Prijedlog zakona o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor, s Konačnim prijedlogom zakona podnijela je Vlada Republike Hrvatske, aktom od 24. listopada 2024. godine, a u svrhu osiguravanja provedbe Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (Tekst značajan za EGP) (SL L 333, 27.12.2022.) (u daljnjem tekstu: Uredba (EU) 2022/2554) koja je stupila je na snagu 16. siječnja 2023., a primjenjivat će se od 17. siječnja 2025.

Njime se utvrđuju nadležna tijela, ovlasti nadležnih tijela, postupak nadzora, nadzorne mjere te prekršajne odredbe za kršenje odredbi ovoga Prijedloga zakona i Uredbe (EU) 2022/2554.

Uzimajući u obzir da sve veća digitalizacija i međusobna povezanost povećavaju i rizik informacijske i komunikacijske tehnologije (u daljnjem tekstu: IKT rizik), što društvo u cjelini, a posebno financijski sustav, čini osjetljivijim na kibernetičke prijetnje ili poremećaje u području IKT-a, Uredbom (EU) 2022/2554 utvrđuju se jedinstveni zahtjevi u pogledu sigurnosti mrežnih i informacijskih sustava kojima se podupiru poslovni procesi financijskih subjekata obuhvaćenih njezinim područjem primjene, sve kako bi se postigla visoka zajednička razina digitalne operativne otpornosti.

Uredbom (EU) 2022/2554 utvrđuju se:

i) zahtjevi primjenjivi na financijske subjekte obuhvaćene njezinim područjem primjene, a koji se, inter alia, odnose na upravljanje IKT rizikom, izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje nadležnih tijela o ozbiljnim kibernetičkim prijetnjama, testiranje digitalne operativne otpornosti te mjere za dobro upravljanje IKT rizikom povezanim s trećim stranama,

ii) zahtjevi koji se odnose na ugovorne aranžmane sklopljene između trećih strana pružatelja IKT usluga i financijskih subjekata,

iii) pravila za uspostavu i provedbu nadzornog okvira za ključne treće strane pružatelje IKT usluga pri pružanju usluga financijskim subjektima te

iv) pravila za suradnju između nadležnih tijela i pravila o nadzoru i izvršavanju koje provode nadležna tijela u vezi sa svim pitanjima obuhvaćenima Uredbom (EU) 2022/2554.

Cilj je Uredbe (EU) 2022/2554 konsolidirati i unaprijediti zahtjeve u pogledu IKT rizika kao dio zahtjeva u pogledu operativnog rizika koji su do sada bili zasebno razmatrani u različitim aktima prava Europske unije. Iako su takvim aktima obuhvaćene glavne kategorije financijskih rizika (npr. kreditni rizik, tržišni rizik, kreditni rizik druge ugovorne strane, rizik likvidnosti, rizik ponašanja na tržištu), njima u vrijeme njihova donošenja nisu sveobuhvatno obrađene sve komponente operativne otpornosti. Pravila za operativne rizike u takvim sektorskim propisima često su se temeljila na tradicionalnom kvantitativnom pristupu nošenja s rizikom (određivanjem kapitalnog zahtjeva za pokrivanje IKT rizika) te nisu predstavljala ciljana kvalitativna pravila za sposobnosti za zaštitu, otkrivanje, ograničenje, oporavak i popravak u slučaju IKT incidenata ili za sposobnosti za izvješćivanje i digitalno testiranje. Uredbom (EU) 2022/2554 trebala bi se stoga podići svijest o IKT rizicima i uvažiti činjenica da IKT incidenti i pomanjkanje operativne otpornosti mogu ugroziti stabilnost financijskih subjekata.

Uredbom (EU) 2022/2554 stvara se stoga regulatorni okvir za digitalnu operativnu otpornost u sklopu kojeg financijski subjekti obuhvaćeni njezinim područjem primjene moraju osigurati otpornost na sve vrste poremećaja i prijetnji povezanih s IKT-om, kao i sposobnost primjereno odgovoriti na takve eventualne poremećaje te oporaviti svoje poslovanje.

Ovim Prijedlogom zakona osigurava se provedba Uredbe (EU) 2022/2554 u okviru pravnog poretka Republike Hrvatske tako što se Hrvatskoj narodnoj banci i Hrvatskoj agenciji za nadzor financijskih usluga dodjeljuju ovlasti potrebne za izvršavanje Uredbom (EU) 2022/2554 predviđenih zadaća u odnosu na odgovarajuće subjekte nadzora, što uključuje ovlasti provođenja nadzora nad pridržavanjem odredbi Uredbe (EU) 2022/2554 i ovoga Prijedloga zakona te ovlasti izricanja nadzornih mjera u slučajevima kršenja odredbi Uredbe (EU) 2022/2554 i ovoga Prijedloga zakona. Ovim Prijedlogom utvrđuju se i prekršajne odredbe za kršenje odredbi ovoga Prijedloga zakona i Uredbe (EU) 2022/2554.

Donošenje ovoga Zakona predlaže se po hitnom postupku na temelju članka 206. stavka 1. Poslovnika Hrvatskoga sabora („Narodne novine“, br. 81/13., 113/16., 69/17., 29/18., 53/20., 119/20. - Odluka Ustavnog suda Republike Hrvatske, 123/20. i 86/23. - Odluka Ustavnog suda Republike Hrvatske) sukladno kojem se po hitnom postupku donose zakoni koji se usklađuju s dokumentima Europske unije ako to zatraži predlagatelj. Uredba (EU) 2022/2554 u cijelosti je obvezujuća i izravno se primjenjuje u svim državama članicama od 17. siječnja 2025. Budući da se ovim Zakonom isključivo osiguravaju pretpostavke za provedbu Uredbe (EU) 2022/2554, predlaže se donošenje ovoga Zakona po hitnom postupku.

Dana 12. studenoga 2024. na 4. sjednici prihvaćena je primjena hitnog postupka.
Zakon je donesen na 4. sjednici, 15. studenoga 2024.

Pripremila: Lidija Doko mag. iur.

Fotografija: Novi informator