📄 Tekst zakona
Zakon o kibernetičkoj sigurnosti - Zakon.hr
UPUTE
UVJETI
CJENIK
KONTAKT
Zakon.ai
Prijava / Registracija
Baza je ažurirana 08.06.2026. zaključno sa NN 43/26 EU 2024/2679
Povezani zakoni
EU13 Industrijska politika i unutarnje tržište
Zakon o kibernetičkoj sigurnosti
Zakon o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor
Zakon o provedbi Uredbe (EU) 2023/1115 o stavljanju na raspolaganje na tržištu Unije i izvozu iz Unije određene robe i određenih proizvoda povezanih s deforestacijom i degradacijom šuma
Mediji, telekomunikacije i elektronske stvari
Zakon o medijima
Zakon o elektroničkim komunikacijama
Zakon o elektroničkim medijima
Zakon o elektroničkoj trgovini
Zakon o informacijskoj sigurnosti
Zakon o poštanskim uslugama
Zakon o elektroničkoj ispravi
Zakon o Hrvatskoj radioteleviziji
Zakon o elektroničkom novcu
Zakon o audiovizualnim djelatnostima
Zakon o mjerama za smanjenje troškova postavljanja elektroničkih komunikacijskih mreža velikih brzina
Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ
Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga 2018-2024
Zakon o Hrvatskoj izvještajnoj novinskoj agenciji
Zakon o informatičkoj djelatnosti
Zakon o prestanku važenja Zakona o nadležnosti organa uprave u poslovima unošenja, raspačavanja i širenja inozemnih sredstava masovnog komuniciranja
Zakon o provedbi Uredbe (EU) 2021/784 Europskog parlamenta i vijeća od 29. travnja 2021. o borbi protiv širenja terorističkog sadržaja na internetu
Zakon o kibernetičkoj sigurnosti
Zakon o provedbi Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama)
Zakon o kibernetičkoj sigurnostiNN 14/24
na snazi od 15.02.2024.
Uživajte...
Preuzmite dokumentu PDF formatu
Zanimljivi linkovi
PODZAKONSKI PROPISIAkt o kibernetičkoj sigurnostiArhiva:Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga 2018-2024Zavod za sigurnost informacijskih sustava+CERT.hrAgencija Europske unije za kibersigurnostComputer Security Incident Response TeamComputer Emergency Response Team
DIO PRVI OSNOVNE ODREDBE
Članak 1.
Cilj i predmet Zakona
(1) Ovim se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kategorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigurnosti za ključne i važne subjekte, posebni zahtjevi za upravljanje podacima o registraciji naziva domena i kontrola njihove provedbe, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne odredbe, praćenje provedbe ovoga Zakona i druga pitanja od značaja za područje kibernetičke sigurnosti.
(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
(3) Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti od nacionalnog su značaja za Republiku Hrvatsku.
(4) Cilj je ovoga Zakona uspostavljanje sustava upravljanja kibernetičkom sigurnošću koji će osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.
Članak 2.
Popis priloga koji su sastavni dio Zakona
Sastavni su dio ovoga Zakona:
− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog I. ovoga Zakona)
− Prilog II. Drugi kritični sektori (u daljnjem tekstu: Prilog II. ovoga Zakona)
− Prilog III. Popis nadležnosti u području kibernetičke sigurnosti (u daljnjem tekstu: Prilog III. ovoga Zakona) i
− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog planiranja iz područja kibernetičke sigurnosti (u daljnjem tekstu: Prilog IV. ovoga Zakona).
Članak 3.
Usklađivanje propisa s pravnim aktima Europske unije
Ovim se Zakonom u hrvatsko zakonodavstvo preuzima Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS2) (SL L 333/80, 27. 12. 2022.).
Članak 4.
Pojmovi
(1) U smislu ovoga Zakona pojedini pojmovi imaju sljedeće značenje:
1. aktivna kibernetička zaštita je zaštita koja uvodi napredni pristup koji umjesto reaktivnog odgovora na incidente, podrazumijeva njihovu prevenciju odnosno aktivno sprječavanje, otkrivanje, praćenje, analizu i ublažavanje povreda sigurnosti mrežnih i informacijskih sustava, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unutar i izvan mrežnog i informacijskog sustava koji je cilj kibernetičkog napada
2. CSIRT je kratica za Computer Security Incident Response Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih incidenata, za koju se koristi i kratica CERT (Computer Emergency Response Team)
3. CSIRT mreža je mreža nacionalnih CSIRT-ova osnovana u svrhu razvoja povjerenja i pouzdanja te promicanja brze i učinkovite operativne suradnje među državama članicama Europske unije (u daljnjem tekstu: države članice), koju uz predstavnike nacionalnih CSIRT-ova čine i predstavnici nadležnog tijela za prevenciju i zaštitu od kibernetičkih incidenata Europske unije (CERT-EU)
4. digitalna usluga je svaka usluga informacijskog društva odnosno svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja usluge, gdje u smislu ovoga pojma:
a) »na daljinu« znači da se usluga pruža, a da strane nisu istodobno prisutne
b) »elektroničkim sredstvima« znači da se usluga od početka šalje i na odredištu prima putem elektroničke opreme za obradu, uključujući digitalno sažimanje i pohranjivanje podataka, te da se u cjelini šalje, prenosi i prima žičanim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom
c) »na osobni zahtjev primatelja usluge« znači da se usluga pruža prijenosom podataka na osobni zahtjev
5. elektronička komunikacijska usluga je usluga koja se uobičajeno pruža uz naknadu putem elektroničkih komunikacijskih mreža, a obuhvaća, uz iznimku usluga pružanja sadržaja ili obavljanja uredničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih komunikacijskih mreža i usluga, sljedeće vrste usluga:
a) »uslugu pristupa internetu« odnosno javno dostupnu elektroničku komunikacijsku uslugu kojom se omogućuje pristup internetu te time povezivanje s gotovo svim krajnjim točkama interneta, bez obzira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava
b) »interpersonalnu komunikacijsku uslugu« odnosno uslugu koja se, u pravilu, pruža uz naknadu, a omogućuje izravnu interpersonalnu i interaktivnu razmjenu obavijesti putem elektroničkih komunikacijskih mreža između ograničenog broja osoba, pri čemu osobe koje pokreću komunikaciju ili sudjeluju u njoj određuju njezina primatelja ili više njih. Ova usluga ne obuhvaća usluge koje omogućuju interpersonalnu i interaktivnu komunikaciju samo kao manje bitnu pomoćnu značajku koja je suštinski povezana s drugom uslugom i
c) usluge koje se sastoje, u cijelosti ili većim dijelom, od prijenosa signala, kao što su usluge prijenosa koje se upotrebljavaju za pružanje usluga komunikacije između strojeva i za radiodifuziju
6. EU-CyCLONe mreža je Europska mreža organizacija za vezu za kibernetičke krize osnovana s ciljem djelovanja na operativnoj razini kao posrednik između tehničke razine (CSIRT mreže) i političke razine, a u svrhu stvaranja učinkovitog procesa operativnog procjenjivanja i upravljanja tijekom kibernetičkih incidenata velikih razmjera i kibernetičkih kriza, kao i podupiranja procesa donošenja odluka o složenim kibernetičkim pitanjima na političkoj razini
7. IKT je informacijsko-komunikacijska tehnologija
8. IKT proces je IKT proces kako je definiran u članku 2. točki 14. Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibernetičku sigurnost) te o kibernetičkoj sigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibernetičkoj sigurnosti) (Tekst značajan za EGP) (SL L 151/15, 7. 6. 2019.) (u daljnjem tekstu: Uredba (EU) 2019/881)
9. IKT proizvod je IKT proizvod kako je definiran u članku 2. točki 12. Uredbe (EU) 2019/881
10. IKT usluga je IKT usluga kako je definirana u članku 2. točki 13. Uredbe (EU) 2019/881
11. incident je događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup
12. internetska tražilica je internetska tražilica kako je definirana u članku 2. točki 5. Uredbe (EU) 2019/1150 Europskog parlamenta i Vijeća od 20. lipnja 2019. o promicanju pravednosti i transparentnosti za poslovne korisnike usluga internetskog posredovanja (SL L 186, 11. 7. 2019.)
