Odbor za unutarnju politiku i nacionalnu sigurnost na 53. tematskoj (zatvorenoj) sjednici, održanoj 10. svibnja 2023., razmotrio je temu „Osnivanje međunarodnog Centra izvrsnosti za prikupljanje, obradu i analizu podataka iz otvorenih izvora (OSINT) i transpozicija EU NIS2 direktive u hrvatski pravni sustav“.
Uvodno je predsjednik Odbora Siniša Hajdaš Dončić istaknuo da je prije nekoliko dana zatvoren postupak javnog savjetovanja vezano za zakonski prijedlog kojim se predviđa osnivanje Centra izvrsnosti za prikupljanje, obradu i analizu podataka iz otvorenih izvora (OSINT) kao neprofitne i stručne pravne osobe od interesa za Republiku Hrvatsku i međunarodnu sigurnost, a sredinom ovog mjeseca očekuje se početak javnog savjetovanja o nacrtu prijedloga Zakona o kibernetičkoj sigurnosti kojim se predviđa transpozicija EU NIS2 direktive.
Oba prijedloga odnose se na uvođenje novih funkcija, tijela i sposobnosti unutar sigurnosno-obavještajnog sustava RH. Njima se jača integracija Sigurnosno-obavještajne agencije (SOA) unutar europskih sigurnosnih mehanizama, ali i zahtjeva od SOA-e veća otvorenost prema javnom i poslovnom sektoru što će tražiti dodatni angažman drugačije prirode nego što je bio do sada.
S obzirom na obuhvat ovih izmjena, Odbor je smatrao dobrim, prije no što prijedlozi zakona dođu u saborsku proceduru, razmotriti obje teme na svojoj tematskoj sjednici.
Ravnatelj Agencije Daniel Markić je istaknuo da se predlaže osnovati prvi centar izvrsnosti za Republiku Hrvatsku, ali i prvi centar izvrsnosti za OSINT za Europsku uniju i NATO. Republika Hrvatska već treću godinu za redom organizira veliku konferenciju o OSINT-u, na kojoj će ove godine sudjelovati 130 eksperata, 45 civilnih i 16 vojnih službi.
U odnosu na transpoziciju EU NIS2 direktive, ravnatelj Agencije je istaknuo da se radi o vrlo složenom i kompliciranom procesu za Republiku Hrvatsku i njezina tijela koji obuhvaća i privatni sektor.
Glavni ravnatelj Ministarstva hrvatskih branitelja Ivica Akmadža je istaknuo da je Ministarstvo formalni nositelj za obje teme, te istaknuo da je prijedlog zakona za OSINT prošao javnu raspravu, dok se za transpoziciju EU NIS2 direktive prikupljaju mišljenja te se sredinom odnosno koncem svibnja predviđa početak javne rasprave.
Predstavnici Sigurnosno-obavještajne agencije su kroz prezentaciju obje teme, istaknuli glavne značajke i predložena rješenja u oba zakona, izazove koji predstoje u njihovoj implementaciji te napore koji će biti potrebni za njihovu uspješnu primjenu.
Na temeljno pitanje što je to OSINT (Open source Intelligence) predstavnik Agencije je istaknuo da se radi o obavještajnoj disciplini koja na predefiniran način pristupa javno dostupnim informacijama, što uključuje i podatke, valorizira ih, utočnjava, skladišti, obrađuje (prevodi), analizira te u formi obavještajnog proizvoda dostavlja krajnjim korisnicima.
Naglasio je da ova disciplina postaje sve važnija u kontekstu aktualnog sigurnosnog okruženja kojeg karakteriziraju prijetnje kao što su transnacionalni terorizam, hibridne prijetnje, proliferacija oružja, organizirani i gospodarski kriminal, migracije stanovništva i drugo te činjenica da su tajni podaci teško dostupni korištenjem ljudskih izvora (HUMINT), a buduće namjere nositelja prijetnje često niti ne postoje kao formalizirani dokument i/ili podatak. Takvo stanje suočava moderne sigurnosno - obavještajne sustave s rastućom potrebom pribavljanja podataka i informacija iz otvorenih izvora potrebnih za analizu prijetnji, uočavanje trendova, obrazaca ponašanja i suprotstavljanje prijetnjama.
S tim u vezi ukazao je na pozadinu osnivanja međunarodnog Centra izvrsnosti za OSINT posebice u svjetlu različitih standarda i praksi, metodoloških okvira i definicija u različitim državama, a s time u vezi i nemogućnosti međusobne interoperabilnosti i zajedničkog rada u određenim područjima. S druge strane, ukazao je i na velike baze podataka, umjetnu inteligenciju i strojno učenje, ekspanziju društvenih mreža, a s time povezano i netradicionalne sigurnosne prijetnje, što je sve zajedno dovelo do potrebe osnivanja ovakvog Centra.
