U središtu

Konačni prijedlog Zakona o provedbi kibernetičke sigurnosne certifikacije

07.07.2022 Dana 27. svibnja 2022., na 11. sjednici Hrvatskog sabora, donesen je Konačni prijedlog Zakona o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019., odnosno Zakon o provedbi kibernetičke sigurnosne certifikacije.

Razlog zbog kojeg se ovaj Zakon donosi je ostvarivanje ciljeva sustava kibernetičke sigurnosne certifikacije u jačanju Jedinstvenog digitalnog tržišta EU, kako bi ono postalo značajniji čimbenik na globalnoj sceni i postalo otpornije na disruptivna djelovanja konkurentskih globalnih gospodarstava. Time se olakšava postizanje i jednog od strateških ciljeva Unije – digitalne suverenosti, odnosno mogućnosti slobodnog i samostalnog odlučivanja o svim stvarima u svezi s kibernetičkim prostorom. Posljedično navedenom, države članice EU su preuzele obvezu harmoniziranja svojih propisa i djelovanja na ovom području, te izgradnje ili prilagodbe nacionalnih sustava kibernetičke sigurnosne certifikacije zajedničkom sustavu na razini Unije. Očekuje se da sve „nacionalne komponente“ u dogledno vrijeme postanu „komponente na nacionalnoj razini“ dobro uvezanog i otpornog europskog sustava kibernetičke sigurnosne certifikacije. Da bi to zaista skladno funkcioniralo, bilo je potrebno odrediti načela i pravila izgradnje takvih sustava, što se Uredbom (EU) 2019/881 nastojalo i napraviti, a od država članica se očekuje provedba. Definirane su uloge raznih tijela, njihovi pravni statusi i načini asociranja, kako bi se postigla ujednačenost komponenata na razini Unije i na kraju izbjeglo štetno fragmentiranje praksi i procedura.

Europske unija poduzela je niz mjera kako bi uredila odnose u kibernetičkom prostoru, povećavajući pri tome otpornost i pojačavajući svoju kibernetičku sigurnosnu pripravnost.

Od prve strategije EU-a za kibernetičku sigurnost, koja je donesena 2013., u kojoj su utvrđeni strateški ciljevi i konkretne mjere za:
postizanje otpornosti,
smanjenje kibernetičkog kriminaliteta,
razvoj politike kibernetičke obrane i sposobnosti za kibernetičku obranu,
razvoj industrijskih i tehnoloških resursa i uspostavu usklađene međunarodne politike kibernetičkog prostora za EU, do prijedloga najnovije strategije iz 2020.1, u kojoj su dodatno naglašena tri područja – (1) otpornost, tehnološka suverenost i vodstvo, (2) izgradnja operativnih kapaciteta u svrhu sprječavanja kibernapada, odvraćanja od njih i uzvraćanja na njih, (3) razvijanje globalnog i otvorenog kibernetičkog prostora, stalno se naglašava potreba za reguliranjem digitalne transformacije društva tako da čovjek uvijek ostane u središtu zbivanja odnosno subjekt i u kibernetičkom prostoru, pri čemu je razvidan značaj sigurnosnih parametara za izgradnju povjerenja prema tim procesima.

S ciljem povećanja povjerenja i sigurnosti na Jedinstvenom digitalnom tržištu Unije te s obzirom na brzo širenje povezanih uređaja (Internet stvari), bilo je potrebno uspostaviti okvir za sigurnosno certificiranje proizvoda, usluga i procesa informacijsko-komunikacijske tehnologije (IKT) odnosno svih objekata kibernetičkog prostora.

Kibernetičko sigurnosno certificiranje postaje posebno važno s obzirom na sve veću uporabu kibernetičkih tehnologija za namjene koje zahtijevaju visok stupanj pouzdanosti i sigurnosti te je u sve većem broju sektora primjetno povećanje ovisnosti o IKT proizvodima, uslugama i procesima, osobito u prometu (automatizirano upravljanje), u sustavima održavanja života i zdravlja (e-zdravstvo), u industriji (kontrolni sustavi za industrijsku automatizaciju – IACS) te u ostvarivanju ljudskih interesa i prava (e-građani).

