Zakon o kritičnoj infrastrukturi

I. UVODNE ODREDBE

Predmet Zakona

Članak 1.

(1) Ovim se Zakonom uređuje zaštita nacionalne kritične infrastrukture i infrastrukture od posebnog europskog značaja, načela zaštite i mjere otpornosti, koordinacija zaštite kritične infrastrukture, nacionalni okvir za otpornost kritičnih subjekata, utvrđivanje i potvrđivanje kritičnih subjekata, i kritičnih subjekata od posebnog europskog značaja, obveze kritičnih subjekata, definira sadržaj sigurnosnog plana, certificiranje pravnih osoba i obrta koji pružaju privatnu zaštitu kritične infrastrukture, obavješćivanje o incidentima, provjera podobnosti te uloga i obveze sigurnosnog koordinatora, postupanje s podacima o kritičnoj infrastrukturi te nadzor nad provedbom ovoga Zakona.

(2) Ovaj se Zakon, u dijelu provedbe zaštite nacionalnih kritičnih infrastruktura, ne primjenjuje na tijela državne uprave i druga državna tijela u čijoj su nadležnosti poslovi nacionalne sigurnosti, javne sigurnosti, obrane ili poslovi provedbe zakona u svrhu sprječavanja, otkrivanja i istraživanja kaznenih djela.

Usklađivanje propisa s pravnim aktima Europske unije

Članak 2.

Ovim se Zakonom u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27. 12. 2022.) te osigurava provedba Delegirane uredbe Komisije (EU) 2023/2450 оd 25. srpnja 2023. o dopuni Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća utvrđivanjem popisa ključnih usluga (Tekst značajan za EGP) (SL L 2023/2450, 30. 10. 2023.).

Pojmovi

Članak 3.

(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:

1. analiza rizika je dio procesa procjene rizika, a označava razmatranje mogućih scenarija prijetnji kako bi se ocijenile ranjivosti i mogući učinak poremećaja u radu kritične infrastrukture ili njezina uništenja

2. CSIRT (Computer Security Incident Response Team) je nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata

3. država članica je država članica Europske unije te država potpisnica Ugovora o Europskom gospodarskom prostoru

4. incident je događaj koji bi mogao znatno poremetiti ili koji je poremetio pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava, te bi u slučaju incidenta došlo do znatnih negativnih učinaka na pružanje ključnih usluga

5. javni subjekti su tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe i druga tijela koja imaju javne ovlasti, pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku

6. ključna usluga je usluga ključna za održavanje vitalnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti te okoliša

7. kontinuitet poslovanja kritičnog subjekta je neprekinutost pružanja ključne usluge, što se osigurava planiranjem i provođenjem mjera pripravnosti za nepredviđene situacije te povećanjem otpornosti i brzine oporavka

8. kritična infrastruktura je imovina, objekt, oprema, mreža ili sustav odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge

9. kritični subjekt je javni ili privatni subjekt koji pruža jednu ili više ključnih usluga

10. kritični subjekt od posebnog europskog značaja je kritični subjekt koji pruža iste ili slične ključne usluge za šest ili više država članica ili u šest ili više država članica, utvrđen, potvrđen i obaviješten u skladu s odredbama ovoga Zakona

11. međusektorska mjerila označavaju skup općih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik za pojedinu imovinu, objekte, sustave i mreže koji predstavljaju kritičnu infrastrukturu te provodi utvrđivanje kritičnih subjekata i kritičnih subjekata od europskog značaja u svim sektorima kritičnih subjekata

12. nadležna tijela su tijela državne uprave, nadležna tijela za provedbu posebnih propisa te druga državna tijela i pravne osobe s javnim ovlastima nadležne za pojedini sektor ili pojedine kategorije subjekata za koje se sukladno ovom Zakonu provodi postupak utvrđivanja kritičnih subjekata

13. nadležna tijela za provedbu posebnih propisa su Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga

14. otpornost je sposobnost kritičnog subjekta da spriječi incident, osigura zaštitu od incidenta, odgovori na njega, odupre se, ublaži ga, apsorbira, prilagodi se i oporavi od incidenta kako bi mogao nastaviti s pružanjem ključne usluge

15. provjera podobnosti osobe je provjera identiteta te provjera evidentiranosti u kaznenim evidencijama i evidencijama Sigurnosno-obavještajne agencije za osobe koje su zaposlene ili se razmatraju za zapošljavanje u kritičnom subjektu na osjetljive funkcije ili koje imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću ili obavljaju poslove za kritični subjekt, u svrhu evaluacije potencijalnog sigurnosnog rizika za kritični subjekt

16. prijetnja je vjerojatnost događaja i negativnih posljedica za kritičnu infrastrukturu koje u opsegu mogu biti antropogene, tehničko-tehnološke i prirodne, a koje mogu uzrokovati bitne poremećaje funkcioniranja društva

17. privatna zaštita je djelatnost koja je definirana zakonom kojim se uređuje privatna zaštita

18. procjena rizika je cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom

19. ranjivost je slabost organizacije, sustava, imovine ili procesa koja ih čini podložnim prijetnjama ili događajima koji mogu izazvati štetu ili poremećaj u isporuci ključnih usluga

20. regulatorno tijelo je pravna osoba s javnim ovlastima koja obavlja regulatorne i druge poslove u djelokrugu i s nadležnostima u skladu s odgovarajućim zakonima

21. rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta

22. sektorska mjerila su skup specifičnih, brojčanih i opisnih mjerila na temelju kojih se procjenjuje rizik i utvrđuju ključne usluge u pojedinom sektoru kritičnih subjekata

23. sigurnosni koordinator za kritičnu infrastrukturu je zaposlenik nadležnog tijela koji koordinira i usmjerava aktivnosti vezane uz zaštitu i otpornost kritičnih subjekata pojedinog sektora odnosno zaposlenik kritičnog subjekta koji te aktivnosti usmjerava sukladno svojoj organizacijskoj strukturi

24. sigurnosni plan kritičnog subjekta označava dokument koji osigurava povjerljivost, cjelovitost i raspoloživost organizacijskih, kadrovskih, materijalnih, informacijsko-komunikacijskih i drugih rješenja te stalnih i stupnjevanih sigurnosnih mjera potrebnih za neprekidno funkcioniranje kritične infrastrukture i isporuka ključnih usluga kritičnog subjekta

25. tehnička specifikacija je dokument kojim se propisuju tehnički zahtjevi, kako je definirano u članku 2. točki 4. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012 o europskoj normizaciji, izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (Tekst značajan za EGP) (SL L 316/12, 14. 11. 2012., u daljnjem tekstu: Uredba (EU) br. 1025/2012)

26. treća zemlja je strana država koja nije država članica

27. upravljanje rizicima je proces utvrđivanja, procjene, vrednovanja i određivanja prioriteta rizika radi osiguravanja uvjeta za rad i kontinuirano poslovanje kritičnog subjekta

28. zaštita kritične infrastrukture je skup aktivnosti koje provode kritični subjekt i nadležna tijela, a kojima je cilj osigurati funkcionalnost, održati kontinuitet u pružanju ključnih usluga, spriječiti odnosno umanjiti posljedice ugrožavanja kritične infrastrukture i osigurati otpornost.

(2) Izrazi koji se koriste u ovom Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.

Primjena posebnih propisa u pitanjima otpornosti kritičnih subjekata

Članak 4.

Ako su za pojedini sektor ili subjekte iz pojedinih sektora iz Priloga I. ovoga Zakona propisima Europske unije ili zakonima Republike Hrvatske propisani zahtjevi za jačanje otpornosti subjekata, koji po svom sadržaju i svrsi odgovaraju mjerama za osiguranje otpornosti kritičnih subjekata iz ovoga Zakona ili predstavljaju strože zahtjeve, sukladno ocjeni nadležnog tijela, na te se subjekte primjenjuju odgovarajuće odredbe tih posebnih propisa, uključujući odredbe o nadzoru provedbe zahtjeva.

Izuzeća od primjene ovoga Zakona u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture

Članak 5.

Na kritične subjekte i nadležna tijela u sektorima bankarstva, infrastruktura financijskog tržišta i digitalne infrastrukture iz Priloga I. ovoga Zakona ne primjenjuju se članak 20., članci od 22. do 43. i članci od 45. do 48. ovoga Zakona.

Odnos sa zakonom kojim se uređuje područje kibernetičke sigurnosti

Članak 6.

(1) Odredbe ovoga Zakona ne odnose se na pitanja koja su predmet zakona kojim se uređuje područje kibernetičke sigurnosti.

(2) Kritični subjekti, uz obveze propisane ovim Zakonom, provode postupke i mjere koje su, sukladno zakonu kojim se uređuje područje kibernetičke sigurnosti, dužni primjenjivati radi postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga odnosno obavljanju svojih djelatnosti.

(3) U svrhu provedbe stavka 2. ovoga članka u odnosu na kritične subjekte iz sektora, podsektora ili posebnih kategorija subjekata koje nisu obuhvaćene sektorima, podsektorima i vrstama subjekata iz zakona kojim se uređuje područje kibernetičke sigurnosti, zadaće nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležnog CSIRT-a obavlja središnje državno tijelo za kibernetičku sigurnost, sukladno zakonu kojim se uređuje područje kibernetičke sigurnosti.

