Akti u proceduri
10.10.2023.
Novi akti u saborskoj proceduri
Konačni prijedlog zakona o akademskom i stručnom nazivu i akademskom stupnju i Prijedlog zakona o kibernetičkoj sigurnosti
Konačni prijedlog zakona o akademskom i stručnom nazivu i akademskom stupnju
Konačni prijedlog zakona o akademskom i stručnom nazivu i akademskom stupnju podnijela je Vlada Republike Hrvatske, aktom od 27. rujna 2023. godine.
Kao razlike između rješenja koja se predlažu Konačnim Prijedlogom zakona u odnosu na rješenja iz Prijedloga zakona i razlozi zbog kojih su te razlike nastale, navedeno je:
„U odnosu na tekst Prijedloga zakona koji je prošao prvo čitanje u Hrvatskome saboru, predlagatelj je prihvatio prijedloge Odbora za zakonodavstvo Hrvatskoga sabora koje se odnose na nomotehničku doradu izričaja u člancima 12. i 17.
Predlagatelj je prihvatio prijedlog da se u članku 12. stavku 6. brišu riječi: „pred nadležnim upravnim sudom“ te da se u članku 17. spoje stavci 1. i 2. jer se radi o istom donosiocu i istom roku donošenja.
Nadalje, predlagatelj je prihvatio prijedlog Odbora za obrazovanje, znanost i kulturu Hrvatskoga sabora da se u članku 12. stavku 9. propiše da se i u slučaju da se studij više ne izvodi ili nije iste vrste, uvjerenje o ujednačavanju akademskog ili stručnog naziva te akademskog stupnja izdaje bez naknade.
Nastavno na raspravu o potrebi dodatnog mehanizma za ujednačavanje popisa akademskih i stručnih naziva i akademskih stupnjeva, predlagatelj je u člancima 7. i 11. ugradio odredbu o potrebi usklađivanja s akademskim i stručnim nazivima i akademskim stupnjevima iz standarda kvalifikacija upisanih u Registar Hrvatskoga kvalifikacijskog okvira.
Nadalje, predlagatelj je rok za donošenje popisa akademskih i stručnih naziva i akademskih stupnjeva iz članka 17. produžio s tri na šest mjeseci od stupanja na snagu ovoga Zakona, kako bi se omogućilo da se što više standarda kvalifikacija upiše u Registar Hrvatskoga kvalifikacijskog okvira.“
Prijedlog zakona o kibernetičkoj sigurnosti
Prijedlog zakona o kibernetičkoj sigurnosti podnijela je Vlada Republike Hrvatske, aktom od 27. rujna 2023. godine., a radi prijenosa Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (u daljem tekstu: NIS2 direktiva) u nacionalno zakonodavstvo.
NIS2 direktiva donesena je s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148).
NIS2 direktiva stupila je na snagu 16. siječnja 2023. godine i stavlja van snage NIS1 direktivu iz 2016. godine s učinkom od 18. listopada 2024. te zahtijeva usklađivanje svih država članica, koje transpoziciju NIS2 direktive moraju provesti do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu NIS2 direktive.
NIS2 direktiva postavlja bitno proširene zahtjeve u odnosu na NIS1 direktivu, zbog čega se postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18), kojim je transponirana NIS1 direktiva u Republici Hrvatskoj, mora staviti van snage te se mora pripremiti novi okvir za upravljanje puno složenijim zahtjevima NIS2 direktive.
Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi čitav niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 kriza ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor.
Dvije najvažnije promjene NIS2 direktive u odnosu na NIS1 direktivu su:
- višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti (više nego trostruko), koji sada obuhvaća sve ključne segmente društva (Prilog I. i Prilog II. ovoga Nacrta) te
- promjena uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 direktive, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.
Usklađena primjena NIS2 zahtjeva na razini svih država članica i EU institucija osigurat će ključne ciljeve sigurnosti kritičnih kibernetičkih elemenata EU i država članica, učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima, suradnju svih nadležnih tijela i subjekata obveznika NIS2 direktive, kao i uspostavu reguliranog pristupa kibernetičkoj sigurnosti na razini cijele EU, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.
Ističe se kao jedan od ključnih ciljeva EU-a kroz NIS2 direktivu uvođenje reguliranog pristupa području kibernetičke sigurnosti, nastavno stvaranje kibernetičke otpornosti planira se postići i na EU razini i na razini država članica kroz zakonsko propisivanje, normizaciju te uvođenje procesa akreditacije i certifikacije. Na taj način uvodi se potrebna kontrola subjekata - obveznika mjera iz NIS2 direktive, kao i sustavna kontrola korištenih softverskih i hardverskih proizvoda i usluga u mrežnim i informacijskim sustavima subjekata obveznika.