Direktiva o sigurnosti mrežnih i informacijskih sustava2 (EU NIS Direktiva), transponirana Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“ br. 64/18.) je regulirala razvrstavanje usluga odnosno objekata kibernetičkog prostora po njihovom značaju (ključne i digitalne usluge) te uspostavila sustav otpornosti (zaštita, izvješćivanje i interveniranje), specifično za najvažnije sektore.

Uredbom o Agenciji Europske unije za kibernetičku sigurnost (ENISA) i o kibernetičkoj sigurnosnoj certifikaciji u području komunikacijske i informacijske tehnologije („Akt o kibernetičkoj sigurnosti“) 2019/881 od 17. travnja 2019. (u daljnjem tekstu: Uredba (EU) 2019/881)3 dovršena je druga faza uređivanja kibernetičkog prostora iz aspekta objekata tog prostora.

Uredbom je ENISA dobila aktivniju i važniju ulogu u postizanju kibernetičke otpornosti Unije te je postala stožerno tijelo u mreži agencija država članica koje se bave kibernetičkom sigurnošću na sličan način.

Glavni regulator na razini Europske unije je Europska komisija koja, uz operativnu pomoć ENISA-e i savjetodavnu pomoć Europske skupine za kibernetičku sigurnosnu certifikaciju (ECCG – European Cybersecurity Certification Group), osigurava provođenje odredbi oba ova propisa, a sukladno proklamiranim strategijama i planskim dokumentima.
Važećim propisima u Republici Hrvatskoj nisu predviđene obveze koje bi bile kompatibilne sa zahtjevima iz Uredbe (EU) 2019/881, pa je izrađen ovaj prijedlog zakona, kojim se namjerava na jedinstveni način propisati sve potrebno radi osiguranja provedbe same Uredbe (EU) 2019/881. Svrha ovog zakona je osiguranje provedbe Uredbe (EU) 2019/881 u Republici Hrvatskoj na jednak način kao u svim državama članicama EU.

Pitanja koja se Zakonom rješavaju

Ovim Zakonom osigurava se provedba Uredbe (EU) 2019/881, osiguravaju se potrebne pretpostavke za trajno unaprjeđenje stanja europske kibernetičke sigurnosne certifikacije u sve širem opsegu društvenih i gospodarskih sektora njome obuhvaćenih uslijed digitalne transformacije i razvoja interneta stvari, ali se istodobno potiče i razvoj Republike Hrvatske u području digitalnog gospodarstva usklađenim pristupom između niza dionika iz javnog i privatnog sektora, imajući u vidu da u Republici Hrvatskoj izdani europski certifikat vrijedi na cijelom području jedinstvenog digitalnog tržišta Unije.

Time se otvaraju mogućnosti za učinkovitiji zajednički pristup i združeno djelovanje državnog, akademskog i gospodarskog sektora, prvenstveno u razvoju novih hrvatskih proizvoda, procesa i usluga informacijsko-komunikacijske tehnologije, sukladnih s jedinstvenim zahtjevima za cijelo područje Europske unije.

S obzirom na to da je Uredbom (EU) 2019/881 zadan glavni okvir jedinstvenog sustava kibernetičkog sigurnosnog certificiranja u Europskoj uniji odnosno način uspostave i provedbe sustava, ovim Zakonom se određuju nadležna tijela na nacionalnoj razini, pravna zaštita i sankcijski režim, koji su specifični za svaku državu članicu.
Uz samu Uredbu (EU) 2019/881, ovaj Zakon jasno upućuje sve subjekte u Republici Hrvatskoj što im je činiti i kako postupati kada žele ili moraju pribjeći postupku certificiranja za svoje IKT proizvode, usluge ili procese ako ih namjeravaju staviti na jedinstveno tržište Europske unije.