Popis sektora, podsektora, kategorija subjekata i ključnih usluga

Članak 7.

Sektori i podsektori u kojima se utvrđuju kritični subjekti, kategorije subjekata te ključne usluge navedeni su u Prilogu I. ovoga Zakona, koji čini njegov sastavni dio.

Načela zaštite kritične infrastrukture

Članak 8.

Načela zaštite kritične infrastrukture su:

– načelo zaštite od svih oblika prijetnji podrazumijeva da svi kritični subjekti i sva nadležna tijela u osiguranju neprekidnog rada u isporuci ključnih usluga kritičnog subjekta uzimaju u obzir različite oblike prijetnji

– načelo cjelovitog pristupa znači zaštitu kritične infrastrukture od poremećaja ili prekida rada i isporuke ključnih usluga u koju su uključena sva nadležna tijela i institucije, pri čemu se u obzir uzimaju svi relevantni oblici prijetnji, a koja proizlazi iz procjene rizika i uzima u obzir međuovisnost sektora kritičnih subjekata i njihovu interakciju

– načelo kontinuiranog planiranja zaštite kritične infrastrukture podrazumijeva kontinuiranu procjenu prijetnji i rizika poslovanja, kao i ocjenu planova za njezinu zaštitu, a planiranje zaštite dio je trajnog poslovnog procesa kritičnog subjekta

– načelo razmjene informacija i podataka te zaštite podataka podrazumijeva da sva nadležna tijela i institucije redovito i pravodobno razmjenjuju podatke i informacije te se razmjena temelji na povjerenju i na zaštiti podataka povezanih s radom kritičnog subjekta u skladu s odredbama ovoga Zakona i zakona kojim se uređuje zaštita tajnosti i povjerljivosti podataka.

II. KOORDINACIJA ZAŠTITE KRITIČNE INFRASTRUKTURE

Koordinativno tijelo za zaštitu kritične infrastrukture

Članak 9.

(1) Koordinativno tijelo za zaštitu kritične infrastrukture (u daljnjem tekstu: Koordinativno tijelo) je tijelo državne uprave nadležno za poslove civilne zaštite čija je zadaća koordiniranje aktivnosti dionika u zaštiti kritične infrastrukture i jačanja otpornosti kritičnih subjekata.

(2) U ostvarivanju zadaća iz stavka 1. ovoga članka Koordinativno tijelo:

– izrađuje i predlaže propise koji se odnose na zaštitu nacionalne kritične infrastrukture i povećanje otpornosti kritičnih subjekata

– predlaže Vladi Republike Hrvatske na usvajanje dokumente u vezi sa zaštitom nacionalne kritične infrastrukture i povećanjem otpornosti kritičnih subjekata

– nadzire i usmjerava proces utvrđivanja kritičnih subjekata

– prikuplja, analizira i razmjenjuje informacije s nadležnim tijelima, regulatornim tijelima i kritičnim subjektima, jedinicama lokalne i područne (regionalne) samouprave i drugim dionicima u sustavu

– izrađuje smjernice za poboljšanje stanja zaštite kritične infrastrukture i jačanje otpornosti kritičnih subjekata

– vodi i ažurira popis kritičnih subjekata u Republici Hrvatskoj

– vodi i ažurira popis sigurnosnih koordinatora u nadležnim tijelima i kritičnim subjektima

– u suradnji s nadležnim tijelima redovito prati i procjenjuje prijetnje te predlaže mjere za jačanje otpornosti i zaštitu kritične infrastrukture

– u suradnji s nadležnim tijelima izrađuje međusektorska mjerila

– koordinira organizaciju i provedbu edukacija i vježbi u području zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata

– surađuje sa znanstvenoistraživačkim institucijama u području unaprjeđenja mjera i postupaka za smanjenje rizika i povećanja otpornosti kritičnih subjekata

– sudjeluje u organizaciji, koordinaciji i provedbi mjera suradnje između javnog i privatnog sektora radi zaštite i jačanja otpornosti kritičnih subjekata

– provodi postupak izdavanja i ukidanja certifikata pravnim osobama i obrtima za zaštitu kritične infrastrukture

– surađuje s Europskom komisijom i trećim zemljama te kao jedinstvena kontaktna točka obavlja prekograničnu suradnju i surađuje s jedinstvenim kontaktnim točkama drugih država članica, kao i Skupinom za otpornost kritičnih subjekata koju čine predstavnici država članica i Europske komisije

– radi jačanja otpornosti kritičnih subjekata i smanjenja njihova administrativnog opterećenja provodi savjetovanja s državama članicama u pogledu kritičnih subjekata koji upotrebljavaju fizički povezanu kritičnu infrastrukturu, koji su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima drugih država članica te koji su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama

– svake dvije godine podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o utvrđenim incidentima, uključujući broj obavijesti o incidentima, prirodi prijavljenih incidenata i poduzetim mjerama

– koordinira procese i sudjeluje u utvrđivanju kritičnih subjekata od posebnog europskog značaja i njihovoj zaštiti u suradnji s nadležnim tijelima

– zaprima zahtjeve i koordinira postupak provjere podobnosti u skladu sa zahtjevima sigurnosnih koordinatora u kritičnim subjektima

– u roku od tri mjeseca nakon imenovanja ili uspostavljanja obavještava Europsku komisiju o imenovanim nadležnim tijelima i jedinstvenoj kontaktnoj točki, o njihovim zadaćama i odgovornostima te o svakoj promjeni u imenovanju, zadaćama i odgovornostima.

Suradnja nadležnih tijela s tijelima iz zakona kojim se uređuje područje kibernetičke sigurnosti

Članak 10.

(1) Nadležna tijela i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti međusobno surađuju i razmjenjuju relevantne informacije, i to informacije o:

– utvrđivanju kritičnih subjekata na temelju ovoga Zakona

– rizicima, prijetnjama i incidentima kojima su izloženi kritični subjekti, kao i poduzetim mjerama kao odgovoru na rizike, prijetnje i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti iz kibernetičkog ili fizičkog prostora

– fizičkim mjerama zaštite i zahtjevima kibernetičke sigurnosti koje ti subjekti provode

– rezultatima nadzornih aktivnosti provedenih nad postupanjem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu kojim se uređuje područje kibernetičke sigurnosti.

(2) Nadležna tijela mogu zatražiti od tijela nadležnih za provedbu zahtjeva kibernetičke sigurnosti da izvršavaju svoje nadzorne ovlasti i nad subjektima koji su utvrđeni kao kritični subjekti.

(3) Koordinativno tijelo i središnje državno tijelo za kibernetičku sigurnost sporazumom uređuju sva bitna pitanja koja se odnose na razmjenu informacija i koordinaciju nadležnih tijela, uključujući način razmjene informacija iz stavka 1. ovoga članka.

III. NACIONALNI OKVIR ZA OTPORNOST KRITIČNIH SUBJEKATA

Akt strateškog planiranja za otpornost kritičnih subjekata

Članak 11.

(1) Akt strateškog planiranja za otpornost kritičnih subjekata je srednjoročni akt strateškog planiranja kojim se utvrđuju posebni ciljevi i mjere temeljeni na relevantnim nacionalnim, višesektorskim i sektorskim strategijama, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata, a koji obuhvaća sve sektore propisane Prilogom I. ovoga Zakona.

(2) Akt strateškog planiranja iz stavka 1. ovoga članka donosi se nakon savjetovanja sa svim relevantnim dionicima, a sadrži sljedeće elemente:

– posebne ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata, uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti

– upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta

– opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata

– opis postupka kojim se utvrđuju kritični subjekti

– opis postupka kojim se podupiru kritični subjekti, uključujući mjere za poboljšanje suradnje između javnih i privatnih dionika

– popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu akta

– okvir politike za koordinaciju među nadležnim tijelima na temelju ovoga Zakona i nadležnim tijelima na temelju zakona kojim se uređuje područje kibernetičke sigurnosti, u svrhu dijeljenja informacija o kibernetičkim sigurnosnim rizicima, kibernetičkim prijetnjama i kibernetičkim incidentima te rizicima, prijetnjama i incidentima izvan kibernetičkog prostora te izvršavanja nadzornih zadaća

– opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima, u smislu Priloga Preporuke Europske komisije 2003/361/EZ o definiciji mikro, malih i srednjih poduzeća (SL L 124, 20. 5. 2003.), a koje je Republika Hrvatska utvrdila kao kritične subjekte, olakšati provedbu procjene rizika i implementaciju tehničkih, sigurnosnih i organizacijskih mjera kako bi se osigurala njihova otpornost.

(3) Akt strateškog planiranja iz stavka 1. ovoga članka izrađuje Koordinativno tijelo, a donosi Vlada Republike Hrvatske (u daljnjem tekstu: Vlada).

(4) Izvještavanje, praćenje i vrednovanje akta strateškog planiranja iz stavka 1. ovoga članka provodi se u skladu s propisom kojim se uređuje područje strateškog planiranja i upravljanja razvojem Republike Hrvatske.