U odnosu na prednosti osnivanja takvog Centra predstavnik Agencije je istaknuo da bi Centar bio prvo mjesto usmjereno na profesionalizaciju discipline, fokalno mjesto znanja i stručnosti koje okuplja eksperte iz međunarodne obavještajne zajednice, mjesto multilateralnog i multidisciplinarnog razvijanja prihvatljivih standarada i procedura, prostor kolektivnog unaprjeđenja OSINT sposobnosti i otpornosti na izazove iz prostora javno dostupnih informacija te mjesto ekonomičnijeg utroška financijskih sredstava i vremena. Posebno je naglasio da unutar 28 država NATO saveza i EU postoji 28 centara izvrsnosti koji se bave određenim prijetnjama, temama od interesa za nacionalnu i širu globalnu sigurnost, ali ni jedan se ne bavi otvorenim izvorima.
Vezano za osnivanje Centra, istaknuo je da bi se isti osnovao zakonom kao neprofitna i stručna ustanova od interesa za RH i međunarodnu sigurnost, a istim zakonom bi bila uređena njegova djelatnost, ustroj i financiranje.
Centar bi bio prva međunarodna institucija takvog tipa osnovana u Republici Hrvatskoj, a njegov međunarodni status proizlazio bi iz sklapanja memoranduma o razumijevanju sa sigurnosno-obavještajnim agencijama i drugim odgovarajućim tijelima drugih država i međunarodnim subjektima koji bi sudjelovali u njegovom radu.
Vezano za sredstva potrebna za rad Centra naglasio je da se ista osiguravaju iz državnog proračuna, članarina koje plaćaju države čije sigurnosno-obavještajne agencije i tijela sudjeluju u radu Centra (30.000 eura godišnje), vlastitih prihoda, sredstava iz fondova Europske unije, dobrovoljnih priloga te ostalih izvora.
Osim zajedničkog rada sa sigurnosno-obavještajnim agencijama i drugim odgovarajućim tijelima drugih država i međunarodnim subjektima, Centar bi ostvario intenzivnu suradnju i s akademskom zajednicom.
U odnosu na ustrojstvo Centra istaknuo je da svaka država članica (potpisnica memoranduma) ima jednu osobu u upravnom odboru, dok ravnatelja Centra imenuje Vlada RH na prijedlog ravnatelja Agencije, i ta osoba mora biti hrvatski državljanin, dok zamjenik ravnatelja dolazi iz partnerske države članice.
Zaključno je istaknuo da se proces razgovora s međunarodnim partnerima odvijao tijekom 2022. godine, osnivanje Centra zakonom te potpisivanje memoranduma o razumijevanju predviđa se tijekom 2023. godine, dolazak prvih stručnjaka u Zagreb tijekom 2023./2024. godine, a operativni početak rada Centra i prvi sastanak Upravnog odbora tijekom 2024. godine.
Vezano za transpoziciju EU NIS2 direktive predstavnik Agencije je istaknuo da je Europska Unija (EU) donijela novu NIS2 direktivu (Direktiva 2022/2555 ) s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 direktive (Direktiva 2016/1148) iz 2016. godine.
Cilj NIS2 direktive je uspostaviti visoke zajedničke mjere kibernetičke sigurnosti širom EU iz razloga visoke razine ovisnosti suvremenog društva o digitalnoj tehnologiji, kao i zbog nužnosti više razine spremnosti EU za krizna stanja s refleksijom na kibernetički prostor (primjer: pandemija bolesti COVID-19, ruska agresija na Ukrajinu), brzi razvoj tehnologije – umjetne inteligencije i kvantnih računala.
EU je o ovome dugo razmišljao i ozbiljno planirao, a prvi paket akata kibernetičke sigurnosti je bio predstavljen tijekom 2020. godine. U tom paketu NIS2 direktiva je predstavljena kao središnji akt kibernetičke sigurnosti, a njezin cilj je pripremiti sve države članice na implementaciju svih ostalih akata iz paketa.
Transpoziciju NIS2 direktive provodi Nacionalno vijeće za kibernetičku sigurnost (NVKS) na isti način kao i transpoziciju NIS1 direktive tijekom 2018. godine. Prethodna procjena učinka provedena je u razdoblju od 24.03.2023. - 08.04.2023., dok se e-savjetovanje planira pokrenuto do kraja svibnja 2023. godine, s obzirom da je rok za transpoziciju NIS2 direktive 17. listopada 2024. NVKS je uspostavio međuresornu radnu skupinu za transpoziciju NIS2 direktive u koju su uključeni predstavnici 15 institucija, a njezinu transpoziciju koordinira Sigurnosno-obavještajna agencija (SOA).