13. internetsko tržište je digitalna usluga kojom se upotrebom softvera, uključujući mrežne stranice, dio mrežnih stranica ili aplikacija kojima upravlja trgovac ili kojima se upravlja u njegovo ime potrošačima omogućuje sklapanje ugovora na daljinu s drugim trgovcima ili potrošačima
14. istraživačka organizacija je subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove
15. izbjegnuti incident je svaki događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen ili se nije ostvario
16. javna elektronička komunikacijska mreža je elektronička komunikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava za pružanje javno dostupnih elektroničkih komunikacijskih usluga koje podržavaju prijenos podataka među završnim točkama mreže
17. javni subjekti su pravne osobe čiji je osnivač Republika Hrvatska ili jedinica lokalne ili područne (regionalne) samouprave, pravne osobe koje obavljaju javnu službu, pravne osobe koje se na temelju posebnog propisa financiraju pretežito ili u cijelosti iz državnog proračuna ili iz proračuna jedinica lokalne i područne (regionalne) samouprave odnosno iz javnih sredstava i trgovačka društva u kojima Republika Hrvatska i jedinice lokalne i područne (regionalne) samouprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući Hrvatsku narodnu banku
18. jedinstvena kontaktna točka je nacionalna kontaktna točka odgovorna za nacionalnu koordinaciju i suradnju s drugim državama članicama u pitanjima sigurnosti mrežnih i informacijskih sustava
19. kibernetička prijetnja je kibernetička prijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881
20. kibernetički sigurnosni incident velikih razmjera je incident na razini Europske unije koji uzrokuje poremećaje koji premašuju sposobnost jedne države članice za odgovor na incident ili koji ima znatan učinak na najmanje dvije države članice, kao i incident na nacionalnoj razini koji uzrokuje poremećaje koji premašuju sposobnost sektorskog CSIRT tijela za odgovor na incident ili koji ima znatan učinak na najmanje dva sektora te se u takvim slučajevima pokreću procedure upravljanja kibernetičkim krizama, usklađene s postojećim nacionalnim općim okvirom upravljanja krizama i okvirom za upravljanje kibernetičkim krizama Europske unije
21. kibernetička sigurnost je kibernetička sigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881
22. kvalificirani pružatelj usluga povjerenja je kvalificirani pružatelj usluga povjerenja kako je definiran u članku 3. točki 20. Uredbe (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257/73 28. 8. 2014. – u daljnjem tekstu: Uredba (EU) br. 910/2014
)
23. kvalificirana usluga povjerenja je kvalificirana usluga povjerenja kako je definirana u članku 3. točki 17. Uredbe (EU) br. 910/2014
24. mreža za isporuku sadržaja je mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružatelja sadržaja i usluga
25. mrežni i informacijski sustav čine:
a) »elektronička komunikacijska mreža« odnosno prijenosni sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove mreže koji nisu aktivni, a koji omogućuju prijenos signala žičanim, radijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obuhvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem kanala i prospajanjem paketa, uključujući internet), zemaljske mreže pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose
b) svaki uređaj ili skupina povezanih ili srodnih uređaja od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka ili
c) digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanima u podtočkama a) i b) ove točke, u svrhu njihova rada, uporabe, zaštite i održavanja
26. nacionalni akt strateškog planiranja iz područja kibernetičke sigurnosti je sveobuhvatan okvir kojim se definiraju posebni ciljevi i prioriteti u području kibernetičke sigurnosti i upravljanje za njihovo postizanje
27. nadležna tijela za provedbu posebnih zakona su Hrvatska narodna banka, Hrvatska agencija za nadzor financijskih usluga i Hrvatska agencija za civilno zrakoplovstvo
28. nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti su središnje državno tijelo za kibernetičku sigurnost, središnje državno tijelo za informacijsku sigurnost, regulatorno tijelo za mrežne djelatnosti, tijelo državne uprave nadležno za razvoj digitalnog društva i tijelo državne uprave nadležno za znanost i obrazovanje
29. nadležni CSIRT je CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost ili CSIRT pri Hrvatskoj akademskoj i istraživačkoj mreži – CARNET (u daljnjem tekstu: CARNET), ovisno o podjeli nadležnosti utvrđenoj ovim Zakonom
30. norma je norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/ 2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14. 11. 2012. – u daljnjem tekstu: Uredba (EU) br. 1025/2012)
31. osobni podaci su svi podaci kako su definirani člankom 4. stavkom 1. točkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119/1, 4. svibnja 2016.) (u daljnjem tekstu: Uredba (EU) 2016/679), a osobito informacije potrebne za identifikaciju korisnika domena i kontaktnih točaka koje upravljaju nazivima domena, kao i IP adrese (adresa internet protokola koja se koristi na svakom uređaju spojenom na internet), jedinstveni lokatori resursa (URL-ovi), nazivi domena, adrese e-pošte, vremenski žigovi i druge informacije koje u određenim slučajevima, u okviru aktivnosti koje se provode na temelju ovoga Zakona, mogu otkrivati osobne podatke
32. ozbiljna kibernetička prijetnja je kibernetička prijetnja za koju se na temelju njezinih tehničkih obilježja može pretpostaviti da može imati ozbiljan učinak na mrežne i informacijske sustave nekog subjekta ili korisnike usluga subjekta, uzrokovanjem znatne materijalne ili nematerijalne štete odnosno prekida usluga korisnicima
33. platforma za usluge društvenih mreža je platforma koja krajnjim korisnicima omogućuje međusobno povezivanje, dijeljenje i otkrivanje sadržaja te komuniciranje na više uređaja, posebno preko razgovora, objava, videozapisa i preporuka
34. postupanje s incidentom su sve radnje i postupci čiji je cilj sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na njega te oporavak od incidenta
35. predstavnik je fizička ili pravna osoba koja ima poslovni nastan u Europskoj uniji koju su pružatelj usluga sustava naziva domena (u daljnjem tekstu: pružatelj usluga DNS-a), registar naziva vršne nacionalne internetske domene, registrar, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj internetske tražilice ili pružatelj platforme za usluge društvenih mreža koji nema poslovni nastan u Europskoj uniji izričito imenovali da djeluje u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umjesto samom subjektu u pogledu obveza tog subjekta na temelju ovoga Zakona
36. privatni subjekti su fizičke ili pravne osobe osnovane i priznate kao takve na temelju nacionalnog prava mjesta svojeg poslovnog nastana koje mogu, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze
37. pružatelj upravljanih sigurnosnih usluga je pružatelj upravljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem kibernetičkim sigurnosnim rizicima
38. pružatelj upravljanih usluga je subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje se provodi u prostorima klijenata ili na daljinu
39. pružatelj usluga DNS-a je subjekt koji pruža:
a) javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta i/ili
b) mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva
40. pružatelj usluga povjerenja je pružatelj usluga povjerenja kako je definiran u članku 3. točki 19. Uredbe (EU) br. 910/2014
41. ranjivost je slabost, osjetljivost ili nedostatak IKT proizvoda ili IKT usluga koje kibernetička prijetnja može iskoristiti
42. registar naziva vršne nacionalne internetske domene je subjekt kojem je delegirana određena vršna internetska domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili za njihovo obavljanje koriste vanjskog davatelja usluge, ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu. U Republici Hrvatskoj to je CARNET
43. registrar je subjekt koji pruža usluge registracije naziva domena odnosno pravna ili fizička osoba koja obavlja samostalnu djelatnost ovlaštena za registraciju i administraciju.hr domena u ime registra naziva vršne nacionalne internetske domene
44. regulatorno tijelo za mrežne djelatnosti je Hrvatska regulatorna agencija za mrežne djelatnosti
45. rizik je mogućnost gubitka ili poremećaja uzrokovana incidentom koji se izražava kao kombinacija opsega takvog gubitka ili poremećaja i vjerojatnosti pojave tog incidenta
46. sigurnost mrežnih i informacijskih sustava je sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim događajima koji mogu ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup
47. sistemski rizik je rizik od poremećaja u funkcioniranju usluge odnosno u obavljanju djelatnosti koji bi mogao imati ozbiljne negativne posljedice za jedan ili više sektora ili bi mogao imati prekogranični učinak
48. Skupina za suradnju je skupina osnovana u svrhu podupiranja i olakšavanja strateške suradnje i razmjene informacija među državama članicama te razvijanja povjerenja i sigurnosti na razini Europske unije u području kibernetičke sigurnosti
49. središnje državno tijelo za informacijsku sigurnost je Ured Vijeća za nacionalnu sigurnost
50. središnje državno tijelo za kibernetičku sigurnost je Sigurnosno-obavještajna agencija
51. središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti je Zavod za sigurnost informacijskih sustava
52. središte za razmjenu internetskog prometa je mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prije svega u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način
53. subjekt je svaki javni subjekt, privatni subjekt i subjekt javnog sektora
54. subjekti javnog sektora su tijela državne uprave, druga državna tijela, pravne osobe s javnim ovlastima, jedinice lokalne i područne (regionalne) samouprave, kao i privatni i javni subjekti za koje se provodi kategorizacija na temelju ovoga Zakona zbog njihove uloge u upravljanju, razvijanju ili održavanju državne informacijske infrastrukture
55. sustav naziva domena ili DNS je hijerarhijsko raspoređeni sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i resursa, čime se krajnjim korisnicima uređaja omogućuje korištenje internetskim uslugama usmjeravanja i povezivosti za pristupanje tim uslugama i resursima
56. sustav obrazovanja obuhvaća rani i predškolski odgoj i obrazovanje, osnovno obrazovanje, srednje obrazovanje i visoko obrazovanje, praćenje, vrednovanje i razvoj sustava te provedbu programa
57. tehnička specifikacija je tehnička specifikacija kako je definirana u članku 2. točki 4. Uredbe (EU) br. 1025/2012
58. tijelo državne uprave nadležno za razvoj digitalnog društva je Središnji državni ured za razvoj digitalnog društva
59. tijelo državne uprave nadležno za znanost i obrazovanje je Ministarstvo znanosti i obrazovanja
60. tijelo nadležno za zaštitu osobnih podataka je Agencija za zaštitu osobnih podataka ili drugo nadzorno tijelo iz članaka 55. i 56. Uredbe (EU) 2016/679
61. treća strana pružatelj IKT usluga je pružatelj IKT usluga kako je definiran u članku 3. točki 19. Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333/1 27. 12. 2022. – u daljnjem tekstu: Uredba (EU) 2022/2554)
62. upravljačko tijelo ključnog i važnog subjekta je tijelo ili tijela imenovana u skladu sa zakonom kojim se uređuje osnivanje i poslovanje subjekta, a koja raspolažu ovlastima za upravljanje i vođenje poslova subjekta
63. usluga podatkovnog centra je usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša
64. usluga povjerenja je usluga povjerenja kako je definirana u članku 3. točki 16. Uredbe (EU) br. 910/2014
65. usluga računalstva u oblaku je digitalna usluga koja omogućuje administraciju na zahtjev i širok daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija
66. zaposlenik subjekta je fizička osoba koja u radnom odnosu obavlja određene poslove za subjekt, uključujući fizičku osobu koja je, prema propisu o trgovačkim društvima, kao član uprave ili izvršni direktor ili fizička osoba koja je u drugom svojstvu prema posebnom zakonu, pojedinačno i samostalno ili zajedno i skupno, ovlaštena voditi poslove subjekta, ili fizičku osobu koja kao radnik u radnom odnosu obavlja određene poslove za subjekt.