(5) Koordinativno tijelo obavještava Europsku komisiju o donesenom nacionalnom aktu strateškog planiranja iz stavka 1. ovoga članka i o svakoj njegovoj izmjeni odnosno ažuriranju, najkasnije u roku od tri mjeseca od dana donošenja, izmjene odnosno ažuriranja.

(6) Akt strateškog planiranja iz stavka 1. ovoga članka ažurira se najmanje svake četiri godine, pri čemu se na postupak ažuriranja na odgovarajući način primjenjuje stavak 3. ovoga članka.

Nacionalna procjena rizika kritične infrastrukture

Članak 12.

(1) Nacionalnu procjenu rizika kritične infrastrukture koju izrađuje Koordinativno tijelo donosi Vlada, na prijedlog ministra nadležnog za poslove civilne zaštite (u daljnjem tekstu: ministar).

(2) Nacionalna procjena rizika kritične infrastrukture predstavlja podlogu za utvrđivanje kritičnih subjekata u skladu s člankom 17. ovoga Zakona i određivanje mjera za otpornost kritičnih subjekata.

(3) U Nacionalnoj procjeni rizika kritične infrastrukture uzimaju se u obzir relevantni rizici uzrokovani prirodnim i ljudskim djelovanjem, uključujući rizike međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, hibridne ili druge prijetnje i kaznena djela terorizma.

(4) Pri izradi Nacionalne procjene rizika kritične infrastrukture u obzir se uzimaju:

– opća procjena rizika provedena na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20. 12. 2013.)

– druge relevantne procjene rizika provedene u skladu s odredbama posebnih propisa koji se odnose na procjenu rizika od poplava te sprječavanje velikih nesreća koje uključuju opasne tvari, te odredbe Uredbe (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010 (SL L 280, 28. 10. 2017.) i Uredbe (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14. 6. 2019.)

– relevantni rizici koji proizlaze iz opsega ovisnosti među sektorima propisanih u Prilogu I. ovoga Zakona, među ostalim, njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište. U tu svrhu Koordinativno tijelo surađuje s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja

– sve informacije o incidentima koji su prijavljeni u skladu s člankom 32. ovoga Zakona.

(5) U roku od tri mjeseca od izrade Nacionalne procjene rizika kritične infrastrukture Koordinativno tijelo dostavlja Europskoj komisiji relevantne informacije o utvrđenim vrstama rizika, kao i ishodima Nacionalne procjene rizika, po sektorima i podsektorima kritičnih subjekata.

(6) Nacionalna procjena rizika kritične infrastrukture izrađuje se najmanje svake četiri godine.

(7) Koordinativno tijelo i nadležna tijela potvrđenim kritičnim subjektima stavljaju na raspolaganje relevantne informacije i elemente iz Nacionalne procjene rizika kritične infrastrukture, radi lakše provedbe njihovih vlastitih procjena rizika i poduzimanja mjera za osiguravanje njihove otpornosti u skladu s ovim Zakonom.

IV. UTVRĐIVANJE I POTVRĐIVANJE KRITIČNIH SUBJEKATA

Nadležna tijela

Članak 13.

(1) Nadležna tijela utvrđuju kritične subjekte u sektorima iz svoje nadležnosti.

(2) Za sektore navedene u Prilogu I. ovoga Zakona nadležna tijela su:

– tijelo državne uprave nadležno za energetiku za sektor »energetika«

– tijelo državne uprave nadležno za promet za sektor »promet«

– Hrvatska narodna banka za sektor »bankarstvo«

– Hrvatska agencija za nadzor financijskih usluga za sektor »infrastrukture financijskog tržišta«

– tijelo državne uprave nadležno za zdravstvo za sektor »zdravstvo« i sektor »voda namijenjena za ljudsku potrošnju«

– tijelo državne uprave nadležno za vodno gospodarstvo za sektor »otpadne vode« i sektor »voda namijenjena za ljudsku potrošnju«

– tijelo državne uprave nadležno za vodno gospodarstvo za sektor »regulacijske i zaštitne vodne građevine za obranu od poplava«

– za sektor »digitalna infrastruktura«:

a) tijelo državne uprave nadležno za digitalnu transformaciju za kategoriju subjekta »pružatelji usluga povjerenja«

b) Hrvatska regulatorna agencija za mrežne djelatnosti za kategorije subjekata »pružatelji javnih elektroničkih komunikacijskih mreža« i »pružatelji elektroničkih komunikacijskih usluga«

c) središnje državno tijelo za kibernetičku sigurnost za kategorije subjekata: »pružatelji središta za razmjenu internetskog prometa«, »pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva«, »pružatelji usluga računalstva u oblaku«, »pružatelji usluga podatkovnog centra« te »pružatelji mreže za isporuku sadržaja«

d) tijelo državne uprave nadležno za znanost i obrazovanje za kategoriju subjekta »registar naziva vršne nacionalne internetske domene«

– za sektor »javni sektor«:

a) tijela državne vlasti

b) druga državna tijela

c) tijela državne uprave svako u svom djelokrugu za područje koje nije obuhvaćeno nekim od posebnih sektora propisanih ovim Zakonom

– tijelo državne uprave nadležno za poljoprivredu za sektor »proizvodnja, prerada i distribucija hrane«

– tijelo državne uprave nadležno za industriju za sektor »proizvodnja, skladištenje i prijevoz opasnih tvari«

– tijelo državne uprave nadležno za obrazovne ustanove i ustanove koje provode ključne istraživačke aktivnosti za sektor »znanost i obrazovanje« i »svemir«

– tijelo državne uprave nadležno za kulturu i medije za sektor »kultura i mediji«.

Analiza rizika

Članak 14.

(1) Nadležna tijela u postupku utvrđivanja kritičnih subjekata provode sektorsku analizu rizika kojom se utvrđuju ukupni učinci prekida i/ili prestanka rada kritičnog subjekta, a koja se provodi uz poštivanje međusektorskih i sektorskih mjerila za analizu rizika, uz primjenu utvrđene metodologije izrade analize rizika.

(2) Ministar pravilnikom propisuje metodologiju za izradu analize i procjene rizika.

Međusektorska mjerila

Članak 15.

(1) Koordinativno tijelo u suradnji s nadležnim tijelima izrađuje opće, brojčane i opisne pokazatelje međusektorskih mjerila za analizu rizika.

(2) Ministar odlukom utvrđuje međusektorska mjerila za analizu rizika subjekata u svim sektorima koja uključuju:

– ljudske gubitke, pri čemu se procjenjuje mogući broj smrtno stradalih i/ili ozlijeđenih osoba zbog prekida rada pojedine kritične infrastrukture

– gospodarske posljedice koje se procjenjuju s obzirom na pokazatelj gospodarskog gubitka i/ili smanjenje kvalitete usluga, uključujući i moguće učinke na okoliš

– utjecaj na javnost koji se procjenjuje s obzirom na utjecaj na povjerenje javnosti, tjelesne i duševne patnje i remećenje svakodnevnog života, uključujući i gubitak osnovnih javnih usluga.

Sektorska mjerila

Članak 16.

(1) Sektorska mjerila za analizu rizika utvrđuju nadležna tijela u suradnji s regulatornim tijelima i strukovnim udruženjima za svaki pojedini sektor, sukladno njegovim specifičnostima.

(2) Nadležna tijela dužna su Koordinativnom tijelu dostaviti sektorska mjerila za analizu rizika iz stavka 1. ovoga članka.

Utvrđivanje kritičnih subjekata

Članak 17.

(1) Pri utvrđivanju kritičnih subjekata nadležna tijela u obzir uzimaju ishode sektorske analize rizika iz članka 14. stavka 1. ovoga Zakona, akta strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona i Nacionalne procjene rizika kritične infrastrukture iz članka 12. ovoga Zakona, uz dodatno razmatranje sljedećih kriterija:

– pruža li subjekt jednu ili više ključnih usluga

– posluje li subjekt odnosno obavlja li djelatnost na području Republike Hrvatske i nalazi li se kritična infrastruktura kojom upravlja na području Republike Hrvatske

– ima li incident na kritičnoj infrastrukturi subjekta znatne negativne učinke na pružanje ključnih usluga ili međusektorske negativne učinke.

(2) Pri utvrđivanju značaja negativnog učinka incidenta iz stavka 1. podstavka 3. ovoga članka u obzir se uzimaju sljedeći kriteriji:

– broj korisnika koji se oslanjaju na ključne usluge koje pruža subjekt

– opseg ovisnosti drugih sektora i podsektora o ključnim uslugama

– stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš, javnu zaštitu i sigurnost ili zdravlje stanovništva

– tržišni udio subjekta na tržištu ključne usluge ili ključnih usluga

– geografsko područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta geografskih područja, kao što su otočne regije, udaljene regije ili planinska područja

– važnost kritičnog subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge.

(3) U postupku utvrđivanja subjekti koji pružaju ključne usluge dužni su, na zahtjev nadležnog tijela, dostaviti podatke nužne za utvrđivanje značaja negativnog učinka incidenta na pružanje ključnih usluga ili međusektorskih negativnih učinaka.

