaštite od državno sponzoriranih kibernetičkih napada, Advanced Persistent Threat (ATP) kampanja te drugih kibernetičkih ugroza, klasa: 022-03/21-04/91, urbroj: 50301-29/09-21-2, od 1. travnja 2021., ostaje na snazi do stupanja na snagu uredbe iz članka 113. stavka 1. ovoga Zakona.

Stupanje na snagu Zakona

Članak 116.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

 

 

 

Copyright © Ante Borić