Prvi korak na nacionalnoj razini jest uspostava okvira odnosno strukture koja se može povezati s onom zajedničkom od Unije, te koja može ostvarivati programe na predviđeni način, prvenstveno s ciljem izgradnje domaćeg tržišta, skladno povezanog s ostalima u jedinstvenom digitalnom tržištu i provoditi njegovu regulaciju u skladu s načelima Unije, a prilagođenu domaćim okolnostima i zakonskoj praksi.

Kibernetičkom sigurnosnom certifikacijom potvrđuje se da su IKT proizvodi, usluge ili procesi evaluirani u skladu s europskim shemama kibernetičke sigurnosne certifikacije, da ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka, funkcija ili usluga koje se nude pomoću tih proizvoda, usluga ili procesa te čije se zadovoljavanje može pratiti tijekom njihova životnog ciklusa.

Na temelju pojedinih europskih shema kibernetičke sigurnosne certifikacije provodi se kibernetičko sigurnosno certificiranje koje predstavlja postupak izdavanja europskih kibernetičkih sigurnosnih certifikata odnosno izjava o sukladnosti za proizvođače ili pružatelje IKT proizvoda, usluga ili procesa u svrhu postizanja visoke zajedničke razine kibernetičke sigurnosti diljem Europske unije.

Kao nacionalno tijelo za kibernetičku sigurnosnu certifikaciju u Republici Hrvatskoj određuje se Zavod za sigurnost informacijskih sustava.
Zavod se određuje kao nacionalno tijelo za kibernetičku sigurnosnu certifikaciju sukladno ranijoj odluci Vlade Republike Hrvatske od 19. rujna 2019. kojom je Zavod bio određen za tijelo koje privremeno obavlja te poslove.
Nacionalno akreditacijsko tijelo u Republici Hrvatskoj za potrebe kibernetičkog sigurnosnog certificiranja kod kojeg je potrebno provesti postupak akreditacije tijela za ocjenjivanje sukladnosti je pak Hrvatska akreditacijska agencija koja je kao takva određena primjenom Uredbe (EU) 765/2008 odnosno Zakonom o akreditaciji („Narodne novine“ br. 158/03., 75/09. i 56/13.) i Uredbom o osnivanju Hrvatske akreditacijske agencije („Narodne novine“ br. 158/04., 44/05. i 30/10.).

Nacionalno akreditacijsko tijelo, Hrvatska akreditacijska agencija, dodjeljuje akreditacije tijelima za ocjenjivanje sukladnosti (pravnim ili fizičkim osobama – obrtnicima, fizičkim osobama koje obavljaju samostalnu djelatnost ili samim fizičkim osobama primjerice koji su inovatori) na vrijeme od pet godina, a da bi mogli obavljati poslove europske kibernetičke sigurnosne certifikacije. Akreditacija se dodjeljuje u slučaju ispunjavanja uvjeta iz Priloga Uredbe (EU) 2019/881. Hrvatska akreditacijska agencija dodijeljenu akreditaciju može ukinuti, ograničiti ili privremeno suspendirati ako uvjeti za akreditaciju nisu više ispunjeni.

Tijela javnog sektora koja su obveznici primjene ovoga Zakona imat će osigurana sredstva u državnom proračunu Republike Hrvatske u okviru svojih redovnih aktivnosti.
Prema organizacijskim zahtjevima Uredbe (EU) 2019/881 potrebno je proširenje funkcionalnosti Zavoda za sigurnost informacijskih sustava zato što mu se ovim Zakonom stavljaju u nadležnost nove obveze i odgovornosti nacionalnog tijela za europsku kibernetičku sigurnosnu certifikaciju koje se do sada nisu obavljale.