Prijedlogom Zakona o kibernetičkoj sigurnosti (dalje u tekstu: Prijedlog Zakona) se predlaže organizacijski pristup kojim bi se nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti, a s ciljem uvođenja centralizacije upravljanja kibernetičkom sigurnošću i stvaranja novoga Nacionalnog centra za kibernetičku sigurnost. Pri tome se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti.
Kroz Prijedlog Zakona se također predviđa proces kategorizacije subjekata, u okviru kojeg se primjenjuju utvrđeni kriteriji za razvrstavanje subjekata u kategorije ključnih i važnih subjekata, što će se provesti u roku od godine dana od stupanja na snagu Prijedloga Zakona te će se nakon toga periodično, svake dvije godine, utvrđeni popis ključnih i važnih subjekata ažurirati. Tek po obavijesti o kategorizaciji započinje rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene, ovisno o tome u koju kategoriju je subjekt razvrstan, kroz razdoblje od najduže dodatne dvije godine. Na taj način postupni proces tranzicije traje punih četiri godine nakon stupanja na snagu Prijedloga Zakona.
Nadalje, u Prijedlogu Zakona razlikujemo tri grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu se trenutno radi o tri sektora: bankarstvo i Hrvatska narodna banka (HNB) kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo. Nadležna tijela za provedbu posebnih zakona stoga provode svoje sektorske propise koji sadrže veću ili jednaku razinu zahtjeva kibernetičke sigurnosti kao NIS2 direktiva, pri čemu se ovim Zakonom utvrđuje obveza nadležnih tijela za provedbu posebnih zakona za uključenje svojih sektorskih subjekata u razmjenu informacija i izvještavanje o incidentima na nacionalnoj razini.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo.
Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata iz Priloga I. i II. ovoga Zakona, ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora: sektor istraživanja, sektor sustava obrazovanja te za registar naziva vršne nacionalne internetske domene i registrare. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT1 tijela, Prijedlogom Zakona se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta prema Prilogu III. Nadležna CSIRT tijela za Republiku Hrvatsku su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CERT, ustrojen u CARNET-u.
Prijedlog Zakona utvrđuje i način usklađivanja sadržaja nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti, čiji se sadržaji detaljno razrađuju u Prilogu IV. ovoga Zakona te su usklađeni s NIS2 zahtjevima za sve države članice.
Također, ovim Prijedlogom Zakona uvode se okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite, a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti svojih mrežnih i informacijskih sustava, uz pružanje stručne pomoći nadležnih tijela, a napose od strane nadležnih CSIRT-ova.
Provedba NIS2 transpozicije otvara mogućnosti usklađenog i optimalnog usmjeravanja proračunskih sredstava, ali i korištenja EU fondova za javni i za privatni sektor, kao i izbjegavanja neracionalnog multipliciranja nacionalnih kapaciteta ili neracionalnosti u pristupu opremanju radi razvoja novih sposobnosti koje već postoje u drugim tijelima.
U tom smislu Prijedlogom Zakona se obvezuju nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti na suradnju i međusobnu razmjenu relevantnih informacija s nacionalnim koordinacijskim centrom imenovanim temeljem Uredbe (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021. o osnivanju Europskog stručnog centra za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti i mreže nacionalnih koordinacijskih centara (SL L 202/1, 8.6.2021.). Na taj način će se bolje koordinirati EU sredstva za potporu kibernetičke sigurnosti. Spomenuti Pilot projekt EK i ENISA-e, koji u razdoblju od 2023. do 2025. godine SOA koordinira na razini Republike Hrvatske, također je primjer povlačenja EU sredstava u razdoblju do uspostave i pune funkcionalnosti nacionalnog koordinacijskog centra, a poslužio je kao primjer i za pripremu novoga EU prijedloga Cyber Solidarity Acta.
Naposljetku, Prijedlogom Zakona je, radi potpunog prijenosa NIS2 direktive u nacionalno zakonodavstvo, predviđeno donošenje podzakonskih akata, uredbe Vlade Republike Hrvatske, kojom se detaljnije uređuju područja iz ovoga Prijedloga Zakona, te nacionalnog programa za upravljanje kibernetičkim krizama, kao i nacionalnog srednjoročnog akta strateškog planiranja iz područja kibernetičke sigurnosti, s akcijskim planom za njegovu provedbu. Dodatno je, u svrhu pune funkcionalnosti transpozicije, potrebno osigurati funkcionalnost svih nadležnih tijela, osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi puta ustrojava u Republici Hrvatskoj.
Rok za potpuni prijenos NIS2 direktive u opisanom smislu je 17. listopada 2024. godine.
Pripremila: Lidija Doko mag. iur.
Fotografija: Novi informator
1 CSIRT – Computer Security Incident Response Team, je tijelo nadležno za prevenciju i zaštitu od incidenata u okviru NIS2 sektora, a pojam je uveden NIS1 transpozicijskim Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga