Odbor za pomorstvo, promet i infrastrukturu Hrvatskoga sabora, na 45. sjednici održanoj 17. listopada 2023. godine, raspravio je Prijedlog zakona o kibernetičkoj sigurnosti, prvo čitanje, P.Z.E. br. 561, koji je predsjedniku Hrvatskoga sabora dostavila Vlada Republike Hrvatske aktom od 27. rujna 2023. godine.
Odbor je predmetni akt raspravio kao zainteresirano radno tijelo, sukladno odredbi članka 179. Poslovnika Hrvatskoga sabora.
Predstavnik predlagatelja uvodno je istaknuo da se predloženim zakonom u nacionalno zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2), koja je stupila na snagu 16. siječnja 2023. te su sve države članice Europske unije obvezne preuzeti predmetnu Direktivu u svoje zakonodavstvo do 17. listopada 2024. Preuzimanje Direktive NIS2 u RH provodi se predloženim Zakonom i njegovim podzakonskim aktima koji će se donijeti u zadanom roku što podrazumijeva i funkcionalnost svih nadležnih tijela koja se do tada trebaju uspostaviti ili prilagoditi na nove nadležnosti. Zakonski prijedlog regulira opsežnu materiju i sadrži 116 članaka i 4 priloga. Većinu odredbi Prijedloga zakona potrebno je promatrati u međusobnom odnosu imajući u vidu potpuni pregled cjelokupnog teksta te vodeći računa da se njime mora osigurati ispravan prijenos okvira kibernetičke sigurnosti koji su zadani Direktivom NIS2. Cilj Direktive NIS2 je učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te nacionalnim kibernetičkim prostorima država članica.
Predloženi zakon predviđa određenu centralizaciju upravljanja kibernetičkom sigurnošću u RH, odnosno transformaciju postojećeg Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije (SOA) u Nacionalni centar za kibernetičku sigurnost (NCSC). Uvodi se zajednička visoka razina mjera kibernetičke sigurnosti kakva je propisana za sve države članice EU-a. Mjere trebaju biti razmjerne stupnju izloženosti pojedinog subjekta rizicima, a dužni su ih provoditi sami subjekti obveznici i to sukladno vlastitoj procjeni rizika.
U ovom Prijedlogu zakona tri su grupe nadležnih tijela. Nadležna tijela za provedbu posebnih zakona uključuju tzv. autonomne sektore, odnosno sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU, odnosno nacionalnoj razini. Tu su trenutno tri sektora nadležnih tijela: bankarstvo i Hrvatska narodna banka (HNB), infrastruktura financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga (HANFA) te zračni promet i Hrvatska agencija za civilno zrakoplovstvo.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaćaju dvije grupe sektora, podsektora i vrsta subjekata. Prva grupa uključuje tri tzv. polu-autonomna sektora: javni sektor i Ured Vijeća za nacionalnu sigurnost (UVNS) kao nadležno tijelo, sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva (SDURDD) kao nadležno tijelo.
Druga grupa nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti obuhvaća najveći broj sektora, podsektora i vrsta subjekata (Prilog I. i II.), ukupno 30 sektora, podsektora i vrsta subjekata. Ministarstvo znanosti i obrazovanja je nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za tri sektora. Sigurnosno-obavještajna agencija (SOA) predstavlja središnje državno tijelo za područje kibernetičke sigurnosti koje ustrojava Nacionalni centar za kibernetičku sigurnost te pokriva preostalih 27 sektora. Nadležna CSIRT tijela (tijela za prevenciju i zaštitu od kibernetičkih incidenata) se utvrđuju za svaki pojedini sektor, podsektor i vrstu subjekta (Prilog III). Nadležna CSIRT tijela za RH su: Nacionalni centar za kibernetičku sigurnost, koji ustrojava SOA, te Nacionalni CSIRT, ustrojen u CARNET-u (Hrvatska akademska i istraživačka mreža).
Bez rasprave, Odbor za pomorstvo, promet i infrastrukturu većinom glasova (8 glasova ”ZA” i 1 glas ”SUZDRŽAN”) je odlučio predložiti Hrvatskom saboru sljedeći zaključak:
Prihvaća se Prijedlog zakona o kibernetičkoj sigurnosti.
Za izvjestitelja na sjednici Hrvatskoga sabora, Odbor je odredio Peru Ćosića, predsjednika Odbora.
PREDSJEDNIK ODBORA
Pero Ćosić