Globalne kibernetičke prijetnje u stalnom su porastu uz sve veći broj sofisticiranih kibernetičkih napada te ako uzmemo u obzir rastuću ovisnost suvremenog društva o kibernetičkoj tehnologiji, traže se novi pristupi kibernetičkoj sigurnosti. Kako je EU donijela Direktivu (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibersigurnosti u EU države članice se moraju uskladiti s njom te se u e-Savjetovanju od 17.7.2023. do 16.8. 2023. godine nalazio Nacrt prijedloga Zakona o kibernetičkoj sigurnosti, a na koji je pristiglo više od 100 komentara. Autorica u ovom članku donosi kratki pregled Nacrta Zakona o kibernetičkoj sigurnosti. Kibernetički prostor, uz sve prednosti koje donosi predstavlja i sigurnosni izazov. Sigurnosne prijetnje u kibernetičkom prostoru su kibernetski kriminal, špijunaža, terorizam i ratovanje. Sve te prijetnje imaju cilj naštetiti kritičnoj infrastrukturi, financijama, prometu i komunikacijama.1
Europska unija je 14. prosinca 2022. donijela Direktivu (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) koja je stupila na snagu 16. siječnja 2023. godine a cilj joj je otkloniti poteškoće koje su uočene i primjeni Direktive 2016/1148. NIS2 direktiva zahtjeva usklađivanje svih država članica s Direktivom i to do 17. listopada 2024. godine. Ova Direktiva ima bitno proširene zahtjeve u odnosu na prethodnu, zbog čega bi se Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga trebao staviti van snage te bi se trebao donijeti novi Zakon o kibernetičkoj sigurnosti. Glavni cilj novih zahtjeva o kibernetičkoj sigurnosti je osiguravanje uvjeta za funkcioniranje društva i gospodarstva u digitalnom desetljeću koje donosi novosti kao što je, primjerice, umjetna inteligencija. Najvažnije promjene koje nosi Direktiva NIS 2 vezane su za povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti te promjena pristupa NIS2 direktive koja postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici. Ovom Direktivom želi se postići učinkovito upravljanje organizacijama i sigurnosnim procesima u kibernetičkom prostoru EU-a i država članica.
U Nacrtu prijedloga Zakona se predlaže transformacija Centra za kibernetičku sigurnost SOA-e2 koji je osnovan 2019. godine, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti koji bi se centralizirao i stvorio bi se novi Nacionalni centar za kibernetički sigurnost.3 SOA je u suradnji sa Zavodom za sigurnost informacijskih sustava već i izgradila sustav SK@UT, koji predstavlja središnji sustav za otkrivanje, rano upozorenje i zaštitu od državno sponzoriranih kibernetičkih napada, APT kampanja i drugih prijetnji, koji se sastoji od distribuirane mreže senzora u ključnim državnim tijelima i pravnim osobama.4
Povećanje broja sektora i podsektora i vrsta usluga koje zahvaća NIS2 direktiva je nužno u suvremenom društvu, jer tvrtke koriste informacijsku i komunikacijsku tehnologiju u svom poslovanju te veliki dio poslovnih procesa zasnivaju na informacijskim i komunikacijskim tehnologijama. Tvrtke već ulažu u sustave kibernetičke zaštite u sklopu svog poslovanja neovisno i direktivi EU. Cilj NIS2 direktive nije uvesti dodatan trošak za IKT unutar javnog sektora i poslovne zajednice, već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti, kako bi se u konačnici smanjili rizici i troškovi prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima.5 Zako se u Nacrtu prijedloga Zakona o kibernetičkoj sigurnosti predviđa kategorizacija subjekata u kategorije ključnih i važnih subjekata, što bi se provelo u roku od godine dana od stupanja na snagu Zakona te bi se nakon toga svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirao. Nakon obavijesti o kategorizaciji započeo bi rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene (ovisno o kategoriji subjekta), kroz razdoblje od najduže dodatne dvije godine. Tako bi potpuni proces tranzicije trajao 4 godine nakon stupanja na snagu Zakona o kibernetičkoj sigurnosti.6
U Nacrtu prijedloga Zakona se razlikuju 3 grupe nadležnih tijela za kibernetičku sigurnost. Prva grupa su nadležna tijela za provedbu posebnih zakona koji uključuju autonomne sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU. Radi se o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Druga grupa uključuje tri polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo. Specifičnost polu-autonomnih sektora jest da je kibernetička sigurnost u određenoj mjeri propisana sektorskim propisima na EU ili nacionalnoj razini, ali nedovoljno u odnosu NIS2 direktivu. Treća grupa nadležnih tijela obuhvaća Ministarstvo znanosti i obrazovanja, Sigurnosno-obavještajnu agenciju (SOA-u), te CSIRT nadležna tijela u koje spada: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA te Nacionalni CERT, ustrojen u CARNET-u („CSIRT“ je kratica za Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata). Zakonom bi se uveli i okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela iz ovog Zakona prvenstveno od strane nadležnih CSIRT-ova.7
U Prilogu 1. Nacrta prijedloga Zakona kao sektori visoke kritičnosti navedeni su: energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, voda za ljudsku potrošnju, otpadne vode, digitalna infrastruktura, upravljanje uslugama IKT-a, javni sektor i svemir. U Prilogu 2. Nacrta kao drugi kritični sektoru navedeni su: poštanske i kurirske usluge, gospodarenje otpadom, izrada proizvodnja i distribucija kemikalija, proizvodnja, prerada i distribucija hrane, proizvodnja (podsektori: proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda, proizvodnja računala te elektroničkih i optičkih proizvoda, proizvodnja električne opreme, proizvodnja strojeva i uređaja, proizvodnja motornih vozila, prikolica i poluprikolica, proizvodnja ostalih prijevoznih sredstava), pružatelji digitalnih usluga, istraživanje, sustav obrazovanja. U Prilogu 3. Nacrta prijedloga Zakona je Popis nadležnosti tijela u području kibernetičke sigurnosti uz podjelu nadležnosti po sektorima, podsektorima i vrstama subjekata iz Priloga I. i Priloga II. Zakona.8
Zakonom je predviđeno donošenje podzakonskih akata, Uredbe Vlade Republike Hrvatske, kojom se detaljnije uređuju područja iz ovog Zakona, te Nacionalnog plana za upravljanje kibernetičkim krizama, kao i Nacionalnog plana razvoja kibernetičke sigurnosti, s Akcijskim planom za njegovu provedbu. Pri tome je potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj. Rok za potpuni prijenos NIS2 direktive je 17. listopada 2024. godine.
Zorica Stojanović, mag. iur.