U Narodnim novinama (NN 14/2024), 7. veljače 2024. godine, objavljen je Zakon o kibernetičkoj sigurnosti kojim se u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148, skraćeno Direktiva NIS2.
Ovim se Zakonom uređuju:
- postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti,
- kriteriji za kategorizaciju ključnih i važnih subjekata,
- zahtjevi kibernetičke sigurnosti za ključne i važne subjekte,
- posebni zahtjevi za upravljanje podacima o registraciji naziva domena i kontrola njihove provedbe,
- dobrovoljni mehanizmi kibernetičke zaštite,
- nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti,
- stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti,
- prekršajne odredbe,
- praćenje provedbe ovoga Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.
Zakonom se uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti od nacionalnog su značaja za Republiku Hrvatsku.
Cilj je ovoga Zakona uspostavljanje sustava upravljanja kibernetičkom sigurnošću koji će osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.
Zakonom je obuhvaćen veći broj sektora (19) što pretpostavlja veći obuhvat obveznika Zakona naspram Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga iz 2018. godine kojim se preuzela NIS Direktiva iz 2016. godine.
Hrvatska akademska i istraživačka mreža – CARNET i Nacionalni CERT sudjeluju u provedbi pojedinih odredbi Zakona i navedeni su kao nositelji pojedinih uloga i odgovornosti u implementaciji.
CARNET kao subjekt koji obavlja funkcije registra naziva vršne nacionalne internetske domene u Republici Hrvatskoj postaje subjekt primjene obveza iz Zakona koje se odnose na sektore visoke rizičnosti u sektoru Digitalna infrastruktura.
Nacionalni CERT je nadležni CSIRT pri CARNET-u uz nadležni CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost (CSIRT je kratica za Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata, za koju se koristi i kratica CERT (Computer Emergency Response Team)).
Središnje državno tijelo za kibernetičku sigurnost, kroz Nacionalni centar za kibernetičku sigurnost i CARNET, kroz Nacionalni CERT, obavljaju zadaće CSIRT-a na nacionalnoj razini, prema podjeli nadležnosti iz Priloga III. Zakona u kojem se nalazi Popis nadležnosti u području kibernetičke sigurnosti.
Nacionalni CERT je nadležni CSIRT za sve vrste subjekata u sektorima Bankarstvo, Infrastruktura financijskog tržišta, Istraživanje i Sustav obrazovanja te za Registar naziva vršne nacionalne internetske domene u sektoru Digitalna infrastruktura.
Nacionalni CERT obavlja zadaće nadležnog CSIRT-a za javne i privatne subjekte, uključujući građanstvo, a koji nisu kategorizirani kao ključni ili važni subjekti sukladno ovom Zakonu. Takvi subjekti mogu provoditi samoprocjene kibernetičke sigurnosti za mrežne i informacijske sustave kojima se služe u svom poslovanju ili u pružanju svojih usluga, te mogu dobrovoljno obavijestiti o svakom značajnom incidentu, ostalim incidentima, kibernetičkim prijetnjama ili izbjegnutim incidentima.
U članku 43. Nacionalna platforma za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima – PiXi platforma zakonom je određena kao jedinstvena ulazna točka za obavještavanje o kibernetičkim prijetnjama i incidentima u svrhu obavještavanja o značajnim incidentima i obavještavanja na dobrovoljnoj osnovi o svakom incidentu, kibernetičkoj prijetnji i izbjegnutom incidentu. Razvoj i upravljanje PiXi platformom u nadležnosti je CARNET-a.
U Prilogu I. Zakona navedeni su Sektori visoke rizičnosti: energetika (podsektori: električna energija, centralizirano grijanje i hlađenje, nafta, plin, vodik), promet (podsektori: zračni promet, željeznički promet, vodeni promet, cestovni promet), bankarstvo, infrastruktura financijskog tržišta, zdravstvo, voda za ljudsku potrošnju, otpadne vode, digitalna infrastruktura, upravljanje uslugama IKT-a (B2B), javni sektor i svemir.
U Prilogu II. Zakona navedeni su drugi kritični sektori: poštanske i kurirske usluge, gospodarenje otpadom, izrada, proizvodnja i distribucija kemikalija, proizvodnja, prerada i distribucija hrane, proizvodnja (podesktori: proizvodnja medicinskih proizvodai in vitro dijagnostičkih medicinskih proizvoda, proizvodanj računala te elektroničkih i optičkih proizvoda, proizvodnja električne opreme, proizvodnja strojeva i uređaja, proizvopdnja motornih vozila, prikolica i poluprikolica, proizvodnja ostalih prijevoznih sredstava), pružatelji digitalnih usluga, istraživanje i sustav obrazovanja.
U Prilogu III. Zakona nalazi se Popis nadležnosti u području kibernetičke sigurnosti koji navodi sektore, podsektore, vrste subjekata, nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti, nadležna tijela za provedbu posebnih zakona i nadležne CSIRT-ove.
U Prilogu IV. Zakona navodi se obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, kojeg donosi Vlada na prijedlog središnjeg državnog tijela za kibernetičku sigurnost, kao srednjoročni akt strateškog planiranja iz područja kibernetičke sigurnosti. Aktom strateškog planiranja se utvrđuju posebni ciljevi i prioriteti u području razvoja kibernetičke sigurnosti koji najmanje obuhvaćaju javne politike iz Priloga IV., okvir za praćenje i vrednovanje provedbe ciljeva i prioriteta.
Rokovi za donošenje provedbenih propisa
U roku od devet mjeseci od dana stupanja na snagu ovoga Zakona Vlada će donijeti provedbeni propis o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata.
U roku od 24 mjeseca od dana stupanja na snagu ovoga Zakona Vlada će donijeti srednjoročni akt strateškog planiranja.
U roku od tri mjeseca od dana stupanja na snagu ovoga Zakona Vlada će donijeti nacionalni program upravljanja kibernetičkim krizama.
U roku od 12 mjeseci od dana stupanja na snagu ovoga Zakona Vlada će donijeti Plan provedbe vježbi kibernetičke sigurnosti.
Zakon o kibernetičkoj sigurnosti stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
$downloadlink = get_field('download_link'); ?>