(4) Pragove za utvrđivanje značaja negativnog učinka propisuje ministar pravilnikom iz članka 14. stavka 2. ovoga Zakona.

Potvrđivanje kritičnih subjekata

Članak 18.

(1) Koordinativno tijelo izrađuje prijedlog o potvrđivanju kritičnih subjekata na temelju prijedloga utvrđenih kritičnih subjekata od strane nadležnih tijela iz područja svoje odgovornosti.

(2) Prijedlozi nadležnih tijela iz stavka 1. ovoga članka moraju sadržavati sljedeće podatke:

– naziv subjekta

– adresu i ažurirane podatke za kontakt, uključujući adresu elektroničke pošte i telefonske brojeve

– opis ključne usluge koju subjekt pruža.

(3) Na prijedlog Koordinativnog tijela Vlada odlukom potvrđuje kritične subjekte.

(4) Koordinativno tijelo dužno je u roku od 30 dana od dana donošenja dostaviti nadležnim tijelima odluku iz stavka 3. ovoga članka, u dijelu koji se odnosi na sektor odnosno kategoriju subjekata iz njihove nadležnosti.

(5) Koordinativno tijelo dužno je o potvrđivanju kritičnih subjekata obavijestiti tijelo nadležno za provedbu zahtjeva kibernetičke sigurnosti u roku od 30 dana od donošenja odluke iz stavka 3. ovoga članka.

(6) Ako se na neki od potvrđenih kritičnih subjekata odnose izuzeća od primjene ovoga Zakona navedene u članku 5. ovoga Zakona, Koordinativno tijelo će u obavijesti iz stavka 4. ovoga članka navesti postojanje tih izuzeća.

(7) Nakon donošenja odluke o potvrđivanju kritičnih subjekata Koordinativno tijelo kao jedinstvena kontaktna točka, bez nepotrebne odgode te, nakon toga, prema potrebi, a najmanje svake četiri godine, Europskoj komisiji dostavlja sljedeće podatke:

– popis ključnih usluga kada postoje bilo koje dodatne ključne usluge u odnosu na popis ključnih usluga koje je propisala Europska komisija

– broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu I. ovoga Zakona te za svaku ključnu uslugu

– međusektorska mjerila koja se primjenjuju za utvrđivanje jednog ili više kriterija iz članka 17. stavaka 2. i 3. ovoga Zakona, a koja mogu biti prikazana u nepromijenjenom ili u agregiranom obliku.

Obavještavanje kritičnih subjekata

Članak 19.

(1) Odluku iz članka 18. stavka 3. ovoga Zakona nadležna tijela dužna su u roku od 30 dana od donošenja dostaviti kritičnim subjektima te ih obavijestiti o obvezama koje kritični subjekti imaju na temelju ovoga Zakona i rokovima za provedbu tih obveza.

(2) Ako se na kritični subjekt odnose izuzeća iz članka 5. ovoga Zakona, nadležno tijelo dužno je postojanje izuzeća navesti u obavijesti iz stavka 1. ovoga članka.

Izvještavanje o procjenama rizika i sigurnosnim planovima

Članak 20.

(1) Nadležna tijela dostavljaju Koordinativnom tijelu izvješće o stanju izrade procjena rizika i sigurnosnih planova za sektore iz svoje nadležnosti, u prvom tromjesečju tekuće godine za proteklu godinu.

(2) Koordinativno tijelo na temelju dostavljenih izvješća iz stavka 1. ovoga članka izrađuje i dostavlja Vladi godišnje izvješće o izrađenosti procjena rizika i sigurnosnih planova / planova otpornosti kritičnih subjekata, najkasnije do 30. lipnja tekuće godine za prethodnu godinu.

Ažuriranje popisa kritičnih subjekata

Članak 21.

(1) Nadležna tijela po potrebi, a najmanje svake četiri godine preispituju i ažuriraju popis kritičnih subjekata potvrđenih odlukom iz članka 18. stavka 3. ovoga Zakona te Koordinativnom tijelu dostavljaju podatke o utvrđenim novim kritičnim subjektima iz svoje nadležnosti odnosno prijedlog da se određeni subjekt više ne smatra kritičnim subjektom.

(2) Postupak utvrđivanja i potvrđivanja subjekata iz stavka 1. ovoga članka provodi se u skladu s člancima 17., 18. i 19. ovoga Zakona.

(3) Nadležno tijelo dužno je obavijestiti kritične subjekte iz svoje nadležnosti o početku ili prestanku provođenja obveza iz ovoga Zakona.

V. OBVEZE KRITIČNIH SUBJEKATA

Procjena rizika koju provode kritični subjekti

Članak 22.

(1) Kritični subjekt dužan je u roku od devet mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona, a zatim najmanje svake četiri godine izraditi procjenu rizika kako bi procijenio sve relevantne rizike koji bi mogli poremetiti pružanje njegovih ključnih usluga.

(2) U izradi procjene rizika kritični subjekt surađuje s nadležnim tijelom, regulatornim tijelom i Koordinativnim tijelom.

(3) Prilikom izrade procjene rizika u obzir se uzimaju svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, osobito oni koji su međusektorske ili prekogranične prirode, kao i nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma i s njime povezana kaznena djela.

(4) Kritični subjekt dužan je prilikom izrade procjene rizika uzeti u obzir opseg u kojem drugi sektori navedeni u Prilogu I. ovoga Zakona ovise o ključnoj usluzi koju pruža i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi kritični subjekti u takvim drugim sektorima, uključujući prema potrebi i one u susjednim državama članicama i trećim zemljama.

(5) Kritični subjekti putem nadležnog tijela dostavljaju procjenu rizika Koordinativnom tijelu.

(6) Kritični subjekti su izravno odgovorni za provedbu obveza u upravljanju rizicima te za zaštitu i osiguranje kontinuiteta poslovanja, pri čemu je nužna suradnja s nadležnim tijelima.

Sigurnosni plan kritičnog subjekta

Članak 23.

(1) Kritični subjekt je dužan, na temelju procjene rizika iz članka 22. ovoga Zakona, izraditi sigurnosni plan koji obuhvaća mjere zaštite i osiguranja kontinuiteta poslovanja i isporuke usluga za svaku ključnu uslugu te mjere za osiguravanje otpornosti.

(2) Kritični subjekt je dužan sigurnosni plan izraditi u roku od 12 mjeseci od zaprimanja obavijesti iz članka 19. stavka 1. ovoga Zakona te ga ažurirati najmanje jednom godišnje i o tome obavijestiti nadležno tijelo.

(3) Sigurnosni plan iz stavka 1. ovoga članka kritični subjekt donosi uz prethodnu suglasnost nadležnog tijela, a pri davanju suglasnosti nadležno tijelo dužno je samostalno ili u suradnji s regulatornim tijelom utvrditi je li sigurnosni plan izrađen u skladu s procjenom rizika.

(4) Obavijest o donošenju sigurnosnog plana kritični subjekt je dužan dostaviti nadležnom tijelu u roku od 30 dana od njegova donošenja.

(5) Nadležna tijela i kritični subjekti dužni su, na zahtjev Koordinativnog tijela, dostaviti podatke i informacije u vezi s upravljanjem rizicima i osiguranjem kontinuiteta poslovanja kritičnih subjekata.

Sadržaj sigurnosnog plana

Članak 24.

Sigurnosni plan kritičnog subjekta sadrži:

– utvrđene prioritete zaštite ključnih dijelova, sustava, mreža i objekata (kritične infrastrukture)

– popis prijetnji koje mogu ugroziti kritični subjekt

– analize rizika temeljene na scenarijima realnih prijetnji (najgori slučaj i najvjerojatniji slučaj), ranjivosti svakog objekta, sustava, mreža i funkcionalnosti i mogućim posljedicama u redovitom radu te u slučaju većeg poremećaja i/ili prestanka rada/korištenja kritične infrastrukture, uključujući i rizik od napuštanja lokacije kritične infrastrukture, a uzimajući u obzir sve prijetnje iz podstavka 2. ovoga stavka

– utvrđene mjere i postupke za smanjenje ranjivosti i osiguranje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sustava, uz primjenu:

a) stalnih sigurnosnih mjera koje uključuju fizičke, tehničke i organizacijske mjere te postupaka ranog upozoravanja i jačanja svijesti

b) stupnjevanih sigurnosnih mjera koje se aktiviraju ovisno o intenzitetu i/ili jačini prijetnji

c) mjera za otpornost kritičnih subjekata koje se odnose na:

1. sprječavanje nastanka svih oblika incidenata, smanjenje rizika i utjecaja prijetnji i mjere za prilagodbu klimatskim promjenama

2. osiguravanje odgovarajuće fizičke zaštite prostora i kritične infrastrukture, uzimajući u obzir, primjerice, ograde, pregrade, alate za nadzor područja i rutinske postupke za nadzor područja, opremu za otkrivanje i kontrolu pristupa

3. odgovaranje na posljedice incidenata, odupiranje njima i njihovo ublažavanje, uzimajući u obzir provedbu postupaka i protokola za upravljanje rizicima i kriznim situacijama te rutinske postupke upozoravanja

4. oporavak od incidenata, uzimajući u obzir mjere za kontinuitet poslovanja i utvrđivanje alternativnih lanaca opskrbe kako bi se nastavilo s pružanjem ključne usluge

5. osiguravanje odgovarajućeg upravljanja sigurnošću zaposlenika i vanjskih pružatelja usluga, uzimajući u obzir mjere kao što su utvrđivanje kategorija osoblja koje obavlja kritične funkcije, utvrđivanje prava na pristup prostorima, kritičnoj infrastrukturi i osjetljivim informacijama, uspostavljanje postupaka za provjere podobnosti i određivanje kategorija osoba koje moraju proći te provjere podobnosti te utvrđivanje odgovarajućih kvalifikacija i zahtjeva u pogledu osposobljavanja

6. informiranje relevantnog osoblja o mjerama navedenima u podtočkama od 1. do 5. ove točke, uzimajući u obzir tečajeve osposobljavanja, informativne materijale i vježbe

– popis odgovornih osoba za kontakt, popis institucija i službi koje se pozivaju u hitnom slučaju i druge podatke vezane uz provedbu sigurnosnog plana u hitnim situacijama

– popis radnih mjesta, funkcija i poslova koje obavljaju osobe za koje se provodi provjera podobnosti.