(2) Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.
Članak 5.
Primjena posebnih propisa o zaštiti tajnosti i povjerljivosti podataka
(1) Ako u provedbi ovoga Zakona nastaju ili se koriste klasificirani podaci ili drugi podaci za koje su posebnim propisima utvrđena pravila postupanja radi zaštite njihove tajnosti ili povjerljivosti, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.
(2) Ovaj se Zakon ne primjenjuje na informacijske sustave sigurnosno akreditirane za postupanje s klasificiranim podacima.
Članak 6.
Primjena pravila o zaštiti osobnih podataka
(1) Primjena odredaba ovoga Zakona ne utječe na obveze pružatelja javnih elektroničkih komunikacijskih mreža ili pružatelje javno dostupnih elektroničkih komunikacijskih usluga da obrađuju osobne podatke sukladno posebnim propisima o zaštiti osobnih podataka i zaštiti privatnosti.
(2) Primjena odredaba ovoga Zakona ne utječe na obveze ključnih i važnih subjekata da u slučaju povrede osobnih podataka postupaju sukladno odredbama članaka 33. i 34. Uredbe (EU) 2016/679.
Članak 7.
Odnos sa zakonom kojim se uređuje područje elektroničkih komunikacija
(1) Primjena odredaba ovoga Zakona ne utječe na obvezu provedbe temeljnih zahtjeva za elektroničku komunikacijsku infrastrukturu i drugu povezanu opremu propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.
(2) Primjena odredaba ovoga Zakona ne utječe na pravila upravljanja vršnom nacionalnom internetskom domenom te prava i obveze korisnika domena propisanih zakonom kojim je uređeno područje elektroničkih komunikacija.
Članak 8.
Primjena posebnih zakona u pitanjima kibernetičke sigurnosti
(1) Ako su za ključne i važne subjekte iz pojedinih sektora iz Priloga I. i Priloga II. ovoga Zakona posebnim zakonima propisani zahtjevi koji po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovoga Zakona, ili predstavljaju strože zahtjeve, na te se subjekte primjenjuju odgovarajuće odredbe tog posebnog zakona u onim pitanjima koja su vezano uz te zahtjeve i njihovu provedbu tim propisima uređena, uključujući odredbe o nadzoru nad provedbom zahtjeva.
(2) Zahtjevi iz stavka 1. ovoga članka po svom sadržaju i svrsi odgovaraju zahtjevima kibernetičke sigurnosti iz ovoga Zakona ako:
– su po svom učinku barem jednakovrijedni mjerama upravljanja kibernetičkim sigurnosnim rizicima utvrđenim ovim Zakonom
– je posebnim zakonom utvrđen neposredan, po potrebi i automatski i izravan pristup obavijestima o incidentima nadležnom CSIRT-u te ako su obveze obavještavanja o značajnim incidentima iz posebnog zakona po učinku barem jednakovrijedne obvezama obavještavanja o značajnim incidentima utvrđenim ovim Zakonom.
(3) Tijela koja su prema posebnim zakonima iz stavka 1. ovoga članka nadležna za sektor odnosno podsektor i/ili subjekt iz Priloga I. i Priloga II. ovoga Zakona i nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su prilikom primjene stavaka 1. i 2. ovoga članka međusobno surađivati i razmjenjivati relevantne informacije te voditi računa o smjernicama Europske komisije kojima se objašnjava primjena povezanog mjerodavnog prava Europske unije.
DIO DRUGI KATEGORIZACIJA SUBJEKATA
POGLAVLJE I. KRITERIJI ZA PROVEDBU KATEGORIZACIJE SUBJEKATA
Članak 9.
Opći kriteriji za provedbu kategorizacije ključnih subjekata
U kategoriju ključnih subjekata razvrstavaju se:
– privatni i javni subjekti iz Priloga I. ovoga Zakona koji prelaze gornje granice za srednje subjekte maloga gospodarstva utvrđene zakonom kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva
– kvalificirani pružatelji usluga povjerenja, registar naziva vršne nacionalne internetske domene te pružatelji usluga DNS-a, neovisno o njihovoj veličini
– pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva ili koji prelaze gornje granice za srednje subjekte maloga gospodarstva
– informacijski posrednici u razmjeni elektroničkog računa među poduzetnicima, neovisno o njihovoj veličini i
– subjekti koji su utvrđeni kao kritični subjekti na temelju zakona kojim se uređuje područje kritične infrastrukture, neovisno o njihovoj veličini.
Članak 10.
Opći kriteriji za provedbu kategorizacije važnih subjekata
U kategoriju važnih subjekata razvrstavaju se:
– privatni i javni subjekti iz Priloga II. ovoga Zakona koji predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva ili koji prelaze gornje granice za srednje subjekte maloga gospodarstva
– privatni i javni subjekti iz Priloga I. ovoga Zakona koji nisu utvrđeni kao ključni subjekti na temelju članka 9. podstavka 1. ovoga Zakona, a predstavljaju srednji subjekt maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva
– pružatelji usluga povjerenja koji nisu kategorizirani kao ključni subjekti na temelju članka 9. podstavka 2. ovoga Zakona, neovisno o njihovoj veličini, i
– pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu kategorizirani kao ključni subjekti na temelju članka 9. podstavka 3. ovoga Zakona, neovisno o njihovoj veličini.
Članak 11.
Posebni kriteriji za provedbu kategorizacije ključnih i važnih subjekata
Iznimno od članka 9. podstavka 1. i članka 10. podstavaka 1. i 2. ovoga Zakona, privatni i javni subjekti iz Priloga I. i Priloga II. ovoga Zakona mogu se razvrstati u kategoriju ključnih ili važnih subjekata, neovisno o njihovoj veličini, ako:
– je subjekt jedini pružatelj usluge koja je ključna za održavanje ključnih društvenih ili gospodarskih djelatnosti
– bi poremećaj u funkcioniranju usluge koju pruža subjekt odnosno poremećaj u obavljanju djelatnosti subjekta mogao imati znatan učinak na javnu sigurnost, javnu zaštitu ili javno zdravlje
– bi poremećaj u funkcioniranju usluge koju pruža subjekt odnosno poremećaj u obavljanju djelatnosti subjekta mogao uzrokovati znatne sistemske rizike u sektorima iz Priloga I. i Priloga II. ovoga Zakona, posebno u sektorima u kojima bi takav poremećaj mogao imati prekogranični učinak ili
– je subjekt značajan zbog svoje posebne važnosti na nacionalnoj, regionalnoj ili lokalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u Republici Hrvatskoj.
