SABOR IZGLASAO ODLUKU O PROGLAŠENJU ZAKONA O KIBERNETIČKOJ SIGURNOSTI

zakon o kibernetičkoj sigurnosti

Dana 07. veljače 2024. godine stupio je na snagu Zakon o kibernetičkoj sigurnosti te je objavljen u Narodnim novinama pod oznakom NN/2024.

Sažeto, Zakon propisuje koje su obaveze, dijeli obveznike na ključne i važne subjekte, definira regulatore te rokove.

U praksi, obveznici će tijekom 2024. godine u pravilu čekati odluku nadležnih tijela da li su obveznici, a ako jesu da li spadaju u ključne ili važne subjekte. Tek po primitku rješenja će se početi pripremati za usklađenost za što imaju minimalno godinu dana. Nadzori će se provoditi, pod uvjetom da nije došlo do incidenata po Zakonu, tek svakih par godina. Ako uopće i to ako su proglašeni važnim subjektima.

Sve navedeno se ne odnosi na dosadašnje obveznike, oni su i dalje obveznici po starom Zakonu dok pojedini akt regulatornog tijela ne promijeni okolnosti. Novi obveznici ne moraju provoditi aktivnosti dok ne budu formalno informirani da su postali obveznici. Što ne isključuje mogućnost da samoinicijativno počnu raditi GAP analize usklađenosti.

Zakon, u odnosu na najave, ipak donosi neke novosti i drugačije formulacije i obveze te ćemo u ovom članku iznijeti tek neke specifičnosti:

  • Kao i prijašnja verzija Zakona, i ovaj Zakon sadrži Priloge. Ova verzija zakona razlikuje „Sektori visoke kritičnosti“  te „Drugi kritični sektori“, a popis djelatnosti je vidljiv iz navedenih priloga
  • U dijelu koji se odnosi na Pojmove, ključan dio je definicija tko su javni subjekti – javni subjekti su pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
  • Isti članak definira i nacionalne regulatore koji su:
    • središnje državno tijelo za informacijsku sigurnost je Ured Vijeća za nacionalnu sigurnost
    • središnje državno tijelo za kibernetičku sigurnost je Sigurnosno-obavještajna agencija
    • središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti je Zavod za sigurnost informacijskih sustava
  • Isti članak definira i tko je subjektsubjekt je svaki javni subjekt, privatni subjekt i subjekt javnog sektora
  • U kategoriju ključnih subjekata razvrstavaju se:
    • privatni i javni subjekti iz Priloga I. Zakona koji prelaze gornje granice za srednje subjekte maloga gospodarstva utvrđene zakonom kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva
    • kvalificirani pružatelji usluga povjerenja, registar naziva vršne nacionalne internetske domene te pružatelji usluga DNS-a, neovisno o njihovoj veličini
    • pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva ili koji prelaze gornje granice za srednje subjekte maloga gospodarstva
    • informacijski posrednici u razmjeni elektroničkog računa među poduzetnicima, neovisno o njihovoj veličini i
    • subjekti koji su utvrđeni kao kritični subjekti na temelju zakona kojim se uređuje područje kritične infrastrukture, neovisno o njihovoj veličini.
  • U kategoriju važnih subjekata razvrstavaju se:
    • privatni i javni subjekti iz Priloga II. Zakona koji predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva ili koji prelaze gornje granice za srednje subjekte maloga gospodarstva
    • privatni i javni subjekti iz Priloga I. Zakona koji nisu utvrđeni kao ključni subjekti na temelju članka 9. podstavka 1. Zakona, a predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva
    • pružatelji usluga povjerenja koji nisu kategorizirani kao ključni subjekti na temelju članka 9. podstavka 2. Zakona, neovisno o njihovoj veličini, i
    • pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu kategorizirani kao ključni subjekti na temelju članka 9. podstavka 3. Zakona, neovisno o njihovoj veličini.
  • Ako je subjekt razvrstan u kategoriju i ključnih i važnih subjekata, na takvog se subjekta primjenjuju odredbe Zakona koje se odnose na ključne subjekte.
  • Mjere upravljanja kibernetičkim rizicima obuhvaćaju:
    • tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te
    • mjere za sprečavanje ili smanjivanje na najmanju moguću mjeru učinka incidenata na mrežne i informacijske sustave ključnih i važnih subjekata, primatelje njihovih usluga ili na druge sektore, subjekte i usluge.
  • Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima bez obzira na to upravljaju li i/ili održavaju svoje mrežne i informacijske sustave sami ili za to koriste vanjskog davatelja usluge.
  • Ključni i važni subjekti dužni su provesti mjere upravljanja kibernetičkim sigurnosnim rizicima u roku od godine dana od dana dostave obavijesti iz članka 19. stavka 1. Zakona.
  • Mjere upravljanja kibernetičkim sigurnosnim rizicima uključuju sljedeće:
    • politike analize rizika i sigurnosti informacijskih sustava
    • postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
    • kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata iz članka 37. Zakona, te upravljanje kibernetičkim krizama
    • sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između subjekta i njegovih izravnih dobavljača ili pružatelja usluga
    • sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje
    • politike i postupke za procjenu djelotvornosti mjera upravljanja kibernetičkim sigurnosnim rizicima
    • osnovne prakse kibernetičke higijene i osposobljavanje o kibernetičkoj sigurnosti
    • politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja
    • sigurnost ljudskih resursa, politike kontrole pristupa i upravljanja programskom i sklopovskom imovinom, uključujući i redovito ažuriranje popisa ove imovine
    • korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.
  • Reviziju kibernetičke sigurnosti ključni subjekti dužni su provoditi najmanje jednom u dvije godine.
  • Samoprocjenu kibernetičke sigurnosti važni subjekti dužni su provoditi najmanje jednom u dvije godine. Za provedbu samoprocjene kibernetičke sigurnosti važni subjekti mogu koristiti i vanjskog davatelja takve usluge.
  • Pravila, tehnički zahtjevi, norme, obrasci i postupci koji se primjenjuju prilikom samoprocjene kibernetičke sigurnosti, uključujući sadržaj izjave o sukladnosti, uredit će se uredbom iz članka 24. Zakona
  • Stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti u ključnom subjektu provodi se najmanje jednom u roku od tri do pet godina.
  • Stručni nadzor nad važnim subjektom provodi se kada nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje upozoravaju da subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama ili da ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima nadležnih tijela iz Zakona.
  • Novčanom kaznom u iznosu od 10.000,00 eura do 10.000.000,00 eura ili u iznosu od 0,5 % do najviše 2 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći, kaznit će se za prekršaj prekršajno odgovoran ključan subjekt.
  • Novčanom kaznom u iznosu od 5000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći, kaznit će se za prekršaj prekršajno odgovorni važni subjekt.
  • Središnje državno tijelo za kibernetičku sigurnost uspostavit će poseban registar subjekata iz članka 22. Zakona u roku od godinu dana od dana stupanja na snagu Zakona.
  • Vlada će uredbu iz članka 24. Zakona donijeti u roku od devet mjeseci od dana stupanja na snagu Zakona.

Newsletter

Pretplatite se na naš Newsletter!

Izrada internetske stranice sufinancirana je sredstvima pomoći Operativnog programa „Konkurentnost i kohezija“ iz Europskog fonda za regionalni razvoj. Saznaj više

Krajnji primatelj financijskog instrumenta sufinanciranog iz Europskog fonda za regionalni razvoj u sklopu Operativnog programa Konkurentnost i kohezija 2014.-2020.”.