Drugi odgovarajući dokumenti i mjere

Članak 25.

(1) Ako je kritični subjekt, na temelju posebnih propisa, proveo druge procjene rizika ili izradio dokumente koji su značajni za procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima u svrhu procjene rizika iz članka 22. ovoga Zakona.

(2) Smatra se da je kritični subjekt izvršio obvezu izrade sigurnosnog plana ako je, na temelju posebnih propisa, izradio drugi planski dokument koji sadrži elemente propisane člankom 24. ovoga Zakona.

(3) Nadležno tijelo utvrđuje usklađenost procjena odnosno dokumenata iz stavaka 1. i 2. ovoga članka s odredbama ovoga Zakona te dostavlja pisanu obavijest o jednakovrijednosti dokumenata kritičnom subjektu i Koordinativnom tijelu.

(4) Pri izvršavanju nadzornih funkcija koje nadležna tijela provode na temelju posebnih propisa kojima se uređuje područje pružanja određenih ključnih usluga nadležno tijelo može utvrditi da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. ovoga članka djelomično ili u cijelosti sukladne mjerama određenim nacionalnim aktom strateškog planiranja iz članka 11. stavka 1. ovoga Zakona.

Norme

Članak 26.

Na sva sredstva, uređaje i ostalu opremu koja se koristi u zaštiti kritičnih subjekata, kao i kvalitetu i sigurnost poslovanja primjenjuju se hrvatske norme, a u izostanku hrvatskih normi primjenjuju se europske norme kako je definirano u članku 2. točki 1. Uredbe (EU) br. 1025/2012 odnosno druge specijalizirane norme i prihvaćena pravila struke.

VI. PRIVATNA ZAŠTITA KRITIČNIH SUBJEKATA

Ugovaranje poslova i usluga

Članak 27.

(1) Kritični subjekti mogu obavljanje poslova privatne zaštite kritične infrastrukture ugovorom povjeriti pravnim osobama i obrtima koji posjeduju certifikat iz članka 28. ovoga Zakona.

(2) O ugovorima iz stavka 1. ovoga članka kritični subjekt izvješćuje nadležno tijelo i Koordinativno tijelo.

Certifikat za provedbu privatne zaštite kritičnih subjekata

Članak 28.

(1) Pravna osoba i obrt koji obavlja poslove privatne zaštite u objektima, sustavima i mrežama kritičnih subjekata mora biti certificiran sukladno uvjetima i na način propisan ovim Zakonom.

(2) Certifikat za provedbu privatne zaštite kritične infrastrukture iz stavka 1. ovoga članka izdaje se pravnim osobama i obrtima rješenjem tijela državne uprave nadležnog za poslove civilne zaštite.

(3) Certifikat se izdaje s rokom važenja od četiri godine, nakon čega se može obnoviti.

(4) Protiv rješenja iz stavka 2. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.

Uvjeti za ishođenje certifikata

Članak 29.

(1) Pravnoj osobi i obrtu može se izdati certifikat za provedbu privatne zaštite kritične infrastrukture ako ispunjava sve sljedeće uvjete:

– posjeduje odobrenje nadležnog tijela državne uprave za poslove privatne zaštite za obavljanje djelatnosti privatne zaštite – tjelesne zaštite ili privatne zaštite – tehničke zaštite ili za izradu prosudbe ugroženosti

– posjeduje potvrdu da od dana izdavanja odobrenja iz podstavka 1. ovoga stavka nije bilo zabrane rada zbog nezakonitosti poslovanja

– posjeduje najmanje dvije godine radnog iskustva u zaštiti objekata najvišeg ili visokog stupnja razine rizika odnosno istovjetnih objekata sukladno drugim propisima

– posjeduje jedan ili više ISO certifikata vezanih uz upravljanje kvalitetom poslovanja u okviru zaštite i sigurnosti

– ima najmanje jednog ili više zaposlenika koji imaju najmanje dvije godine radnog iskustva u zaštiti objekata i prostora više i visoke razine rizika sukladno posebnom propisu kojim se uređuje djelatnost privatne zaštite odnosno istovjetnih objekata sukladno drugim propisima te su za njih provedene provjere iz kaznene i prekršajne evidencije

– posjeduje dokaz o pozitivnom poslovanju u posljednje tri godine

– vlasnik obrta te osnivač, predsjednik i članovi uprave, kao i osobe ovlaštene za zastupanje trgovačkog društva i njihovi zaposlenici nisu osuđivani za kaznena djela protiv čovječnosti i ljudskog dostojanstva, kaznena djela protiv Republike Hrvatske, kaznena djela protiv zdravlja ljudi, kaznena djela počinjena u sastavu zločinačkog udruženja, kaznena djela protiv javnog reda, koruptivnih kaznenih djela, kaznenih djela prijevare, pranja novca, financiranja terorizma, utaje poreza ili carine, kaznena djela protiv radnih odnosa i socijalnog osiguranja te kaznenih djela protiv računalnih sustava, programa i podataka.

(2) Zahtjev za izdavanje certifikata podnosi se tijelu državne uprave nadležnom za poslove civilne zaštite.

(3) Uz zahtjev za izdavanje certifikata za provedbu privatne zaštite kritične infrastrukture prilažu se dokazi o ispunjavanju uvjeta iz stavka 1. podstavaka 3. do 6. ovoga članka.

(4) Tijelo iz stavka 2. ovoga članka pribavit će po službenoj dužnosti dokaze o ispunjavanju uvjeta iz stavka 1. podstavaka 1., 2. i 7. ovoga članka.

(5) Pravnoj osobi i obrtu tijelo državne uprave nadležno za poslove civilne zaštite rješenjem će ukinuti certifikat u sljedećim slučajevima:

– ako se utvrdi da su pravna osoba i obrt prestali udovoljavati propisanim uvjetima iz stavka 1. ovoga članka

– kada kritični subjekt izvijesti tijelo državne uprave nadležno za poslove civilne zaštite da je za pravnu osobu i obrt zbog nepoštivanja obveza preuzetih ugovorom vođen sudski postupak i donesena pravomoćna presuda u korist kritičnog subjekta

– ako se protiv vlasnika, osnivača pravne osobe, obrta i/ili odgovorne osobe u pravnoj osobi i obrtu vode kazneni ili prekršajni postupci koji su zapreka prema posebnom propisu kojim se uređuje djelatnost privatne zaštite

– ako postoje sigurnosne zapreke sukladno propisu kojim se uređuje područje sigurnosnih provjera.

(6) Protiv rješenja iz stavka 5. ovoga članka ne može se izjaviti žalba, ali se može pokrenuti upravni spor.

(7) O izdanim certifikatima za pružanje usluge privatne zaštite kritične infrastrukture Koordinativno tijelo vodi registar koji sadrži: naziv pravne osobe i obrta, popis zaposlenika koji provode zaštitu kritične infrastrukture, datum izdavanja i važenja certifikata.

Obnova certifikata

Članak 30.

(1) Zahtjev za obnovu certifikata za provedbu privatne zaštite kritične infrastrukture pravna osoba i obrt dužni su podnijeti najkasnije tri mjeseca prije isteka roka na koji je izdan važeći certifikat.

(2) Na postupak obnove certifikata odgovarajuće se primjenjuju odredbe članka 29. ovoga Zakona.

Obveze pravne osobe i obrta i njihovih zaposlenika koji provode privatnu zaštitu kritične infrastrukture

Članak 31.

(1) Zaposlenici pravnih osoba i obrta koji provode privatnu zaštitu kritične infrastrukture dužni su čuvati i zaštititi poslovnu tajnu i osobne podatke naručitelja usluga, sukladno propisima iz područja zaštite tajnosti podataka i zaštite osobnih podataka, što se utvrđuje ugovorom iz članka 27. stavka 1. ovoga Zakona.