Članak 12.
Kategorizacija subjekata javnog sektora
(1) U kategoriju ključnih subjekata razvrstavaju se, neovisno o njihovoj veličini:
– tijela državne uprave i
– druga državna tijela i pravne osobe s javnim ovlastima, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.
(2) Iznimno od članka 9. podstavka 1. i članka 10. podstavka 2. ovoga Zakona, privatni i javni subjekti koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu kojim se uređuje državna informacijska infrastruktura razvrstavaju se u kategoriju ključnih subjekata, neovisno o njihovoj veličini.
(3) Jedinice lokalne i područne (regionalne) samouprave razvrstavaju se, neovisno o njihovoj veličini, u kategoriju važnih subjekata, ovisno o rezultatima provedene procjene njihove važnosti za nesmetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.
Članak 13.
Kategorizacija subjekata iz sustava obrazovanja
Iznimno od članka 10. podstavka 1. ovoga Zakona, privatni i javni subjekti iz sustava obrazovanja razvrstavaju se, neovisno o njihovoj veličini, u kategoriju važnih subjekata, ovisno o rezultatima provedene procjene njihove posebne važnosti na nacionalnoj ili regionalnoj razini za obavljanje odgojnog odnosno obrazovnog rada.
Članak 14.
Određivanje nadležnosti na temelju teritorijalnosti
(1) Subjekti iz Priloga I. i Priloga II. ovoga Zakona podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako pružaju usluge odnosno obavljaju djelatnosti na području Europske unije, a imaju poslovni nastan na teritoriju Republike Hrvatske.
(2) Iznimno od stavka 1. ovoga članka, pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako svoje usluge pružaju na teritoriju Republike Hrvatske, neovisno o državi poslovnog nastana.
(3) Iznimno od stavka 1. ovoga članka, pružatelji usluga DNS-a, registar naziva vršne nacionalne internetske domene i registri, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica ili pružatelji platformi za usluge društvenih mreža podliježu nadležnostima i ovlastima propisanim ovim Zakonom ako na teritoriju Republike Hrvatske imaju glavni poslovni nastan ili njihov predstavnik ima poslovni nastan na teritoriju Republike Hrvatske.
(4) Subjekt ima glavni poslovni nastan u smislu stavka 3. ovoga članka ako na teritoriju Republike Hrvatske:
– pretežno donosi odluke povezane s mjerama upravljanja kibernetičkim sigurnosnim rizicima ili
– provodi mjere upravljanja kibernetičkim sigurnosnim rizicima kada se država članica u kojoj donosi odluke iz podstavka 1. ovoga stavka ne može utvrditi ili takve odluke subjekt ne donosi u Europskoj uniji ili
– ima poslovnu jedinicu s najvećim brojem zaposlenika u Europskoj uniji kada se država članica u kojoj provodi aktivnosti iz podstavka 2. ovoga stavka ne može utvrditi.
Članak 15.
Primjena kriterija veličine subjekta
(1) Prilikom utvrđivanja predstavlja li subjekt srednji subjekt maloga gospodarstva odnosno subjekt koji prelazi gornje granice za srednje subjekte maloga gospodarstva na temelju zakona kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva, uzima se u obzir:
– godišnji prosjek ukupnog broja zaposlenika subjekta i
– ukupan godišnji poslovni prihod subjekta prema financijskim izvještajima za prethodnu godinu ili ukupna aktiva subjekta ako je obveznik poreza na dobit odnosno ukupna dugotrajna imovina subjekta ako je obveznik poreza na dohodak, neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovoga Zakona.
(2) Prilikom kategorizacije subjekata vodi se računa o smjernicama Europske komisije o provedbi kriterija veličine koji se primjenjuju na mikropoduzeća i mala poduzeća.
Članak 16.
Primjena Zakona u slučaju dvostruke kategorizacije subjekta
Ako je subjekt razvrstan u kategoriju i ključnih i važnih subjekata, na takvog se subjekta primjenjuju odredbe ovoga Zakona koje se odnose na ključne subjekte.
POGLAVLJE II. POPISI KLJUČNIH I VAŽNIH SUBJEKATA
Članak 17.
Vođenje popisa
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona provode kategorizaciju subjekata sukladno ovom Zakonu te utvrđuju i vode popise ključnih i važnih subjekata.
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su redovito, a najmanje jednom u dvije godine provjeravati popise ključnih i važnih subjekata te ih, po potrebi, ažurirati.
Članak 18.
Dostava podataka Europskoj komisiji i Skupini za suradnju
(1) Jedinstvena kontaktna točka svake dvije godine dostavlja:
– Europskoj komisiji i Skupini za suradnju podatke o broju ključnih i važnih subjekata razvrstanih na temelju članka 9. podstavaka 1., 2., 3. i 5., članka 10. i članka 12. stavka 1. podstavka 1. i stavka 3. ovoga Zakona, za svaki sektor i podsektor iz Priloga I. i Priloga II. ovoga Zakona
– Europskoj komisiji podatke o broju ključnih i važnih subjekata razvrstanih na temelju članka 11. ovoga Zakona, sektoru i podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbama članka 11. ovoga Zakona na temelju kojih je provedena kategorizacija, a dodatno, na njezin zahtjev, može Europskoj komisiji dostaviti i podatke o nazivima tih subjekata.
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležna tijela za provedbu posebnih zakona dužna su jedinstvenoj kontaktnoj točki dostavljati podatke potrebne za dostavu podataka sukladno stavku 1. ovoga članka.
Članak 19.
Obavijesti o provedenoj kategorizaciji subjekata
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su sve subjekte s popisa iz članka 17. stavka 1. ovoga Zakona koji su u njihovoj nadležnosti obavijestiti o provedenoj kategorizaciji subjekta i obvezama kojima podliježu na temelju ovoga Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti iz ovoga Zakona.
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte u odnosu na koje je nakon ažuriranja popisa ključnih i važnih subjekata došlo do promjene u kategorizaciji subjekta obavijestiti o promjeni kategorije te činjenici da se od datuma primitka te obavijesti mijenjaju i obveze kojima podliježu na temelju ovoga Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti iz ovoga Zakona, s naznakom bitnih promjena o kojima moraju voditi računa ovisno o promjeni kategorije o kojoj se obavještava.
