Odbor za unutarnju politiku i nacionalnu sigurnost na 61. sjednici, održanoj 11. listopada 2023., raspravljao je o Prijedlogu zakona o kibernetičkoj sigurnosti, prvo čitanje, P.Z.E. br. 561, koji je predsjedniku Hrvatskoga sabora podnijela Vlada Republike Hrvatske, aktom od 27. rujna 2023.
Odbor je predloženi zakonski prijedlog razmotrio u svojstvu matičnog radnog tijela.
U uvodnom izlaganju je predstavnik predlagatelja, državni tajnik u Ministarstvu hrvatskih branitelja, naglasio da će se donošenjem Zakona o kibernetičkoj sigurnosti u nacionalno zakonodavstvo prenijeti Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2), koja je stupila na snagu 16. siječnja 2023., te su sve države članice Europske unije obvezne preuzeti predmetnu Direktivu u svoje zakonodavstvo do 17. listopada 2024., odnosno u roku od 21 mjesec od njezina stupanja na snagu.
Preuzimanje Direktive NIS2 u Republici Hrvatskoj provodi se predloženim Zakonom i njegovim podzakonskim aktima koji će se donijeti u zadanom roku do 17. listopada 2024., što podrazumijeva i funkcionalnost svih nadležnih tijela koja se do tada trebaju uspostavili ili prilagoditi na nove nadležnosti.
Dalje je istaknuo da je zakonski prijedlog izradila međuresorna radna skupina Nacionalnog vijeća za kibernetičku sigurnost, a formalni predlagatelj Zakona je Ministarstvo hrvatskih branitelja s obzirom na to da je ministar hrvatskih branitelja Tomo Medved ujedno i član Vlade RH zadužen za nacionalnu sigurnost.
U razdoblju od 17. srpnja do 16. kolovoza 2023. provedena je javna rasprava na kojoj je zainteresirana javnost podnijela 119 komentara. Od tog broja je 111 općih komentara i 8 nadopuna teksta. Potpuno i djelomično je prihvaćeno 76 komentara odnosno oko 64%, dok 43 komentara odnosno 36% nije prihvaćeno.
Zakonski prijedlog regulira opsežnu materiju i sadrži 116 članaka i 4 priloga. Većinu odredbi Zakona potrebno je promatrati u međusobnom odnosu i imajući potpuni pregled cjelokupnog teksta Zakona te vodeći računa da se njime mora osigurati ispravan prijenos okvira kibernetičke sigurnosti koji su zadani Direktivom NIS2.
Cilj Direktive NIS2 je učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te nacionalnim kibernetičkim prostorima država članica.
Zakon predviđa određenu centralizaciju upravljanja kibernetičkom sigurnošću u Republici Hrvatskoj, odnosno transformaciju postojećeg Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije (SOA) u Nacionalni centar za kibernetičku sigurnost (NCSC). Predstavnik predlagatelja je posebno naglasio da niti jedan nacionalni centar država članica EU-a i drugih država nije regulatorno tijelo, pa tako to neće biti niti Nacionalni centar za kibernetičku sigurnost.
Zakon uvodi zajedničku visoku razinu mjera kibernetičke sigurnosti kakva je propisana za sve države članice EU-a. Mjere trebaju biti razmjerne stupnju izloženosti pojedinog subjekta rizicima, a dužni su ih provoditi sami subjekti obveznici i to sukladno vlastitoj procjeni rizika.
Kako bi se osigurala jednostavna i postupna poslovna tranzicija za subjekte obveznike, Zakon osigurava kaskadnu provedbu relevantnih procesa i to na način da je za cjelokupnu provedbu, od implementacije mjera, provjera usklađenosti s propisanim okvirom te u konačnici provedbe stručnih nadzora, predviđeno ukupno trajanje između pet i sedam godina od stupanja na snagu Zakona što bi omogućilo da sustav u cijelosti zaživi.
U raspravi je postavljeno pitanje zašto Ured Vijeća za nacionalnu sigurnost (UVNS) nije koordinirao transpoziciju Direktive NIS2, s obzirom na činjenicu da je koordinirao transpoziciju Direktive NIS1.
Predstavnik predlagatelja je istaknuo da je transpozicija Direktive NIS2 nastavak dugotrajnog procesa koji je započeo transpozicijom Direktive NIS1 što je koordinirao UVNS koji i danas ima vodeću ulogu u Nacionalnom vijeću za kibernetičku sigurnost, ali nedostatne kapacitete za ovu zadaću. UVNS je tijelo strateške razine, a za oživotvorenje ovakvog projekta je potrebno stručno i organizacijski „šire“ tijelo, sa dostatnim tehničkim, stručnim i organizacijskim sposobnostima što trenutno SOA jest.
U raspravi je istaknuto da nema ujednačene prakse ni na razini država članica EU-a niti u drugim državama gdje će se pozicionirati nacionalni centar za kibernetičku sigurnost. Polovica država članica je takav nacionalni centar pozicionirala unutar svojih sigurnosno-obavještajnih sustava, dok je druga polovica takve centre pozicionirala kao agencije ili kao druga samostalnih tijela. S obzirom da je Hrvatska odlučila na temeljima Centra za kibernetičku sigurnost SOA-e graditi Nacionalni centar za kibernetičku sigurnost, istaknuto je da bi bilo dobro razmisliti o tome da se kroz nekih pet godina to tijelo izdvoji iz SOA-e i pozicionira kao samostalno tijelo, što su učinile npr. Italija i Njemačka, koje su svoje nacionalne centre pozicionirale unutar sigurnosno-obavještajnog sustava da bi ih kasnije izdvojili u zasebne agencije.
Predstavnik predlagatelja je istaknuo da je točno da je preko 50% država članica EU-a pozicioniralo svoje nacionalne centre na način kako je to predstavljeno. Hrvatska je razmatrala iskustva drugih zemalja, ali i vlastite specifičnosti, potrebe i već razvijene kapacitete. Uzimajući u obzir da je Centar za kibernetičku sigurnost SOA-e trenutno najrazvijeniji i najkompleksniji nacionalni resurs kibernetičke sigurnosti u Republici Hrvatskoj odluka je pala na SOA-u.
Iznesena je i primjedba nomotehničke naravi vezano za odredbu članka 61. stavka 2. Zakona uz prijedlog da se u uvodnim člancima Zakona definira da je središnje tijelo za kibernetičku sigurnost Sigurnosno-obavještajna agencija.
Predstavnik predlagatelja je istaknuo da su, s obzirom na već prethodno iznesene primjedbe iste naravi, u članku 2. Zakona (pojmovniku) dodali točku 50. koja definira da je središnje tijelo za kibernetičku sigurnost Sigurnosno-obavještajna agencija.
Nakon rasprave, Odbor je jednoglasno, s 9 glasova „ZA“, odlučio predložiti Hrvatskome saboru sljedeće zaključke:
1. Prihvaća se Prijedlog zakona o kibernetičkoj sigurnosti.
2. Sve primjedbe, prijedlozi i mišljenja upućuju se predlagatelju radi izrade Konačnog prijedloga zakona.
Za izvjestitelja na sjednici Hrvatskoga sabora određen je Siniša Hajdaš Dončić, predsjednik Odbora, a u slučaju njegove eventualne odsutnosti ili spriječenosti, za izvjestitelja se određuje Mario Kapulica, potpredsjednik Odbora.
PREDSJEDNIK ODBORA
Siniša Hajdaš Dončić