(2) Zaposlenici u pravnim osobama i obrtima za provedbu privatne zaštite kritične infrastrukture te zaposlenici unutarnje službe zaštite kritičnog subjekta moraju najmanje jednom u tri godine pohađati edukaciju koju organizira Koordinativno tijelo, o čemu se vodi evidencija u tijelu državne uprave nadležnom za poslove civilne zaštite.

(3) Edukacija iz stavka 2. ovoga članka provodi se iz sljedećih tematskih cjelina:

– metodologija za izradu analiza i procjenjivanje rizika od katastrofa za Republiku Hrvatsku

– posljedice velikih nesreća i katastrofa za stanovništvo, materijalna i kulturna dobra i okoliš

– sadržaj procjene rizika i planova djelovanja civilne zaštite jedinica lokalne i područne (regionalne) samouprave

– ugroženost i zaštita kritičnih infrastruktura

– obilježja prirodnih i tehničko-tehnoloških velikih nesreća i katastrofa

– postupanje u odgovoru na prijetnje i incidente

– način izrade planskih dokumenata i informiranja javnosti u postupku donošenja

– sadržaj procjene rizika i operativnih planova civilne zaštite pravnih osoba

– sadržaj procjene rizika i operativnih planova pravnih osoba koje obavljaju djelatnost s opasnim tvarima

– vanjski planovi jedinica područne (regionalne) samouprave za područja postrojenja koja obavljaju djelatnost s opasnim tvarima.

(4) Sadržaj i termini edukacija objavljuju se na mrežnim stranicama tijela državne uprave nadležnog za poslove civilne zaštite.

VII. OBAVJEŠTAVANJE O INCIDENTIMA

Obavijest i utvrđivanje značaja incidenta

Članak 32.

(1) U slučaju incidenta kritični subjekt je dužan, bez odgađanja, poduzeti mjere i aktivnosti za zaštitu kritične infrastrukture i ključnih usluga.

(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta dužan je o incidentu koji ima značajan učinak na pružanje usluge i kontinuitet poslovanja, bez odgađanja, izvijestiti nadležno tijelo i Koordinativno tijelo, a ako to nije moguće, prva obavijest mora biti dostavljena najkasnije u roku od 24 sata od saznanja da se dogodio incident.

(3) Kritični subjekt dužan je, najkasnije u roku od 30 dana od dostave obavijesti o incidentu, dostaviti detaljno izvješće nadležnom tijelu.

(4) Obavijest o incidentu iz stavka 2. ovoga članka mora sadržavati detaljan opis incidenta, podatke o posljedicama incidenta te sažetak mjera koje su primijenjene za ublažavanje incidenta ili će se primjenjivati radi otklanjanja uočene ranjivosti i sprječavanja pojave budućih incidenata.

(5) U obavijesti iz stavka 2. ovoga članka moraju se navesti svi dostupni podaci koji su potrebni kako bi nadležno tijelo moglo utvrditi prirodu, uzrok i moguće posljedice incidenta, među ostalim sve dostupne podatke koji su potrebni za utvrđivanje svih prekograničnih učinaka incidenta.

(6) Pri utvrđivanju značaja incidenta posebno se uzimaju u obzir sljedeći kriteriji:

– broj i udio korisnika na koje poremećaj utječe

– trajanje poremećaja

– geografsko područje pogođeno poremećajem, uzimajući u obzir moguću geografsku izoliranost područja.

(7) Nakon primitka obavijesti iz stavka 2. ovoga članka nadležno tijelo će u najkraćem roku kritičnom subjektu dostaviti relevantne podatke koji se odnose na daljnje postupanje, uključujući podatke kojima bi se mogao poduprijeti djelotvoran odgovor kritičnog subjekta na incident.

(8) Kada se utvrdi da se radi o javnom interesu, Koordinativno tijelo će, uz prethodnu suglasnost nadležnog tijela i kritičnog subjekta, o incidentu obavijestiti javnost.

Prekogranični učinci incidenta

Članak 33.

(1) Na temelju podataka o incidentu koje je kritični subjekt dostavio putem nadležnog tijela Koordinativno tijelo obavješćuje jedinstvene kontaktne točke drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica.

(2) Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, Koordinativno tijelo je o incidentu dužno obavijestiti Europsku komisiju.

(3) Koordinativno tijelo dužno je s podacima iz stavka 1. ovoga članka postupati u skladu s pravnim aktima Europske unije odnosno posebnim propisima Republike Hrvatske, na način kojim se poštuje njihova povjerljivost te štiti sigurnost i komercijalni interes kritične infrastrukture na kojoj se dogodio incident.

VIII. PROVJERA PODOBNOSTI

Zahtjev za provjeru podobnosti

Članak 34.

(1) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta može podnijeti zahtjev Koordinativnom tijelu za provjeru podobnosti osoba koje:

– imaju osjetljive funkcije u kritičnom subjektu ili obavljaju poslove za kritični subjekt, posebno u vezi s mjerama otpornosti i zaštite kritične infrastrukture

– imaju ovlaštenje za izravan ili daljinski pristup prostorima, informacijskim ili kontrolnim sustavima povezanim sa sigurnošću

– se razmatraju za zapošljavanje na prethodno navedene funkcije.

(2) Zahtjev iz stavka 1. ovoga članka podnosi se sukladno procjeni rizika kritičnog subjekta iz članka 22. ovoga Zakona i sigurnosnom planu iz članka 23. ovoga Zakona.

(3) Zahtjevi iz stavka 1. ovoga članka ocjenjuju se u razumnom roku i obrađuju u skladu s nacionalnim pravom i postupcima o obradi i zaštiti osobnih podataka te u skladu s relevantnim pravom Europske unije o obradi osobnih podataka, a provjere podobnosti su razmjerne i strogo ograničene na nužne potrebe, isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt.

(4) Koordinativno tijelo dostavlja odgovor na zahtjev iz stavka 1. ovoga članka u roku od deset radnih dana od datuma njegova primitka.

Provjera podobnosti

Članak 35.

(1) Provjera podobnosti obuhvaća:

– provjeru identiteta osobe za koju se provodi provjera podobnosti

– evidentiranost u kaznenim evidencijama i u Europskom informacijskom sustavu kaznene evidencije osobe u pogledu kažnjivih djela koja se progone po službenoj dužnosti, osim za kazneno djelo izazivanja prometne nesreće iz nehaja čija je posljedica tjelesna ozljeda ili materijalna šteta odnosno za istovjetno djelo u zemlji čiji je državljanin ili u kojoj ima prebivalište te prekršaj protiv javnog reda i mira s elementima nasilja, a koja su relevantna za specifično radno mjesto kod kritičnog subjekta

– evidentiranost u evidencijama Sigurnosno-obavještajne agencije u pogledu aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom Republike Hrvatske utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa.

(2) U svrhu provođenja provjere podobnosti iz stavka 1. ovoga članka Koordinativno tijelo će od osobe za koju se provjera provodi, a koja je strani državljanin zatražiti podatke iz stavka 1. podstavka 2. ovoga članka o evidentiranosti u kaznenim evidencijama matične države.

(3) Provjere podobnosti iz stavka 1. ovoga članka razmjerne su i strogo ograničene na ono što je nužno.

IX. SIGURNOSNI KOORDINATORI ZA KRITIČNU INFRASTRUKTURU

Sigurnosni koordinator

Članak 36.

Poslove koordiniranja provedbe svih mjera i postupaka u zaštiti kritične infrastrukture i jačanju otpornosti kritičnih subjekata u nadležnom tijelu i kritičnom subjektu obavlja sigurnosni koordinator za kritičnu infrastrukturu i njegov zamjenik.

Sigurnosni koordinator u nadležnom tijelu

Članak 37.

(1) Čelnik nadležnog tijela odnosno druga ovlaštena osoba ili tijelo u nadležnom tijelu odlukom određuje sigurnosnog koordinatora za kritičnu infrastrukturu i njegova zamjenika za svaki sektor iz svoga djelokruga te o tome obavještava Koordinativno tijelo.

(2) Poslovi sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu obuhvaćaju:

– upravljanje, rukovođenje i nadzor rada sigurnosnog stručnog tima u tijelu

– provođenje edukacije tima vezano uz procese procjene rizika, upravljanja rizicima i zaštite kritičnih subjekata

– koordiniranje provedbe postupka utvrđivanja kritičnih subjekata

– sastavljanje prijedloga utvrđenih kritičnih subjekata i dostava koordinativnom tijelu

– po utvrđenim kritičnim subjektima ostvarivanje kontinuirane suradnje i komunikacije s kritičnim subjektima

– iniciranje, sudjelovanje i provedbu edukacije kritičnih subjekata

– sudjelovanje u izradi procjene rizika kritičnog subjekta i nacionalne procjene rizika kritične infrastrukture

– provođenje stručnog nadzora uspostave mjera zaštite sukladno provedbenim dokumentima.

(3) Za sigurnosnog koordinatora za kritičnu infrastrukturu u nadležnom tijelu i njegova zamjenika provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.

(4) Nadležno tijelo podnosi zahtjev za provođenje sigurnosne provjere za sigurnosnog koordinatora za kritičnu infrastrukturu i njegova zamjenika Sigurnosno-obavještajnoj agenciji.

Sigurnosni koordinator kritičnog subjekta

Članak 38.