U slučaju kada tijela za ocjenu sukladnosti trebaju ispuniti posebne ili dodatne zahtjeve iz europskih shema kibernetičke sigurnosne certifikacije u smislu članka 54. stavka 1. točke (f) Uredbe (EU) 2019/881 autorizaciju će im prema članku 60. stavku 3. Uredbe (EU) 2019/881 izdati nacionalno tijelo za kibernetičku sigurnosnu certifikaciju, odnosno Zavod, ako ispunjavaju takve zahtjeve.

Zavod ima ovlasti koje utvrđuje Uredba (EU) 2019/881, a oni su sadržani primjerice u njenim člancima 56. stavcima 5. i 6., članku 57., člancima 58., 60. stavku 3., člancima 61. 62., 63., 64., kao i drugima u mjeri u kojoj su primjenjivi. Pored toga, Zavod je ovlašten obavljati poslove utvrđivanja potrebe za donošenje, kao i samo donošenje nacionalne sheme kibernetičke sigurnosne certifikacije, donošenje uputa za potrebe provedbe Zakona i Uredbe (EU) 2019/881, te nadzora nad provedbom Zakona. Određena je odgovarajuća primjena odredaba Zakona i Uredbe (EU) 2019/881 na nacionalne sheme kibernetičke sigurnosne certifikacije, njima određenu kibernetičku sigurnosnu certifikaciju, kao i tijela za ocjenu sukladnosti te izdane kibernetičke sigurnosne certifikate ili izjave o sukladnosti prema nacionalnim shemama kibernetičke sigurnosne certifikacije.

Hrvatska akreditacijska agencija obvezna je izvijestiti Zavod o svakom započetom postupku izdavanja akreditacije, a Zavod se određuje tijelom koje je dužno obavijestiti Europsku komisiju o svakoj izdanoj akreditaciji za pojedinu shemu europske kibernetičke certifikacije u svrhu objave u Službenom listu EU. Ako je zbog zahtjeva iz sheme bilo potrebno izdati i autorizaciju, Zavod će to također navesti u prijavi.

Zavod vodi i sljedeće registre:
- registar tijela za ocjenjivanje sukladnosti koja su akreditirana i autorizirana u Republici Hrvatskoj.
- registar europskih kibernetičkih sigurnosnih certifikata izdanih u Republici Hrvatskoj, te su mu tijela iz prethodnog stavka obvezna dostaviti ovjerenu digitalnu kopiju svakog izdanog certifikata.
- registar izjava o sukladnosti izdanih u Republici Hrvatskoj te su sve pravne i fizičke osobe po provedenom samoocjenjivanju obvezne dostaviti ovjerenu digitalnu kopiju svake izdane izjave o sukladnosti.

Pravo na pritužbu i prigovor

Sve fizičke i pravne osobe zbog povrede odredbi Zakona i Uredbe (EU) 2019/881 mogu podnijeti pritužbu tijelu za ocjenjivanje sukladnosti na izdani certifikat odnosno izdavatelju izjave o sukladnosti na izdanu izjavu. Tijela za ocjenjivanje sukladnosti, nositelji europskih kibernetičkih sigurnosnih certifikata i izdavatelji izjava o sukladnosti obvezni su donijeti opći akt kojim uređuju postupak po pritužbi.

Ako se pak pritužba odnosi na ograničeni ili suspendirani certifikat ili izjavu o sukladnosti nekog IKT proizvoda, usluge ili procesa, brani se proizvođaču stavljanje tog proizvoda na tržište do razrješenja spora. Predviđeno je ulaganje prigovora Zavodu u slučaju da izdavatelji certifikata ili izjave o sukladnosti ne donesu odluku ili na drugi način obavijeste stranke o statusu pritužbe.
U slučaju kad je Zavod izdavatelj certifikata ili je izdavatelj tijelo za ocjenu sukladnosti s kojim je Zavod sklopio poseban ugovor kako je predviđeno člankom 56. stavkom 6. Uredbe (EU) 2019/881, tada nezadovoljna stranka ulaže prigovor izravno Zavodu. Zavod će pritom donijeti rješenje protiv kojeg nije dopuštena žalba, već je moguće pokrenuti upravni spor. Upravni spor nezadovoljna stranka može pokrenuti i u slučaju kada Zavod ne donese rješenje (šutnja administracije). Kao i u slučaju pritužbe, ako se prigovor odnosi na ograničenje ili suspenziju certifikata ili izjave o sukladnosti nekog IKT proizvoda, usluge ili procesa, brani se proizvođaču stavljanje tog proizvoda na tržište do razrješenja spora.