Predstavnik Agencije se osvrnuo na NIS1 direktivu iz 2016.g. te naglasio da je ista transponirana u hrvatski pravni sustav 2018. godine putem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18), prateće Uredbe o mjerama kibernetičke sigurnosti (NN 68/18), kao i nizom smjernica.
Evaluacijom NIS1 direktive utvrđeno je da je ista nedovoljna za razinu razvoja tehnologije u aktualnom desetljeću, kao i da se različito provela u državama članicama. Hrvatska je prepoznala „svoj“ problem u decentraliziranoj primjeni – teškom usklađivanju nadležnosti, nedostatku resursa u većini nadležnih tijela, slaboj primjeni sigurnosnih mjera i prijavi incidenata, a kao „zajednički“ problem svih država članica prepoznata je uska primjena na mali broj sektora i samo na ključne usluge u utvrđenim operatorima.
Kao primjer je naveden Ransomware napad na INA grupu 2020. godine kojim je bio zahvaćen poslovni IT, a ne ključne usluge, a po važećem Zakonu INA taj napad uopće ne bi trebala prijaviti.
Istaknuo je da su kao glavni ciljevi NIS2 direktive prepoznati sigurnost kritičnih kibernetičkih elemenata EU i država članica odnosno njihovih društava u cjelini, uspostava učinkovitih instrumenata upravljanja organizacijom i svim sigurnosnim procesima koji leže iznad toga i suradnja svih nadležnih tijela i subjekata obveznika te uspostava reguliranog pristupa kibernetičkoj sigurnosti, što podrazumijeva korištenje istih alata i procedura.
U razmatranju okvira NIS2 direktive predstavnik Agencije je naglasio da je NIS1 direktiva krenula od 8 sektora sa 7 podsektora, a NIS 2 direktiva je to proširila na 18 sektora i puno više podsektora /vrsta subjekata, ukupno njih 36, koji predstavljaju kritične kibernetičke elemente društva u cjelini. Od selektivnog pristupa NIS1 direktive i usko definiranih ključnih usluga prelazi se na sveobuhvatni pristup NIS2 direktive prema cjelokupnom kibernetičkom poslovanju subjekata obveznika.
Posebno je naglasio, uzimajući u obzir sve veće rizike po društva u cjelini, da se s ovim mjerama kasni, jer je u nekoliko godina potrebno uspostaviti stratešku, operativnu i tehničku razina suradnje unutar svake države, a onda i na razini EU i 27 država članica, što podrazumijeva nužnost centralizacije kibernetičke sigurnosti kako u državama članicama tako i na razini EU.
U odnosu na središnje tijelo kibernetičke sigurnosti, predstavnik Agencije je istaknuo da većina država članica ima središnja tijela s nacionalnim centrima kibernetičke sigurnosti, dok veće i gospodarski najrazvijenije EU države prelaze na ustrojavanje samostalnih agencija. Izbor središnjeg tijela posljedica je nacionalne tradicije razvoja kibernetičke sigurnosti i okrupnjavanja resursa oko najrazvijenijeg tijela (vrlo često su to sigurnosno-obavještajna tijela).
Predstavnik Agencije se osvrnuo i na NIS2 mjere, izvješćivanje o incidentima, reviziju i nadzor, te naglasio da je temelj svega proces upravljanja kibernetičkim sigurnosnim rizicima koji je obvezujući za sve subjekte NIS2 direktive.
U odnosu na planirani model upravljanja kibernetičkom sigurnošću u RH, predstavnik Agencije je naglasio da će se na temeljima postojećeg Centra za kibernetičku sigurnost SOA-e uspostaviti Nacionalni centar za kibernetičku sigurnost (National Cyber Security Centre – NCSC), kao centralizirano tijelo koje će objediniti skup nadležnosti iz svih razina upravljanja kibernetičkom sigurnošću – od tehničkih, preko operativnih, do strateških. Ured Vijeća za nacionalnu sigurnosti bi i dalje bio nadležan za državna tijela, Zavod za sigurnost informacijskih sustava bi se i dalje bavio evaluacijom i akreditacijom, a sva ostala tijela bi i dalje nastavila raditi zadaće kao do sada uz koordinaciju i pomoć NCSC-a.