(1) Kritični subjekt dužan je u roku od 30 dana od zaprimanja odluke iz članka 18. stavka 3. ovoga Zakona odrediti i nadležnom tijelu dostaviti prijedlog za imenovanje sigurnosnog koordinatora za kritičnu infrastrukturu i njegova zamjenika, koji je u provedbi mjera i postupaka u zaštiti i jačanja otpornosti odgovoran za komunikaciju između kritičnog subjekta i nadležnog tijela.

(2) Sigurnosni koordinator za kritičnu infrastrukturu kod kritičnog subjekta obavlja sljedeće poslove:

– upravlja, rukovodi i nadzire rad sigurnosnog tima

– sastavlja i nadzire provedbu sigurnosnih dokumenata

– komunicira i koordinira aktivnosti s nadležnim tijelima i drugim službama

– u suradnji s nadležnim tijelima i regulatornim tijelima izrađuje procjenu rizika

– osigurava i nadzire uspostavu, funkcionalnost, ispravnost i pravodobno servisiranje sustava tehničke zaštite te ostalih sustava zaštite

– nadzire provedbu svih oblika zaštite.

Sigurnosna provjera za sigurnosnog koordinatora u kritičnom subjektu

Članak 39.

(1) Za sigurnosnog koordinatora za kritičnu infrastrukturu i njegova zamjenika prije njihova imenovanja provodi se temeljna sigurnosna provjera sukladno propisu kojim se uređuju sigurnosne provjere.

(2) Nadležno tijelo na temelju zaprimljenog prijedloga iz članka 38. stavka 1. ovoga Zakona, a čiji je sastavni dio ispunjen i potpisan upitnik za sigurnosnu provjeru, podnosi zahtjev za provođenje sigurnosne provjere.

(3) Nakon zaprimljenog izvješća o rezultatima sigurnosne provjere nadležno tijelo imenuje sigurnosnog koordinatora za kritičnu infrastrukturu, o čemu obavještava podnositelja prijedloga iz članka 38. stavka 1. ovoga Zakona i Koordinativno tijelo.

Osposobljavanje sigurnosnog koordinatora za kritičnu infrastrukturu

Članak 40.

(1) Nadležna tijela i kritični subjekti dužni su omogućiti osposobljavanje sigurnosnih koordinatora za kritičnu infrastrukturu.

(2) Osposobljavanje iz stavka 1. ovoga članka provodi Koordinativno tijelo, u suradnji sa znanstvenim i stručnim institucijama.

(3) Sigurnosnom koordinatoru, nakon završetka osposobljavanja, Koordinativno tijelo izdaje potvrdu koja vrijedi za razdoblje od četiri godine.

(4) Nakon isteka roka iz članka 3. ovoga članka sigurnosni koordinator je u obvezi obnoviti potvrdu.

(5) Ministar pravilnikom propisuje program i način provedbe osposobljavanja za obavljanje poslova sigurnosnog koordinatora za kritičnu infrastrukturu.

X. KRITIČNI SUBJEKTI OD POSEBNOG EUROPSKOG ZNAČAJA

Utvrđivanje kritičnih subjekata od posebnog europskog značaja

Članak 41.

(1) Ako kritični subjekt pruža ključne usluge sukladno popisu iz Priloga I. ovoga Zakona za šest ili više država članica ili u šest ili više država članica, dužan je obavijestiti nadležno tijelo o ključnim uslugama koje pruža za takve države članice ili u takvim državama članicama te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge.

(2) Nadležno tijelo obavješćuje Koordinativno tijelo o utvrđivanju kritičnih subjekata iz stavka 1. ovoga članka, a Koordinativno tijelo obavijest o utvrđivanju takvih kritičnih subjekata i o uslugama koje oni pružaju bez nepotrebne odgode dostavlja Europskoj komisiji.

(3) Kada Europska komisija, na temelju savjetovanja s nadležnim tijelima država članica u kojima ili za koje se pružaju ključne usluge te s kritičnim subjektom utvrdi da kritični subjekt pruža ključne usluge za šest ili više država članica ili u šest ili više država članica, obavijestit će Koordinativno tijelo da se kritični subjekt smatra kritičnim subjektom od europskog značaja te o njegovim obvezama.

(4) Koordinativno tijelo obavijest iz stavka 3. ovoga članka dostavlja kritičnom subjektu i nadležnom tijelu.

(5) Kritični subjekt smatra se kritičnim subjektom od europskog značaja od datuma primitka obavijesti iz stavka 4. ovoga članka.

Savjetodavne misije

Članak 42.

(1) Koordinativno tijelo, na zahtjev nadležnog tijela i uz prethodnu suglasnost Vlade, može podnijeti Europskoj komisiji zahtjev za organiziranje savjetodavne misije kako bi se procijenile mjere otpornosti i zaštite kritične infrastrukture koje uspostavlja kritični subjekt koji je potvrdila Republika Hrvatska, a utvrđen je kao kritični subjekt od posebnog europskog značaja.

(2) Europska komisija može, i na vlastitu inicijativu, kao i na zahtjev jedne ili više država članica kojima ili u kojima se pruža ključna usluga, organizirati savjetodavnu misiju, ako je s time suglasna država koja je utvrdila kritični subjekt.

(3) Na obrazloženi zahtjev Europske komisije ili jedne ili više država kojima se pruža ili u kojima se pruža ključna usluga, Koordinativno tijelo će za potvrđeni kritični subjekt koji je od posebnog europskog značaja dostaviti:

– relevantne dijelove procjene rizika kritičnog subjekta

– popis relevantnih mjera za otpornost kritičnih subjekata poduzetih u skladu s člankom 24. ovoga Zakona

– nadzorne ili mjere izvršavanja, uključujući procjene usklađenosti ili izdane naloge koje je njezino nadležno tijelo poduzelo na temelju članaka 45. do 48. ovoga Zakona u pogledu tog kritičnog subjekta.

(4) Nalazi savjetodavne misije dostavljaju se Europskoj komisiji, Koordinativnom tijelu te državama kojima se pruža ili u kojima se pruža ključna usluga i kritičnom subjektu u roku od tri mjeseca nakon zaključenja savjetodavne misije.

(5) Koordinativno tijelo, u suradnji s nadležnim tijelom, analizira nalaz iz stavka 4. ovoga članka i, ako je potrebno, savjetuje Europsku komisiju o tome ispunjava li kritični subjekt od posebnog europskog značaja svoje obveze i, prema potrebi, koje bi se mjere mogle poduzeti radi poboljšanja otpornosti tog kritičnog subjekta.

(6) Europska komisija na temelju savjeta iz stavka 5. ovoga članka dostavlja mišljenje Koordinativnom tijelu o ispunjavanju obveza kritičnog subjekata i poboljšanju mjera.

(7) Nadležno tijelo i kritični subjekt od posebnog europskog značaja dužni su uzeti u obzir mišljenje iz stavka 6. ovoga članka te Europskoj komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga dostavljati informacije o mjerama poduzetima na temelju tog mišljenja.

(8) Ako je Republika Hrvatska potvrdila kritični subjekt od europskog značaja ili takav subjekt pruža usluge u Republici Hrvatskoj ili za Republiku Hrvatsku, u savjetodavnim misijama iz stavaka 1. i 2. ovoga članka sudjeluju i stručnjaci iz Republike Hrvatske, koje imenuje Europska komisija, u skladu s njihovim stručnim sposobnostima, nakon savjetovanja s državom članicom koja je utvrdila kritični subjekt.

(9) Članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri.

(10) Europska komisija snosi troškove sudjelovanja u savjetodavnim misijama te organizira program svake savjetodavne misije, uz savjetovanje s članovima savjetodavne misije i u dogovoru s Koordinativnim tijelom.

(11) Kritični subjekti od posebnog europskog značaja moraju omogućiti savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu savjetodavne misije.

(12) Savjetodavne misije provode se u skladu s važećim nacionalnim pravom, poštujući odgovornost Republike Hrvatske za nacionalnu sigurnost i zaštitu sigurnosnih interesa.

Jedinstvena kontaktna točka

Članak 43.

(1) Jedinstvena kontaktna točka za razmjenu informacija i koordiniranje aktivnosti u vezi s europskom kritičnom infrastrukturom s drugim državama članicama i tijelima Europske unije je Koordinativno tijelo.

(2) Podaci o jedinstvenoj kontaktnoj točki (telefonski broj i adresa elektroničke pošte) i upute za prijavu iznenadnih događaja u kritičnim infrastrukturama dostupni su na službenim mrežnim stranicama Koordinativnog tijela i nadležnih tijela.

(3) Jedinstvena kontaktna točka iz stavka 1. ovoga članka do 17. srpnja 2028., te nakon toga svake dvije godine, podnosi Europskoj komisiji i Skupini za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima o izvanrednim događajima u kritičnim infrastrukturama, uključujući broj obavijesti, prirodu prijavljenih incidenata i poduzete mjere.

(4) Razmjena informacija o kritičnim subjektima od posebnog europskog značaja putem jedinstvenih kontaktnih točaka država članica ne isključuje prava i obveze drugih tijela državne uprave za razmjenu informacija, znanja i iskustava s nadležnim tijelima drugih država članica.