Tehnička revizija

Tehnička revizija je glavna spoznajna metoda predviđena ovim Zakonom, kojom Zavod dolazi do potrebnih informacija kako bi mogao obavljati svoje zadaće. Odredbom članka 13. propisane su neposredne ovlasti Zavoda pri provođenju tehničke revizije, kao i obveze izdavatelja certifikata ili izjava o sukladnosti nad kojima se tehnička revizija provodi. Navedena je i mogućnost korištenja tuđih nalaza, u ovom slučaju kvalificiranih revizora. Propisana je i izrada izvješća, koje sadrži barem ocjenu sukladnosti s odredbama propisa i korektivne mjere s rokom izvršenja, ako ih bude, a koje se mora dostaviti izdavateljima nad kojima je provedena revizija. Ako Zavod smatra nužnim osigurati provođenje mjera danim u izvješću, može donijeti i rješenje o obvezi provođenja predmetne mjere. Protiv rješenja nije dopuštena žalba, ali se može pokrenuti upravni spor.

Prekršajne sankcije i novčane kazne

U člancima 14. -16. Zakona propisane su prekršajne sankcije za nepoštivanje odredbi Uredbe (EU) 2019/881 i Zakona, na način dostatan kako bi se odredbe Uredbe (EU) 2019/881 mogle provoditi u suglasju sa zakonodavnim sustavom Republike Hrvatske, a pritom zadržala univerzalnost postupanja unutar jedinstvenog digitalnog tržišta EU. Predviđeno je obaviti usklađivanje sankcijskih odredbi na razini Europske unije pri sljedećoj reviziji Uredbe.
U člancima 17. -19. u osnovi su prepisane prekršajne sankcije iz članaka 14.-16., ali su novčani iznosi iskazani u eurima. Po stupanju na snagu propisa kojim euro postaje službena valuta Republike Hrvatske, ovi članci se primjenjuju umjesto članaka 14.-16. Zakona.

Završne odredbe

Završnim odredbama određeni su rokovi donošenja provedbenih akata te stupanje na snagu i prestanak važenja članaka koji se odnose na prekršajne odredbe radi očekivanog uvođenja eura kao službene valute Republike Hrvatske.

Uzimajući u obzir da je Zakonom o sigurnosno - obavještajnom sustavu Republike Hrvatske ("Narodne novine", br. 79/06. i 105/06.) osnovan Zavod za sigurnost informacijskih sustava te je tim Zakonom propisan i djelokrug poslova Zavoda, a da je djelatnost Hrvatske akreditacijske agencije, u skladu sa Zakonom o akreditaciji ("Narodne novine" br. 158/03., 75/09. i 56/13.), propisana Uredbom o osnivanju Hrvatske akreditacijske agencije ("Narodne novine" br. 158/04., 44/05. i 30/10.), napominje se kako je nakon stupanja na snagu Konačnog prijedloga zakona, potrebno uskladiti i navedene zakone odnosno podzakonski osnivački akt u mjeri i ako je nužno.

Tihana Kozina Barišić
___________________________________
^ 1 https://eur-lex.europa.eu/legal-content/HR/TXT/PDF/?uri=CELEX:32016L1148&from=HR
^ 2 https://eur-lex.europa.eu/legal-content/HR/TXT/PDF/?uri=CELEX:32019R0881&from=hr