Nastavno, predstavnik Agencije je upoznao prisutne sa sektorskim pristupom transpoziciji NIS2 direktive za autonomne sektore, polu-autonomne sektore i ostale sektore. Istaknuo je da je sektorskim propisima visoko regulirana kibernetička sigurnost autonomnih sektora (npr. bankarstvo, zračni promet i sl.) odnosno da je razina sektorskih zakona veća ili jednaka od zahtjeva NIS2 direktive. Regulirana je obaveza provedbe mjera i izvještavanja o kibernetičkim napadima te ocjene sukladnosti i nadzora, dok je potrebno provesti horizontalnu nacionalnu koordinaciju.
U polu-autonomnim sektorima sektorskim propisima je u određenoj mjeri regulirana kibernetičke sigurnost (državni sektor, telekomi i sl.), ali je razina sektorskih zakona manja od zahtjeva iz NIS2 direktive, što ukazuje da je potreban proces nacionalne regulativne potpore vezano za izvješćivanje o kibernetičkim napadima i ocjeni sukladnosti.
U ostalim NIS2 sektorima (28 sektora i podsektora/vrsta subjekata) sektorski propisi slabo reguliraju ili uopće ne reguliraju potrebnu razinu kibernetičke sigurnosti, odnosno razina sektorskih zakona znatno je manja od zahtjeva iz NIS2 direktive iz čega proizlazi da je potreban proces pune nacionalne regulacije kibernetičke sigurnosti vezano za sva četiri elementa (utvrđivanje popisa ključnih i važnih tijela po NIS2 direktivi, nadzor, izvješćivanje o kibernetičkim napadima i ocjena sukladnosti).
U odnosu na nadležna tijela (po sektorima) sukladno NIS2 direktivi, predstavnik Agencije je naglasio da su u autonomnom sektoru koji uključuje bankarstvo, infrastrukturu financijskog tržišta i zračni promet nadležna tijela za provedbu sektorske regulative HNB, HANFA i Hrvatska agencija za civilno zrakoplovstvo.
Nadležna tijela za provedbu NIS2 zahtjeva kibernetičke sigurnosti u polu-autonomnom sektoru, što podrazumijeva tri sektora (državni sektor, telekom sektor i sektor usluga povjerenja), su UVNS, HAKOM i Središnji državni ured za razvoj digitalnog društva (SDURDD).
U ostalim NIS2 sektorima (28 sektora i podsektora) nadležna tijela su NCSC, CARNET/Nacionalni CERT.
CSIRT tijela za odgovor na kibernetičke incidente su NCSC i Nacionalni CERT (CARNET), a jedinstvena nacionalna kontaktna točka i središnje državno tijelo za kibernetičku sigurnost je NCSC.
Vezano za kriterije koji određuju ključne i važne subjekte, predstavnik Agencije je istaknuo da su isti definirani u NIS2 direktivi i usmjereni su na velike i srednje velike tvrtke. S obzirom da taj kriterij nije prikladan za Republiku Hrvatsku uveo se kriterij procjene rizika po pojedinačnim subjektima u regionalnom i lokalnom smislu (subjekt je jedini pružatelj usluge ili je ključan zbog svoje posebne važnosti za određeni sektor na nacionalnoj, regionalnoj ili lokalnoj razini, ili pruža uslugu čiji prekid može znatno utjecati na javnu sigurnost, javnu zaštitu ili javno zdravlje i dr.).
Razlikovanje ključnih i važnih sektora po NIS2 direktivi vrši se u odnosu na subjekte na koje se mjere (revizija i nadzor) odnose stalno – ključni subjekti, a drugu kategoriju čine važni subjekti na koje se mjere odnose ex-post odnosno ti subjekti su dužni provoditi samoocjene i mjere, ali nadzor se provodi samo u slučaju neke havarije i velikog incidenta odnosno incidenta kojeg bi ti subjekti prouzročili drugim subjektima.
Zaključno je predstavnik Agencija ukazao i na poslovne prilike za gospodarstvo, posebice vezano za pravne osobe koje se nalaze u ulozi tijela za ocjenu NIS2 sukladnosti, pravne osobe u ulozi pružatelja upravljanih sigurnosnih usluga i pravnih osoba u ulozi ponuditelja NIS2 verificiranih usluga na širem EU tržištu.
U raspravi su podržana predložena rješenja za oba zakonska prijedloga, posebice osnivanje Centra izvrsnosti za OSINT koji bi imao međunarodni karakter i pridonio čvršćem pozicioniranju Agencije.
Članovi Odbora su prepoznali i istaknuli obuhvat i kompleksnost transpozicije NIS2 direktive te istaknuli da je pred državama članicama i EU proces koji će trajati više godine, a posebice će biti zahtjevan za one dijelove sustava (privatni sektor) koji do sada nisu previše ulagali u kibernetičku sigurnost, što će predstavljati izazov za sve sudionike tog procesa.
PREDSJEDNIK ODBORA
Siniša Hajdaš Dončić