(3) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su subjekte koji se nakon ažuriranja popisa ključnih i važnih subjekata više ne smatraju ni ključnim subjektima ni važnim subjektima obavijestiti o toj činjenici te činjenici da od datuma primitka te obavijesti više ne podliježu obvezama provedbe zahtjeva kibernetičke sigurnosti iz ovoga Zakona.
(4) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti dužna su o provedenoj kategorizaciji subjekta, kao i promjenama iz stavaka 2. i 3. ovoga članka obavijestiti subjekte u roku od 30 dana od dana provedene kategorizacije subjekta ili ažuriranja popisa ključnih i važnih subjekata.
Članak 20.
Obveze subjekata iz Priloga I. i Priloga II. Zakona u prikupljanju podataka
(1) Za potrebe kategorizacije subjekata sukladno ovom Zakonu te vođenja popisa ključnih i važnih subjekata, subjekti iz Priloga I. i Priloga II. ovoga Zakona dužni su nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti i nadležnim tijelima za provedbu posebnih zakona, na njihov zahtjev, dostaviti sljedeće podatke:
– naziv subjekta
– adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP adresne raspone i telefonske brojeve
– relevantni sektor, podsektor i vrstu subjekta iz Priloga I. i Priloga II. ovoga Zakona
– popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ovoga Zakona
– druge podatke o pružanju svojih usluga ili obavljanju svojih djelatnosti bitne za provedbu kategorizacije subjekta ili utvrđivanje nadležnosti nad subjektom.
(2) Rokovi za dostavu podataka na temelju stavka 1. ovoga članka određuju se ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana niti duži od 45 dana od dana primitka zahtjeva za dostavu podataka.
(3) Subjekti iz stavka 1. ovoga članka dužni su bez odgode, u roku od dva tjedna od datuma promjene, obavijestiti nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti odnosno nadležno tijelo za provedbu posebnih zakona o svim promjenama podataka koje su tom tijelu dostavili u skladu sa stavkom 1. ovoga članka.
Članak 21.
Prikupljanje podataka iz drugih izvora radi provedbe kategorizacije subjekata
(1) Tijela državne uprave, druga državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe s javnim ovlastima i javni subjekti koji u okviru svog djelokruga prikupljaju podatke odnosno vode registre, evidencije i zbirke podataka o subjektima iz Priloga I. i Priloga II. ovoga Zakona dužni su, bez naknade, nadležnim tijelima za provedbu zahtjeva kibernetičke sigurnosti:
– redovito dostavljati popise subjekata iz Priloga I. i Priloga II. ovoga Zakona odnosno omogućiti pristup odgovarajućim podacima u registrima, evidencijama i zbirkama podataka elektroničkim putem
– na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti, za subjekte s popisa iz podstavka 1. ovoga stavka dostavljati:
a) podatke o njihovoj veličini i/ili
b) druge podatke o subjektima, uključujući podatke o pružanju njihovih usluga ili obavljanju njihovih djelatnosti, ako su takvi podaci potrebni za provođenje kategorizacije subjekata sukladno ovom Zakonu ili
c) ih uputiti na tijelo državne uprave, drugo državno tijelo, jedinicu lokalne i područne (regionalne) samouprave, pravnu osobu s javnim ovlastima ili javnog subjekta koji takve podatke posjeduje.
(2) Ako se podaci na temelju ovoga članka dostavljaju na zahtjev nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti, rokovi za dostavu podataka određuju se ovisno o opsegu i složenosti podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana niti duži od 45 dana od dana primitka zahtjeva za dostavu podataka.
POGLAVLJE III. POSEBAN REGISTAR SUBJEKATA
Članak 22.
Vođenje posebnog registra subjekata
(1) Središnje državno tijelo za kibernetičku sigurnost uspostavlja i vodi poseban registar sljedećih subjekata:
– pružatelja usluga DNS-a
– registra naziva vršne nacionalne internetske domene
– registrara
– pružatelja usluga računalstva u oblaku
– pružatelja usluga podatkovnog centra
– pružatelja mreža za isporuku sadržaja
– pružatelja upravljanih usluga
– pružatelja upravljanih sigurnosnih usluga
– pružatelja internetskih tržišta
– pružatelja internetskih tražilica i
– pružatelja platformi za usluge društvenih mreža.
(2) Registar iz stavka 1. ovoga članka vodi se neovisno o obvezi vođenja popisa ključnih i važnih subjekata.
Članak 23.
Prikupljanje podataka
(1) Subjekti iz članka 22. ovoga Zakona dužni su središnjem državnom tijelu za kibernetičku sigurnost dostaviti sljedeće podatke:
– naziv subjekta
– popis usluga iz članka 22. ovoga Zakona koje pružaju
– adresu glavnog poslovnog nastana subjekta i njegovih drugih poslovnih jedinica ili adresu njegova predstavnika
– ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i njegova predstavnika
– popis država članica u kojima pružaju usluge iz članka 22. ovoga Zakona
– IP adresne raspone subjekta.
(2) Rok za dostavu podataka na temelju stavka 1. ovoga članka je 15 dana od dana primitka zahtjeva za dostavu podataka.
(3) Subjekti iz članka 22. ovoga Zakona dužni su bez odgode, u roku od tri mjeseca od datuma promjene obavijestiti središnje državno tijelo za kibernetičku sigurnost o svim promjenama podataka koje su dostavili u skladu sa stavkom 1. ovoga članka.
(4) Po zaprimanju podaci iz stavaka 1. i 3. ovoga članka, osim podataka iz stavka 1. podstavka 6. ovoga članka, dostavljaju se bez odgode, putem jedinstvene kontaktne točke, Europskoj agenciji za kibernetičku sigurnost (u daljnjem tekstu: ENISA).
Članak 24.
Provedbeni propis o kategorizaciji subjekata, vođenju popisa ključnih i važnih subjekata i posebnog registra subjekata
Mjerila za razvrstavanje subjekata u kategoriju ključnih odnosno važnih subjekata na temelju posebnih kriterija iz članka 11. ovoga Zakona, kriteriji za provođenje procjena iz članka 12. stavka 1. podstavka 2. i stavka 3. i članka 13. ovoga Zakona, vođenje popisa ključnih i važnih subjekata, prikupljanje podataka u svrhu provođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje posebnog registra subjekata iz članka 22. ovoga Zakona propisuje Vlada Republike Hrvatske (u daljnjem tekstu: Vlada) uredbom, na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.