XI. POSTUPANJE S PODACIMA O KRITIČNOJ INFRASTRUKTURI

Članak 44.

(1) Popis kritičnih subjekata, podaci o kritičnim subjektima, kao i svi drugi podaci koji nastaju u svrhu provedbe ovoga Zakona koriste se isključivo u svrhu provedbe zahtjeva iz ovoga Zakona i javno se ne objavljuju.

(2) Popis i podaci iz stavka 1. ovoga članka predstavljaju informacije u odnosu na koje je moguće ograničiti pravo pristupa korisniku informacija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se provodi prema odredbama zakona kojim se uređuje pravo na pristup informacijama.

(3) Nadležna tijela dužna su pri razmjeni podataka iz stavka 1. ovoga članka voditi računa o potrebi ograničavanja pristupa podacima, kada je to potrebno, u svrhu sprječavanja, otkrivanja, provođenja istraživanja i vođenja kaznenog postupka.

(4) U postupanju s klasificiranim podacima i podacima označenim oznakom »NEKLASIFICIRANO« primjenjuju se mjere i standardi informacijske sigurnosti, čiju primjenu nadzire središnje državno tijelo nadležno za informacijsku sigurnost, sukladno propisima kojima se uređuje informacijska sigurnost.

(5) U postupanju s podacima koji se odnose na kritične subjekte od posebnog europskog značaja primjenjuju se odredbe međunarodnog sporazuma država članica kojim se kritičnoj infrastrukturi određuje taj status, a razmjena, uzajamna zaštita te drugo postupanje s klasificiranim podacima iz stavka 4. ovoga članka provodi se u skladu s odredbama sklopljenog međunarodnog ugovora država članica o razmjeni i uzajamnoj zaštiti klasificiranih podataka.

(6) Ministar pravilnikom propisuje klasificiranje podataka i kriterije za određivanje stupnjeva tajnosti za podatke iz područja kritičnih infrastruktura te za druge podatke povezane s pojedinačnim kritičnim subjektom, ako je klasificiranje takvih podataka potrebno radi zaštite vrijednosti štićenih propisom o tajnosti podataka.

XII. NADZOR

Inspekcijski nadzor

Članak 45.

(1) Inspekcijski nadzor nad provedbom ovoga Zakona i na temelju njega donesenih propisa provode inspektori državnog tijela nadležnog za poslove civilne zaštite.

(2) U inspekcijskom nadzoru inspektori nadziru ispunjavanje uvjeta i način rada osoba koje su obvezne provoditi mjere i aktivnosti ovoga Zakona, obavljaju izravan uvid u prostore koje kritični subjekti upotrebljavaju za pružanje svojih usluga na lokaciji, kao i uvid u opće i pojedinačne akte kojima se osigurava otpornost kritičnih subjekata.

(3) Ako se inspekcijskim nadzorom utvrdi povreda ovoga Zakona, inspektor ima pravo i obvezu:

– narediti otklanjanje utvrđenih nedostataka odnosno nepravilnosti u određenom roku

– pokrenuti prekršajni postupak ako se nepravilnosti ne otklone u određenom roku

– zatražiti od nadležnog tijela provedbu revizije u pogledu kritičnih subjekata

– poduzeti druge mjere i izvršiti druge radnje koje je ovlašten poduzeti i izvršiti na temelju ovoga Zakona i posebnog propisa.

(4) Ako tijekom inspekcijskog nadzora inspektor utvrdi da nije ovlašten izravno postupati, izvijestit će nadležno tijelo ili regulatorno tijelo te zatražiti pokretanje postupka i poduzimanje mjera u skladu s posebnim propisima.

Utvrđivanje primjene međusektorskih i sektorskih mjerila

Članak 46.

Radi osiguranja jedinstvenog pristupa analizi rizika kritičnih subjekata primjenu međusektorskih mjerila iz članka 15. ovoga Zakona kod svih sudionika provedbe Zakona utvrđuje Koordinativno tijelo, a primjenu sektorskih mjerila kritičnih subjekata u analizi rizika utvrđuju nadležna tijela i regulatorna tijela u sektorima iz svoga djelokruga.

XIII. PREKRŠAJNE ODREDBE

Članak 47.

(1) Novčanom kaznom u iznosu od 65.000,00 do 130.000,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:

– ne izradi procjenu rizika kritičnog subjekta u propisanom roku (članak 22. stavak 1.)

– ne izradi sigurnosni plan u propisanom roku, a nema drugi odgovarajući dokument koji zamjenjuje sigurnosni plan sukladno članku 25. ovoga Zakona (članak 23. stavak 2.)

– obavljanje poslova zaštite kritične infrastrukture ugovorom povjeri pravnoj osobi i obrtu koji ne posjeduje certifikat za provedbu privatne zaštite kritične infrastrukture (članak 27. stavak 1.)

– u slučaju incidenta ne poduzme bez odgađanja mjere i aktivnosti za zaštitu kritične infrastrukture (članak 32. stavak 1.).

(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1300,00 do 6000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi – kritičnom subjektu.

Članak 48.

(1) Novčanom kaznom u iznosu od 20.000,00 do 64.000,00 eura kaznit će se za prekršaj pravna osoba – kritični subjekt ako:

– nadležnom tijelu u propisanom roku ne dostavi obavijest o donošenju sigurnosnog plana (članak 23. stavak 4.)

– nadležnom i koordinativnom tijelu u propisanom roku ne dostavi izvješće o incidentu (članak 32. stavak 3.)

– ne odredi sigurnosnog koordinatora za kritičnu infrastrukturu (članak 38. stavak 1.).

(2) Za prekršaj iz stavka 1. ovoga članka novčanom kaznom u iznosu od 1300,00 do 6000,00 eura kaznit će se i odgovorna osoba u pravnoj osobi – kritičnom subjektu.

Članak 49.

Za prekršaje iz ovoga Zakona može odgovarati samo prekršajno odgovorna pravna osoba.

XIV. PRIJELAZNE I ZAVRŠNE ODREDBE

Članak 50.

(1) Vlada će do 17. siječnja 2026. donijeti akt strateškog planiranja za otpornost kritičnih subjekata iz članka 11. ovoga Zakona.

(2) Vlada će do 17. siječnja 2026. donijeti Nacionalnu procjenu rizika kritične infrastrukture iz članka 12. ovoga Zakona.

(3) Nadležna tijela dužna su Koordinativnom tijelu dostaviti prijedlog popisa kritičnih subjekata za sektore iz svoje nadležnosti u roku od tri mjeseca od dana donošenja Nacionalne procjene rizika kritične infrastrukture.

Članak 51.

(1) Ministar će pravilnike iz članka 14. stavka 2. i članka 44. stavka 6. ovoga Zakona donijeti u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.

(2) Ministar će pravilnik iz članka 40. stavka 5. ovoga Zakona donijeti u roku od godinu dana od stupanja na snagu ovoga Zakona.

(3) Do stupanja na snagu pravilnika iz članka 14. stavka 2. ovoga Zakona ostaje na snazi Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura (»Narodne novine«, br. 47/16. i 93/17.).

(4) Do stupanja na snagu odluke iz članka 18. stavka 3. ovoga Zakona ostaje na snazi Odluka o potvrđivanju identificiranih kritičnih infrastruktura klasa: 022-03/23-04/137, urbroj: 50301-29/24-23-6, od 20. ožujka 2024.

(5) Danom stupanja na snagu ovoga Zakona prestaje važiti Odluka o određivanju sektora iz kojih središnja tijela državne uprave identificiraju nacionalne kritične infrastrukture te liste redoslijeda sektora kritičnih infrastruktura (»Narodne novine«, br. 108/13.).

Članak 52.

(1) Ministar će donijeti odluku o međusektorskim mjerilima iz članka 15. stavka 2. ovoga Zakona u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.

(2) Nadležna tijela dužna su donijeti sektorska mjerila iz članka 16. stavka 1. ovoga Zakona u roku od tri mjeseca od dana donošenja odluke iz stavka 1. ovoga članka.

Članak 53.

(1) Danom stupanja na snagu ovoga Zakona pravne osobe i obrti koji obavljaju poslove privatne zaštite kritične infrastrukture na temelju ugovora sklopljenih do dana stupanja na snagu ovoga Zakona nastavljaju obavljati te poslove do isteka roka na koji je ugovor zaključen.

(2) Do izdavanja certifikata iz članka 29. ovoga Zakona, a najdulje u razdoblju od godine dana od dana stupanja na snagu ovoga Zakona kritični subjekt može ugovorom povjeriti obavljanje poslova privatne zaštite objekata, mreža i sustava pravnoj osobi ili obrtu koji su podnijeli zahtjev za izdavanje certifikata iz članka 29. ovoga Zakona.

Članak 54.

Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o kritičnim infrastrukturama (»Narodne novine«, br. 56/13. i 114/22.).

Članak 55.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

PRILOG I.

POPIS SEKTORA, PODSEKTORA I KATEGORIJA IZ KOJIH SE UTVRĐUJU KRITIČNI SUBJEKTI TE KLJUČNE USLUGE KOJE PRUŽAJU.pdf