Odbor za informiranje, informatizaciju i medije raspravio je na 24. sjednici, održanoj 1. ožujka 2022. godine Prijedlog zakona o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije), koji je predsjedniku Hrvatskog sabora podnijela Vlada Republike Hrvatske, aktom od 2. prosinca 2021. godine.
Odbor je navedeni Prijedlog zakona raspravio kao matično radno tijelo.
U uvodnom obrazloženju predstavnik predlagatelja rekao je da je Europska unija poduzela niz mjera kako bi uredila odnose u kibernetičkom prostoru, povećavajući pri tom otpornost i pojačavajući svoju kibernetičku sigurnosnu pripravnost. U cilju povećanja povjerenja i sigurnosti na Jedinstvenom digitalnom tržištu Unije (JDT) te s obzirom na brzo širenje povezanih uređaja bilo je potrebno uspostaviti okvir za sigurnosno certificiranje proizvoda, usluga i procesa informacijsko komunikacijske tehnologije (IKT) odnosno svih subjekata kibernetičkog prostora. Kibernetičko sigurnosno certificiranje postaje posebno važno s obzirom na sve veću uporabu kibernetičkih tehnologija za namjene koja zahtijevaju visok stupanj pouzdanosti i sigurnosti te je u sve većem broju sektora primjetno povećanje ovisnosti o IKT proizvodima, uslugama i procesima, osobito u prometu (automatizirano upravljanje), u sustavima održavanja života i zdravlja (e-zdravstvo), u industriji (kontrolni sustavi za industrijsku automatizaciju – IACS) te u ostvarivanju ljudskih interesa i prava (e-građani).
Direktiva o sigurnosti mrežnih i informacijskih sustava (EU NIS Direktiva), transponirana Zakonom o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga je regulirala razvrstavanje usluga odnosno objekata kibernetičkog prostora po njihovom značenju (ključne i digitalne usluge) te uspostavila sustav otpornosti (štićenje, izvješćivanje i interveniranje) specifično za najvažnije sektore. Slijednim propisom koji se na EU NIS Direktivu naslanja, Uredbom o Agenciji Europske unije za kibernetičku sigurnost (ENISA) i o kibernetičkoj sigurnosnoj certifikaciji u području komunikacijske i informacijske tehnologije („Akt o kibernetičkoj sigurnosti“) 2019/881 od 17. travnja 2019. dovršena je druga faza uređivanja kibernetičkog prostora iz aspekta objekata tog prostora. Uredbom je ENISA dobila aktivniju i važniju ulogu u postizanju kibernetičke otpornosti Unije te je postala stožerno tijelo u mreži agencija država članica koje se bave kibernetičkom sigurnošću na sličan način. Glavni regulator na razini Europske unije je Europska komisija koja, uz operativnu moć ENISA-e i savjetodavnu pomoć Europske skupine za kibernetičku sugurnosnu certifikaciju (European Cybersecurity Cerification Group, ECCG), osigurava provođenje odredbi oba ova zakona, a sukladno proklamiranim strategijama i planskim dokumentima.
Osnovna pitanja koja se trebaju urediti ovim Zakonom, odnosno jedan od ciljeva koji se misli postići sustavom kibernetike sigurnosne certifikacije je jačanje Jedinstvenog digitalnog tržišta EU, kako bi ono postalo značajniji čimbenik na globalnoj sceni i postalo otpornije na disruptivna djelovanja konkurentskih globalnih gospodarstava. Time se olakšava postizanje i jednog od strateških ciljeva Unije – digitalne suverenosti, odnosno mogućnosti slobodnog i samostalnog odlučivanja o svim stvarima u svezi s kibernetičkim prostorom. Posljedično navedenom, države članice EU su preuzele obvezu harmoniziranja svojih propisa i djelovanja na ovom području, te izgradnje ili prilagodbe nacionalnih sustava kibernetičke sigurnosne certifikacije zajedničkom. Važećim propisima u Republici Hrvatskoj nisu predviđene obveze koje bi bile kompatibilne sa zahtjevima Uredbe (EU) 2019/881, pa je izrađen ovaj Prijedlog zakona, kojim se namjerava na jedinstveni način propisati potrebno radi osiguranja provedbe navedene Uredbe. Obzirom da je Uredbom (EU) 2019/881 zadan glavni okvir jedinstvenog sustava kibernetičkog sigurnosnog certificiranja u Europskoj uniji odnosno način uspostave i provedbe sustava, prijedlogom Zakona se određuju nadležna tijela na nacionalnoj razini, pravna zaštita i sankcijski režim, koji su specifični za svaku državu članicu.
Uz samu Uredbu ovaj Zakon jasno upućuje sve subjekte u Republici Hrvatskoj što im je činiti i kako postupati kada žele ili moraju pribjeći postupku certificiranja za svoje IKT proizvode, usluge ili procese ako ih namjeravaju staviti na jedinstveno tržište Europske unije.Tijela javnog sektora koja su obveznici primjene ovog Zakona imati će osigurana sredstva u državnom proračunu Republike Hrvatske u okviru svojih redovnih aktivnosti. Zavod za sigurnost informacijskih sustava određuje se kao nacionalno tijelo za kibernetičku sigurnosnu certifikaciju, koje postupa sukladno EU kibernetičkim sigurnosnim shemama ili će moći raditi vlastite kibernetično-sigurnosne sheme, a Hrvatska akreditacijska agencija se utvrđuje kao nacionalno akreditacijsko tijelo u Republici Hrvatskoj.
U raspravi na Odboru je skrenuta pozornost da je nekoliko puta u Prijedlogu zakona umjesto izraza ”kibernetički” pogrešno naveden izraz ”kiber”. Također je postavljeno i pitanje zašto se kasni s donošenjem ovog zakona, budući da se navedena Uredba u svim članicama EU primjenjuje od 28. lipnja 2021. godine. Odgovoreno je da je Radna skupina započela s radom krajem 2019. godine, no zbog objektivnih razloga, odnosno pandemije COVID-19 i dva potresa došlo je do kašnjenja s donošenjem ovog zakona.
Nakon provedene rasprave, Odbor je većinom glasova (s 5 glasova ”ZA” i 1 ”SUZDRŽANIM” glasom, dok se jedan nazočni zastupnik izjasnio da se suzdržava od glasanja) odlučio predložiti Hrvatskom saboru sljedeće
Z A K L J U Č K E
1. Prihvaća se Prijedlog zakona o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije).
2. Sva mišljenja, primjedbe i prijedlozi izneseni u raspravi uputit će se predlagatelju radi izrade Konačnog prijedloga zakona.
Za izvjestiteljicu na sjednici Hrvatskoga sabora određena je Natalija Martinčević, predsjednica Odbora.
PREDSJEDNICA ODBORA
Natalija Martinčević