1. Uredba o kibernetičkoj sigurnosti
DIO TREĆI ZAHTJEVI KIBERNETIČKE SIGURNOSTI
Članak 25.
Opseg zahtjeva kibernetičke sigurnosti
(1) Zahtjevi kibernetičke sigurnosti obuhvaćaju postupke i mjere koje su ključni i važni subjekti dužni primjenjivati radi postizanja visoke razine kibernetičke sigurnosti u pružanju svojih usluga odnosno obavljanju svojih djelatnosti, a sastoje se od:
– mjera upravljanja kibernetičkim sigurnosnim rizicima i
– obveza obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama.
(2) Zahtjevi kibernetičke sigurnosti odnose se na sve mrežne i informacijske sustave kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga i sve usluge koje ključni i važni subjekti pružaju odnosno djelatnosti koje obavljaju, neovisno o tome pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje nisu obuhvaćene Prilogom I. i Prilogom II. ovoga Zakona.
POGLAVLJE I. MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM RIZICIMA I PROVJERE USKLAĐENOSTI KLJUČNIH I VAŽNIH SUBJEKATA
Članak 26.
Primjena mjera
(1) Ključni i važni subjekti dužni su provoditi odgovarajuće i razmjerne mjere upravljanja kibernetičkim sigurnosnim rizicima.
(2) Cilj je primjene mjera upravljanja kibernetičkim sigurnosnim rizicima zaštita mrežnih i informacijskih sustava i fizičkog okruženja tih sustava od incidenata, uzimajući pritom u obzir sve opasnosti kojima su ti sustavi izloženi.
(3) Mjere upravljanja kibernetičkim rizicima obuhvaćaju:
– tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ključni i važni subjekti služe u svom poslovanju ili u pružanju svojih usluga te
– mjere za sprečavanje ili smanjivanje na najmanju moguću mjeru učinka incidenata na mrežne i informacijske sustave ključnih i važnih subjekata, primatelje njihovih usluga ili na druge sektore, subjekte i usluge.
(4) Ključni i važni subjekti dužni su provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima bez obzira na to upravljaju li i/ili održavaju svoje mrežne i informacijske sustave sami ili za to koriste vanjskog davatelja usluge.
(5) Ključni i važni subjekti dužni su provesti mjere upravljanja kibernetičkim sigurnosnim rizicima u roku od godine dana od dana dostave obavijesti iz članka 19. stavka 1. ovoga Zakona.
(6) Kada subjekta obavještava o promjeni u kategorizaciji subjekta na temelju članka 19. stavka 2. ovoga Zakona, nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti dužno je u obavijesti naznačiti i primjereni rok za provedbu obveza kojima subjekt zbog promjene kategorije podliježe na temelju ovoga Zakona i provedbenog propisa o zahtjevima kibernetičke sigurnosti iz ovoga Zakona.
(7) Rok iz stavka 6. ovoga članka određuje se ovisno o opsegu i složenosti obveza o kojima se subjekta obavještava, s tim da ostavljeni rok ne može biti kraći od 60 dana niti duži od šest mjeseci od dana primitka obavijesti iz članka 19. stavka 2. ovoga Zakona.
Članak 27.
Obveza osiguranja razine sigurnosti mrežnih i informacijskih sustava proporcionalne utvrđenom riziku
(1) Ključni i važni subjekti dužni su primjenom mjera upravljanja kibernetičkim sigurnosnim rizicima osigurati razinu sigurnosti mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku.
(2) Pri procjeni proporcionalnosti primijenjenih mjera upravljanja kibernetičkim sigurnosnim rizicima u obzir se uzimaju:
– stupanj izloženosti subjekta rizicima
– veličina subjekta
– vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov mogući društveni i gospodarski učinak.
Članak 28.
Način provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima
(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima provode se na način da se, bez nametanja obveza ili diskriminacije u korist uporabe određene vrste tehnologije, uzimaju u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti, kao i europske i međunarodne norme i tehničke specifikacije relevantne za sigurnost mrežnih i informacijskih sustava, uzimajući pritom u obzir i trošak provedbe.
(2) Ključni i važni subjekti dužni su prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima koristiti se određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana:
– mjerodavnim propisima Europske unije
– posebnim propisima kojima se uređuje područje pružanja određenih usluga odnosno obavljanja određenih djelatnosti
– ovim Zakonom ili uredbom iz članka 24. ovoga Zakona.
Članak 29.
Odgovornost za provedbu mjera
(1) Za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima sukladno ovom Zakonu odgovorni su članovi upravljačkih tijela ključnih i važnih subjekata odnosno čelnici tijela državne uprave, drugih državnih tijela i izvršna tijela jedinica lokalne i područne (regionalne) samouprave (u daljnjem tekstu: osobe odgovorne za upravljanje mjerama).
(2) Osobe odgovorne za upravljanje mjerama dužne su odobravati mjere upravljanja kibernetičkim sigurnosnim rizicima koje će subjekt primjenjivati radi usklađivanja s obvezama utvrđenim ovim Zakonom i provedbenim propisom o zahtjevima kibernetičke sigurnosti te kontrolirati njihovu provedbu.
(3) U svrhu stjecanja znanja i vještina u pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja, osobe odgovorne za upravljanje mjerama dužne su:
– pohađati odgovarajuća osposobljavanja
– zaposlenicima subjekta omogućiti pohađanje odgovarajućih osposobljavanja.
(4) Odredbe ovoga članka odnose se i na druge fizičke osobe koje na temelju ovlasti za provođenje nadzora nad vođenjem poslova subjekta ili u svojstvu pravnog predstavnika subjekta na temelju punomoći ili druge ovlasti za zastupanje ili punomoći ili druge ovlasti za donošenje odluka u ime subjekta sudjeluju u donošenju odluka o mjerama upravljanja kibernetičkim sigurnosnim rizicima i/ili njihovoj provedbi.
Članak 30.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima uključuju sljedeće:
– politike analize rizika i sigurnosti informacijskih sustava
– postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
– kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata iz članka 37. ovoga Zakona, te upravljanje kibernetičkim krizama
– sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između subjekta i njegovih izravnih dobavljača ili pružatelja usluga
– sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje
– politike i postupke za procjenu djelotvornosti mjera upravljanja kibernetičkim sigurnosnim rizicima
– osnovne prakse kibernetičke higijene i osposobljavanje o kibernetičkoj sigurnosti
– politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja
– sigurnost ljudskih resursa, politike kontrole pristupa i upravljanja programskom i sklopovskom imovinom, uključujući i redovito ažuriranje popisa ove imovine
– korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.
(2) Pri procjeni proporcionalnosti primijenjenih mjera iz stavka 1. podstavka 4. ovoga članka ključni i važni subjekti dužni su uzeti u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluge te opću kvalitetu proizvoda i kibernetičku sigurnosnu praksu svojih dobavljača i pružatelja usluga, kao i rezultate koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe IKT uslugama, IKT sustavima ili IKT proizvodima, koje provodi Skupina za suradnju zajedno s Europskom komisijom i ENISA-om.
(3) Mjere upravljanja kibernetičkim sigurnosnim rizicima i način njihove provedbe uredit će se uredbom iz članka 24. ovoga Zakona.
Članak 31.
Provjere usklađenosti uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizicima
(1) Ključni i važni subjekti dužni su provjeravati usklađenost uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizicima s mjerama upravljanja kibernetičkim sigurnosnim rizicima propisanim ovim Zakonom i uredbom iz članka 24. ovoga Zakona.
(2) Provjera usklađenosti iz stavka 1. ovoga članka obavlja se u postupku revizije kibernetičke sigurnosti ključnih i važnih subjekata te u postupku samoprocjene kibernetičke sigurnosti važnih subjekata.
Članak 32.
Revizori kibernetičke sigurnosti
(1) Reviziju kibernetičke sigurnosti ključnih i važnih subjekata provode revizori kibernetičke sigurnosti.
(2) Revizori kibernetičke sigurnosti su pružatelji upravljanih sigurnosnih usluga kojima je izdan:
– nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti ili
– odgovarajući kibernetički sigurnosni certifikat na temelju mjerodavne europske sheme kibernetičke sigurnosne certifikacije.
(3) Iznimno od stavka 2. ovoga članka, revizor kibernetičke sigurnosti za tijela državne uprave i druga državna tijela je središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti.
(4) O provedenoj reviziji kibernetičke sigurnosti revizori kibernetičke sigurnosti sastavljaju izvješće.
Članak 33.
Nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti
(1) Nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti izdaje središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti na temelju pravila sigurnosne certifikacije za reviziju kibernetičke sigurnosti.
(2) Pravila iz stavka 1. ovoga članka donosi središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti, a ona obuhvaćaju:
– organizacijske i stručne zahtjeve koje moraju ispunjavati pružatelji upravljanih sigurnosnih usluga za provedbu revizije kibernetičke sigurnosti
– pravila, tehničke zahtjeve, norme i postupke koji se primjenjuju u provedbi revizije kibernetičke sigurnosti, uključujući obvezni sadržaj izvješća o provedenoj reviziji kibernetičke sigurnosti i
– postupak izdavanja i opoziva nacionalnog sigurnosnog certifikata za reviziju kibernetičke sigurnosti, prava i obveze pružatelja upravljanih sigurnosnih usluga te pravnu zaštitu u tom postupku.
(3) Pravila iz stavka 1. ovoga članka primjenjuju se ako nije donesena odgovarajuća europska shema kibernetičke sigurnosne certifikacije koja obuhvaća revizije kibernetičke sigurnosti.
(4) Središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti vodi javno dostupan registar pružatelja upravljanih sigurnosnih usluga iz članka 32. stavka 2. podstavka 1. ovoga Zakona.
Članak 34.
Provedba revizije kibernetičke sigurnosti
(1) Reviziju kibernetičke sigurnosti ključni subjekti dužni su provoditi najmanje jednom u dvije godine.
(2) Reviziju kibernetičke sigurnosti ključni subjekti dužni su provesti i prije isteka roka iz stavka 1. ovoga članka, kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti na temelju članka 79. stavka 1. podstavka 7. ili članka 81. stavka 1. podstavka 2. ovoga Zakona.
(3) Revizija kibernetičke sigurnosti iz stavka 1. ovoga članka provodi se kao zaseban postupak ili u okviru revizije poslovanja odnosno druge provjere sukladnosti subjekata koja se provodi na temelju posebnih propisa kojima se uređuje područje pružanja određenih usluga odnosno obavljanja određenih djelatnosti.
(4) Reviziju kibernetičke sigurnosti važni subjekti dužni su provesti kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti na temelju članka 79. stavka 1. podstavka 7. ovoga Zakona.
(5) Izvješće iz članka 32. stavka 4. ovoga Zakona ključni i važni subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti bez odgode, a najkasnije u roku od osam dana od dana njegova primitka.
(6) Iznimno od stavka 5. ovoga članka, kada je revizija kibernetičke sigurnosti provedena na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti na temelju članka 79. stavka 1. podstavka 7. ili članka 81. stavka 1. podstavka 2. ovoga Zakona, subjekt za koji je revizija kibernetičke sigurnosti provedena dužan je izvješće iz članka 32. stavka 4. ovoga Zakona dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti odmah po njegovu primitku.
(7) Troškove provedbe revizije kibernetičke sigurnosti snose ključni i važni subjekti, ako nije drugačije propisano ovim Zakonom.
Članak 35.
Provedba samoprocjene kibernetičke sigurnosti
(1) Samoprocjenu kibernetičke sigurnosti važni subjekti dužni su provoditi najmanje jednom u dvije godine.
(2) Za provedbu samoprocjene kibernetičke sigurnosti važni subjekti mogu koristiti i vanjskog davatelja takve usluge.
(3) Ako rezultati provedene samoprocjene kibernetičke sigurnosti pokazuju da su uspostavljene mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s mjerama upravljanja kibernetičkim sigurnosnim rizicima propisanim ovim Zakonom i uredbom iz članka 24. ovoga Zakona, važni subjekti sastavljaju izjavu o sukladnosti.
(4) Ako rezultati provedene samoprocjene kibernetičke sigurnosti pokazuju da uspostavljene mjere upravljanja kibernetičkim sigurnosnim rizicima nisu u skladu s mjerama upravljanja kibernetičkim sigurnosnim rizicima propisanim ovim Zakonom i uredbom iz članka 24. ovoga Zakonom, važni subjekti dužni su utvrditi plan daljnjeg postupanja, uključujući plan za pravodobnu ponovnu samoprocjenu kibernetičke sigurnosti i ispravljanje utvrđenih nedostataka.
(5) Izjavu iz stavka 3. ovoga članka i plan iz stavka 4. ovoga članka važni subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetič …
AI objašnjenje na temelju službenog teksta zakona. Okvirno, ne zamjenjuje pravni savjet.